在包括执行虚拟机的主机计算系统以及将主机通信地耦合到被分配给虚拟机中的特定一个的客户端计算系统的安全云计算通道的环境中,该特定的虚拟机生成证书,将证书安装在其自身上并将证书表示返回到客户端。这可在虚拟机被提供时发生。在从客户端到虚拟机的后续连接请求期间,虚拟机向客户端返回证书。客户端将在提供期间返回的证书表示与在后续连接期间返回的证书进行比较,并且如果存在匹配,则虚拟机被认证给客户端。由此,在这种情况下,虚拟机在客户端不必生成、安装和管理证书的安全性的情况下来认证。
【技术实现步骤摘要】
【国外来华专利技术】用于基于证书来连接到云虚拟机的方法和系统背景对计算系统的虚拟化已经使得能够实现对计算系统的灵活且方便的设置和维护。计算系统通过使得虚拟机位于该虚拟机服务的客户端计算系统远程地操作来被虚拟化。虚拟机模拟完全可操作的计算系统的逻辑,包括操作系统、其各个应用以及对应的设置,并且该虚拟机通过位于远程的客户端计算系统与用户进行接口。例如,虚拟机接收来自远程客户端的客户端输入,并将所得到的桌面图像信息提供回客户端。客户端不操作对应的操作系统,而是仅仅接收用户输入,将这样的用户输入中继到虚拟机,并使用由虚拟机提供的所得到的桌面图像来呈现桌面。虚拟机最近被实现在云计算环境中。“云计算”是用于允许对可配置计算资源(例如,网络、服务器、存储、应用和服务)的共享池的普遍、方便、按需网络访问的模型。可配置计算资源的共享池可经由虚拟化而被快速地供应,并可利用低管理努力或服务提供商交互来释放,并随后相应被缩放。云计算模型可由各种特性(如按需自服务、广泛网络访问、资源池、快速灵活性、测量的服务等)、服务模型(如软件即服务(“SaaS”)、平台即服务(“PaaS”)、基础结构即服务(“IaaS”))以及部署模型(如私有云、社区云、公共云、混合云等)组成。简要概述在此描述的至少一个实施例涉及一种系统,其中主机计算系统执行虚拟机,以及云计算通道通信地将主机耦合到被分配给虚拟机之一的客户端计算系统。在一些实施例中,存在云计算通道来提供客户端计算系统和主机计算系统之间的端对端安全性。通过使用在此描述的原理,这样的端对端安全性可从客户端计算系统一路扩展到代表客户端运行的对应的虚拟机。虚拟机被配置成生成证书,将证书安装在虚拟机上以及向客户端返回证书表示。例如,这可在虚拟机被提供时发生。在从客户端到虚拟机的后续连接请求期间,虚拟机向客户端返回证书。客户端将在提供期间返回的证书表示与在后续连接期间返回的证书进行比较,并且如果存在匹配,则虚拟机被认证给客户端。由此,在这种情况下,虚拟机在客户端不必生成并安装证书的情况下认证,从而简化了客户端的处理。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。附图说明为了描述能够获得上述和其它优点和特征的方式,各实施例的更具体的描述将通过参考各附图来呈现。可以理解,这些附图只描绘了示例实施例,并且因此不被认为是对其范围的限制,将通过使用附图并利用附加特征和细节来描述和解释各实施例,在附图中:图1示出在其中在此描述的一些实施例可被使用的计算系统;图2示出作为操作环境的系统,其中客户端计算系统提供并连接到被云计算环境内的主机计算系统主控的虚拟机,使得客户端可随后操作该虚拟机;图3示出云计算环境200的示例并表示图2的云计算环境的示例;图4示出用于客户端计算系统连接到虚拟机的方法的流程图;图5示出在其中虚拟机可被实例化、提供和操作的环境;以及图6示出当从一般化的虚拟机图像中引导虚拟机时提供虚拟机的方法600的流程图。具体实施方式根据在此描述的各实施例,客户端计算系统认证它被分配到其的虚拟机,而不必生成并安装证书。首先,将参考图1来描述关于计算系统的一些引导性讨论。随后,认证的各实施例将参考图2到6来描述。计算系统现在越来越多地采取多种多样的形式。例如,计算系统可以是手持式设备、电器、膝上型计算机、台式计算机、大型机、分布式计算系统或甚至常规上不被认为是计算系统的设备。在本说明书以及权利要求书中,术语“计算系统”被广义地定义为包括任何设备或系统(或其组合),该设备或系统包含至少一个物理有形的处理器以及其上能含有可由处理器执行的计算机可执行指令的物理有形的存储器。存储器可以采取任何形式,并可以取决于计算系统的性质和形式。计算系统可以分布在网络环境中,并可包括多个组分计算系统。如图1所示,在其最基本的配置中,计算系统100通常包括至少一个处理单元102和存储器104。存储器104可以是物理系统存储器,该物理系统存储器可以是易失性、非易失性、或两者的某种组合。术语“存储器”在此也可用来指诸如物理存储介质等非易失性大容量存储。如果计算系统是分布式的,则处理、存储器和/或存储能力也可以是分布式的。如此处所使用的那样,术语“模块”或“组件”可以指在计算系统上执行的软件对象或例程。此处所描述的不同组件、模块、引擎,以及服务可以实现为在计算系统上执行的对象或进程(例如,作为分开的线程)。在随后的描述中,参考由一个或多个计算系统执行的动作描述了各实施例。如果这样的动作是以软件实现的,则执行动作的相关联计算系统的一个或多个处理器响应于已经执行了计算机可执行指令来引导计算系统的操作。这样的操作的示例涉及对数据的操纵。计算机可执行指令(以及被操纵的数据)可被存储在计算系统100的存储器104中。计算系统100还可包含允许计算系统100例如通过网络110与其他消息处理器通信的通信信道108。这里描述的各实施例可包括或利用专用或通用计算机,该专用或通用计算机包括诸如例如一个或多个处理器和系统存储器等计算机硬件,如以下更详细讨论的。这里描述的各实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。由此,作为示例而非限制,本专利技术的各实施例可包括至少两种显著不同的计算机可读介质:计算机存储介质和传输介质。计算机存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或可用于存储计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的任何其他介质。“网络”被定义为使得电子数据能够在计算机系统和/或模块和/或其它电子设备之间传输的一个或多个数据链路。当信息通过网络或另一个通信连接(硬连线、无线、或者硬连线或无线的组合)传输或提供给计算机时,该计算机将该连接适当地视为传输介质。传输介质可包括可用于携带计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的网络和/或数据链路。上述的组合也应被包括在计算机可读介质的范围内。此外,在到达各种计算机系统组件之后,计算机可执行指令或数据结构形式的程序代码装置可从传输介质自动转移到计算机存储介质(或者相反)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传输到计算机系统RAM和/或计算机系统处的较不易失性的计算机存储介质。因而,应当理解,计算机存储介质可被包括在还利用(或甚至主要利用)传输介质的计算机系统组件中。计算机可执行指令例如包括,当在处理器处执行时使通用计算机、专用计算机、或专用处理设备执行某一功能或某组功能的指令和数据。计算机可执行指令可以是例如二进制代码、诸如汇编语言之类的中间格式指令、或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特征或动作。更具体而言,上述特征和动作是作为实现权利要求的示例形式而公开的。本领域的技术人员将本文档来自技高网...
【技术保护点】
一种系统,包括:主机计算系统,所述主机计算系统被配置成在云计算环境中执行多个虚拟机(211,311);云计算通道,所述云计算通道通信地将所述主机计算系统耦合到被分配给所述多个虚拟机中的特定虚拟机的客户端计算系统,其中所述云计算通道包括关于通过所述云计算通道进行通信的各方的身份的身份安全性;其中所述特定虚拟机被配置成执行以下:生成证书的动作;将所述证书安装在所述虚拟机上的动作;将对应于所述证书的证书表示提供到所述主机计算系统,使得所述主机计算系统通过所述云计算通道将所述证书表示提供到所述客户端计算系统的动作。
【技术特征摘要】
【国外来华专利技术】2012.05.02 US 13/462,2231.一种用于基于证书来连接到虚拟机的系统,包括:主机计算系统,所述主机计算系统被配置成在云计算环境中执行多个虚拟机(211,311);云计算通道,所述云计算通道通信地将所述主机计算系统耦合到被分配给所述多个虚拟机中的特定虚拟机的客户端计算系统,其中所述云计算通道提供关于通过所述云计算通道进行通信的各方的身份的身份安全性;其中所述特定虚拟机被配置成执行以下:生成证书的动作;将所述证书安装在所述虚拟机上的动作;将对应于所述证书的第一证书表示提供到所述主机计算系统,使得所述主机计算系统通过所述云计算通道将所述第一证书表示提供到所述客户端计算系统的动作,并且其中所述云计算环境中的所述虚拟机包括计算机可执行指令,当所述计算机可执行指令被执行时,使得所述虚拟机执行生成所述证书、安装所述证书以及将所述第一证书表示提供到所述主机计算系统的动作,其中所述计算机可执行指令是由所述虚拟机在引导时间期间获得的,但是所述计算机可执行指令没有隐含在所述虚拟机的操作系统内。2.如权利要求1所述的系统,其特征在于,所述云计算环境中的所述虚拟机用所述证书的第二证书表示来对来自所述客户端计算系统的初始连接请求进行响应,使得所述客户端计算系统能将所述第一证书表示和所述第二证书进行比较。3.如权利要求2所述的系统,其特征在于,所述云计算环境中的所述虚拟机还接收来自所述客户端计...
【专利技术属性】
技术研发人员:E·D·赖特,M·U·阿扎德,S·P·里瓦斯卡,C·M·桑德斯,S·塞德,
申请(专利权)人:微软公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。