Citrix Systems 公司的 CL0UDSTACK 或 OPENSTACK(除了别的之外)。管理服务器410可以管理各种计算资源,其包括云硬件和软件资源,例如,主机计算机403、数据储存设备404和联网设备405。云硬件和软件资源可以包括私有和/或公共组件。例如,云可以被配置为将由一个或多个特定的顾客或客户端计算机411-414和/或通过私有网络使用的私有云。在其它实施例中,公共云或混合公共-私有云可以由其它顾客通过开放或混合的网络使用。
[0065]管理服务器410可以被配置为提供用户接口,通过其云运营商和云顾客可以与云系统交互。例如,管理服务器410可以向一组API和/或一个或多个云运营商控制台应用(例如,基于独立应用的网页)提供用户接口以允许云运营商管理云资源、配置虚拟化层、管理顾客账户和执行其它的云管理任务。管理服务器410还可以包括具有被配置为经由客户端计算机411-414从终端用户接收云计算请求(例如,创建、修改或破坏云内的虚拟机的请求)的用户接口的一组API和/或一个或多个顾客控制台应用。客户端计算机411-414可以经由互联网或其它通信网络连接到管理服务器410,并且可以请求对由管理服务器410管理的计算资源中的一个或多个的访问。响应于客户端请求,管理服务器410可以包括被配置为基于客户端请求来选择和提供在云系统的硬件层中的物理资源的资源管理器。例如,管理服务器410和云系统的附加的组件可以被配置为通过网络(例如,互联网)为在客户端计算机411-414的顾客提供、创建和管理虚拟机和他们的操作环境(例如,超级管理器、储存资源、由网络元件提供的服务等等),向顾客提供计算资源、数据储存服务、联网能力和计算机平台以及应用支持。云系统还可以被配置为提供各种特定的服务,其包括安全系统、开发环境、用户接口等等。
[0066]特定的客户端411-414可以是相关的,例如,创建虚拟机的不同的客户端计算机代表相同的终端用户或附属于相同的公司或组织的不同的用户。在其它示例中,特定的客户端411-414可以是不相关的(例如附属于不同的公司或组织的用户)。对于不相关的客户端,关于任何一个用户的虚拟机或储存器的信息可以对其它用户是隐藏的。
[0067]现在参考云计算环境的物理硬件层,可用区域401-402 (或区域)可以指的是一组并列的物理计算资源。区域可以与计算资源的全部云中的其它区域地理上分开。例如,区域401可以是位于California的第一云数据中心,并且区域402可以是位于Florida的第二云数据中心。管理服务器410可以位于可用区域中的一个或单独的位置。每个区域可以包括通过网关与在该区域的外部的设备(例如,管理服务器410)连接的内部网络。云的终端用户(例如,客户端411-414)可能或可能不知道区域之间的区别。例如,终端用户可以请求具有指定的内存量、处理能力和网络能力的虚拟机的创建。管理服务器410可以响应于用户的请求并且可以分配资源以创建虚拟机而无需用户知道是使用来自区域401的资源还是来自区域402的资源来创建虚拟机。在其它示例中,云系统可以允许终端用户请求虚拟机(或其它云资源)被分配在特定的区域中或在区域内的特定的资源403-405上。
[0068]在该示例中,每个区域401-402可以包括各种物理硬件组件(或计算资源)403-405(例如,物理托管资源(或处理资源)、物理网络资源、物理储存资源、交换机和可以用于向顾客提供云计算服务的附加的硬件资源)的布置。在云区域401-402中的物理托管资源可以包括一个或多个计算机服务器403 (例如以上描述的虚拟化服务器301),其可以被配置为创建和托管虚拟机实例。云区域401或402中的物理网络资源可以包括一个或多个网络元件405 (例如,网络服务提供商),其包括被配置为向云顾客提供网络服务的硬件和/或软件,例如防火墙、网络地址转换器、负载均衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等等。在云区域401-402中的储存资源可以包括储存磁盘(例如,固态驱动器(SSD)、磁性硬盘等等)和其它储存设备。
[0069]在图4中示出的示例云计算环境还可以包括具有附加的硬件和/或软件资源的虚拟化层(例如,如在图1-3中示出的),附加的硬件和/或软件资源被配置为创建和管理虚拟机和使用云中的物理资源向顾客提供其它服务。虚拟化层可以包括如以上在图3中描述的超级管理器连同提供网络虚拟化、储存虚拟化等等的其它组件。虚拟化层可以作为与物理资源层分离的层,或可以与物理资源层共享一些或所有相同的硬件和/或软件资源。例如,虚拟化层可以包括安装在具有物理计算资源的虚拟化服务器403中的每个中的超级管理器。已知的云系统可以可选地被使用,例如WINDOWS AZURE (RedmondWashington 的微软公司)、AMAZON EC2 (Seattle, Washington 的 Amazon, com 公司)、IBMBLUE CLOUD (Armonk, New York 的 IBM 公司)或其它。
[0070]企业移动管理架构
[0071]图5表示用于在BY0D环境中使用的企业移动技术架构500。架构使得移动设备502的用户能够从移动设备502访问企业或个人资源以及使用移动设备502用于个人用途两者。用户可以使用由用户购买的移动设备502或由企业提供给用户的移动设备502访问这样的企业资源504或企业服务508。用户可以利用移动设备502仅用于商业用途或用于商业和个人用途。移动设备可以运行1S操作系统和Android操作系统等等。企业可以选择实现策略以管理移动设备504。策略可以通过防火墙或网关以移动设备可以被识别、保护或安全验证以及被提供到企业资源的选择性或完全访问的这样的方式来植入。策略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略、或移动设备、应用和数据管理策略的一些组合。通过移动设备管理策略的应用来管理的移动设备504可以被称为登记设备。
[0072]移动设备的操作系统可以被分成受管分区510和非受管分区512。受管分区510可以具有应用到其以保护在受管分区上运行的应用以及存储在受管分区中的数据的策略。在受管分区上运行的应用可以是安全应用。安全应用可以是电子邮件应用、web浏览应用、软件即服务(SaaS)访问应用、Windows应用访问应用等等。安全应用可以是安全本地应用514、由安全应用启动器518执行的安全远程应用522、由安全应用启动器518执行的虚拟化应用526等等。安全本地应用514可以由安全应用包装器520来包装。安全应用包装器520可以包括当安全本地应用在移动设备502上执行时在该设备上执行的集成的策略。安全应用包装器520可以包括将在移动设备502上运行的安全本地应用514指向在企业托管的在执行安全本地应用514时安全本地应用514可以要求完成所请求的任务的资源的元数据。由安全应用启动器518执行的安全远程应用522可以被在安全应用启动器应用518内执行。由安全应用启动器518执行的虚拟化应用526可以利用在企业资源504的移动设备502上的资源等等。通过由安全应用启动器518执行的虚拟化应用526在移动设备502上使用的资源可以包括用户交互资源、处理资源等等。用户交互资源可以用于收集和传输键盘输入、鼠标输入、摄像机输入、触觉输入、音频输入、视觉输入、手势输入等等。处理资源可以用于呈现用户界面、从企业资源504接收的处理数据等等。通过由安全应用启动器518执行的虚拟化应用526在企业资源504使用的资源可以包括用户界面产生资源、处理资源等等。用户界面产生资源可以用于装配用户界面、修改用户界面、刷新用户界面等等。处理资源可以用于创建信息、读取信息、更新信息、删除信息等等。例如,虚拟化应用可以记录与GUI相关的用户交互并且将它们传输到服务器应用,其中服务器应用将用户交互数据用作到在服务器上运行的应用的输入。在该布置中,企业可以选择在服务器侧上保持应用以及与该应用相关的数据、文件等等。尽管企业可以选择根据本文原理通过保护一些应用来“调动”它们用于部署在移动设备上,但是该布置还可以被选择用于特定应用。例如,虽然一些应用可以被保护用于在移动设备上使用,但是其它应用可能不被准备或适用于部署在移动设备上,因此企业可以选择通过虚拟化技术来提供移动用户到未准备的应用的访问。作为另一个示例,企业可以具有带有大而复杂的数据集的大型复杂应用(例如,材料资源规划应用),其中对于移动设备定制应用将是非常困难的或否则不受欢迎的,因此企业可以选择通过虚拟化技术提供到应用的访问。作为又一示例,企业可以具有保持高度安全的数据(例如,人力资源数据、顾客数据、工程数据)的应用,高度安全的数据可以被企业视为太敏感的(对于甚至安全的移动环境),因此,企业可以选择使用虚拟化技术以允许对这样的应用和数据的移动访问。企业可以选择在移动设备上提供充分安全的应用和充分功能性的应用两者以及虚拟化应用以允许对被视为更适于在服务器侧上运行的应用的访问。在实施例中,虚拟化应用可以在移动设备上的安全存储位置中的一个安全存储位置中存储一些数据、文件等等。例如,企业可以选择允许特定的信息被存储在电话上同时不允许其它信息被存储在电话上。
[0073]结合如本文描述的虚拟化应用,移动设备可以具有被设计为呈现GUI并且然后记录用户与GUI的交互的虚拟化应用。应用可以把用户交互传输到服务器侧,供服务器侧应用用作用户与应用的交互。作为响应,服务器侧上的应用可以向移动设备传回新的GUI。例如,新的GUI可以是静态页面、动态页面、动画等等。
[0074]在受管分区上运行的应用可以是稳定的应用。稳定的应用可以由设备管理器524来管理。设备管理器524可以监控稳定的应用并且利用用于检测问题和纠正问题的技术(如果这样的技术没有被利用,则将导致非稳定的应用)以检测问题和纠正问题。
[0075]安全应用可以访问存储在移动设备的受管分区510中的安全数据容器528中的数据。在安全数据容器中被保护的数据可以由安全包装的应用514、由安全应用启动器522执行的应用、由安全应用启动器522执行的虚拟化应用526等等访问。存储在安全数据容器528中的数据可以包括文件、数据库等等。存储在安全数据容器528中的数据可以包括限于特定的安全应用530、在安全应用532之间共享的数据等等。限于安全应用的数据可以包括安全通用数据534和高度安全的数据538。安全通用数据可以使用强加密形式(例如,AES128位加密等等),而高度安全的数据538可以使用非常强的加密形式(例如,AES254位加密)。当接收到来自设备管理器524的命令时,存储在安全数据容器528中的数据可以被从设备删除。安全应用可以具有双模式选项540。双模式选项540可以向用户呈现以非安全的模式操作安全的应用的选项。在非安全的模式中,安全应用可以访问存储在移动设备502的非受管分区512上的非安全的数据容器542中的数据。存储在非安全的数据容器中的数据可以是个人数据544。存储在非安全的数据容器542中的数据还可以由在移动设备502的非受管分区512上运行的非安全的应用548来访问。当存储在安全数据容器528中的数据被从移动设备502删除时,存储在非安全的数据容器542中的数据可以保持在移动设备502上。企业可能想要从移动设备删除选择的或所有的由企业拥有、许可或控制的数据、文件和/或应用(企业数据),同时留下或以其它方式保留由用户拥有、许可或控制的个人数据、文件和/或应用(个人数据)。该操作可以被称为选择性清除。利用根据本文描述的方面布置的企业数据和个人数据,企业可以执行选择性清除。
[0076]移动设备可以通过公共互联网548等等连接到在企业处的企业资源504和企业服务508。移动设备可以通过虚拟专用网络连接连接到企业资源504和企业服务508。虚拟专用网络连接可以特定于特定的应用550、特定的设备、移动设备上的特定的安全区域等等552。例如,电话的安全区域中的包装的应用中的每个包装的应用可以通过应用特定的VPN访问企业资源,使得到VPN的访问将基于与应用相关的属性(可能结合用户或设备属性信息)来授予。虚拟专用网络连接可以携带微软交换流量、微软活动目录流量、HTTP流量、HTTPS流量、应用管理流量等等。虚拟专用网络连接可以支持和实现单点登录认证过程554。单点登录过程可以允许用户提供单组认证凭证,其然后由认证服务558进行验证。认证服务558可以然后授权用户对多个企业资源504的访问,而不需要用户提供到每个单独的企业资源504的认证凭证。
[0077]虚拟专用网络连接可以由访问网关560来建立和管理。访问网关560可以包括管理、加速和提高企业资源504到移动设备502的递送的性能增强功能。访问网关还可以重新路由从移动设备502到公共互联网548的流量,使得移动设备502能够访问在公共互联网548上运行的公共可用和非安全的应用。移动设备可以经由传输网络562连接到访问网关。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
[0078]企业资源504可以包括电子邮件服务器、文件共享服务器、SaaS应用、web应用服务器、Windows应用服务器等等。电子邮件服务器可以包括交换服务器、Lotus Notes服务器等等。文件共享服务器可以包括ShareFile服务器等等。SaaS应用可以包括Salesforce等等。Windows应用服务器可以包括被构建以提供旨在本地Windows操作系统上运行的应用的任何应用服务器等等。企业资源504可以是内建式资源、基于云的资源等等。企业资源504可以由移动设备502直接或通过访问网关560来访问。企业资源504可以由移动设备502经由传输网络562来访问。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
[0079]企业服务508可以包括认证服务558、威胁检测服务564、设备管理器服务524、文件共享服务568、策略管理器服务570、社交整合服务572、应用控制器服务574等等。认证服务558可以包括用户认证服务、设备认证服务、应用认证服务、数据认证服务等等。认证服务558可以使用证书。证书可以由企业资源504等等存储在移动设备502上。存储在移动设备502上的证书可以被存储在移动设备上的加密位置中,证书可以被暂时存储在移动设备502上用于在认证时使用等等。威胁检测服务564可以包括入侵检测服务、未经授权的访问尝试检测服务等等。未经授权的访问尝试检测服务可以包括未经授权尝试访问设备、应用、数据等等。设备管理服务524可以包括配置、提供、安全、支持、监控、报告和停止运作服务。文件共享服务568可以包括文件管理服务、文件存储服务、文件协作服务等等。策略管理器服务570可以包括设备策略管理器服务、应用策略管理器服务、数据策略管理器服务等等。社交整合服务572可以包括联系人整合服务、协作服务、与社交网络(例如,Facebook、Twitter和Linkedln)的整合等等。应用控制器服务574可以包括管理服务、提供服务、部署服务、分配服务、撤销服务、包装服务等等。
[0080]企业移动技术架构500可以包括应用商店578。应用商店578可以包括未包装的应用580、预包装的应用582等等。应用可以根据应用控制器574被