本文提供了用于执行虚拟域资源分配的安全管理的方法和系统。云服务提供商(CSP)可向一个或多个签约用户实体提供虚拟机实例。云服务提供商可存储识别了一个或多个资源(例如存储器、CPU等等)的授权数据库,授权不同的签约用户实体中的每个签约用户实体在虚拟机服务器装置上使用一个或多个资源。随后,CSP可接收来自未经核实的实体的请求以用访问一个或多个资源来实例化虚拟机。该请求可包括安全信息。通过使用第一安全信息核实未经核实的实体(例如,检查PKI证书,要求登录/密码等等),CSP验证该请求,并且当该请求通过验证时,根据授权数据库,提供经核实实体对所请求的一个或多个资源的子集的访问。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】本文提供了用于执行虚拟域资源分配的安全管理的方法和系统。云服务提供商(CSP)可向一个或多个签约用户实体提供虚拟机实例。云服务提供商可存储识别了一个或多个资源(例如存储器、CPU等等)的授权数据库,授权不同的签约用户实体中的每个签约用户实体在虚拟机服务器装置上使用一个或多个资源。随后,CSP可接收来自未经核实的实体的请求以用访问一个或多个资源来实例化虚拟机。该请求可包括安全信息。通过使用第一安全信息核实未经核实的实体(例如,检查PKI证书,要求登录/密码等等),CSP验证该请求,并且当该请求通过验证时,根据授权数据库,提供经核实实体对所请求的一个或多个资源的子集的访问。【专利说明】虚拟机的安全管理 相关申请的交叉引用 本申请要求于2012年4月25日提交的名称为"虚拟机的安全管理 (SecureAdministration ofVirtual Machines)"的序列号为13455221的美国专利申请的 优先权,针对所有目的,其通过引用并入本文。 领域 本申请通常涉及计算机和计算机网络。特别地,本申请涉及用于安全管理虚拟机 和对访问域的能力进行分配的方法和系统。 背景 传统上,个人计算机包括操作系统、应用程序以及关于单个用户的用户设置。个人 计算机通常被它们的所有者使用和管理。然而,许多组织现在正在使用虚拟化、远程访问和 /或云计算资源来满足他们的计算需求。云虚拟化计算资源通常允许在单个物理机器上包 含有操作系统、应用程序和多个用户的用户设置。桌面虚拟化技术允许操作系统的多个实 例保持分离,因此一个用户的活动不会影响到其它用户的体验。云计算环境允许云操作员 所拥有的计算机由云操作员管理但由云用户使用,云用户可以是云操作员的客户。然而,每 个虚拟机或装置的设置和管理是耗时且乏味的过程。 概要 根据前面的背景,下面呈现本公开内容的简化概述,以便提供本文所描述的一些 方面的基本理解。本概要并非广泛的描述,并且并非旨在识别主要或关键元件,或者记述权 利要求的范围。下面的概要仅以简化形式来呈现各个描述的方面,作为下面提供的更为详 细描述的铺垫。 根据本公开的一个方面,诸如虚拟服务器的装置可(例如利用软件)配置成接收 来自未经核实的实体的请求以向虚拟机的第一个实例提供对一个或多个资源的访问权限。 这个请求包括用于验证这个请求的安全信息。当这个请求通过验证时,根据在授权数据库 中的信息,虚拟服务器向经核实实体提供对一个或多个所请求的资源的子集的访问权限。 授权数据库识别多个实体中的每一个实体经授权以在虚拟服务器上使用的一个或多个资 源。本文所描述的方面可选择地实施为方法,或者实施为存储在计算机存储介质或在装置 上的内存中的计算机可读指令。根据一些方面,当资源不被许可或者在虚拟服务器上不可 用时,可自动地选择或者使用替代资源,或者拒绝访问。 根据一些方面,核实未经核实的实体包括确定这个请求是否使用与未经核实的实 体相对应的证书(例如加密签名的PKI证书)来签名。 根据一些方面,受控资源可包括通过执行至少如下之一来改变虚拟机状态的资 源:实例化虚拟机,休眠虚拟机,以及重新启动正在休眠的虚拟机。根据其它方面,受控资源 可修改已实例化虚拟机的一个或多个权力。 根据各个方面,可使用资源约束,例如基于时间的约束,以及/或者基于关联的约 束(约束允许实例化在相同的虚拟服务器上的虚拟机的共同租户)。 附图简述 因此,已经概括地描述了本公开的方面,现在将参照附图,这些附图并不必须按比 例绘制,并且在附图中: 图1示出了其中可实施本公开的各个方面的示例操作环境。 图2示出了可根据本文所描述的一个或多个说明性方面而使用的计算装置。 图3示出了可根据本文所描述的一个或多个说明性方面而使用的计算装置。 图4是根据本文所描述的一个或多个说明性方面描绘了虚拟服务器的实施方式 的框图。 图5示出了根据本文所描述的一个或多个方面来执行安全管理的方法。 详细描述 在各个实施方式的下面描述中,参照构成本文一部分的附图,并且在附图中通过 说明各个实施方式来表示,在这些实施方式中可以实施本文所描述的方面。应当理解,可使 用其它的实施方式,并且可进行结构修改和功能修改,而不会脱离本公开的范围和精神。 当阅读下面的公开时,如本领域的技术人员应当了解,本文所描述的各个方面可 表现为一种方法、一种数据处理系统、或者计算机程序产品。因此,这些方面采用的形式可 以是整个硬件的实施方式,整个软件的实施方式,或者结合软件和硬件方面的实施方式。此 夕卜,这些方面可采用的形式为通过一个或多个计算机可读存储介质来存储的计算机程序产 品,其具有具体实现在存储介质内或上的计算机可读程序代码或者指令。可使用任何适合 的计算机可读存储介质,包括硬盘、CD-ROM、光学存储装置、磁存储装置以及/或者这些装 置的任何组合。此外,表示如本文所描述的数据或事件的各种信号可以穿过信号传导介质 (例如金属导线、光纤以及/或者无线传输介质(例如空气和/或空间))的电磁波的形式 在源和目的之间传递。 图1示出了在示例计算环境100中的根据本公开的一个或多个说明性实施方式可 使用的通用计算装置1〇1(例如计算机服务器l〇6a)的示例框图。根据一个或多个方面,通 用计算装置101可以是在单个服务器的桌面虚拟化系统(例如云系统)或者多个服务器的 桌面虚拟化系统(例如云系统)中的服务器l〇6a,其配置成向客户访问装置提供虚拟机。通 用计算装置101可具有用于控制服务器以及其相关组件(包括随机访问存储器(RAM) 105、 只读存储器(ROM) 107、输入/输出(I/O)模块109和存储器115)的全部操作的处理器103。 I/O模块109可包括鼠标、键盘、触摸屏、扫描仪、光学阅读机和/或触控笔(或者 其它输入装置),通过这些装置,通用计算装置101的使用者可提供输入,I/O模块109还可 以包括用于提供音频输出的一个或多个扬声器和用于提供文本、音视频和/或图形化输出 的视频显示装置。软件可存储在内存115内和/或其它存储器内以向处理器103提供指令 使得通用计算装置101能够执行各个功能。例如,内存115可存储通用计算装置101所使 用的软件,例如操作系统117、应用程序119以及有关数据库121。可选择地,通用计算装置 101的计算机可执行指令中的一些或全部计算机可执行指令可具体体现在硬件或固件(未 显示)中。 通用计算装置101可运行于网络环境中,该网络环境支持连接到一个或多个远程 计算机,例如终端140 (还被称作客户端装置)。终端140可以是包括关于通用计算装置101 的上面描述的元件中的多个或全部元件的个人计算机或者服务器。图1中所描绘的网络连 接包括局域网(LAN) 125和广域网(WAN) 129,但是还可以包括其它网络。当在LAN环境中使 用时,通用计算装置101可通过网络接口或适配器123连接至LAN 125。当在WAN环境中使 用时,通用计算装置101可包括用于在WAN 129 (例如计算机网络130 (例如因特网))上建 立通信的调制解调器127或者其它网络接口。应当理解的是,所示的网络连接是说明性的, 并且可使用在这些计算机之间建立通信链接的其它装置。 本文档来自技高网...
【技术保护点】
一种方法,包括:接收来自未经核实的实体对实例化虚拟机的第一实例的第一请求,所述第一请求限定可被虚拟机服务器装置供给所述虚拟机的所述第一实例使用的一个或多个资源的第一集合,所述第一请求包括第一安全信息;通过使用所述第一安全信息核实所述未经核实的实体,来验证所述第一请求;访问授权数据库,所述授权数据库根据经核实的实体识别所述虚拟机的所述第一实例被授权以在所述虚拟机服务器装置上使用的一个或多个资源;响应于验证所述第一请求:用对一个或多个资源的所述第一集合的子集的访问权限来实例化所述虚拟机的所述第一实例。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:迈克尔·欣斯顿·麦克劳夫林·博赛尔,
申请(专利权)人:思杰系统有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。