程表示协议或其他程序以将数据发送给瘦 客户端或在客户端上执行的远程显示应用,以便呈现通过在服务器206上执行的应用生成 的显示输出。瘦客户端或远程显示协议可以是下列非穷举协议列表中的任意一个:通过佛 罗里达州劳德代尔堡(Ft.Lauderdale,Florida)的Citrix系统公司开发的独立计算架构 (ICA)协议;或通过华盛顿雷德蒙德(Redmond,Washington)的微软公司制造的远程桌面协 议(RDP)。
[0050] 远程计算环境可包括多于一个的服务器206a_206n,使得,例如在云计算环境中, 服务器206a-206n逻辑组合在一起成服务器群206。服务器群206可包括地理上分散而同 时逻辑分组在一起的服务器206,或彼此接近放置同时在逻辑上分组在一起的服务器206。 在一些实施方案中,在服务器群206中的地理上分散的服务器206a-206n使用WAN(广域 网)、MAN(城域网)、或LAN(局域网)通信,其中不同的地理区域可表征为:不同大陆;大陆 的不同区域;不同的国家;不同的州;不同的城市;不同的校区;不同的房间;或前述地理 位置的任何组合。在一些实施方案中,服务器群206可作为单一实体进行管理,而在其他实 施方案中,服务器群206可包括多个服务器群。
[0051 ] 在一些实施方案中,服务器群可包括服务器206,其执行基本上类似类型的操作系 统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN,等)。在其它实施方案中,月艮 务器群206可包括执行第一类型的操作系统平台的一个或多个服务器的第一组,以及执行 第二类型的操作系统平台的一个或多个服务器的第二组。
[0052] 服务器206可根据需要配置成任何类型的服务器,例如,文件服务器、应用服务 器、web服务器、代理服务器、设备、网络设备、网关、应用网关、网关服务器、虚拟服务器、部 署服务器、SSL VPN服务器、防火墙、网络服务器、应用服务器或作为主应用服务器、执行活 动目录的服务器、或执行提供防火墙功能、应用功能、或负载平衡功能的应用加速程序的服 务器。还可使用其他服务器类型。
[0053] -些实施方式包括从客户端机器240接收请求、将请求转发到第二服务器206b 并使用来自第二服务器206b的响应对客户端机器240产生的请求做出响应的第一服务器 206a。第一服务器206a可获取客户端机器240可采用的应用的列表以及与托管在该应用的 列表内识别的应用的应用服务器206相关的地址信息。然后,第一服务器206a可使用web 接口呈现对客户端请求的响应,并直接与客户端240通信以给客户端240提供对所标识的 应用的访问。一个或多个客户端240和/或一个或多个服务器206可经由例如互联网101 的网络230传输数据。
[0054] 图2示出说明性桌面虚拟化系统的高层架构。如图所示,桌面虚拟化系统可以是 单服务器或多服务器系统、或云系统,包括配置为给一个或多个客户端访问设备240提供 虚拟桌面和/或虚拟应用的至少一个虚拟化服务器206。如在本文使用的,桌面指图形环 境或空间,其中一个或多个应用可被托管和/或执行。桌面可包括为操作系统的实例提供 用户界面的图形壳,在该操作系统中可集成本地和/或远程应用。应用可包括加载了操作 系统(和任选地,还有桌面)的实例之后执行的程序。操作系统的每个实例可以是真实的 (例如每个设备一个操作系统)或虚拟的(例如在单个设备上运行的0S的很多实例)。每 个应用可在本地设备上执行或在远程放置的设备上执行(例如远程)。
[0055] 当在桌面虚拟化系统中使用时,服务器206可被配置作为在虚拟化环境中的虚拟 化服务器,例如,单一服务器、多个服务器、或云计算环境。在这种实施方案中,虚拟化服务 器206可包括硬件层,其包括一个或多个物理磁盘、物理设备、物理处理器、和物理存储器。 虚拟化服务器206的存储器215可包括固件、操作系统、以及被配置来创建和管理任意数量 的虚拟机是管理程序(例如,1型或2型管理程序)。虚拟机是一组可执行指令,当由处理 器执行时,其模拟物理计算机的操作,使得虚拟机可更像物理计算设备那样执行程序和过 程。管理程序可提供物理硬件、存储器、处理器和可用于该虚拟机的其它系统资源的虚拟视 图给每个虚拟机。
[0056] 本文所描述的一些方面可在基于云的环境中实施。在这种环境中,客户端设备204 可与一个或多个云管理服务器206通信,以访问云系统的计算资源(例如,主机服务器、存 储资源、和网络资源)。云管理服务器206可管理各种计算资源,包括云硬件和软件资源,并 可提供用户界面,云运营商和云客户可通过用户界面与云系统交互。例如,管理服务器206 可提供一组API和/或一个或多个带用户界面的云运营商控制台应用(例如,基于web的 应用或单机应用),以允许云运营商管理云资源、配置虚拟化层、管理客户账户、并执行其它 云管理任务。管理服务器206还可包括一组API和/或一个或多个客户控制台应用,其带 有被配置为经由客户端计算机240从终端用户接收云计算请求的用户界面,例如,请求创 建、修改或注销在云中的虚拟机。客户端计算机240可经由互联网或其它通信网络连接到 管理服务器206,并可请求访问由管理服务器206所管理的一个或多个计算资源。响应于 客户端请求,管理服务器206可包括被配置成基于客户端请求来选择并提供在云系统的硬 件层中的物理资源的资源管理器。例如,可配置云系统的管理服务器206和其它组件提供、 创建和管理虚拟机和它们的操作环境(例如,管理程序、存储资源、由网络元件提供的服务 等)以用于在客户端计算机240为客户,通过网络(例如,互联网)为客户提供计算资源、 数据存储服务、网络性能、以及计算机平台和应用支持。云系统还可被配置成提供各种特定 的服务,包括安全系统、开发环境、用户界面等。
[0057] 云计算环境还可包括带有被配置以创建和管理虚拟机的其它硬件和/或软件资 源的虚拟化层,并使用云中的物理资源给客户提供其它服务。虚拟化层可以包含如上面描 述的超级管理器以及提供网络虚拟化、存储虚拟化等的其他组件。虚拟化层可以作为相对 于物理资源层的分离层或可与物理资源层共享一些或全部相同的硬件和/或软件资源。
[0058] 企业移动性管理架构
[0059] 图3表示的是用于在BY0D环境中使用的企业移动性技术架构300。该架构使移动 设备302的用户能够从移动设备302访问企业或个人资源并使用用于个人使用的移动设备 302。用户可使用移动设备302访问这种企业资源304或企业服务308,其中移动设备302 由用户购买或由企业提供给用户。用户可利用仅用于商业使用,或用于商业和个人使用的 移动设备302。移动设备可运行iOS操作系统、Android操作系统、和/或类似的。企业可 以选择实施以管理移动设备304的策略。以这种移动设备可被识别、保护或安全验证、以及 被提供对企业资源的选择性的或全部的访问的方式,可通过防火墙或网关植入该策略。策 略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略、或移动设备、应用和 数据管理策略的某些组合。通过移动设备管理策略的应用来管理的移动设备304可以被称 为登记设备。
[0060] 移动设备的操作系统可以被划分为受管分区310和未受管分区312。受管分区310 可具有施用于其的策略,以保护受管分区中运行的应用和存储的数据。在其它实施方案中, 所有的应用可根据从应用单独接收的一组一个或多个策略文件执行,且当该应用在设备上 执行时,其定义一个或多个安全参数、特征、资源的限制、和/或其它由移动设备管理系统 执行的访问控制。通过根据它们各自的策略文件进行操作,每个应用可被允许或限制与一 个或多个其它应用和/或资源的通信,从而创建虚拟分区。因此,如本文所用,分区可指存 储器的物理分区部分(物理分区),存储器的逻辑分区部分(逻辑分区),和/或创建的虚 拟分区,作为如本文描述的跨多个应用一个或多个策略和/或策略文件执行的结果(虚拟 分区)。换句话说,通过在受管应用上强制执行策略,这些应用可只限于能够与其它受管应 用和值得信赖的企业资源通信,从而创建非受管应用和设备不能通过的虚拟分区。
[0061] 在受管分区上运行的应用可以是安全应用。安全应用可以是电子邮件应用、web 浏览应用、软件即服务(SaaS)访问应用、WindowsApplication访问应用,等等。安全应用 可以是安全本地应用314,由安全应用启动器318执行的安全远程应用322,由安全应用启 动器318执行的虚拟化应用326,等等。安全本地应用314可由安全应用封装器320封装。 当安全本地应用在设备上执行时,安全应用封装器320可包括在移动设备302上执行的综 合策略。安全应用封装器320可包括元数据,其指引在移动设备302上运行的安全本地应 用314到在企业托管的资源,其中安全本地应用314可在安全本地应用314执行时要求完 成请求的任务。由安全应用启动器318执行的安全远程应用322可以在安全应用启动器应 用318内执行。由安全应用启动器318执行的虚拟化应用326可利用移动设备302、企业 资源304等等的资源。由安全应用启动器318执行的虚拟化应用326在移动设备302上使 用的资源,可包括用户交互资源、处理资源,等等。用户交互资源可用于收集和传输键盘输 入、鼠标输入、摄像机输入、触觉输入、音频输入、可视化输入、手势输入,等等。处理资源可 用来呈现用户界面、从企业资源304接收的过程数据,等等。由安全应用启动器318执行的 虚拟化应用326在企业资源304上使用的资源可包括用户界面生成资源、处理资源,等等。 用户界面生成资源可用于组装用户界面、修改用户界面、刷新用户界面,等等。处理资源可 用于创建信息、读取信息,更新信息、删除信息,等等。例如,虚拟化应用可记录与GUI相关 联的用户交互,并将它们传送到服务器应用,其中服务器应用将使用用户交互数据作为到 在服务器上运行的应用的输入。在这种布置中,企业可选择维护服务器端的应用以及与应 用相关联的数据、文件等。而企业可按照本文原则,通过保护其用于在移动设备上部署,选 择"调动"一些应用,这种布置也可选择用于某些应用。例如,尽管可保护用于在移动设备 上使用的一些应用,对于在移动设备上的部署,其它应用可能没有准备或是不合适的,所以 企业可选择通过虚拟化技术给移动用户提供对未准备的应用的访问。作为另一示例,企业 可能具有带有其中定制移动设备的应用会非常难或相反不合需要的大型和复杂数据集的 大型复杂应用(例如,物料资源规划应用),因此,企业会选择通过虚拟化技术提供对应用 的访问。作为另一个示例,企业可具有维护高度安全地数据(例如,人类资源数据、客户数 据、工程数据)的应用,其可被企业认为甚至对于安全的移动环境也过于敏感,因此企业可 选择使用虚拟化技术以允许对该类应用和数据的移动访问。企业可选择提供在移动设备上 完全安全和全功能的应用,以及虚拟化应用以允许对被认为更适合在服务器端运行的应用 的访问。在实施方案中,虚拟化应用可在安全存储位置之一的移动电话上存储一些数据、文 件等。例如,企业可选择允许在电话上存储某些信息,而不允许存储其它信息。
[0062] 如本文所述,在与虚拟化应用的连接中,移动设备可具有被设计以呈现GUI且然 后记录用户与GUI的交互的虚拟化应用。该应用可传送用户交互到服务器端,以被作为用 户与应用交互的服务器端应用使用。作为响应,在服务器端的应用可发送新GUI返回到移 动设备。例如,新GUI可以是静态页面、动态页面、动画,等等。
[0063] 安全应用可以访问存储在移动设备的受管分区310中的安全数据容器328中的数 据。在安全数据容器中保护的数据可由以下应用访问,安全封装的应用314、由安全应用启 动器318执行的应用、由安全应用启动器318执行的虚拟化应用326,等等。存储在安全数 据容器328中的数据可包括文件、数据库,等等。存储在安全数据容器328中的数据可包括 限定到特定安全应用330的数据,在安全应用332中共享的数据,等等。被限制在安全应用 的数据可以包括一般安全数据334和高度安全数据338。安全通用数据可使用强的加密形 式,诸如AES128位加密等等,而高度安全数据338可使用非常强的加密形式,诸如AES256 位加密。在接收来自设备管理器324的命令时,可从设备删除存储在安全数据容器328中 的数据。安全应用可以具有双模式选项340。双模式选项340可向用户呈现在非安全模式 中运行安全应用的选项。在非安全模式中,安全应用可访问存储在移动设备302的非受管 分区312的非安全数据容器342中的数据。存储在未受管数据容器中的数据可以为个人数 据344。存储在非安全数据容器342中的数据,也可由在移动设备302的非受管分区312上 运行的非安全应用348访问。当存储在安全数据容器328中的数据从移动设备302中删除 时,存储在非安全数据容器342中的数据可保持在移动设备302上。企业可能希望从移动 设备中删除选择的或所有数据、文件,和/或企业(企业数据)拥有的、许可的或控制的应 用,而留下的或以其它方式保留的个人数据、文件和/或由用户(个人数据)拥有的、许可 的或控制的应用。该操作可称为选择性擦除。根据本文所描述的方面安排的企业和个人数 据,企业可执行选择性擦除。
[0064] 移动设备可连接到在企业的企业资源304和企业服务308,公共互联网348,等等。 移动设备可通过虚拟私有网络连接来连接到企业资源304和企业服务308。虚拟私有网 络连接(也称为微VPN或应用专用VPN)可以是特定于移动设备上的特定应用350中、特 定设备、特定安全区域,等等(例如,352)。例如,在手机的安全区域的每个封装的应用可 通过应用专用VPN访问企业资源,使得基于与应用相关联的属性,可能与用户或设备属性 信息结合,将被授权对VPN的访问。虚拟私有网络连接可携带MicrosoftExchange流量、 MicrosoftActiveDirectory流量、HTTP流量、HTTPS流量、应用管理流量,等等。虚拟私 有网络连接可支持并实现单点登录认证过程354。单点登录过程可允许用户提供单独一组 认证凭证,然后其由认证服务358验证。然后,认证服务358可授予用户访问多个企业资源 304,而无需用户提供认证凭证到每个单个的企业资源304。
[0065] 虚拟私有网络连接可由接入网关360建立和管理。接入网关360可包括性能增强 特征,其管理、加速和提高企业资源304到移动设备302的输送。接入网关也可重新路由从 移动设备302到公众互联网348的流量,使得移动设备302能够访问公共互联网348上运 行的公共可用的和不安全的应用。移动设备可经由传输网络362连接到接入网关。传输网 络362可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、私有网络, 等等。
[0066] 企业资源304可包括电子邮件服务器、文件共享服务器、SaaS应用、Web应用服务 器、Windows应用服务器,等等。电子邮件服务器可包括Exchange服务器、LotusNotes服务 器,等等。文件共享服务器可包括ShareFile服务器,等等。SaaS应用可包括Salesforce, 等等。Windows应用服务器可包括被构建以提供旨在本地Windows操作系统上运行的应用 的任何应用服务器,等等。企业资源304可以是内建式资源、基于云的资源,等等。可通过 移动设备302直接地或通过接入网关360访问企业资源304。可经由传输网络362由移动 设备302访问企业资源304。传输网络362可以是有线网络、无线网络、云网络、局域网、城 域网、广域网、公共网络、私有网络,等等。
[0067] 企业服务308可包括认证服务358、威胁检测服务364、设备管理器服务324、文件 共享服务368、策略管理器服务370、社交集成服务372、应用控制器服务374,等等。认证服 务358可包括用户认证服务、设备认证服务、应用认证服务、数据认证服务,等等。认证服务 358可以使用证书。该证书可由企业资源304等等存储在移动设备302上。存储在移动设 备302上的证书可存储在移动设备上的加密位置中,该证书可暂时存储在移动设备302上, 供认证时使用等。威胁检测服务364可包括入侵检测服务,未经授权访问尝试检测服务,等 等。未经授权访问尝试检测服务可包括未授权尝试访问设备、应用、数据,等等。设备管理 服务324可包括配置、供应、安全、支持、监测、报告和退出服务。文件共享服务368可包括 文件管理服务、文件存储服务、文件协作服务,等等。策略管理器服务370可包括设备策略 管理服务、应用策略管理器服务、数据策略管理器服务,等等。社交集成服务372可包括接 触集成服务、协作服务、社交网络集成,诸如Facebook、Twitter和Linkedln,等等。应用控 制器服务374可包括管理服务、供应服务、部署服务、分配服务、撤销服务、封装服务,等等。
[0068] 企业移动性技术架构300可包括应用商店378。应用商店378可包括未封装的应 用380、预封装的应用382,等等。应用可从应用控制器374填入应用商店378。可由移动设 备302通过接入网关360、通过公共互联网348,等等访问应用商店378。应用商店可以直观 提供并易于使用用户界面。应用商店378可以提供对软件开发工具包384的访问。软件开 发工具包384可给用户提供通过如在本说明书中先前描述地对应用进行封装来安全化由 用户选择的应用的能力。然后,使用软件开发工具包384封装的应用通过使用应用控制器 374将其置于应用商店378来对移动设备302可用。
[0069] 企业移动技术架构300可包括管理和分析能力。管理和分析能力可提供与资源如 何使用,资源被多久使用一次,等等相关的信息。资源可包括设备、应用、数据,等等。如何 使用资源可包括哪些设备下载哪些应用,哪些应用访问哪些数据,等等。资源被多久使用一 次可包括应用多久被下载一次,一组特定的数据被应用访问了多少次,等等。
[0070] 图4是另一个说明性的企业移动性管理系统400。参考图3上述描述的管理系统 300的一些组件,为简便起见,已经被省略。图4所示的系统400的架构在许多方面与以上 参考图3描述的系统300的架构相似,并可包括上面未提到的其它特征。
[0071] 在这种情况下,左手边表示带有客户端代理404的登记的/受管移动设备402,其 与网关服务器406 (其包括接入网关和应用控制器功能)交互以访问各种企业资源408和 服务409,诸如,如以上右手边所示的Exchange、Sharepoint、PKI资源、Kerberos资源、和 证书发布服务。虽然没有具体示出,但是移动设备402还可与应用商店交互,用于选择和下 载应用。
[0072] 客户端代理404充当UI(用户界面)媒介,用于在企业数据中心托管的Windows 应用/桌面,其使用远程显示协议来访问,诸如但不限于ICA协议。客户端代理404还支持 移动设备402上的本地应用的安装和管理,诸如本地iOS或Android应用。例如,在以上图 中所示的受管应用410 (邮件、浏览器、封装的应用)全都是在设备上本地执行的本地应用。 客户端代理404和这种架构的应用管理框架(AMF)用于提供驱动管理能力和特征的策略, 诸如连接和SS0(单点登录)到企业资源/服务408。客户端代理404处理主要用户到企 业的认证,通常到带有到其它网关服务器组件的SS0的接入网关(AG)的认证。客户端代理 404从网关服务器406获得策略,以控制移动设备402上的AMF受管应用410的行为。
[0073] 本机应用410和客户端代理404之间的安全IPC链接412表示管理信道,其允许 客户端代理通过应用管理框架414 "封装"每个应用来供给将被实施的策略。IPC通道412 还允许客户端代理404提供实现连接和SS0到企业资源40