专利名称:用于到虚拟服务器环境的应用级别接入的系统和方法
技术领域:
本公开涉及用于提供安全接入到计算机系统的系统和方法,具体地涉及用于提供 在虚拟计算机环境下的安全接入的系统和方法。
背景技术:
为了提供远程安全接入到数据中心的实际的和/或虚拟的服务器,需要熟知的虚 拟专用网络(VPN)。当使用VPN时,建立隧道,用于在作为数据中心外面的远程计算机的客 户端与在数据中心中的VPN服务器之间的加密通信。隧道被使用来提供在客户端与数据中 心中的一个或多个服务器之间的安全通信。隧道可被使用来连接到具有各种应用服务器, 例如,用于管理所述服务器或用于使用在服务器上运行的软件。例如,各种应用可包括,但 不限于,Telnet客户端、安全壳(SSH)客户端、SCP(安全复制)客户端、虚拟网计算(VNC) 客户端、RDP (远程桌面)客户端和其它应用。在服务供应商管理用于顾客的服务器和服务供应商需要为顾客提供到所述服务 器的接入的情况下,存在一种特定的情形。服务供应商典型地可提供VPN账户,顾客可以使 用该账户来建立到数据中心的隧道。隧道可以提供到数据中心中的网络或专用LAN或VLAN 的接入,并且网络、LAN或VLAN可以提供到顾客的所述服务器的接入。本领域技术人员将会看到,与如上所述的情形相关联的各种缺点。一个缺点是, VPN连接会改变客户端的网络配置,诸如,IP地址、网关等等,以及对于客户端的网络配置 的那些改变可能使得其它应用停止作用,或失去网络连接性。另一个缺点是,VPN隧道提供 到网络的完全接入,而对于在客户端处被使用来连接到数据中心的网络的应用没有任何控 制,并且VPN隧道基本上造成在数据中心中的网络的客户端计算机部分。因此,为了安全目 的,在数据中心中需要附加的装置(例如,防火墙)来限制在客户端与网络之间的连接性。以上的缺点对于服务供应商尤其是如此。具体地,服务供应商可能想要给它的顾 客提供有限的、到数据中心环境的连接性,仅仅为了执行有限的任务组。因此,VPN隧道可能 太复杂而没有建立,并且对于可以在数据中心环境上,诸如,例如在一组实际的或虚拟的服 务器上从客户端执行的任务的数目方面可能没有足够的选择。由于这个问题,服务供应商 可以决定不提供VPN连接性给它的顾客,而是提供基于web的控制板。然而,基于web的控 制板不允许使用现有的应用,诸如,例如SSH客户端、远程桌面客户端、和其它现有的应用。因此,希望提供安全连接应用到数据中心的好处,而没有VPN连接的缺点,这允许 使用现有的应用以远程连接到例如位于数据中心的虚拟或实际的服务器,这样,可被使用的应用可限于规定的一系列的允许的应用。这些好处是通过使用KVM和其它应用的到虚拟 服务器环境的应用级别VPN接入的系统和方法提供的,而本公开旨在实现上述好处。
图1显示用于到虚拟服务器环境的应用级别VPN接入的安全系统的实施方案的第 一实施例的例子;以及图2显示用于到虚拟服务器环境的应用级别VPN接入的安全系统的实施方案的另 一个实施例的例子。
具体实施方式
本公开内容具体地可应用于接入到使用应用的数据中心中的虚拟服务器,在本上 下文中,将描述所公开的内容。然而,将会看到,系统和方法具有更大的功效,因为它可被使 用来允许各种不同的本地应用安全接入远程计算机,以及系统可被使用来接入各种不同的 类型的远程计算机,这些计算机可以或不一定放置在数据中心。图1显示用于到虚拟服务器环境的应用级别VPN接入的安全系统20的实施方案 的第一实施例的例子。系统可包括数据中心21和远程计算机6,它们能够通过可以是有线 或无线链路的链路8互相连接,其中链路可以具有防火墙和其它安全设备,使得远程计算 机6与数据中心通信更困难。有线链路的例子可以是,例如,互联网、WAN、LAN、以太网等等, 无线链路的例子可以是蜂窝网、无线网、电话网等等。数据中心21可以是容纳诸如实际的 服务器计算机、虚拟服务器计算机、装置或虚拟装置的一个或多个计算设备的设施或位置, 这些计算设备的每个计算设备具有这里没有描述的熟知的部件。远程计算机6可以是基于 处理单元的设备,具有足够的处理功率、存储器和连接性,以执行应用1和软件代理5,并与 数据中心21连接和交互。例如,远程计算机可以是个人计算机。计算机6还可包括应用1,在一个实施例中,应用1是具有多个计算机代码行的一 段软件,可以被计算机6的处理单元执行,以及具有建立与数据中心21的会话的功能,以便 管理由实体拥有的数据中心的设备,或使用在数据中心的设备上运行的软件。应用1可以 是,例如,Telnet客户端、安全壳(SSH)客户端、SCP(安全复制)客户端、虚拟网计算(VNC) 客户端、RDP (远程桌面)客户端、Citrix应用和使用已知的协议与数据中心中的设备通信 的其它应用。计算机6还可包括到软件代理5的连接2,它可以通过使用控制板3通过链路 4被控制,在一个实施例中,它在由计算机6执行的web浏览器中被实施。当应用希望接入 数据中心21中的设备时(或用户通过使用控制板3而请求接入到数据中心中的设备),它 可以建立与软件代理5的连接,尤其是建立到数据中心的安全连接,建立与数据中心的特 定的会话(诸如,例如Telnet会话、安全壳(SSH)会话、SCP(安全复制)会话、虚拟网计算 (VNC)会话、RDP(远程桌面)会话、或其它会话),和管理在应用1与数据中心21之间的数 据。在一个实施方案中,软件代理5作为在用户的计算机6上的软件应用运行,并且软 件代理具有例如使用SSL建立到数据中心21的设备的安全连接的能力。软件代理还可以 起到本地代理服务器的作用,用于各种不同的协议,诸如Telnet,SSH等等。这意味着,在同 一个计算机上运行的客户端应用可以通过使用本地的主IP地址127. 0. 0. 1而连接到这个软件代理。数据中心21还可包括调度器9(在一个实施例中被实施为在数据中心中的服务器 计算机上执行的多行计算机代码,但也可以被实施为具有微代码的计算机),它可以建立与 计算机的软件代理的连接,然后与所述软件代理协商安全通信协议(诸如虚拟专用网)(而 不用用户介入或应用介入)。调度器9具有终结安全隧道的能力,例如通过使用SSL。调度 器还可代理到数据中心中另一个服务器的连接。调度器可以通过使用诸如Apache那样的 现有的软件而被实施。数据中心还可以具有到数据中心中的主机11 (它可以是数据中心的上述的设备 之一)的链路10,允许在计算机6中的应用1,一旦建立安全通信信道,当某些会话被执行 时直接与主机11,或与虚拟服务器13通信和交互,这样,应用级别安全信道被使用。图1所示的系统20允许计算机6的用户进行到数据中心21中的设备的安全远程 接入。用户使用在数据中心外面的计算机,因为在计算机上的应用1(例如,SSH客户端应 用)与数据中心中的设备之间将建立安全连接。所述连接可以在链路8上建立。用户使用 应用1达到接入到数据中心中的设备,例如通过允许命令行接入到设备的SSH会话,或通过 允许经由图形用户接口接入到数据中心中的设备的VNC会话。为了安全原因,应用1不直接连接到数据中心中的设备。为了实现这一点,应用1 连接到软件代理5,该软件代理5在同一个计算机上本地运行,该软件代理在链路8上建立 到位于数据中心中的调度器9的安全隧道7。在优选实施例中,SSL被使用于在软件代理与 调度器之间的安全隧道,但也可以使用其它安全协议。调度器9终结安全隧道,并且它将代 理到主机11的连接,或直接到虚拟服务器13的连接。主机11是在数据中心中的实际服务 器,而虚拟服务器在其上运行。在KVM会话的情形下,安全连接在主机11的端口终结,管理程序14在该端口上进 行监听。在一个实施方案中,管理程序是一段软件(具有多行计算机代码),正如在计算机 技术中已知的,它在主机11上运行,以允许虚拟服务器存在于主机的顶部。管理程序14将 在所述端口面临KVM会话。KVM会话(键盘视频鼠标)提供到虚拟服务器的控制台的远程 接入,它意味着,例如,在虚拟服务器的引导过程期间,全部引导过程将在KVM会话中显示。 KVM会话类似于在非虚拟服务器的屏幕的直接输出。在其它类型的会话(如上所述)的情 形下,直接连接到虚拟服务器的端口。最终结果是,在远程计算机6上运行的应用1具有到 数据中心21中的设备的连接,但不需要使数据中心中的设备直接面临互联网。在用于连接到数据中心中的设备的一个方法中,连接可以由用户诸如从在计算机 上的浏览器3运行的web应用发起。这个web应用可以显示用户对其具有接入许可的、在 数据中心中的虚拟服务器/设备的列表。用户可以从该列表中选择设备,并选择想要的类 型的连接(例如,KVM,Telnet,SSH...)。用户然后在按钮“connect (连接)”上进行点击。 这个web应用现在将与在计算机上运行的软件代理5通信,该软件代理将建立安全连接,并 且它将发起本地应用。图2显示用于到虚拟服务器环境的应用级别接入的安全系统20的实施方案的另 一个实施例的例子。在图2上相同的附图标记是指图1上相同的单元,它们以与在其它地 方描述的相同的方式运行,对这些单元的描述在这个图上不再重复。在本实施例中,数据中 心21还可包括软件代理控制器沈,它与计算机的软件代理进行交互,建立安全通信,然后会话如以前那样被传递到调度器,它提供与上面所述的到主机11或虚拟服务器13的相同 的接入。在图2所示的这个实施例中,计算机6在后台中运行软件代理5。当某些触发事件 发生时,软件代理可被触发来发起特定的本地应用(例如,Telnet客户端)。一旦被触发, 软件代理5将自动建立从计算机6到数据中心21中的特定的IP地址的安全隧道。该隧道 可以通过使用SSL或任何其它的加密装置而被实施,以及该隧道可以使用证书来验证计算 机6。在一个实施方案中,隧道可以连接到端口 80或端口 443,以便横穿阻挡其它端口上的 传输信息的防火墙。一旦不再需要隧道,例如当本地应用被关闭时,软件代理5可以自动关 闭隧道。隧道将被调度器9终结。调度器9具有与最终用户需要接入到的设备(例如,虚 拟或实际的服务器)的连接性。在链路10上的连接性可以是,例如,专用网络、管理网络、 OOB网络(带外网络)或任何其它类型的连接性。在使用如图2所示的第二实施例的一个实施方案中,调度器9将代理到最后的设 备的连接,并如下地取决于应用的类型和设备的类型-如果设备是实际的服务器,则将直接被代理到实际的服务器的连接;-如果设备是虚拟服务器和应用是KVM客户端,则连接将直接被代理到虚拟服务 器的实际的主机,主机将连接到虚拟服务器的KVM会话;-如果设备是虚拟服务器和应用不是KVM客户端,则连接将直接被代理到虚拟服 务器。在使用如图2所示的第二实施例的第二实施方案中,当最终用户连接到虚拟服务 器时,调度器9将总是连接到虚拟服务器的实际的主机11,以及实际的主机11将连接到虚 拟服务器13。这个实施方案消除对于在调度器9与虚拟服务器13之间的直接连接的需要。 在第二实施方案中,连接可包括连接到实际的主机的NIC (网络接口)和/或在虚拟服务器 的实际的主机与虚拟NIC之间的连接。在使用如图2所示的第二实施例的第三实施方案中,应用1由最终用户从基于web 的界面被发起,其中界面可以是例如服务供应商的基于web的控制板。应用1在最终用户 的本地计算机上被自动发起,并被自动连接到数据中心中的可应用的设备,诸如,例如虚拟 的或实际的服务器。例如,服务供应商的顾客可以在web界面上登录,查看它的虚拟的和实 际的服务器的列表。顾客可以通过点击它而选择服务器。顾客可以看见一系列可被使用来 管理特定的选择的服务器的应用。顾客可以选择例如“KVM客户端”。KVM应用将在几秒内 在顾客的本地计算机上被自动发起。应当指出,这不是web应用,而是本地应用。在本地计 算机运行Windows操作系统的情形下,所述应用将是Windows应用。KVM应用将被自动连接 到顾客选择的服务器。顾客可以立即使用应用来管理所述服务器。在用于到数据中心中的设备的应用级别安全接入的系统和方法的使用情形的例 子中,可以发生以下的过程1.顾客在服务供应商的基于web的控制板上用他自己的登录号码和口令进行登录。2.基于web的界面显示顾客对于其具有接入权利的设备的列表(例如,虚拟服务 器)O3.顾客通过点击所述列表中的设备而选择设备。7
4.基于web的界面显示可被使用来连接到所述设备的应用的列表。5.顾客通过点击所述列表中的应用名称而选择应用(例如,KVM客户端、SSH客户立而---)。6.基于web的控制板与在本地计算机上在后台下运行的软件代理(直接或间接)ififn。7.软件代理在本地计算机上发起可应用的应用。8.应用将自动连接到起到在本地计算机上作为代理服务器(IP地址127. 0. 0. 1) 的软件代理。9.软件代理将建立到数据中心中的调度器的安全隧道(例如,使用SSL)。10.从软件代理建立通过安全隧道、到数据中心中的调度器的连接。11.从调度器建立到虚拟服务器或到虚拟服务器的主机的连接。虽然以上是参照本发明的特定的实施例描述的,但本领域技术人员将会看到,可 以在本实施例中作出改变,而不背离本发明的原则和精神,本发明的范围由所附权利要求 规定。
权利要求
1.一种建立在计算机上运行的应用与在数据中心中运行的设备之间的安全远程连接 的方法,所述方法包括在计算机处,向数据中心中的设备请求会话;在计算机上执行应用;把应用与在计算机上本地运行的软件代理相关联,其中软件代理作为应用的代理;由软件代理建立与位于远程数据中心处的调度器的安全连接;在调度器处,代理与数据中心中的设备的安全连接;以及在应用中,通过应用级别安全连接,发起与在数据中心中的设备安全地交互的会话。
2.权利要求1的方法,其中发起会话还包括发起键盘视频鼠标KVM会话,以及其中代理 安全连接还包括代理到虚拟服务器的主机的安全连接,以便提供到虚拟服务器的KVM会话 的接入。
3.权利要求1的方法,其中发起会话还包括发起Telnet会话,以及其中代理安全连接 还包括代理直接到虚拟服务器的安全连接。
4.权利要求1的方法,其中发起会话还包括发起安全壳SSH会话,以及其中代理安全连 接还包括代理直接到虚拟服务器的安全连接。
5.权利要求1的方法,其中发起会话还包括发起远程桌面RDP会话,以及其中代理安全 连接还包括代理直接到虚拟服务器的安全连接。
6.权利要求1的方法,还包括在后台中执行软件代理。
7.权利要求1的方法,其中建立安全连接还包括建立在软件代理与调度器之间的虚拟 专用网。
8.权利要求1的方法,其中请求会话还包括由计算机的用户选择数据中心的设备和要 被用来连接到数据中心的设备的应用。
9.一种建立在计算机上运行的应用与在数据中心中运行的设备之间的安全远程连接 的系统,所述系统包括执行应用的计算机系统;在数据中心中的一个或多个设备;由计算机系统执行的软件代理,其建立与应用的连接,并作为应用的代理;在数据中心中的调度器,调度器能够建立与计算机系统的软件代理的安全连接,调度 器是用于数据中心中的一个或多个设备的代理;以及其中在数据中心中的设备与应用之间的安全会话被建立以允许应用与设备安全地交互。
10.权利要求9的系统,其中客户端应用发起键盘视频鼠标KVM会话,以及其中调度器 代理到虚拟服务器的主机的安全连接,以便提供到虚拟服务器的KVM会话的接入。
11.权利要求9的系统,其中客户端应用发起Telnet会话,以及其中调度器代理直接到 虚拟服务器的安全连接。
12.权利要求9的系统,其中客户端应用发起安全壳SSH会话,以及其中调度器代理直 接到虚拟服务器的安全连接。
13.权利要求9的系统,其中客户端应用发起远程桌面RDP会话,以及其中调度器代理 直接到虚拟服务器的安全连接。
14.权利要求9的系统,其中软件代理在计算机的后台中执行。
15.权利要求9的系统,其中软件代理建立在软件代理与调度器之间的虚拟专用网。
16.权利要求9的系统,其中在数据中心中的一个或多个设备中的每个设备还包括实 际服务器计算机、虚拟服务器计算机、装置和虚拟装置之一。
17.权利要求9的系统,其中计算机系统还包括用户界面,计算机的用户在该用户界面 中选择数据中心的设备和要连接到数据中心的设备的应用,其中在数据中心中的所选择的 设备与应用之间的安全会话被建立,以允许应用和设备安全地交互。
全文摘要
提供了应用级别虚拟专用网(VPN),该VPN为在客户端计算机上运行的各个应用提供接入到在数据中心中运行的实际的或虚拟的服务器。接入连接被安全地自动地建立,不需要改变客户端计算机的网络配置。在客户端计算机上运行的应用,诸如键盘-视频-鼠标(KVM),由来自用户的单个点击被自动发起。
文档编号H04L29/06GK102047633SQ200980119819
公开日2011年5月4日 申请日期2009年4月9日 优先权日2008年4月10日
发明者克里斯托弗·德斯皮格尔 申请人:魁莱尔股份有限公司