用于资源的地理位置验证的方法和系统与流程

相关申请的交叉引用

本申请要求2014年10月30日提交的美国临时申请号为62/073,008的优先权，该申请通过引用以其整体并入本文。

领域

方法和系统大体上涉及各种类型的资源的地理位置验证领域。

背景

数据中心是应用软件和运行在软件上的客户数据所在的位置。基于云的it服务的供应商必须保存他们在任何特定时间复制客户数据时的透明度，以保护免于故障或局部灾难。如果数据中心出于任何原因停止运作，若应用软件和在该应用软件上运行的客户数据也可从第二个或可能第三数据中心获得，则客户数据将不会丢失。并且假设它工作足够平顺，客户在这样的故障转移(failover)发生时可能甚至不会被通知。根据特定服务，故障转移可能根本不会导致任何服务中断。

全球企业已经利用互联网和基于云计算服务以及数据中心来建立私有通信网络，并从全球技术中获得了效率。由于这样的全球化，近年来，许多国家已经发布了地理位置规则，其限制了公司可如何跨边界(包括通过这些私有网络)处理和传输它们客户的数据。某些实体要求将特定类型的数据(例如政府数据)、员工数据或电信业务数据储存在有限的地理边界内，并且在一些情况下，这样的数据甚至可能不从地理边界的外部进行访问。

地理位置由一组坐标指定，该组坐标表示纬度、经度和海拔，它们是地理坐标系的主要元素。地球表面上一点的纬度(或phi)是赤道平面与穿过该点并穿过(或接近)地球中心的直线之间的角度。赤道将地球分为北半球和南半球。地球表面上一点的经度(λ或lambda)是从参考子午线到穿过该点的另一个子午线向东或向西的角度。国际公认的参考本初子午线穿过英格兰的格林威治的一点，并确定了适当的东半球和西半球。地球表面上的一点的海拔通常是其相对于海平面的高度；而海拔高度用于海平面以上的点时，诸如飞行中的飞机或轨道上的航天器，深度用于海平面以下的点。

地球上的定位的地理位置可根据像wi-fi接入点和蜂窝塔的信标获得、根据设备的id地址获得，或者其可能来自其他来源，诸如全球导航卫星系统(gnss)或全球定位系统(gps)设备。地理位置信息的准确性取决于来源，并且与设备、计算机或资源的实际位置可在以下示例性范围内不同：

·gps：在大约10米内

·wi-fi：介于大约30米和500米之间

·蜂窝塔：介于大约300米和3,000米之间

·ip地址：介于大约1,000米和5,000米之间

在处理信息技术操作时，通常使用一种或多种类型的声明的属性。声明是关于用户、设备、计算机或资源的唯一信息片段。这些是非常常见的属性，其可以作为域名服务目录中的计算机对象的特性来发现，像用户的功能标题、组织部门或办公室位置之类的，是可被定义的声明。数据文件的业务影响分类或计算机的健康状况也是如此。计算机对象或实体可涉及一个以上的声明，并且声明的任何组合可用于授权对资源的访问。以下示例性类型的声明通常在可商购的域名服务目录中是可用的：

·用户声明：与特定用户相关联的属性。

·设备声明：与特定计算机对象相关联的属性。

·资源属性：被标记用在授权决策中的全局资源特性。

声明通常在域名服务目录中进行保护，该域名服务目录在域控制器及其代理上被操作并由其发布。这是为了防止他们被未经授权的人员篡改，并且仅对正确授权的用户、设备和计算机能访问。声明使管理员可以做出关于可包含在用于it操作的表达、规则和策略中的用户、设备、计算机和资源的精确的组织或企业范围的陈述。

简述

在至少一些实施例中，用于资源的地理位置验证的方法和系统针对地理位置数据(例如，gps信号)的使用，以确定计算机对象(诸如虚拟硬盘)是否可被部署，并且其虚拟机是否可由位于特定地理位置的物理服务器操作。此外，在至少一些实施例中，域控制器通过解析操作物理服务器的当前地理位置是否在可以操作虚拟机的地理区域内进行仲裁。

示例性实施例包括用于确定物理服务器(包括通用计算机、gps系统接口、连接电缆和gps天线)的当前地理位置的方法和系统。为了基于物理服务器的当前地理位置获取用于部署虚拟硬盘的授权，物理服务器采集其当前的地理位置和待部署的虚拟硬盘的标识，并将该信息发送到域控制器。域控制器执行验证过程，并将肯定或否定的评估结果发送到物理服务器，以指示虚拟硬盘中所包含的虚拟机的部署是否可以进行。在至少一些实施例中，操作系统(用于物理服务器和虚拟机二者)能够使用相同的方法和系统进行自我验证。操作系统将其当前的地理位置及其自己的标识转发给域控制器。当接收到令人满意的结果以继续进行时，它可继续超出初始启动阶段的操作。

在至少一些实施例中，用于资源的地理位置验证的方法和系统涉及一种方法，该方法包括：提供与至少一个处理器和通信地耦合到该至少一个处理器的至少一个存储器进行通信的操作系统，该存储器具有被储存在其中的计算机可执行指令；借助于通过计算设备执行该计算机可执行指令来创建计算机对象，该计算机对象包括授权数据部分和程序数据部分，该授权数据部分可独立于对该计算机对象的程序数据部分的访问由应用程序访问；生成计算机对象的唯一对象id，并将该唯一对象id写入授权数据部分和程序数据部分；获取计算机对象的一个或多个地理对象资源声明，其中，该地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置；以及将唯一对象id以及一个或多个地理对象资源声明发送给授权实体。

在至少一些附加的实施例中，用于资源的地理位置验证的方法和系统涉及一种方法，该方法包括：获取安装在计算设备上的操作系统的地理位置，该计算设备包括处理器和存储器，该存储器具有储存于其中的计算机可执行指令；为所安装的操作系统生成唯一的系统id；将操作系统的地理位置和系统id传输到与操作系统进行通信的域控制器的数据仓库；在计算设备处，接收开启与操作系统相关联的计算机对象的部署或授予对其的访问权限中的至少一个的请求；识别计算机对象是否需要地理位置验证，并且如果需要验证，则识别与计算机对象相关联的对象id，并将对象id、操作系统的地理位置和系统id中的每个发送到域控制器以用于评估；执行地理位置验证分析，包括使用对象id来搜索数据仓库，以识别与该对象id相关联的一个或多个地理位置对象资源声明，其中，该地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置；以及将该地理位置资源声明与所发送的操作系统的地理位置进行比较，以提供对计算机对象的地理位置验证的确认或否定。

在至少一些进一步的实施例中，用于资源的地理位置验证的方法和系统涉及包括被安装在计算设备上的操作系统的系统。计算设备包括处理器和存储器，该存储器具有储存于其中的计算机可执行指令。操作系统包括唯一系统id以及计算设备包括唯一设备id中的至少一项成立。全球定位系统接口与计算设备和操作系统中的至少一个进行通信，并且能够为计算设备和操作系统中的至少一个提供地理位置。网络接口将计算设备和操作系统中的至少一个的地理位置以及系统id和设备id中的至少一个传输到与数据仓库进行通信的域控制器。与操作系统相关联的计算机对象包括唯一对象id以及一个或多个地理对象资源声明。地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置边界。

在全面阅读了详细描述和所附权利要求之后，将理解和认识到该方法和系统的其它实施例、方面、特征、目标和优点。

附图简述

方法和系统的实施例参照附图被公开，并且仅用于说明的目的。方法和系统在其应用中不限于附图中所示的组分的构造或布置的细节。方法和系统能够是其他实施例或以其他各种方式被实践或执行。在附图中：

图1图示了示例性计算环境和系统的框图；

图2图示了软件和硬件的示例性架构的框图；

图3a图示了建筑物内的一个地点的地理区域的圆形界定的边界；

图3b图示了建筑物内的一个地点的地理区域的矩形界定的边界；

图3c图示了建筑物内的一个地点的地理区域的另一矩形界定的边界；

图3d图示了包括一个或多个建筑物的一个地点的地理区域的多边形界定的边界；

图3e图示了管辖范围的地理区域的边界，更具体地，怀俄明州(美国)的地理区域的边界；

图4图示了用于对要在一个或多个特定地理区域中操作的虚拟硬盘进行标记的示例性方法的流程图；

图5图示了被标记为在一个或多个特定地理区域中操作的虚拟机的受控部署的示例性方法的流程图；

图6图示了被标记为在一个或多个特定地理区域中操作的应用程序容器的受控部署的示例性方法的流程图；

图7图示了表示对被标记以可在一个或多个特定地理区域内访问的数据仓库的受控访问的示例性方法的流程图。

详细描述

以下的详细描述参照了图示了本发明的示例性实施例的附图。然而，本发明的范围不限于这些实施例。因此，超出附图中所示的那些的实施例，诸如所示实施例的修改版本，可能仍然由所述地理验证的方法和系统所包括。

说明书中对“一个实施例”、“实施例”、“示例实施例”等的参考指示所描述的实施例可包括特定的特征、结构或特性，但是每个实施例可不必包括该特定的特征、结构或特性。此外，这样的短语不一定指的是同一实施例。此外，当特定的特征、结构或特性结合实施例进行描述时，认为这是在相关领域的技术人员的知识范围之内，以结合无论是否明确描述的其它实施例实现这样的特征、结构或特性。

图1图示了示例性计算环境和系统100的框图，以及图2图示了软件和硬件的示例性架构的框图。在至少一些实施例中，系统100包括计算机101。计算机101可以表示例如在其各自的数据中心中操作的企业或公司服务器，或由商业主机数据中心操作的服务器。然而，该示例并不旨在限制，并且计算机101也可在其他环境中操作，并且相关领域中的技术人员将会认识到，本文中所描述的方法和系统可以由不同于计算机101的各种各样的计算机来执行。计算机101可包括唯一地识别计算机101的设备id，其中，设备id可包括许多种类型的标识符，诸如序列号等。另外，操作系统130可被安装在计算机101上，其可包括当操作系统被安装在计算机101上时所创建的系统id。在每个实例中，当操作系统被安装时，可创建关于其的新的唯一系统id。

参照图1，在至少一些实施例中，计算机101包括多个互连的硬件组件，该多个互连的硬件组件包括但不限于处理单元102、系统存储器104、数据储存接口124、网络接口150、人机接口142和gps接口160。系统存储器104包括诸如rom108和ram110的易失性和/或非易失性存储器形式的计算机储存介质。包含有助于在诸如启动期间在计算机101内的元件之间传递信息的基本例程的基本输入/输出系统112(bios)通常被储存在rom108中。ram110通常包含可由处理单元102立即访问和/或当下正在其上被操作的数据和/或程序的模块。通过示例而非限制的方式，图1图示了操作系统130、应用程序132、其他程序模块134、程序数据136、虚拟机监视器132’和虚拟硬盘136’。应用程序132有时在本文中被称为可执行的二进制文件。

计算机101还可包括其它可移动/不可移动的易失性/非易失性计算机储存介质。仅通过示例的方式，图1图示了从不可移动的非易失性磁性介质读取或写入其中的硬盘驱动器114。可用在示例性操作环境中的其他可移动/不可移动的易失性/非易失性计算机储存介质包括但不限于光盘，诸如cdrom或数字通用盘、磁带盒、闪存卡、数字录像带、固态ram、固态rom等。硬盘驱动器114通常通过数据储存接口124连接到系统总线106。计算机101被配置为从数据仓库读取和向其写入，该数据仓库通过通常连接到系统总线106的网络接口150在内联网和互联网中的至少一个上可到达。在至少一个实施例中，域名服务目录185用作内联网数据仓库，以及gps数据档案192用作互联网数据仓库。本文中对域名服务目录185的使用的引用被理解为包括除域名服务目录185之外或代替其进行提供的其他数据仓库，包括但不限于gps数据档案192。以下将更详细地描述计算机101的附加元件。

如上所讨论的，用于资源的地理位置验证的方法和系统涉及查明计算机101的当前地理位置。更具体地，在至少一些实施例中，用于资源的地理位置验证的方法和系统包括查明和证明计算机或其操作系统运行在被授权的地理位置内。尽管在至少一个实施例中，全球定位系统(gps)用作提供期望的地理位置数据的主要来源，而其他实施例可利用其他来源来获得地理位置数据，但特定的地理位置确定能够以若干不同的方式来执行。

如图1中所示，包括计算机101中的一个或多个微处理器或微处理器核心的处理单元102被设计成执行被储存在系统存储器104中的程序指令，以使gps接口160通信地连接到gps天线162，并执行其被指定功能。该接口便于gps信号的接收和当前时间、纬度、经度的传送，以及便于将卫星prn(伪随机噪声)传输到计算机101的操作系统130。在至少一个实施例中，gps接口160包括由威斯康星州的伯灵顿市的sync-n-scale有限责任公司设计和制造的pcie附加卡。然而，该示例并旨在限制，并且gps接口160可包括任何传统的或后续开发的硬件，或者被设计为依赖于可类似的导航辅助系统并执行上述功能的硬件和软件的组合。

除了获取特定计算机的地理位置之外，用于资源的地理位置验证的方法和系统还可包括将地理位置信息用作先决条件指示符，以用于启动和操作计算机对象，诸如以下详细讨论的虚拟机、独立的应用程序或容器。现在参照图2，示出了虚拟机监控器132’，其也被称为管理程序。管理程序是仿真能够运行操作系统的另一计算机的特殊类型的应用程序132。被仿真的计算机被称为虚拟机，例如虚拟机101’。虚拟机101’能够运行与计算机操作系统130相同的操作系统的操作系统130’。虽然没有详细讨论，但一个以上的虚拟机101’可经由虚拟机监视器132’来仿真。

虚拟机监视器132’可使用虚拟硬盘136’中所储存的指令来创建和启动虚拟机101’。如以下更详细讨论的，计算机101或另一类似能力的设备可用于创建虚拟硬盘136’映像，并将其储存在单独的内联网或互联网的数据仓库中。在至少一些实施例中，虚拟硬盘136’是以遵循特定格式的单一计算机文件的形式所构建的特殊类型的程序数据136。该文件封装了能够承载一个或多个文件系统并支持标准盘和文件读写操作的仿真的储存设备。作为标准计算机文件，虚拟硬盘136’受到其他计算机文件在相同计算机上将遵守的储存、操作和访问策略的约束。这些策略被表达为设备声明和资源属性，并且被保存在诸如域名服务目录185的域名服务目录中，该域名服务目录可以是组织或企业范围的域名服务目录，或者其他类似的数据仓库。在创建时，出于安全的目的，虚拟硬盘136’将使用可用于管理程序132的经典数据保护方法而被加密地保护或以其他方式进行保护。执行该保护以防止对形成计算机对象的虚拟硬盘136’的内容的篡改或未经授权的访问。

再次参照图1，在至少一些实施例中，应用程序132可以是自给自足的并且可采取单一可执行的二进制文件或特殊类型的程序模块134(也被称为容器)的形式。容器可包括应用程序运行需要的一切，包括：可执行指令、应用程序运行时库、系统工具和库。类似于其他对象，出于安全的目的，在创建时使用可用于操作系统以防止篡改的经典数据保护方法来对其进行加密保护或以其他方式进行保护。

如上所讨论的，在至少一些实施例中，用于地理验证的方法和系统包括使地理区域与各种计算机对象类型相关联。在至少一些实施例中，计算机对象可包括计算机文件、包含计算机文件的储存设备、从储存设备接收和发出计算机文件的接口、具体化计算机文件的数据库、储存设备和接口、以及各种其他组合。

提供计算机对象被准许操作的准许位置的地理区域可通过收集地理位置数据点来识别，并且可选地，可通过附加的几何尺寸来识别。参见图3a、图3b、图3c、图3d和图3e，这些数据点的分组可包含以下中的任何一个：a)一对经度和纬度坐标322加半径323(图3a)，b)一对经度和纬度坐标322加辐射长度324和辐射宽度325(图3b)，或c)两对或更多对经度和纬度坐标(图3c、图3d、图3e)的集合。这些地理位置数据点的每个分组都框出周边，诸如假想的圆330、矩形332、334或多边形336。每个周边表示计算机对象可被部署、启动和操作的地球表面上的实际连续和有界的地理区域。

地理区域可以与围绕数据中心建筑物320(图3a)内的服务器机架覆盖区的直接楼层空间一样小，或者与其边界被表示为如图3e中所示的一系列地理坐标对342、344、346和348的管辖范围340一样大。此外，矩形地理区域可根据地理坐标来计算或导出。矩形地理区域周边的四个角可根据如图3b中所示的给定的地理坐标322以及辐射的长度324和宽度325而被计算出，或者如图3c中所示，根据两个给定的地理坐标322’和322“导出，以获取另外两个326和327。

这些地理位置数据点的每个分组可被识别为计算机设备(例如，服务器等)、与计算机设备相关联的操作系统或计算机对象的地理位置资源声明(即资源属性)。每个计算机对象可以被分配多个地理位置声明。计算机对象的地理位置声明在本文中可以被称为地理对象资源声明。地理对象资源声明可以被记录并与计算机对象的唯一标识符相关联，该计算机对象的唯一标识符在本文中以下被称为对象id(以下更详细地讨论)。该信息可以保存在域名服务目录185或类似类型的仓库中。在至少一些实施例中，对域名服务目录185的访问限于一个或多个被授权访问的等级。类似于给计算机对象分配一个或多个地理位置声明，计算机操作系统130或管理程序132’也可被分配至少一个被授权的操作地理区域。每个地理区域建立操作系统130在其内被允许访问类似受限的资源的面积。该地理范围包括相关联的操作系统或管理程序实例(而不是计算机本身)的一个或多个地理位置声明，并且在本文中可被称为地理资源设备声明。出于该目的，可分配多个地理资源设备声明。如同利用地理资源对象声明，地理资源设备声明和相关联的细节在不同的或相同的域名服务目录185内被保护，并且在没有所需授权的情况下不能由计算机的管理员或操作者访问。

在创建一个或多个地理位置声明之后，授权用户可添加、减去或替换地理位置声明中的地理位置坐标，并提取它们以用于信息技术(it)管理目的。这样的改变可使用人机接口142来完成，人机接口142通常将包括诸如监视器138、键盘139和鼠标140的设备。区别于地理位置声明，被分配的地理位置指示符(例如，文件属性)，其可通知用户预期准许的地理位置并且可识别计算机对象是否带有标签以用于验证(带有地理标签)，可与计算机对象相关联，因此在所有用户抽检时是可见的。分配的地理位置指示符的添加不会影响地理位置声明，因为它们仍然受到保护，因此在抽检的情况下是不可访问的。访问授权和控制的这种分离可例如通过域控制器180结合域名服务目录185或另一个数据仓库来实现。

用一个或多个地理对象资源声明(带有地理标签)标记计算机对象可用许多类型的基于计算机的操作系统来执行，并且可在诸如数据中心或部署中心的各个位置进行。示例性标记过程参照图4中的流程图400进行描述。为了开始该过程，在步骤402，形成地理资源对象声明。更具体地，一个或多个位置的地理坐标，诸如被授权操作计算机对象的数据中心的地理坐标，被获取和储存。在至少一些实施例中，地理坐标被储存为与域控制器180相关联的域名服务目录185中的资源属性。在步骤404，为计算机对象生成唯一对象id，该唯一对象id将用在验证过程中。在至少一些实施例中，唯一对象id是全局唯一id(guid)，尽管可使用其他类型的标识符。

在步骤406，请求基于地理位置的授权进行访问或操作的计算机对象由操作系统创建，并且唯一对象id被嵌入或以其他方式与对象相关联。该任务能够以许多不同的方式来执行。例如，当计算机对象是基于文件的，诸如用于操作虚拟机(例如，虚拟机101’)的虚拟硬盘(例如，虚拟硬盘136’)时，虚拟硬盘映像文件可被创建具有一个以上的部分(例如，分区、节段(section)等)。在至少一些实施例中，节段可包括授权数据部分和程序数据部分。程序数据部分可包含例如用于操作虚拟机101’和唯一对象id的指令。授权数据部分可包含例如关于虚拟机101’的唯一对象id和地理位置验证要求信息，诸如地理资源对象声明。旨在授权数据部分将独立于访问程序数据部分并且仅由被授权的实体可访问。这将允许在不访问对象的程序内容的情况下进行授权。另外，如上所述，提供可从第二安全部分分开地察看到的第一安全部分的上述过程可用于各种类型的计算机对象。

在步骤408，操作系统将计算机对象的唯一对象id储存在域名服务目录185中。在步骤410，域控制器180将地理资源对象声明绑定到域名服务目录185中的唯一对象id作为资源属性。在步骤412，操作系统将附加的资源属性和数据保护方法应用于计算机对象以用于被授权的访问目的，并且保存计算机对象供后续部署。如上所述，一个添加的属性可以是分配的地理位置指示符。一旦地理位置带有了地理标签，计算机对象就可被分布到数据中心或其他地点以供后续访问，并且相对于尝试访问带有地理标签的对象的操作系统可被识别为带有地理标签的。

现在参照图5、图6和图7，为了将带有地理标签的计算机对象投入到数据中心或其他服务点处的服务中，并且在一些情况下，继续使用带有地理标签的对象，提出访问请求并执行验证。该过程以下参照流程图500、600和700详细地进行讨论。更具体地，讨论了包括示例性虚拟机(图5)、示例性容器(图6)和示例性数据仓库(图7)的各种类型的对象的部署/访问。由于程序性步骤，在至少一些实施例中，对于许多类型的计算机对象是类似的，包括这三种类型的计算机对象，所以步骤将针对三个流程图同时得以解决。

从步骤502、602、702开始，当操作系统130开始启动或恢复事件时，并且在其被连续操作期间的时间，操作系统130从其有源gps接口160(具有连接的gps天线162)获取其当前正被操作的实际和可证明的地理位置，其在本文中也被称为设备地理位置声明。如果被激活的计算机是虚拟机(例如，101’)，则其操作系统130’从其管理程序132’获取地理位置信息。在步骤504、604、704中，操作系统130当前正在操作的实际地理位置对系统管理员和操作者是可用的，并被转发到适当的域控制器180以更新域名服务目录185。发生在计算机对象被部署或以其他方式被验证以供操作之前、期间和之后的该过程可以是连续的。

在步骤506、606和706，操作系统130接收开启计算机对象(虚拟硬盘136’、容器134或可执行的二进制文件132)的部署或以其他方式授予对其的访问的请求。如果计算机对象被识别为带有地理标签，诸如具有地理位置指示符，则过程前进到步骤508、608、708，其中操作系统130将计算机对象的唯一对象id发送到域控制器180以用于评估。在至少一些实施例中，操作系统130还为操作系统130发送系统id。如果计算机对象未被操作系统识别为带有地理标签的，则该过程前进到步骤514、614、714，其中授予对计算机对象的部署和/或访问。在步骤510、610、710，使用所发送的对象id，域控制器180搜索域名服务目录185，以识别计算机对象的地理对象资源声明。一旦被识别，域控制器180就启动绑定到在被记录于域名服务目录185中的对象id的地理对象资源声明与也被储存在域名服务目录185中的操作系统130的报告的设备地理位置声明(地理位置坐标)之间的比较。在至少一些实施例中，比较包括域控制器180使用所发送的设备地理位置声明和地理对象资源声明来解决点在多边形中(pip)的问题。pip几何计算解决了平面中的给定点是否位于多边形的边界的内部、外部或其上的问题。经典几何计算和方法也可用于确定与计算机对象相关联的给定地理位置是否落在地球表面上允许界定的连续地理区域中或外部。这样的计算响应于访问授权请求由域控制器180执行。更具体地，如果在步骤512、612、712，设备地理位置声明被宣告为落在边界(即，区域)内，该边界表示受保护的地理对象资源声明被分配给计算机对象，则域控制器将宣告评估成功，并返回确认地理位置验证的通过结果。如果设备地理位置声明被宣告为落在边界(即，区域)的外部，该边界表示被分配给计算机对象的受保护的地理对象资源声明，则过程移动到步骤516、616、716，并且域控制器将宣告评估失败。在响应中，操作系统130相应地起作用。也就是说，过程移动到步骤514、614、714，其中操作系统130及其管理程序132’被授权继续进行虚拟机101’的部署，运行客户操作系统130’、可执行的二进制文件132或操作容器134。

有利地，该方法还可通过防止虚拟硬盘136’在组织内被复制并在特定的物理数据中心地点之外以及以未经授权的方式被操作来提供虚拟硬盘136’的附加保护层。该方法还允许在供流氓员工企图部署和启动虚拟机时被发现并进行缓解，流氓员工利用对用于备用的虚拟硬盘的储存的合法的授权的访问和其他数据管理操作但未被授权使用其内容来部署和启动虚拟机。除了能够证明系统的位置和管辖范围合同义务之外，根据本发明原理的该方法还允许供应商确定最佳有效的数据中心地点，以满足其客户需求，同时操作他们的工作量在诸如电力和通讯的环境和基础设施制约范围内。此外，在至少一些实施例中，该方法可用于查明用户是否在地理区域内操作设备或计算机，并且因此，通过预定策略准许创建数据仓库170并将其附加到操作系统，或访问在相同或另一地理区域中被策划的现有数据仓库。

如上所述，虽然本发明的示例性实施例已经结合各种计算设备和系统架构进行了描述，但潜在的概念可应用于任何计算设备或系统，其中期望实现在特定地理的数据中心中的虚拟机的受控的部署和操作。

因此，本发明的方法和系统可应用于各种应用和系统。虽然示例性硬件接口、名称和示例在本文中被选择为代表各种选择，但这些硬件接口、名称和示例不旨在限制。本领域中的普通技术人员将认识到，存在多种方式来获得实现由本发明实现的相同、类似或等效的系统和方法的地理位置数据。

本文中所描述的各种技术可结合硬件或软件或在适当的情况下结合二者的组合来实现。因此，本发明的方法和系统或其某些方面或部分可采用在诸如cd-rom、闪存驱动器、硬盘驱动器或任何其他机器可读储存介质的有形介质中具体化的程序代码(即，指令)的形式，其中，当程序代码被加载到诸如计算机的机器中并由其执行时，机器成为用于实践本发明的系统。在程序代码在可编程计算机上执行的情况下，计算设备通常将包括处理器、可由处理器(包括易失性和非易失性存储器和/或储存元件)读取的储存介质、至少一个输入设备、以及至少一个输出设备。优选地，可利用本发明的信号处理服务(例如，通过使用数据处理api等)的一个或多个程序以高级程序性或面向对象的编程语言来实现，以与计算机进行通信。然而，如有必要，程序能够以汇编或机器语言来实现。在任何情况下，语言可以是编译或解释的语言，并与硬件实现相结合。

本发明的方法和系统还可经由以在某传输介质上传输的程序代码形式的通信来实践，诸如，在电线或电缆上，通过光纤，或经由任何其他形式的传输，其中，当程序代码被接收并被加载到机器(诸如eprom、门阵列、可编程逻辑器件(pld)、客户端计算机、录像机等)或具有如示例性实施例中所描述的信号处理能力的接收机中并由其执行时，成为用于实践本发明的系统。当程序代码在通用处理器上实现时，该程序代码与处理器结合，以提供操作以调用本发明的功能的唯一系统。另外，与本发明结合使用的任何储存技术可以总是硬件和软件的组合。

尽管已经结合各个附图的优选实施例对本发明进行了描述，但应当理解，可使用其他类似的实施例，或者可对所描述的实施例进行修改和添加，以实现本发明的相同功能而不与其背离。此外，应强调的是，考虑各种计算机平台，包括手持设备操作系统和其他应用特定的操作系统，特别是当无线网络设备的数量继续增加时。因此，本发明不应限于任何单一实施例，而是在宽度和范围方面应根据所附权利要求进行解释。

虽然本发明已经参照优选实施例进行了描述，但应当理解，本发明不旨在限于以上所阐述的具体实施例。因此，认识到的是，本领域中的那些技术人员将会理解，在不脱离本发明的精神或目的的情况下，可做出某些替换、改变、修改和省略。因此，前面的描述仅仅是示例性的，本发明被视为包括本发明主题的所有合理的等同物，并且不应限制以下权利要求中所阐述的本发明的范围。此外，本文中参照操作方法所描述的步骤并不旨在限制性的，并且可包括变化，诸如附加步骤、移除的步骤和重新排序的步骤。