CN107873094A - 虚拟桌面基础设施克隆体的安全性 - Google Patents
虚拟桌面基础设施克隆体的安全性 Download PDFInfo
- Publication number
- CN107873094A CN107873094A CN201680033644.8A CN201680033644A CN107873094A CN 107873094 A CN107873094 A CN 107873094A CN 201680033644 A CN201680033644 A CN 201680033644A CN 107873094 A CN107873094 A CN 107873094A
- Authority
- CN
- China
- Prior art keywords
- scanning result
- application
- copy
- image
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Facsimiles In General (AREA)
- Information Transfer Between Computers (AREA)
Abstract
利用虚拟桌面界面包括:从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括在所述服务器上执行的操作系统和应用的实例;使用所述克隆图像来识别对所述应用的启动;响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
Description
技术领域
本文所描述的实施例总体上涉及虚拟桌面基础设施克隆体,并且更具体地涉及提供虚拟桌面界面克隆体的安全性。
背景技术
桌面虚拟化实施方式提供了一种桌面环境管理系统。虚拟桌面基础设施(VirtualDesktop Infrastructure,VDI)提供用于在单独的客户端设备上提供用户环境的面向桌面的解决方案。
在典型的VDI解决方案中,具有所需操作系统和必要应用的基本图像被创建。这些应用可以包括杀毒解决方案,比如McAfee杀毒解决方案。基本图像的克隆图像被生成且跨网络分布于主机客户端之间,并且每个克隆图像负责扫描其自己的应用。
附图说明
图1是图示,展示了根据一个或多个实施例的可编程设备的网络。
图2是图示,展示了根据一个或多个实施例的用于提供VDI的安全性的系统。
图3是流程图,展示了根据一个或多个实施例的用于执行VDI内的应用的技术。
图4是流程图,展示了根据一个或多个实施例的用于提供VDI的技术。
具体实施方式
在以下描述中,出于解释的目的,阐述了许多具体的细节以便提供对本发明的透彻理解。然而,对于本领域技术人员而言,可以在不具有这些具体细节的情况下实践本发明将是明显的。在其他实例中,以框图的形式示出了结构和设备以避免使本发明模糊。对不带下标或后缀的数字的引用被理解为引用对应于被引用数字的所有下标和后缀的实例。此外,在本公开中使用的语言主要是为了可读性和指导的目的而被选择的,并且可能尚未被选择为描绘或限制创造性主题,有必要借助权利要求书来确定这样的创造性主题。在说明书中提及“一个实施例”或者“实施例”意味着结合实施例所描述的特定特征、结构或特性被包含在本发明的至少一个实施例中,并且多次提及“一个实施例”或“实施例”不应当被理解为一定是指所有相同的实施例。
如本文所使用的,术语“计算机系统”可指用于执行被描述为在计算机系统上或由计算机系统执行的功能的单台计算机或一起工作的多台计算机。
如在本文所使用的,术语“服务器”可以指能够与操作系统通信并托管(host)操作系统并且跨任何类型的网络与另一个计算机系统的应用关联的任何计算机系统。
如在本文所使用的,术语“客户端”可以指能够执行由服务器提供的VDI的任何计算机系统。
在一个或多个实施例中,公开了一种用于提供VDI安全性的技术并且所述技术可以包括向主机客户端部署(deploy)克隆图像以及克隆图像的扫描结果,该克隆图像包括操作系统和相关联应用的实例。进一步地,在一个或多个实施例中,服务器可以管理单个基本图像的扫描结果并且将扫描结果的副本与每个克隆图像一起部署在网络中。当新的扫描结果由单个实例生成时,例如当扫描技术已经更新时,可以贯穿网络部署更新后扫描结果以便替换原始扫描结果。在一个或多个实施例中,当应用由主机客户端之一启动时,主机客户端识别已经从服务器接收到的扫描结果,并且作为响应,允许在不扫描应用的情况下执行应用。因此,在一个或多个实施例中,所公开的技术可以减少在主机客户端上执行克隆图像所需的时间和资源而不牺牲安全性。
参照附图,在图1中,示意性地展示了可以实现实施例的示例基础设施100。基础设施100包含计算机网络102。计算机网络102可以包括当今可用的许多不同类型的计算机网络,如,互联网、企业网络或者局域网(LAN)。这些网络中的每一个网络可以包含有线或无线可编程设备并且可以使用任何数量的网络协议(例如,TCP/IP)来运行。网络102可以连接至网关和路由器(由108表示)、终端用户计算机106、以及计算机服务器104。基础设施100还包括用于与移动通讯设备一起使用的蜂窝网络103。移动蜂窝网络支持移动电话以及许多其他类型的移动设备。基础设施100中的移动设备被展示为移动电话110、膝上型计算机112、以及平板计算机114。当移动设备移动时,移动设备(如移动电话110)可以与一个或多个移动供应商网络进行交互,通常与多个移动网络塔120、130、和140进行交互以连接至蜂窝网络103。虽然在图1中被称为蜂窝网络,但是移动设备可以与多于一个供应商网络的塔以及与多个非蜂窝设备(如无线接入点和路由器108)进行交互。另外,移动设备110、112和114可以与诸如计算机104和106等非移动设备交互以获得所期望的服务。可以在图1中展示的任何设备或设备组合中实现网关设备108的功能;然而,最常见的是在网关或路由器中的防火墙或入侵防御系统中实现。
在一个或多个实施例中,跨网络102连接的设备中的一个或多个设备可以支持VDI。支持虚拟桌面基础设施的设备可以包括服务器104和各种终端用户设备,比如计算机106。虚拟桌面基础设施可以包括服务器104,所述服务器将桌面操作系统托管在虚拟机(VM)内并且向主机客户端106提供对虚拟机的访问。
在一个或多个实施例中,每个VM包括操作系统的实例以及由用户在每个客户端处使用的应用。应用可以包括用户应用,以及安全应用,比如病毒扫描器、恶意软件标识器或其他安全软件。在一个或多个实施例中,服务器生成克隆图像以便包括操作系统和应用,并向VM部署克隆图像以供客户端访问。作为生成克隆图像的一部分,或者在托管基本图像期间的任何时间,服务器可以提供扫描结果作为克隆图像的一部分。克隆图像可以被配置为使得当用户启动应用时,克隆图像识别扫描结果,并且作为响应,在不执行扫描的情况下启动应用。
图2是图示,展示了用于提供VDI克隆图像的安全性的系统。图2包括三种设备,包括跨网络200连接的服务器205以及客户端250和客户端275。网络200可以是任何类型的计算机网络,比如LAN或者企业网络。例如,网络200可以包括在更大的网络102或103中所包括的设备的子集。网络200可以是更大的普通网络内的网络飞地。应当理解,图2中将组件描绘为示例实施例,并且各种组件中的一些或全部可以位于例如单个服务器、多个服务器、网络存储设备或其他网络设备内。
服务器205包括处理器核215。处理器核215可以是针对任何类型处理器的核,如微型处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器、或用于执行代码的其他设备。尽管图2中的每个可信设备中仅展示了一个处理器核,但是处理元件可以替代性地包括多于一个图2中所展示的处理器核215。处理器核215各自可以是单线程核,或者对于至少一个实施例,处理器核215可以是多线程的,因为它可以包括每核多于一个硬件线程上下文(或“逻辑处理器”)。
服务器205还包括耦合至处理器的存储器。存储器210可以是如本领域技术人员已知或以其他方式可用的各种存储器(包括存储器层次结构中的各个层)中的任何一种。程序代码或指令(如操作系统230、用户应用235、安全模块240、和VDI模块244)可以存储在例如易失性存储器和/或非易失性存储器中,如存储设备和/或相关联的机器可读介质或机器可访问介质(包括固态存储器、硬盘驱动器、软盘、光存储设备、带、闪存、存储棒、数字视频盘、数字多功能盘(DVD)等等),以及如机器可读取生物状态保存存储设备等更特殊的介质。机器可读介质可以包括任何用于以机器可读的形式存储、传输、或接收信息的机制,并且所述介质可以包括程序代码可穿过的有形非暂态介质,如天线、光纤、通信接口等。程序代码可以以数据包、串行数据、并行数据等形式传输,并且可以以压缩或加密格式使用。处理器核215遵循由代码指示的指令程序序列。以此方式,在执行代码期间对处理器核215进行变换。
尽管图2未展示,但处理元件可以包括其他具有处理器核215的片上元件。例如,处理元件可以包括存储器控制逻辑以及处理器核。处理元件可以包括I/O控制逻辑,和/或可以包括与存储器控制逻辑集成的I/O控制逻辑。处理元件还可以包括一个或多个高速缓存。
通过VDI模块244,服务器205可以将操作系统230、用户应用235和安全模块240提供给客户端250和客户端275。操作系统230管理对各种应用的执行。用户应用235可以是允许用户通过计算机系统执行某些动作的任何应用。安全模块240可以是扫描用户应用的任何安全程序。例如,安全模块240可以包括被配置用于扫描系统以查找恶意内容的杀毒程序或其他安全程序。安全模块240可以将扫描的结果作为扫描结果245存储在存储设备220中。
在一个或多个实施例中,应用可以以虚拟机的形式提供给客户端250和275。虚拟机可以包括其自己的处理器、存储器、存储设备或通常在计算机系统中找到的其他组件。在一个或多个实施例中,服务器205或其他网络设备可以包括被配置用于创建和管理虚拟机的管理程序。
在一个或多个实施例中,VDI模块244管理包括操作系统230、用户应用235、安全模块240、以及扫描结果245的基本图像242,并且将它们提供为克隆图像255和280。克隆图像可以以服务器205或其他网络设备上的虚拟机的形式提供给客户端。在一个或多个实施例中,克隆图像255和280包括:只读快照270和295、扫描结果265和290的副本、以及写时复制(copy-on-write)(COW)层260和285。因此,对于克隆图像的每种部署,新的快照层被创建,并且每个克隆图像包括只读层、COW层和扫描结果的副本。克隆图像可以由服务器配设并且由客户端设备250和275访问,例如,通过使用服务器上的虚拟机。在一个或多个实施例中,扫描结果可以包括在缓存快照层中。只读快照270和295包括操作系统230、用户应用235、和安全模块240的实例,以及由终端用户使用的任何其他应用。只读快照270和只读快照295由托管于服务器205中的相同组件生成,并且因此在部署时是相同的。因为这些只读快照是只读的,所以客户端250和客户端275处的用户不能修改文件,即使在使用中它们也保持相同。由用户生成的改变被存储为作为克隆图像255和280的一部分生成的COW层260和285。虽然克隆图像255和280被描绘为客户端250和275的一部分,但是在一个或多个实施例中,基本图像242以及克隆图像255和280中的每一个都可以被存储在存储设备220上,或存储在未示出的另一个网络存储设备中。也就是说,在一个或多个实施例中,克隆图像255和280可以被托管在服务器205或网络存储设备上,并且可以经由客户端250和客户端275访问。
通常,当初始化应用时,应用将必须在其加载之前通过安全模块240来扫描恶意内容。在一个或多个实施例中,在配设克隆图像255和280之前,安全模块240扫描服务器处的基本图像并将结果存储为扫描结果245。因此,鉴于在一个或多个实施例中,每个客户端通常必须分别扫描各种应用,文件只需要在基本映像中被扫描一次,从而在整个网络中节省大量的时间和资源。扫描结果的副本作为克隆图像的一部分被包括为扫描结果265和扫描结果290,并且可以被包括为基本图像的缓存的一部分。在一个或多个实施例中,扫描结果可以替代性地被包括为COW层260和285的一部分。因此,当客户端250处的用户例如启动只读快照270中的应用时,客户端250识别扫描结果265,并且作为响应,确定扫描是不必要的。相应地,可以在安全模块240不扫描应用的情况下加载应用。客户端在不扫描应用的情况下加载应用减少了处理时间,因为不必在主机设备上扫描每个程序,因为已经在服务器上对其进行了过扫描。
在一个或多个实施例中,可能会偶尔更新扫描结果。例如,安全模块240可以在客户端离线时、或者周期性地或者当安全模块240已经被更新时重新扫描基本图像,以便识别新的恶意内容。然后,更新后扫描结果被用于新的克隆图像中,或通过当前克隆图像进行传播。
在非持续配设克隆图像的情况下,例如,当客户端250处的用户退出客户端时,COW层260和扫描结果265被擦除。因此,当用户再次登录客户端时,更新后扫描结果被提供。在持续配设克隆图像的情况下,可以将COW层和扫描结果保留在客户端设备中。在这种情景下,每当完成对基本图像的新扫描时,COW层和扫描结果可能被更新。
尽管未展示,但是客户端250和客户端275还可以包括存储器或存储设备和处理器。在一个或多个实施例中,客户端250和客户端275的存储器和处理器允许设备分别执行克隆图像255和克隆图像280。在一个或多个实施例中,客户端250和275还可以包括I/O设备,诸如允许客户端的用户利用克隆图像的显示设备和用户输入设备。
图3是流程图,展示了根据一个或多个实施例的用于执行VDI内的应用的技术。图3展示了网络中运行克隆图像255的客户端250处的方法所述方法在302处开始,并且接收克隆图像。克隆图像可以包括应用以及扫描结果的副本。如图2中描绘的,克隆图像可以包括具有只读快照270的一部分的应用,所述一部分包括由服务器205托管的操作系统和各种应用的实例。扫描结果的副本可以作为克隆图像255的COW层260的一部分被接收,或者可以是如被示出为扫描结果265的新独立层。
在304处,客户端250识别对客户端上应用的启动。例如,用户可以启动应用,或者可以以其他方式加载应用。作为加载过程的一部分,或者在加载应用之前,在306处,作出关于是否已经识别到应用的有效扫描结果的判定。识别到存在应用的扫描结果可以指示应用已经被安全模块240扫描,并且另一次扫描是不必要的。在一个或多个实施例中,判定是否存在有效的扫描结果可以包括判定扫描结果是已到期,还是出于任何其他原因不再有效。如果在306处确定扫描结果无效,则方法在308处继续,并扫描应用。在一个或多个实施例中,只读快照270中的安全模块240的实例可以扫描应用。因此,在一个或多个实施例中,对图像进行扫描可以在来自可用克隆体之一的任何虚拟机上完成。例如,在客户端275处发生的新扫描的结果可以被推送至服务器205和/或客户端250。对于系统中的所有克隆图像,扫描可能只需要发生一次,直到这些扫描结果到期。另外,只读快照270中的安全模块240的实例可以用更新后扫描结果来替换扫描结果265。进一步地,在一个或多个实施例中,或者在用户登录客户端设备时,或者在对非持续克隆实例进行刷新操作时,对于系统中的所有其他客户端,可以向克隆映像推送更新后扫描结果。在一个或多个实施例中,客户端可以将更新后扫描结果推送至系统中的其他客户端,或者可以将更新后扫描结果传输至服务器以便传播至系统中其他客户端。在308之后,并且在308处识别出有效的扫描结果的情况下,方法在310处继续,并且允许在不进行进一步扫描的情况下执行应用。
图4是流程图,展示了根据一个或多个实施例的用于提供VDI的技术。图4展示了为客户端生成和部署克隆图像的服务器205。所述方法在402处开始,并且服务器205生成包括应用的实例的基本图像。例如,服务器205的VDI模块244可以生成基本图像。
所述方法在404处继续,并且安全模块240对基本图像执行扫描。如以上所描述的,安全模块240可以包括杀毒程序、反恶意软件程序或扫描恶意内容的任何其他安全程序。在一个或多个实施例中,安全模块240存储扫描结果245,并且扫描结果245的副本被包括在基本图像中。
所述方法在406处继续,并且接收对基本图像的克隆图像的请求。在一个或多个实施例中,可以例如作为用户登录客户端设备(例如客户端250或客户端275)的结果而接收请求。在408处,向远程客户端部署克隆图像。例如,可以以由服务器托管的虚拟机的形式来部署克隆图像。
在410处,作出关于扫描结果245是否有效的判定。只要在410处扫描结果仍然有效,就在414处向克隆图像部署相同的扫描结果。例如,在预定时间段之后,或者如果安全模块本身已经更新有新的病毒或其他恶意软件定义,或者出于可以通过扫描结果来指示的任何其他原因,扫描结果245可能变得无效。
如果在410处确定扫描结果不再有效,则在412处,安全模块412对基本图像执行新的扫描,并且在414处,服务器存储更新后扫描结果并且向克隆图像部署更新后扫描结果。例如当用户在客户端处请求新的克隆图像时或者当用户在客户端处执行刷新操作时,服务器可以部署更新后扫描结果。另外,服务器可以在客户端会话期间推送更新后扫描结果。
应理解,上述流程图的各个组成部分可以以不同的顺序或甚至同时发生。还应理解,本发明的各个实施例可以包括上述组成部分中的全部或仅一些。因此,提供流程图是为了更好地理解实施例,但是除非另有说明,流程图组成部分的特定排序不旨在是限制性的。
程序指令可以用于使利用这些指令所编程的通用或专用处理系统执行本文中所描述的操作。替代性地,这些操作可以由含有用于执行这些操作的硬件连线的逻辑的特定硬件部件执行,或者由程序计算机部件和自定义硬件部件的任意组合执行。本文描述的方法可以作为计算机程序产品来提供,所述计算机程序产品可包括具有存储在其上的指令的机器可读介质,这些指令可以用来对处理系统或其他电子设备进行编程以执行所述方法。本文使用的术语“机器可读介质”应当包括能够存储或编码指令序列的任何介质,所述指令序列供机器执行并且使机器执行本文描述的任一种方法。从而,术语“机器可读介质”应该包括但不限于有形的、非暂态存储器,如固态存储器、光盘和磁盘。而且,在采取动作或导致结果时,提到一种形式或另一种形式(例如,程序、流程、过程、应用、模块、逻辑等等)的软件在本领域是常见的。这类表达仅仅是陈述由处理系统执行软件使得处理器执行动作或产生结果的速记方式。
下面的示例涉及进一步的实施例。
示例1是一种其上存储有指令的机器可读介质,所述指令包括当由处理器执行时使机器进行以下操作的指令:从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括在所述服务器上执行的操作系统和应用的实例;使用所述克隆图像来识别对所述应用的启动;响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
在示例2中,如示例1所述的主题可以可选地包括进一步使机器进行以下操作的指令:确定所述扫描结果已到期;以及响应于确定所述扫描结果已到期而:扫描所述应用,并且更新所述扫描结果以便获得更新后扫描结果。
在示例3中,如示例2所述的主题可以可选地包括当被执行时使机器向执行附加克隆图像并且跨网络连接至本地客户端设备的远程客户端部署所述更新后扫描结果的指令。
在示例4中,如示例1所述的主题可以可选地包括:所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
在示例5中,如示例3所述的主题可以可选地包括进一步使机器进行以下操作的指令:所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
示例6包括一种用于利用虚拟桌面界面的系统,所述系统包括:一个或多个处理器;以及存储器,所述存储器耦合至所述一个或多个处理器,所述存储器上存储有指令,所述指令当由所述一个或多个处理器执行时使所述一个或多个处理器:从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括在所述服务器上执行的操作系统和应用的实例;使用所述克隆图像来识别对所述应用的启动;响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
在示例7中,如示例6所述的主题可以可选地包括当被执行时使所述一个或多个处理器进行以下操作的指令:确定所述扫描结果已到期;以及响应于确定所述扫描结果已到期而:扫描所述应用并且更新所述扫描结果以便获得更新后扫描结果。
在示例8中,如权利要求7所述的示例可以可选地包括当被执行时使所述一个或多个处理器向执行附加克隆图像并且跨网络连接至本地客户端设备的远程客户端部署所述更新后扫描结果的指令。
在示例9中,如权利要求6所述的示例可以可选地包括:所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
在示例10中,如权利要求9所述的示例可以可选地包括:所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
示例11包括一种用于利用虚拟桌面基础设施的方法,所述方法包括:从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括由所述服务器托管的操作系统和应用的实例;使用所述克隆图像来识别对所述应用的启动;响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
在示例12中,如权利要求11所述的示例可以可选地包括:确定所述扫描结果的所述副本已到期;以及响应于确定所述扫描结果的所述副本已到期而扫描所述应用并且更新所述扫描结果以便获得更新后扫描结果。
在示例13中,如权利要求12所述的示例可以可选地包括:向执行附加克隆图像并且跨网络连接至所述机器的客户端部署所述更新后扫描结果。
在示例14中,如权利要求11所述的示例可以可选地包括:其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
在示例15中,如权利要求14所述的示例可以可选地包括:其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
示例16包括一种其上存储有指令的机器可读介质,所述指令包括当被执行时使机器进行以下操作的指令:生成基本图像,所述基本图像包括由服务器托管的操作系统的第一实例和应用的第一实例;对所述基本图像执行扫描以便获得扫描结果;生成所述克隆图像以便包括所述操作系统的第二实例、所述应用的第二实例、以及所述扫描结果的副本;以及向所述客户端部署所述克隆图像,其中,所述克隆图像被配置用于允许所述客户端在不扫描所述克隆图像的情况下执行所述克隆图像。
在示例17中,如权利要求16所述的示例可以可选地包括当被执行时使所述机器进行以下操作的指令:确定所述扫描结果已到期;以及响应于确定所述扫描结果已到期而:扫描所述应用,更新所述扫描结果以便获得更新后扫描结果,并且向所述客户端部署所述更新后扫描结果。
在示例18中,如权利要求17所述的示例可以可选地包括:其中,当被执行时使所述机器向所述客户端部署所述更新后扫描结果的所述指令包括当被执行时使所述机器向所述客户端部署包括所述更新后扫描结果的更新后克隆图像的指令。
在示例19中,如权利要求16所述的示例可以可选地包括:其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述第一实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
在示例20中,如权利要求19所述的示例可以可选地包括:其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
示例21包括一种用于提供虚拟桌面基础设施的方法,所述方法包括:生成基本图像,所述基本图像包括由服务器托管的操作系统的第一实例和应用的第一实例;对所述基本图像执行扫描以便获得扫描结果;生成所述克隆图像以便包括所述操作系统的第二实例、所述应用的第二实例、以及所述扫描结果的副本;以及向所述客户端部署所述克隆图像,其中,所述克隆图像被配置用于允许所述客户端在不扫描所述克隆图像的情况下执行所述克隆图像。
在示例22中,如权利要求21所述的示例可以可选地包括:确定所述扫描结果已到期;以及响应于确定所述扫描结果已到期而:扫描所述应用,更新所述扫描结果以便获得更新后扫描结果,并且向所述客户端部署所述更新后扫描结果。
在示例23中,如权利要求22所述的示例可以可选地包括:其中,向所述客户端部署所述更新后扫描结果包括向所述客户端部署包括所述更新后扫描结果的更新后克隆图像。
在示例24中,如21所述的示例可以可选地包括:其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述第一实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
在示例25中,如24所述的示例可以可选地包括:其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
示例26包括一种包括代码的机器可读介质,所述代码当被执行时使机器执行如示例11至15所述的方法。
示例27包括一种包括代码的机器可读介质,所述代码当被执行时使机器执行如示例21至25所述的方法。
示例28包括一种网络设备,所述网络设备包括:用于生成基本图像的装置,所述基本图像包括由服务器托管的操作系统的第一实例和应用的第一实例;用于对所述基本图像执行扫描以便获得扫描结果的装置;用于生成所述克隆图像以便包括所述操作系统的第二实例、所述应用的第二实例、以及所述扫描结果的副本的装置;以及用于向所述客户端部署所述克隆图像的装置,其中,所述克隆图像被配置用于允许所述客户端在不扫描所述克隆图像的情况下执行所述克隆图像。
在示例29中,如28的所述示例可以可选地包括:用于确定所述扫描结果的所述副本已到期的装置;以及用于响应于确定所述扫描结果的所述副本已到期而进行以下操作的装置:扫描所述应用以及更新所述扫描结果以便获得更新后扫描结果。
示例30包括一种网络设备,所述网络设备包括:用于生成基本图像的装置,所述基本图像包括由服务器托管的操作系统的第一实例和应用的第一实例;用于对所述基本图像执行扫描以便获得扫描结果的装置;用于生成所述克隆图像以便包括所述操作系统的第二实例、所述应用的第二实例、以及所述扫描结果的副本的装置;以及用于向所述客户端部署所述克隆图像的装置,其中,所述克隆图像被配置用于允许所述客户端在不扫描所述克隆图像的情况下执行所述克隆图像。
应理解,以上说明旨在是说明性的而非限制性的。例如,上述实施例可以彼此组合地使用。作为另一示例,上述流程图包括可以不以附图中所描绘的特定顺序来执行的一系列动作。相反,各种动作可以以不同的顺序或者甚至同时发生。对本领域技术人员而言,在阅读了以上说明之后,许多其他的实施例都将是明显的。因此,本发明的范围应当参照所附权利要求书以及这种权利要求书有权获得的等效物的全部范围来确定。
Claims (20)
1.一种其上存储有指令的机器可读介质,所述指令包括当被执行时使机器进行以下操作的指令:
从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括由所述服务器托管的操作系统和应用的实例;
使用所述克隆图像来识别对所述应用的启动;
响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及
响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
2.如权利要求1所述的机器可读介质,进一步包括当被执行时使所述机器进行以下操作的指令:
确定所述扫描结果的所述副本已到期;以及
响应于确定所述扫描结果的所述副本已到期而:
扫描所述应用,并且
更新所述扫描结果以便获得更新后扫描结果。
3.如权利要求2所述的机器可读介质,进一步包括当被执行时使所述机器进行以下操作的指令:
向执行附加克隆图像并且跨网络连接至所述机器的客户端部署所述更新后扫描结果。
4.如权利要求1所述的机器可读介质,其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
5.如权利要求4所述的机器可读介质,其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
6.一种用于利用虚拟桌面界面的系统,所述系统包括:
一个或多个处理器;以及
存储器,所述存储器耦合至所述一个或多个处理器,所述存储器上存储有指令,所述指令包括当由所述一个或多个处理器执行时使所述一个或多个处理器进行以下操作的指令:
从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括由所述服务器托管的操作系统和应用的实例;
使用所述克隆图像来识别对所述应用的启动;
响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及
响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
7.如权利要求6所述的系统,所述指令进一步包括当被执行时使所述一个或多个处理器进行以下操作的指令:
确定所述扫描结果的所述副本已到期;以及
响应于确定所述扫描结果的所述副本已到期而:
扫描所述应用,并且
更新所述扫描结果以便获得更新后扫描结果。
8.如权利要求7所述的系统,所述指令进一步包括当被执行时使所述一个或多个处理器进行以下操作的指令:
向执行附加克隆图像并且跨网络连接至所述机器的客户端部署所述更新后扫描结果。
9.如权利要求6所述的系统,其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
10.如权利要求9所述的系统,其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
11.一种用于利用虚拟桌面基础设施的方法,所述方法包括:
从服务器处接收克隆图像以及扫描结果的副本,所述克隆图像包括由所述服务器托管的操作系统和应用的实例;
使用所述克隆图像来识别对所述应用的启动;
响应于识别到对所述应用的启动而确定所述扫描结果的副本包括对所述应用的扫描结果;以及
响应于确定所述扫描结果的副本包括对所述应用的所述扫描结果而在不对所述应用进行任何进一步扫描的情况下执行所述应用。
12.如权利要求11所述的方法,进一步包括:
确定所述扫描结果的所述副本已到期;以及
响应于确定所述扫描结果的所述副本已到期而:
扫描所述应用,并且
更新所述扫描结果以便获得更新后扫描结果。
13.如权利要求12所述的方法,进一步包括:
向执行附加克隆图像并且跨网络连接至所述机器的客户端部署所述更新后扫描结果。
14.如权利要求11所述的方法,其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
15.如权利要求14所述的方法,其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
16.一种其上存储有指令的机器可读介质,所述指令包括当被执行时使机器进行以下操作的指令:
生成基本图像,所述基本图像包括由服务器托管的操作系统的第一实例和应用的第一实例;
对所述基本图像执行扫描以便获得扫描结果;
生成所述克隆图像以便包括所述操作系统的第二实例、所述应用的第二实例、以及所述扫描结果的副本;以及
向所述客户端部署所述克隆图像,
其中,所述克隆图像被配置用于允许所述客户端在不扫描所述克隆图像的情况下执行所述克隆图像。
17.如权利要求16所述的机器可读介质,进一步包括当被执行时使所述机器进行以下操作的指令:
确定所述扫描结果已到期;以及
响应于确定所述扫描结果已到期而:
扫描所述应用,
更新所述扫描结果以便获得更新后扫描结果,并且
向所述客户端部署所述更新后扫描结果。
18.如权利要求17所述的机器可读介质,其中,当被执行时使所述机器向所述客户端部署所述更新后扫描结果的所述指令包括当被执行时使所述机器向所述客户端部署包括所述更新后扫描结果的更新后克隆图像的指令。
19.如权利要求16所述的机器可读介质,其中,所述克隆图像包括只读层和缓存快照层,其中,所述只读层包括所述操作系统和所述应用的所述第一实例,并且其中,所述缓存快照层包括所述扫描结果的所述副本。
20.如权利要求19所述的机器可读介质,其中,所述克隆图像进一步包括被配置用于存储由本地客户端设备对所述克隆图像进行的修改的写时复制层。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/738,608 | 2015-06-12 | ||
| US14/738,608 US10148682B2 (en) | 2015-06-12 | 2015-06-12 | Security of VDI clones |
| PCT/US2016/032105 WO2016200544A1 (en) | 2015-06-12 | 2016-05-12 | Security of virtual desktop infrastructure clones |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107873094A true CN107873094A (zh) | 2018-04-03 |
Family
ID=57504781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680033644.8A Pending CN107873094A (zh) | 2015-06-12 | 2016-05-12 | 虚拟桌面基础设施克隆体的安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10148682B2 (zh) |
| EP (1) | EP3308263B1 (zh) |
| CN (1) | CN107873094A (zh) |
| WO (1) | WO2016200544A1 (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120066762A1 (en) * | 2010-09-13 | 2012-03-15 | Rade Todorovic | System and method of whitelisting parent virtual images |
| WO2014117533A9 (en) * | 2013-01-31 | 2014-10-16 | Hangzhou H3C Technologies Co., Ltd. | Creating virtual machines |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7107618B1 (en) * | 2001-09-25 | 2006-09-12 | Mcafee, Inc. | System and method for certifying that data received over a computer network has been checked for viruses |
| US20100250400A1 (en) * | 2006-11-10 | 2010-09-30 | Media Patents, S.L. | Apparatus and methods for the sale of software products |
| US8011010B2 (en) * | 2007-04-17 | 2011-08-30 | Microsoft Corporation | Using antimalware technologies to perform offline scanning of virtual machine images |
| US8584240B1 (en) * | 2007-10-03 | 2013-11-12 | Trend Micro Incorporated | Community scan for web threat protection |
| US8528075B2 (en) * | 2008-11-30 | 2013-09-03 | Red Hat Israel, Ltd. | Accelerating the execution of anti-virus programs in a virtual machine environment |
| US8910161B2 (en) | 2012-07-13 | 2014-12-09 | Vmware, Inc. | Scan systems and methods of scanning virtual machines |
| US10091293B2 (en) | 2013-11-07 | 2018-10-02 | Vmware, Inc. | Rapid cloud-based image centralization |
| US9223980B1 (en) * | 2014-06-11 | 2015-12-29 | Symantec Corporation | Systems and methods for indicating malware statuses of electronic messages |
-
2015
- 2015-06-12 US US14/738,608 patent/US10148682B2/en active Active
-
2016
- 2016-05-12 WO PCT/US2016/032105 patent/WO2016200544A1/en active Application Filing
- 2016-05-12 CN CN201680033644.8A patent/CN107873094A/zh active Pending
- 2016-05-12 EP EP16807996.0A patent/EP3308263B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120066762A1 (en) * | 2010-09-13 | 2012-03-15 | Rade Todorovic | System and method of whitelisting parent virtual images |
| WO2014117533A9 (en) * | 2013-01-31 | 2014-10-16 | Hangzhou H3C Technologies Co., Ltd. | Creating virtual machines |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160366173A1 (en) | 2016-12-15 |
| US10148682B2 (en) | 2018-12-04 |
| EP3308263A4 (en) | 2019-01-23 |
| WO2016200544A1 (en) | 2016-12-15 |
| EP3308263A1 (en) | 2018-04-18 |
| EP3308263B1 (en) | 2021-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11741222B2 (en) | Sandbox environment for document preview and analysis | |
| US10375111B2 (en) | Anonymous containers | |
| US20170249448A1 (en) | System and method for updating downloaded applications using managed container | |
| US9998512B2 (en) | System and method of optimizing digital media processing in a carrier grade web portal environment | |
| US20080301770A1 (en) | Identity based virtual machine selector | |
| NZ747895A (en) | Virtualized security isolation | |
| US20160234250A1 (en) | System and method for software defined deployment of security appliances using policy templates | |
| CN109478149A (zh) | 混合云计算系统中的访问服务 | |
| CN109479062B (zh) | 混合云计算系统中的使用跟踪 | |
| US20140344806A1 (en) | Context Aware Virtual Desktop | |
| US20130227635A1 (en) | Mechanism for Applying Security Category Labels to Multi-Tenant Applications of a Node in a Platform-as-a-Service (PaaS) Environment | |
| Shaikh et al. | Security issues in cloud computing | |
| US11474842B2 (en) | Integration application creator design | |
| US20170004000A1 (en) | Virtual machine migration via a mobile device | |
| CN109542862B (zh) | 用于控制文件系统的挂载的方法、装置和系统 | |
| CN116566656A (zh) | 资源访问方法、装置、设备及计算机存储介质 | |
| CN107873094A (zh) | 虚拟桌面基础设施克隆体的安全性 | |
| US20230283614A1 (en) | Simultaneous, session level experimentation and experiences deployment | |
| US11729023B2 (en) | Artificial intelligence integration of third-party software into large-scale digital platforms | |
| US20240129306A1 (en) | Service to service communication and authentication via a central network mesh | |
| US20230319040A1 (en) | Repeating verification of a user | |
| US20240163306A1 (en) | Automated container security | |
| JP2020129367A (ja) | コンピューティングデバイス上で広告をブロックするシステム及び方法 | |
| US20190056960A1 (en) | Online desktop operating system | |
| CN118093071A (zh) | 云桌面部署方法、装置、云桌面服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180403 |