CN109155781A - 对托管应用程序的动态访问 - Google Patents
对托管应用程序的动态访问 Download PDFInfo
- Publication number
- CN109155781A CN109155781A CN201780029602.1A CN201780029602A CN109155781A CN 109155781 A CN109155781 A CN 109155781A CN 201780029602 A CN201780029602 A CN 201780029602A CN 109155781 A CN109155781 A CN 109155781A
- Authority
- CN
- China
- Prior art keywords
- registered device
- server
- end point
- registered
- analysis information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 140
- 230000015654 memory Effects 0.000 claims abstract description 42
- 238000004891 communication Methods 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000007726 management method Methods 0.000 claims description 205
- 230000009849 deactivation Effects 0.000 claims description 4
- 238000003860 storage Methods 0.000 description 31
- 239000003795 chemical substances by application Substances 0.000 description 27
- 230000006870 function Effects 0.000 description 23
- 238000005516 engineering process Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 10
- 238000004806 packaging method and process Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 7
- 239000007858 starting material Substances 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 239000002775 capsule Substances 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 239000004744 fabric Substances 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000002708 enhancing effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000012384 transportation and delivery Methods 0.000 description 4
- 238000000429 assembly Methods 0.000 description 3
- 230000000712 assembly Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000019491 signal transduction Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000011800 void material Substances 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000013257 coordination network Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013478 data encryption standard Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000005577 local transmission Effects 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000699 topical effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提出用于为已登记装置提供对托管应用程序的智能访问的方法、系统和计算机可读媒体。在一些实施例中,具有至少一个处理器、存储器和通信接口的计算平台可经由所述通信接口接收与已登记装置相关联的终点分析信息。随后,所述计算平台可分析与所述已登记装置相关联的所述终点分析信息,以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性。接着,所述计算平台可基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
Description
相关申请的交叉引用
本申请要求2017年3月29日提交的标题为“对托管应用程序的动态访问(DYNAMICACCESS TO HOSTED APPLICATIONS)”的第15/472,685号美国专利申请和2016年5月23日提交的标题为“为移动装置提供对托管应用程序的智能访问(PROVIDING MOBILE DEVICESWITH SMART ACCESS TO HOSTED APPLICATIONS)”的第62/340,025号美国临时专利申请的优先权。上述每个申请的内容出于所有目的以全文引用的方式并入本文中。
技术领域
本公开的方面涉及计算机硬件和软件。确切地说,本公开的一个或多个方面涉及用于为已登记装置提供对托管应用程序的智能访问的计算机硬件和软件。
背景技术
企业组织和其员工以及其它相关用户越来越多地使用移动计算装置来参与各种功能,例如发送和接收电子邮件、管理日历和任务、创建和查看内容、访问和修改企业信息以及执行其它功能。随着越来越多地采用和使用此类移动装置,越来越重要的是,组织应控制和/或以其它方式管理此类装置的使用方式和/或它们可访问的信息内容,以便保护企业信息和其它企业资源的安全和保密性。然而,在一些情况下,这可能带来技术挑战。
发明内容
本公开的各方面提供技术解决方案,其可解决和克服与控制和/或管理移动装置和/或移动应用程序对企业信息和其它企业资源的访问相关联的一个或多个技术挑战。
当前终点分析(EPA)技术在通常运行桌面操作系统的桌面计算装置上工作。然而,此当前终点分析技术不可应用于移动计算装置或移动操作系统。
本公开的方面涉及在移动计算装置和移动应用程序上提供终点分析功能性的方式。从移动装置启用“智能访问”(其可例如包含在移动计算装置和移动应用程序上提供终点分析功能性)可具重要性,这是因为可从远程或不安全位置使用移动装置,且移动装置可被轻易位移或攻击,这可包含此装置被越狱或刷机。如下文更详细地说明,此智能访问可设计成在移动装置上利用丰富的移动装置管理(MDM)和/或移动应用程序管理(MAM)终点分析功能性来提供增强的安全性。目前,没有任何现有产品使用移动装置管理(MDM)或移动应用程序管理(MAM)终点分析功能来提供与虚拟应用程序相关的智能访问。
如下文更详细地说明,本公开的方面在其中通过移动装置访问此类应用程序的情况中提供对高清晰度体验(HDX)托管应用程序的智能访问。通过利用来自受管装置的丰富的基于MDM的终点分析作为智能访问策略的输入来提供此智能访问。另外或替代地,通过利用来自受管或非受管装置的丰富的基于MDM的终点分析作为智能访问策略的输入来提供此智能访问。另外或替代地,基于丰富的MDM终点分析和/或MAM终点分析,增强的智能访问(其可例如根据本公开的一个或多个方面提供)可限制高清晰度体验(HDX)应用程序和/或特定HDX会话重定向特征的可用性。
举例来说,具有至少一个处理器、存储器和通信接口的计算平台可经由通信接口从移动装置接收终点分析信息。随后,计算平台可基于一个或多个智能访问策略和从移动装置接收的终点分析信息确定是否限制移动装置的托管高清晰度体验(HDX)应用程序或一个或多个特定HDX会话特征的可用性。基于确定限制移动装置的托管HDX应用程序或一个或多个特定HDX会话特征的可用性,计算平台可限制移动装置的托管HDX应用程序或一个或多个特定HDX会话特征的可用性。
在一些情况下,从移动装置接收的终点分析信息可包含移动装置管理(MDM)终点分析信息。在一些情况下,从移动装置接收的终点分析信息可包含移动应用程序管理(MAM)终点分析信息。
根据一个或多个实施例,具有至少一个处理器、通信接口和存储器的计算平台可经由通信接口接收与已登记装置相关联的终点分析信息。随后,所述计算平台可分析与所述已登记装置相关联的所述终点分析信息,以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性。接着,所述计算平台可基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含从所述已登记装置接收与所述已登记装置相关联的所述终点分析信息。在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含从企业移动性管理服务器接收与所述已登记装置相关联的所述终点分析信息。
在一些实施例中,可使用企业移动性管理服务器注册所述已登记装置,以在接收与所述已登记装置相关联的所述终点分析信息之前,将所述已登记装置登记在由所述企业移动性管理服务器实施的至少一个策略执行方案中。在一些情况下,接收与所述已登记装置相关联的所述终点分析信息可包含接收与所述已登记装置相关联的唯一装置标识符。此外,与所述已登记装置相关联的所述唯一装置标识符可由所述企业移动性管理服务器在将所述已登记装置登记在由所述企业移动性管理服务器实施的所述至少一个策略执行方案中期间生成。
在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含接收由用于所述已登记装置的企业移动性管理服务器生成的一个或多个符合性标签。在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动装置管理(MDM)策略执行方案生成。在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动应用程序管理(MAM)策略执行方案生成。在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动内容管理(MCM)策略执行方案生成。
在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定启用完全托管应用程序功能性。在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定启用部分托管应用程序功能性。在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定停用部分托管应用程序功能性。在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定停用完全托管应用程序功能性。
下文更详细地论述这些特征以及许多其它特征。
附图说明
可以通过参考考虑附图的以下描述来获取对本文中所描述的方面和其优点的更完整理解,其中相似参考数字指示相似特征,且在附图中:
图1描绘可以根据本文中所描述的一个或多个说明性方面使用的说明性计算机系统架构。
图2描绘可以根据本文中所描述的一个或多个说明性方面使用的说明性远程访问系统架构。
图3描绘可根据本文中所描述的一个或多个说明性方面使用的说明性虚拟化(管理程序)系统架构。
图4描绘可以根据本文中所描述的一个或多个说明性方面使用的说明性基于云的系统架构。
图5描绘根据本文中所描述的一个或多个说明性方面的说明性企业移动性管理系统。
图6描绘根据本文中所描述的一个或多个说明性方面的另一说明性企业移动性管理系统。
图7到16描绘根据本文中所描述的一个或多个说明性方面的关于为移动装置提供对托管应用程序的智能访问的实例。
图17描绘根据本文中所描述的一个或多个说明性方面的为移动装置提供对托管应用程序的智能访问的方法。
图18描绘根据本文中所描述的一个或多个说明性方面用于对已登记装置提供对托管应用程序的智能访问的说明性计算环境。
图19A和19B描绘根据本文中所描述的一个或多个说明性方面的用于为已登记装置提供对托管应用程序的智能访问的实例事件序列。
图20描绘根据本文中所描述的一个或多个说明性方面的为已登记装置提供对托管应用程序的智能访问的实例方法。
具体实施方式
在各种实施例的以下描述中,参考上文识别且形成本文的一部分的附图,且其中借助于说明示出可实践本文中所描述的方面的各种实施例。应理解,在不脱离本文中所描述的范围的情况下,可利用其它实施例,且可进行结构和功能修改。各种方面能够有其它实施例且能够实践或以各种不同方式实行。
应理解,本文中所使用的措词和术语是出于描述的目的且不应被视为是限制性的。相反地,应对本文中所使用的短语和术语给予其最广泛的解释和含义。“包含”和“包括”和其变体的使用打算涵盖其后列出的项目和其等效物以及额外项目和其等效物。术语“安装”、“连接”、“耦合”、“定位”、“接合”和类似术语的使用打算包含直接和间接安装、连接、耦合、定位和接合两者。
计算架构
可在包含独立式、联网、远程访问(又名,远程桌面)、虚拟化和/或基于云的环境等多种不同系统环境中利用计算机软件、硬件和网络。图1说明可用于在独立式和/或联网环境中实施本文中所描述的一个或多个说明性方面的系统架构和数据处理装置的一个实例。各种网络节点103、105、107和109可经由例如因特网等广域网(WAN)101互连。同样或替代地可以使用其它网络,包含专用内联网、公司网络、局域网(LAN)、城域网(MAN)、无线网络、个人网络(PAN)等等。网络101是出于说明的目的,且可由更少或额外计算机网络替换。局域网可具有任何已知LAN拓扑中的一个或多个,且可使用各种不同协议中的一个或多个,例如以太网。装置103、105、107、109和其它装置(未示出)可经由双绞线电线、同轴电缆、光纤、无线电波或其它通信媒体连接到网络中的一个或多个。
如本文中所使用且在图式中所描绘的术语“网络”不仅是指远程存储装置经由一个或多个通信路径耦合在一起的系统,而且是指可不时地耦合到具有存储能力的此类系统的独立式装置。因此,术语“网络”不仅包含“物理网络”,而且包含“内容网络”,其包含可归于驻留在所有物理网络上的单个实体的数据。
组件可包含数据服务器103、网页服务器105和客户端计算机107、109。数据服务器103提供对用于进行本文中所描述的一个或多个说明性方面的数据库和控制软件的总体访问、控制和管理。数据服务器103可连接到网页服务器105,用户按要求通过所述网页服务器105与数据交互和获得数据。替代地,数据服务器103自身可充当网页服务器且直接连接到因特网。数据服务器103可通过网络101(例如,因特网)经由直接或间接连接或经由某一其它网络连接到网页服务器105。用户可使用远程计算机107、109与数据服务器103交互,例如,使用网页浏览器以经由由网页服务器105代管的一个或多个外部暴露网站而连接到数据服务器103。客户端计算机107、109可与数据服务器103协同使用以访问其中存储的数据,或可用于其它目的。举例来说,从客户端装置107,用户可使用因特网浏览器(如所属领域中已知)或通过执行在计算机网络(例如因特网)上与网页服务器105和/或数据服务器103通信的软件应用程序来访问网页服务器105。
服务器和应用程序可在相同物理机器上组合,且保留独立的虚拟或逻辑地址,或可驻留于独立的物理机器上。图1说明可使用的网络架构的仅一个实例,且所属领域的技术人员将了解,使用的具体网络架构和数据处理装置可变化,且对于其提供的功能性是次要的,如本文中进一步描述。举例来说,由网页服务器105和数据服务器103提供的服务可在单个服务器上组合。
每个组件103、105、107、109可以是任何类型的已知计算机、服务器或数据处理装置。数据服务器103例如可包含控制数据服务器103的总体操作的处理器111。数据服务器103可进一步包含随机存取存储器(RAM)113、只读存储器(ROM)115、网络接口117、输入/输出接口119(例如,键盘、鼠标、显示器、打印机等)和存储器121。输入/输出(I/O)119可包含各种接口单元和驱动,以用于读取、写入、显示和/或打印数据或文件。存储器121可进一步存储用于控制数据处理装置103的总体操作的操作系统软件123、用于指示数据服务器103进行本文中所描述的方面的控制逻辑125,和提供可或可不结合本文中所描述的方面使用的次要、支持和/或其它功能性的其它应用软件127。控制逻辑在本文中也可被称为数据服务器软件125。数据服务器软件的功能性可是指基于编码到控制逻辑中的规则而自动做出的操作或决策、通过用户对系统提供输入而手动做出的操作或决策,和/或基于用户输入(例如,询问、数据更新等)的自动处理的组合。
存储器121还可存储用于进行本文中所描述的一个或多个方面的数据,所述存储器121包含第一数据库129和第二数据库131。在一些实施例中,第一数据库可包含第二数据库(例如,作为独立的图表、报告等)。也就是说,取决于系统设计,信息可存储于单个数据库中,或分成不同逻辑、虚拟或物理数据库。装置105、107、109可具有与如关于装置103所描述的架构类似或不同的架构。所属领域的技术人员将了解,如本文中所描述的数据处理装置103(或装置105、107、109)的功能性可散布在多个数据处理装置上,例如以将处理负载分布在多个计算机上,从而基于地理位置、用户访问级别、服务质量(QoS)等分隔交易。
一个或多个方面可以由如本文中所描述的一个或多个计算机或其它装置执行的计算机可用或可读数据和/或计算机可执行指令来体现,例如,以一个或多个程序模块来体现。通常,程序模块包含在由计算机或其它装置中的处理器执行时进行特定任务或实施特定抽象数据类型的例程、程序、对象、组件、数据结构等。模块可按随后被编译供执行的源代码编程语言来撰写,或可按例如(但不限于)超文本标记语言(HTML)或可扩展标记语言(XML)的脚本语言来撰写。计算机可执行指令可存储于例如非易失性存储装置等计算机可读媒体上。可利用任何合适的计算机可读存储媒体,包含硬盘、CD-ROM、光学存储装置、磁性存储装置和/或其任何组合。另外,表示如本文中所描述的数据或事件的各种传输(非存储)媒体可按穿过信号传导媒体的电磁波的形式在源与目的地之间传输,所述信号传导媒体例如金属线、光纤和/或无线传输媒体(例如,空气和/或空间)。本文中所描述的各种方面可体现为方法、数据处理系统或计算机程序产品。因此,可全部或部分地以软件、固件和/或硬件或硬件等效物,例如集成电路、现场可编程门阵列(FPGA)等来体现各种功能性。可使用特定数据结构更有效地实施本文中所描述的一个或多个方面,且预期此类数据结构在本文中所描述的计算机可执行指令和计算机可用数据的范围内。
进一步参考图2,可在远程访问环境中实施本文中所描述的一个或多个方面。图2描绘包含在可根据本文中所描述的一个或多个说明性方面使用的说明性计算环境200中的计算装置201的实例系统架构。计算装置201可被用作配置成为客户端访问装置提供虚拟机的单个服务器或多服务器桌面虚拟化系统(例如,远程访问或云系统)中的服务器206a。计算装置201可具有用于控制服务器和其相关联组件(包含RAM 205、ROM 207、I/O模块209和存储器215)的总体操作的处理器203。
I/O模块209可包含鼠标、小键盘、触摸屏、扫描仪、光学读取器和/或触控笔(或其它输入装置),计算装置201的用户可通过这些装置提供输入,且还可包含用于提供音频输出的扬声器和用于提供文本、视听和/或图形输出的视频显示装置中的一个或多个。软件可存储于存储器215和/或其它存储装置内,以将用于将计算装置201配置成专用计算装置以便执行如本文中所描述的各种功能的指令提供到处理器203。举例来说,存储器215可存储由计算装置201使用的软件,例如操作系统217、应用程序219和相关联数据库221。
计算装置201可在支持到例如终端240(也被称为客户端装置)的一个或多个远程计算机的连接的联网环境中操作。终端240可以是个人计算机、移动装置、笔记本电脑、平板计算机或服务器,其包含上文关于计算装置103或201所描述的元件中的许多或全部。图2中所描绘的网络连接包含局域网(LAN)225和广域网(WAN)229,但也可包含其它网络。当用于LAN联网环境中时,计算装置201可通过网络接口或适配器223而连接到LAN 225。当用于WAN联网环境中时,计算装置201可包含用于在例如计算机网络230(例如,因特网)等WAN 229上建立通信的调制解调器227或其它广域网接口。将了解,所示出的网络连接是说明性的,且可使用在计算机之间建立通信链路的其它装置。计算装置201和/或终端240也可以是包含例如电池、扬声器和天线(未示出)等各种其它组件的移动终端(例如,移动电话、智能电话、个人数字助理(PDA)、笔记本电脑等)。
本文中所描述的方面也可与众多其它通用或专用计算系统环境或配置一起操作。可适合与本文中所描述的技术一起使用的运算系统、环境和/或配置的实例包含但不限于个人计算机、服务器计算机、手持式装置或膝上型装置、多处理器系统、基于微处理器的系统、机顶盒、可编程消费型电子装置、网络个人计算机(PC)、微型计算机、大型计算机,包含上述系统或装置中的任一个的分布式运算环境等。
如图2中所示出,一个或多个客户端装置240可与一个或多个服务器206a到206n(通常在本文中被称为“服务器206”)通信。在一个实施例中,计算环境200可包含安装在服务器206与客户端机器240之间的网络设备。网络设备可管理客户端/服务器连接,且在一些情况下可使多个后端服务器206当中的客户端连接负载平衡。
客户端机器240在一些实施例中可被称为单个客户端机器240或客户端机器240的单个群组,而服务器206可被称为单个服务器206或服务器206的单个群组。在一个实施例中,单个客户端机器240与多于一个服务器206通信,而在另一实施例中,单个服务器206与多于一个客户端机器240通信。在又一实施例中,单个客户端机器240与单个服务器206通信。
在一些实施例中,客户端机器240可由以下非详尽术语中的任一个引用:客户端机器;客户端;客户端计算机;客户端装置;客户端计算装置;本地机器;远程机器;客户端节点;端点;或端点节点。在一些实施例中,服务器206可由以下非详尽术语中的任一个引用:服务器、本地机器;远程机器;服务器集群或主机计算装置。
在一个实施例中,客户端机器240可以是虚拟机。虚拟机可以是任何虚拟机,而在一些实施例中,虚拟机可以是由1型或2型管理程序管理的任何虚拟机,所述管理程序例如,由Citrix系统、IBM、VMware或任何其它管理程序开发的管理程序。在一些方面中,虚拟机可由管理程序管理,而在各方面中,虚拟机可由在服务器206上执行的管理程序或在客户端240上执行的管理程序管理。
一些实施例包含客户端装置240,其显示由在服务器206上远程执行的应用程序或其它远程定位的机器生成的应用程序输出。在这些实施例中,客户端装置240可执行虚拟机接收器程序或应用程序以在应用窗口、浏览器或其它输出窗口中显示输出。在一个实例中,应用程序是桌面,而在其它实例中,应用程序是生成或呈现桌面的应用程序。桌面可包含图形壳层,所述图形壳层提供用于其中可整合本地和/或远程应用程序的操作系统的例项的用户接口。如本文中所使用的应用程序是在已加载操作系统(且任选地还有桌面)的例项之后执行的程序。
在一些实施例中,服务器206使用远程呈现协议或其它程序将数据发送到精简客户端或在客户端上执行的远程显示应用程序,以呈现由在服务器206上执行的应用程序生成的显示输出。精简客户端或远程显示协议可以是以下非详尽协议列表中的任一个:由Citrix Systems,Inc.(佛罗里达,劳德代尔堡)开发的独立计算架构(ICA)协议;或由华盛顿雷德蒙德的微软公司制造的远程桌面协议(RDP)。
远程计算环境可包含多于一个服务器206a到206n,使得服务器206a到206n例如在云计算环境中一起逻辑分组为服务器集群206。服务器集群206可包含虽然地理上分散却逻辑分组在一起的服务器206,或位置相互最接近同时逻辑分组在一起的服务器206。在一些实施例中,在服务器集群206内的地理上分散的服务器206a到206n使用WAN(广)、MAN(都市)或LAN(本地)通信,其中不同地理区域可表征为:不同大陆;大陆的不同区域;不同国家;不同州;不同城市;不同园区;不同房间;或先前地理位置的任何组合。在一些实施例中,可将服务器集群206作为单个实体管理,而在其它实施例中,服务器集群206可包含多个服务器集群。
在一些实施例中,服务器集群可包含执行大体上类似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN等)的服务器206。在其它实施例中,服务器集群206可包含执行第一类型的操作系统平台的一个或多个服务器的第一群组,和执行第二类型的操作系统平台的一个或多个服务器的第二群组。
服务器206可按需要配置为任何类型的服务器,例如,文件服务器、应用程序服务器、网页服务器、代理服务器、设备、网络设备、网关、应用程序网关、网关服务器、虚拟化服务器、部署服务器、安全套接字层(SSL)VPN服务器、防火墙、网页服务器、应用程序服务器,或作为主应用程序服务器、执行活动目录的服务器,或执行提供防火墙功能性、应用程序功能性或负载平衡功能性的应用加速程序的服务器。还可使用其它服务器类型。
一些实施例包含第一服务器206a,其接收来自客户端机器240的请求,将请求转发到第二服务器206b,且用来自第二服务器206b的响应来响应由客户端机器240生成的请求。第一服务器206a可获取可用于客户端机器240的应用程序的列举,以及与代管在应用程序的列举内识别的应用程序的应用程序服务器206相关联的地址信息。第一服务器206a可接着使用网页接口呈现对客户请求的响应,且与客户端240直接通信以向客户端240提供对经识别应用程序的访问权。一个或多个客户端240和/或一个或多个服务器206可在例如网络101的网络230上传输数据。
图3示出说明性桌面虚拟化系统的高层级架构。如所示出,桌面虚拟化系统可以是单个服务器或多服务器系统或云系统,其包含配置成将虚拟桌面和/或虚拟应用程序提供到一个或多个客户端访问装置240的至少一个虚拟化服务器301。如本文中所使用,桌面是指可代管和/或执行一个或多个应用程序的图形环境或空间。桌面可包含图形壳层,所述图形壳层提供用于其中可整合本地和/或远程应用程序的操作系统的例项的用户接口。应用程序可包含在已加载操作系统(且任选地还有桌面)的例项之后执行的程序。操作系统的每个例项可以是物理的(例如,每个装置一个操作系统)或虚拟的(例如,在单个装置上运行的OS的许多例项)。每个应用程序可在本地装置上执行,或在位于远处的装置(例如,远程)上执行。
计算机装置301可配置为虚拟化环境中的虚拟化服务器,例如单服务器、多服务器或云计算环境。图3中所说明的虚拟化服务器301可部署为图2中所说明的服务器206的一个或多个实施例或其它已知计算装置,和/或由由图2中所说明的服务器206的一个或多个实施例或由其它已知计算装置实施。虚拟化服务器301中包含硬件层,所述硬件层可包含一个或多个物理磁盘304、一个或多个物理装置306、一个或多个物理处理器308和一个或多个物理存储器316。在一些实施例中,固件312可存储于物理存储器316中的存储器元件内且可由物理处理器308中的一个或多个执行。虚拟化服务器301可进一步包含操作系统314,所述操作系统314可存储于物理存储器316中的存储器元件中且可由物理处理器308中的一个或多个执行。又另外,管理程序302可存储于物理存储器316中的存储器元件中且可由物理处理器308中的一个或多个执行。
在物理处理器308中的一个或多个上执行的可以是一个或多个虚拟机332A到332C(通常332)。每个虚拟机332可具有虚拟磁盘326A到326C和虚拟处理器328A到328C。在一些实施例中,第一虚拟机332A可使用虚拟处理器328A执行包含工具堆栈324的控制程序320。控制程序320可被称为控制虚拟机、Dom0、域0或用于系统管理和/或控制的其它虚拟机。在一些实施例中,一个或多个虚拟机332B到332C可使用虚拟处理器328B到328C执行访客操作系统330A到330B。
虚拟化服务器301可包含硬件层310,所述硬件层310具有与虚拟化服务器301通信的一件或多件硬件。在一些实施例中,硬件层310可包含一个或多个物理磁盘304、一个或多个物理装置306、一个或多个物理处理器308和一个或多个存储器216。物理组件304、306、308和316可包含例如上文所描述的组件中的任一个。物理装置306可包含例如网络接口卡、视频卡、键盘、鼠标、输入装置、监测器、显示装置、扬声器、光学驱动器、存储装置、通用串行总线连接、打印机、扫描仪、网络元件(例如,路由器、防火墙、网络地址翻译程序、负载平衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等)或连接到虚拟化服务器301或与虚拟化服务器301通信的任何装置。硬件层310中的物理存储器316可包含任何类型的存储器。物理存储器316可存储数据,且在一些实施例中,可存储一个或多个程序或可执行指令的集合。图3说明固件312存储于虚拟化服务器301的物理存储器316内的实施例。存储于物理存储器316中的程序或可执行指令可由虚拟化服务器301的一个或多个处理器308执行。
虚拟化服务器301还可包含管理程序302。在一些实施例中,管理程序302可以是由虚拟化服务器301上的处理器308执行以创建且管理任何数目的虚拟机332的程序。管理程序302可被称为虚拟机监测器或平台虚拟化软件。在一些实施例中,管理程序302可以是监测在计算机器上执行的虚拟机的可执行指令与硬件的任何组合。管理程序302可以是2型管理程序,其中管理程序在操作系统314内执行,所述操作系统314在虚拟化服务器301上执行。虚拟机接着在高于管理程序的级别处执行。在一些实施例中,2型管理程序在用户的操作系统的情境内执行,使得2型管理程序与用户的操作系统交互。在其它实施例中,在虚拟化环境中的一个或多个虚拟化服务器301可改为包含1型管理程序(未示出)。1型管理程序可通过直接访问硬件层310内的硬件和资源而在虚拟化服务器301上执行。也就是说,虽然2型管理程序302通过主机操作系统314访问系统资源,如所示出,但是1型管理程序可在无主机操作系统314的情况下直接访问所有系统资源。1型管理程序可直接在虚拟化服务器301的一个或多个物理处理器308上执行,且可包含存储于物理存储器316中的程序数据。
在一些实施例中,管理程序302可按模拟能够直接访问系统资源的操作系统330或控制程序320的任何方式将虚拟资源提供到在虚拟机332上执行的操作系统330或控制程序320。系统资源可包含但不限于物理装置306、物理磁盘304、物理处理器308、物理存储器316和包含在虚拟化服务器301硬件层310中的任何其它组件。管理程序302可用于仿真虚拟硬件、分区物理硬件、虚拟化物理硬件和/或执行提供对计算环境的访问权的虚拟机。在又其它实施例中,管理程序302控制在虚拟化服务器301上执行的虚拟机332的处理器调度和存储器分区。管理程序302可包含:加州帕洛阿尔托(Palo Alto,California)的VMWare公司制造的管理程序;XENPROJECT管理程序,其为在开源XenProject.org团体监督下开发的开源产品;由微软提供的HyperV、VirtualServer或虚拟PC管理程序,或其它管理程序。在一些实施例中,虚拟化服务器301执行创建访客操作系统可在其上执行的虚拟机平台的管理程序302。在这些实施例中,虚拟化服务器301可被称为主机服务器。此虚拟化服务器的实例为由佛罗里达州劳德代尔堡(Fort Lauderdale,FL)的思杰系统公司(Citrix Systems,Inc.)提供的XENSERVER。
管理程序302可创建客操作系统330于其中执行的一个或多个虚拟机332B到332C(通常332)。在一些实施例中,管理程序302可加载虚拟机图像以创建虚拟机332。在其它实施例中,管理程序302可执行虚拟机332内的访客操作系统330。在又其它实施例中,虚拟机332可执行访客操作系统330。
除创建虚拟机332之外,管理程序302还可控制至少一个虚拟机332的执行。在其它实施例中,管理程序302可通过由虚拟化服务器301提供的至少一个硬件资源(例如,在硬件层310内可用的任何硬件资源)的抽象来呈现至少一个虚拟机332。在其它实施例中,管理程序302可控制虚拟机332访问虚拟化服务器301中可用的物理处理器308的方式。控制对物理处理器308的访问可包含确定虚拟机332是否应能够访问处理器308和物理处理器能力被呈现给虚拟机332的方式。
如图3中所示出,虚拟化服务器301可代管或执行一个或多个虚拟机332。虚拟机332是可执行指令的集合,其在由处理器308执行时模仿物理计算机的操作,使得虚拟机332可极类似于物理计算装置而执行程序和过程。虽然图3说明虚拟化服务器301代管三个虚拟机332的实施例,但是在其它实施例中,虚拟化服务器301可代管任何数目的虚拟机332。在一些实施例中,管理程序302为每个虚拟机332提供可用于虚拟机332的物理硬件、存储器、处理器和其它系统资源的唯一虚拟视图。在一些实施例中,唯一虚拟视图可基于虚拟机权限、将策略引擎应用于一个或多个虚拟机识别符、访问虚拟机的用户、在虚拟机上执行的应用程序、由虚拟机访问的网络或任何其它所要准则中的一个或多个。举例来说,管理程序302可创建一个或多个不安全虚拟机332和一个或多个安全虚拟机332。可阻止不安全虚拟机332访问可准许安全虚拟机332访问的资源、硬件、存储器位置和程序。在其它实施例中,管理程序302可为每个虚拟机332提供可用于虚拟机332的物理硬件、存储器、处理器和其它系统资源的大体上类似虚拟视图。
每个虚拟机332可包含虚拟磁盘326A到326C(通常326)和虚拟处理器328A到328C(通常328)。在一些实施例中,虚拟磁盘326是虚拟化服务器301的一个或多个物理磁盘304的虚拟化视图或虚拟化服务器301的一个或多个物理磁盘304的一部分。物理磁盘304的虚拟化视图可由管理程序302生成、提供和管理。在一些实施例中,管理程序302为每个虚拟机332提供物理磁盘304的唯一视图。因此,在这些实施例中,包含在每个虚拟机332中的特定虚拟磁盘326在与其它虚拟磁盘326比较时可以是唯一的。
虚拟处理器328可以是虚拟化服务器301的一个或多个物理处理器308的虚拟化视图。在一些实施例中,物理处理器308的虚拟化视图可由管理程序302生成、提供和管理。在一些实施例中,虚拟处理器328具有至少一个物理处理器308的大体上全部相同特性。在其它实施例中,虚拟处理器308提供物理处理器308的经修改视图,使得虚拟处理器328的特性中的至少一些不同于对应物理处理器308的特性。
进一步参考图4,可在基于云的环境中实施本文中所描述的一些方面。图4说明云计算环境(或云系统)400的实例。如图4中所见,客户端计算机411到414可与云管理服务器410通信以访问云系统的计算资源(例如,主机服务器403、存储资源404和网络资源405)。
管理服务器410可在一个或多个物理服务器上实施。管理服务器410可运行例如由佛罗里达州劳德代尔堡的思杰系统公司的CLOUDPLATFORM、或OPENSTACK等等。管理服务器410可管理各种计算资源,包含云硬件和软件资源,例如,主机计算机403、数据存储装置404和联网装置405。云硬件和软件资源可包含专用和/或公用组件。举例来说,云可配置为待由一个或多个特定客户或客户端计算机411到414和/或在专用网络上使用的专用云。在其它实施例中,公用云或混合公用-专用云可由其它客户在开放式或混合网络上使用。
管理服务器410可配置成提供用户接口,云操作员和云客户可通过所述用户接口与云系统交互。举例来说,管理服务器410可为一组应用程序编程接口(API)和/或一个或多个云操作员控制台应用程序(例如,网页-基于独立式应用程序)提供用户接口以允许云操作员管理云资源,配置虚拟化层,管理客户帐户,和进行其它云管理任务。管理服务器410还可包含具有配置成经由客户端计算机411到414接收来自终端用户的云计算请求的用户接口的一组API和/或一个或多个客户控制台应用程序,所述云计算请求例如请求创建、修改或毁坏云内的虚拟机。客户端计算机411到414可经由因特网或其它通信网络连接到管理服务器410,且可请求访问由管理服务器410管理的计算资源中的一个或多个。响应于客户端请求,管理服务器410可包含资源管理器,所述资源管理器配置成基于客户端请求选择和布建云系统的硬件层中的物理资源。举例来说,云系统的管理服务器410和额外组件可配置成在网络(例如,因特网)上为在客户端计算机411-414处的客户布建、创建和管理虚拟机及其操作环境(例如,管理程序、存储资源、由网络元件提供的服务等),从而为客户提供计算资源、数据存储服务、联网能力以及计算机平台和应用程序支持。云系统也可配置成提供各种具体服务,包含安全系统、开发环境、用户接口等。
某些客户端411到414可有关,例如,不同客户端计算机代表同一终端用户创建虚拟机,或不同用户附属于同一公司或组织。在其它实例中,某些客户端411到414可不相关,例如用户附属于不同公司或组织。对于不相关客户端,可将任何一个用户的关于虚拟机或存储的信息对其它用户隐藏。
现在参考云计算环境的物理硬件层,可用性区401到402(或区)可是指物理计算资源的并置集合。可将区与计算资源的总体云中的其它区地理上分开。举例来说,区401可以是位于加利福尼亚的第一云数据中心,且区402可以是位于佛罗里达的第二云数据中心。管理切断410可位于可用性区中的一个处,或位于独立的位置。每个区可包含通过网关与例如管理服务器410等在所述区外的装置介接的内网。云的终端用户(例如,客户端411到414)可或可不意识到区之间的区别。举例来说,终端用户可请求创建具有指定量的存储器、处理能力和网络能力的虚拟机。管理服务器410可响应用户的请求且可在用户不了解是否使用来自区401或区402的资源创建虚拟机的情况下分配资源以创建虚拟机。在其它实例中,云系统可允许终端用户请求将虚拟机(或其它云资源)分配在具体区中或区内的具体资源403到405上。
在此实例中,每个区401到402可包含各种物理硬件组件(或计算资源)403到405的布置,例如,物理代管资源(或处理资源)、物理网络资源、物理存储资源、交换器和可用于向客户提供云计算服务的额外硬件资源。云区401到402中的物理代管资源可包含一个或多个计算机服务器403,例如上文所描述的虚拟化服务器301,其可配置成创建和代管虚拟机例项。云区401或402中的物理网络资源可包含包括配置成对云客户提供网络服务的硬件和/或软件的一个或多个网络元件405(例如,网络服务提供商),例如防火墙、网络地址翻译程序、负载平衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等。云区401到402中的存储资源可包含存储磁盘(例如,固态驱动器(SSD)、磁性硬盘等)和其它存储装置。
图4中示出的实例云计算环境还可包含具有额外硬件和/或软件资源的虚拟化层(例如,如图1到3中所示),所述资源配置成创建和管理虚拟机且使用云中的物理资源将其它服务提供给客户。虚拟化层可包含管理程序,如上文在图3中所描述,所述管理程序与其它组件一起提供网络虚拟化、存储虚拟化等。虚拟化层可作为与物理资源层分开的层,或可与物理资源层共享相同硬件和/或软件资源中的一些或全部。举例来说,虚拟化层可包含与物理计算资源一起安装在虚拟化服务器403中的每一个中的管理程序。可替代地使用已知云系统,例如,WINDOWS AZURE(华盛顿雷德蒙德的微软公司)、AMAZON EC2(华盛顿西雅图的亚马孙公司)、IBM BLUE CLOUD(纽约阿蒙克的IBM公司)或其它。
企业移动性管理架构
图5表示用于在BYOD环境中使用的企业移动性技术架构500。架构使移动装置502的用户能够访问来自移动装置502的企业或个人资源,和将移动装置502用于个人使用。用户可使用由用户购买的移动装置502或由企业提供给用户的移动装置502访问此类企业资源504或企业服务508。用户可只将移动装置502用于商业用途,或用于商业和个人用途。移动装置可运行iOS操作系统,和Android操作系统等。企业可选择实施策略以管理移动装置504。策略可通过防火墙或网关植入,其方式为使得移动装置可被识别、被保护或被安全验证且被提供对企业资源的选择性或完全访问。策略可以是移动装置管理策略、移动应用程序管理策略、移动数据管理策略,或移动装置、应用程序与数据管理策略的某种组合。通过移动装置管理策略的应用程序管理的移动装置504可被称为已经登记的装置。
在一些实施例中,移动装置的操作系统可分成受管分区510和非受管分区512。管理分区510可具有施加到其以使在受管分区上运行的应用程序和存储于受管分区中的数据安全的策略。在受管分区上运行的应用程序可以是安全应用程序。在其它实施例中,所有应用程序可根据与应用程序分开接收的一个或多个策略文件的集合而执行,且所述一个或多个策略文件定义一个或多个安全参数、特征、资源限制和/或当所述应用程序正在装置上执行时由移动装置管理系统执行的其它访问控制。通过根据其相应策略文件操作,每个应用程序可被允许或限制与一个或多个其它应用程序和/或资源通信,由此创建虚拟分区。因此,如本文中所使用,分区可是指存储器的物理上分区的部分(物理分区)、存储器的逻辑分区的部分(逻辑分区)和/或作为一个或多个策略和/或策略文件跨如本文中所描述的多个应用程序的执行的结果创建的虚拟分区(虚拟分区)。换句话说,通过对受管理应用执行策略,那些应用可限于仅能够与其它受管理应用和可信的企业资源通信,借此创建不能由非受管应用程序和装置渗透的虚拟分区。
安全应用程序可以是电子邮件应用程序、网页浏览应用程序、软件即服务(SaaS)访问应用程序、Windows Application访问应用程序等。安全应用程序可以是安全本机应用程序514、由安全应用程序启动器518执行的安全远程应用程序522、由安全应用程序启动器518执行的虚拟化应用程序526等。安全本机应用程序514可由安全应用程序包装器520包装。安全应用程序包装器520可包含整合策略,当安全本机应用程序在装置上执行时所述整合策略在移动装置502上执行。安全应用程序包装器520可包含向企业代管的资源指出在移动装置502上运行的安全本机应用程序514的元数据,所述安全本机应用程序514可能需要所述元数据来完成在执行安全本机应用程序514时请求的任务。可在安全应用程序启动器应用程序518内执行由安全应用程序启动器518执行的安全远程应用程序522。由安全应用程序启动器518执行的虚拟化应用程序526可在企业资源504处利用移动装置502上的资源等。由安全应用程序启动器518执行的虚拟化应用程序526在移动装置502上使用的资源可包含用户交互资源、处理资源等。用户交互资源可用于收集和传输键盘输入、鼠标输入、相机输入、触觉输入、音频输入、视觉输入、示意动作输入等。处理资源可用于呈现用户接口,处理从企业资源504接收的数据等。由安全应用程序启动器518执行的虚拟化应用程序526在企业资源504处使用的资源可包含用户接口生成资源、处理资源等。用户接口生成资源可用于汇编用户接口、修改用户接口、刷新用户接口等。处理资源可用于创建信息、读取信息、更新信息、删除信息等。举例来说,虚拟化应用可记录与图形用户接口(GUI)相关联的用户交互,且将其传送到服务器应用程序,其中服务器应用程序将使用用户交互数据作为到在服务器上操作的应用程序的输入。在此布置中,企业可选择维持服务器侧上的应用程序,以及与应用程序相关联的数据、文件等。虽然企业可通过使一些应用程序在移动装置上安全部署来根据本文中的原理选择“调动”一些应用程序,但是也可针对特定应用程序选择此布置。举例来说,虽然可使一些应用程序在移动装置上安全使用,但是其它应用程序可能未做准备,或可能不适合在移动装置上部署,因此企业可选择通过虚拟化技术向移动用户提供对未准备的应用程序的访问权。作为另一实例,企业可具有大且复杂的数据集的大且复杂的应用程序(例如,材料资源计划应用程序),其中针对移动装置定制应用程序将很困难或不合需要,因此企业可选择通过虚拟化技术提供对应用程序的访问权。作为又一实例,企业可具有维持高度安全的数据(例如,人力资源数据、客户数据、工程数据)的应用程序,所述高度安全的数据可被企业认为对于甚至安全的移动环境也是过于敏感,因此企业可选择使用虚拟化技术来准许对此类应用程序和数据的移动访问。企业可选择在移动装置上提供充分安全且充分功能性的应用程序,以及提供虚拟化应用程序,从而允许访问被认为在服务器侧上操作更恰当的应用程序。在一实施例中,虚拟化应用程序可在安全存储位置中的一个中将一些数据、文件等存储于移动电话上。举例来说,企业可选择允许在通电话中存储某些信息,同时不准许其它信息。
关于虚拟化应用程序,如本文中所描述,移动装置可具有被设计成呈现GUI且接着记录与GUI的用户交互的虚拟化应用程序。应用程序可将用户交互传达到服务器侧,以由服务器侧应用程序用作与所述应用程序的用户交互。作为响应,服务器侧上的应用程序可将新GUI传输回到移动装置。举例来说,新GUI可以是静态页、动态页、动画等,由此提供对远程定位的资源的访问权。
安全应用程序可访问存储于移动装置的受管分区510中的安全数据容器528中的数据。完全处于安全数据容器中的数据可由安全包装的应用程序514、由安全应用程序启动器522执行的应用程序、由安全应用程序启动器522执行的虚拟化应用程序526等访问。存储于安全数据容器528中的数据可包含文件、数据库等。存储于安全数据容器528中的数据可包含限于具体安全应用程序530、在安全应用程序532当中共享等的数据。限于安全应用程序的数据可包含安全的一般数据534和高度安全数据538。安全的一般数据可使用强的加密形式,例如高级加密标准(AES)128位加密等,而高度安全数据538可使用极强的加密形式,例如AES 256位加密。在接收到来自装置管理器524的命令后,就可从装置删除存储于安全数据容器528中的数据。安全应用程序可具有双模式选项540。双模式选项540可向用户呈现在不安全或非受管模式中操作安全应用程序的选项。在不安全或非受管模式中,安全应用程序可访问存储于移动装置502的非受管分区512上的不安全数据容器542中的数据。存储于不安全数据容器中的数据可以是个人数据544。存储于不安全数据容器542中的数据还可由在移动装置502的非受管分区512上运行的不安全应用程序548访问。当从移动装置502删除存储于安全数据容器528中的数据时,存储于不安全数据容器542中的数据可保持在移动装置502上。企业可能想要从移动装置删除选定或所有由企业拥有、许可或控制的数据、文件和/或应用程序(企业数据),同时留下或以其它方式保留由用户拥有、许可或控制的个人数据、文件和/或应用程序(个人数据)。此操作可被称为选择性擦除。通过根据本文中所描述的方面布置的企业和个人数据,企业可进行选择性擦除。
移动装置可连接到企业处的企业资源504和企业服务508,连接到公用因特网548,等等。移动装置可通过虚拟专用网络连接而连接到企业资源504和企业服务508。虚拟专用网络连接,也称为microVPN或专用VPN,可特定于特定应用程序550、特定装置、移动装置上的特定受保护区等552。举例来说,电话的安全区域中的经包装应用程序中的每一个可通过应用程序特定的VPN访问企业资源,使得将会基于与应用程序相关联的属性授权访问VPN,有可能与用户或装置属性信息结合。虚拟专用网络连接可携载微软交换业务、微软活动目录业务、超文本传送协议(HTTP)业务、安全超文本传送协议(HTTPS)业务、应用程序管理业务等。虚拟专用网络连接可支持且实现单点登录认证过程554。单点登录过程可允许用户提供认证证书的单一集合,接着通过认证服务558来验证所述集合。认证服务558接着可授权用户访问多个企业资源504,而不需要用户将认证证书提供给每个单独企业资源504。
虚拟专用网络连接可由访问网关560建立和管理。访问网关560可包含管理、促进和改进企业资源504递送到移动装置502的性能增强特征。访问网关还可将业务从移动装置502重新路由到公用因特网548,从而使得移动装置502能够访问在公用因特网548上运行的公开可用和不安全应用程序。移动装置可经由传送网络562连接到访问网关。传送网络562可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公用网络、专用网络等。
企业资源504可包含电子邮件服务器、文件共享服务器、SaaS应用程序、网页应用程序服务器、Windows应用程序服务器等。电子邮件服务器可包含交换服务器、Lotus Notes服务器等。文件共享服务器可包含ShareFile服务器等。SaaS应用程序可包含Salesforce等。Windows应用程序服务器可包含被建造成提供既定在本地Windows操作系统等上运行的应用程序的任何应用程序服务器。企业资源504可以是内建式资源、基于云的资源等。移动装置502可直接地或通过访问网关560来访问企业资源504。移动装置502可经由传送网络562访问企业资源504。传送网络562可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公用网络、专用网络等。
企业服务508可包含认证服务558、威胁检测服务564、装置管理器服务524、文件共享服务568、策略管理器服务570、社会整合服务572、应用程序控制器服务574等。认证服务558可包含用户认证服务、装置认证服务、应用程序认证服务、数据认证服务等。认证服务558可使用证书。证书可由企业资源504等存储于移动装置502上。存储于移动装置502上的证书可存储于移动装置上的加密位置中,所述证书可临时地存储于移动装置502上,以供在认证时使用等。威胁检测服务564可包含入侵检测服务、未授权访问尝试检测服务等。未授权访问尝试检测服务可包含访问装置、应用程序、数据等的未授权尝试。装置管理服务524可包含配置、布建、安全、支持、监测、报告和退除服务。文件共享服务568可包含文件管理服务、文件存储服务、文件协作服务等。策略管理器服务570可包含装置策略管理器服务、应用程序策略管理器服务、数据策略管理器服务等。社会整合服务572可包含联系人整合服务、协作服务、与例如Facebook、Twitter和LinkedIn的社交网络的整合等。应用程序控制器服务574可包含管理服务、布建服务、部署服务、指派服务、撤销服务、包装服务等。
企业移动性技术架构500可包含应用程序商店578。应用程序商店578可包含未包装应用程序580、预包装应用程序582等。应用程序可从应用程序控制器574填充在应用程序商店578中。应用程序商店578可由移动装置502通过访问网关560、通过公用因特网548等访问。应用程序商店可具备直观且易于使用的用户接口。
软件开发工具包584可向用户提供通过如先前在本说明书中所描述的包装应用程序而使由用户选择的应用程序安全的能力。接着通过使用应用程序控制器574将已使用软件开发工具包584包装的应用程序填充于应用程序商店578中,可使所述应用程序可供用于移动装置502。
企业移动性技术架构500可包含管理和分析能力588。管理和分析能力588可提供关于使用资源的方式、使用资源的频率等的信息。资源可包含装置、应用程序、数据等。使用资源的方式可包含哪些装置下载哪些应用程序,哪些应用程序访问哪些数据等。使用资源的频率可包含已下载应用程序的频率、具体数据集已由应用程序访问多少次等。
图6是另一说明性企业移动性管理系统600。为简单起见,已省略上文参考图5所描述的移动性管理系统500的组件中的一些。图6中所描绘的系统600的架构在许多方面类似于上文参看图5所描述的系统500的架构,且可包含上文未提到的额外特征。
在此情况下,左侧表示向客户端代理604登记过的移动装置602,所述移动装置602与网关服务器606(所述网关服务器606包含访问网关和应用程序控制器功能性)交互以访问各种企业资源608和服务609,例如交换、Sharepoint、公用密钥基础设施(PKI)资源、Kerberos资源、证书发布服务,如在右侧上方所示出。虽然未具体示出,但移动装置602还可与企业应用程序商店(StoreFront)交互以用于应用程序的选择和下载。
客户端代理604充当用于在企业数据中心中代管的Windows应用程序/桌面的UI(用户接口)中间物,使用高清用户体验(HDX)/ICA显示远程协议来访问所述Windows应用程序/桌面。客户端代理604还支持例如本机iOS或Android应用程序等在移动装置602上的本机应用程序的安装和管理。举例来说,图6所示的受管应用程序610(邮件、浏览器、包装的应用程序)都是在所述装置上本地执行的本机应用程序。客户端代理604和此架构的应用程序管理框架用以提供策略驱动管理能力和例如到企业资源/服务608的连接性和SSO(单点登录)的特征。客户端代理604处置对企业的主要用户认证,通常是对具有SSO到其它网关服务器组件的访问网关(AG)的主要用户认证。客户端代理604从网关服务器606获得策略以控制移动装置602上的受管应用程序610的行为。
本机应用程序610与客户端代理604之间的安全进程间通信(IPC)链路612表示管理信道,所述管理信道允许客户端代理供应将由“包装”每个应用程序的应用程序管理框架614执行的策略。IPC信道612还允许客户端代理604供应证书和认证信息,从而实现到企业资源608的连接性和SSO。最后,IPC信道612允许应用程序管理框架614调用由客户端代理604实施的用户接口功能,例如在线和离线认证。
客户端代理604与网关服务器606之间的通信实质上是管理信道从包装每个本机受管应用程序610的应用程序管理框架614的扩展。应用程序管理框架614从客户端代理604请求策略信息,所述客户端代理604继而从网关服务器606请求策略信息。应用程序管理框架614请求认证,且客户端代理604登录网关服务器606的网关服务部分(也被称为NetScaler访问网关)。客户端代理604还可呼叫网关服务器606上的支持服务,所述网关服务器606可产生输入材料以导出用于本地数据库616的加密密钥,或提供可实现对PKI保护的资源的直接认证的客户端证书,如下文更充分地解释。
更详细地说,应用程序管理框架614“包装”每个受管应用程序610。这可经由明确的建造步骤或经由后建造处理步骤合并。应用程序管理框架614可在应用程序610的第一次启动后与客户端代理604“配对”以初始化安全IPC信道和获得用于所述应用程序的策略。应用程序管理框架614可执行策略的局部应用的相关部分,例如客户端代理登录相依性和限制可使用本地OS服务的方式的包容策略中的一些,或其可与应用程序610交互的方式。
应用程序管理框架614可使用由客户端代理604在安全IPC信道612上提供的服务以有助于认证和内网访问。针对专用和共享数据库616(容器)的密钥管理还可通过受管应用程序610与客户端代理604之间的适当交互来进行管理。在策略允许的情况下,库616仅可在线上认证之后可用,或仅可在离线认证之后可用。库616的第一次使用可能需要线上认证,且离线访问可限于至多在再次需要线上认证之前的策略刷新周期。
可通过访问网关606根据单独受管应用程序610而直接地进行对内部资源的网络访问。应用程序管理框架614负责代表每个应用程序610来协调网络访问。客户端代理604可通过提供遵循线上认证获得的限制合适时间的次要证书来促进这些网络连接。可使用多个网络连接模式,例如反向网页代理连接和端对端VPN样式隧道618。
邮件和浏览器管理的应用程序610具有特殊状态,且可使用通常可能不可用于任意包装的应用程序的设施。举例来说,邮件应用程序可使用允许其在延长的时间周期上访问交换而不需要充分AG登录的特殊背景网络访问机制。浏览器应用程序可使用多个专用数据库分隔不同种类的数据。
此架构支持各种其它安全特征的合并。举例来说,在一些情况下,网关服务器606(包含其网关服务)将不需要验证活动目录(AD)密码。可使其作出企业断定--在一些情形中,是否将AD密码用作用于一些用户的认证因素。如果用户在线或离线(即,连接或未连接到网络),那么可使用不同认证方法。
设置认证为一项特征,其中网关服务器606可识别允许能够访问需要强认证的高度分类的数据的管理的本机应用程序610,且确保只在执行适当认证后准许对这些应用程序的访问,即使这意味着在先前较弱等级的登录后,需要用户重新认证。
此方案的另一安全特征是数据库616(容器)在移动装置602上的加密。库616可被加密,从而使得包含文件、数据库和配置的所有关于装置的数据受到保护。对于线上库,可将密钥存储于服务器(网关服务器606)上,且对于离线库,密钥的本地副本可受到用户密码或生物标识确认保护。当将数据本地存储于安全容器616中的装置602上时,优选地,利用AES 256加密算法的最小值。
也可实施其它安全容器特征。举例来说,可包含记录特征,其中将在应用程序610内部发生的所有安全事件记录且报道给后端。可支持数据擦除,例如如果应用程序610检测到篡改,那么可用随机数据重写相关联的加密密钥,从而在文件系统上不留下用户数据被毁坏的暗示。截屏保护是另一特征,其中应用程序可防止任何数据存储于截屏中。举例来说,可将密钥窗口的隐藏性质设定成YES。这可致使当前显示于屏幕上的任何内容都被隐藏,从而导致任何内容将通常驻留的空白截屏。
可例如通过防止任何数据在本地传输到应用程序容器外部,例如,通过将其复制或将其发送到外部应用程序,而防止本地数据传输。键盘高速缓存特征可操作以针对敏感文本框停用自动校正功能性。SSL证书确认可以是可操作的,因此应用特定地确认服务器SSL证书,而非将其存储于密钥链中。可使用加密密钥生成特征,使得使用由用户供应的通行短语或生物识别数据(如果需要离线访问)生成用以加密装置上的数据的密钥。如果不需要离线访问,那么可将其与随机生成且存储于服务器侧上的另一密钥进行异或运算。密钥导出函数可操作,使得从用户密码生成的密钥使用KDF(密钥导出函数,值得注意的是,基于密码的密钥导出函数2(PBKDF2)),而非创建其密码散列。后者使密钥对蛮力或词典攻击敏感。
另外,可在加密方法中使用一个或多个初始化向量。初始化向量将使相同加密数据的多个复本产生不同编密文本输出,从而防止重放和密码分析攻击。在不知用以加密数据的特定初始化向量的情况下,这还将使攻击者即使利用被盗的加密密钥也不能解密任何数据。此外,可使用认证,然后解密,其中只在用户已在应用程序内认证后解密应用程序数据。另一特征可涉及存储器中的敏感数据,仅当需要时,可将敏感数据保存在存储器中(且不在磁盘中)。举例来说,可在登录之后从存储器擦除登录证书,且不存储于面向对象的C语言例项变量内部的加密密钥和其它数据,因为它们可易于参考。实际上,可针对这些手动分配存储器。
可实施不活动超时,其中在不活动的策略定义周期之后,终止用户会话。
可按其它方式防止来自应用程序管理框架614的数据泄漏。举例来说,当将应用程序610置于后台中时,可在预定(可配置)时间周期后清除存储器。当后台运行时,可拍摄应用程序的最后显示的屏幕的快照以使前台处理工艺牢固。截屏可含有机密数据且因此应被清除。
另一安全特征涉及使用OTP(一次性密码)620,不使用AD(活动目录)622密码,用于访问一个或多个应用程序。在一些情况下,一些用户不知道(或不准许知道)其AD密码,因此这些用户可使用OTP 620认证,例如通过使用像SecurID的硬件OTP系统(OTP可由不同供应商提供,并且,例如Entrust或Gemalto)。在一些情况下,在用户用用户ID进行认证之后,用OTP 620将文本发送到用户。在一些情况下,这可仅针对线上使用实施,其中提示是单个字段。
对于经由企业策略准许离线使用的那些应用程序610,可实施离线密码,以用于离线认证。举例来说,企业可能想要以此方式访问StoreFront。在此情况下,客户端代理604可需要用户设定定制离线密码,且不使用AD密码。网关服务器606可提供策略来控制和执行关于最小长度、字符类别组成和密码的年限的密码标准,例如通过标准Windows服务器密码复杂度要求来描述,但可修改这些要求。
另一特征涉及针对某些应用程序610启用客户端侧证书,作为次要证书(出于经由应用程序管理框架微VPN特征访问PKI保护的网页资源的目的)。举例来说,应用程序可利用这种证书。在此情况下,可支持使用ActiveSync协议的基于证书的认证,其中来自客户端代理604的证书可由网关服务器606检索且用于密钥链中。每个受管应用程序可具有由在网关服务器606中定义的标签识别的一个相关联的客户端证书。
网关服务器606可与企业专用网页服务交互以支持客户端证书的发布以允许相关受管应用程序对内部PKI保护的资源认证。
客户端代理604和应用程序管理框架614可被增强以支持获得和使用客户端证书用于对内部PKI保护的网络资源认证。可支持多于一个证书,以便匹配各种层级的安全和/或分离要求。证书可由邮件和浏览器管理的应用程序使用,且最终由任意包装的应用程序使用(假设那些应用程序使用网页服务样式通信模式,在所述模式中,应用程序管理框架调节https请求是合理的)。
iOS上的应用程序管理客户端证书支持可依赖于在每个使用周期内将公用密钥加密标准(PKCS)12BLOB(二进制大对象)导入到每个受管应用程序中的iOS密钥链内。应用程序管理框架客户端证书支持可使用具有专用存储器内密钥存储的HTTPS实施方案。客户端证书将决不存在于iOS密钥链中,且将不维持,潜在地在受到强保护的“仅线上”数据值中除外。
也可通过需要将移动装置602对企业认证来实施互SSL以提供额外安全,且反之亦然。也可实施用于对网关服务器606认证的虚拟智能卡。
有限和完全Kerberos支持两者都可以是额外特征。完全支持特征涉及使用活动目录(AD)密码或受信任客户端证书进行到AD 622的完全Kerberos登录和获得Kerberos服务票以响应HTTP协商认证难题的能力。有限支持特征涉及在Citrix访问网关企业版(AGEE)中的受约束的委托,其中AGEE支持调用Kerberos协议转变,因此其可响应于HTTP协商认证难题获得且使用Kerberos服务票(经受受约束的委托)。此机制在反向网页代理(也称为公司虚拟专用网络(CVPN))模式中且当http(但不是https)连接在VPN和MicroVPN模式中代理时工作。
另一特征涉及应用程序容器锁定和擦除,其可在越狱或生根检测后自动发生,和随着来自管理控制台的推送的命令而发生,且可包含远程擦除功能性,甚至当应用程序610不在运行中时。
可支持企业应用程序商店和应用程序控制器的多位点架构或配置,在有故障的情况下,其允许用户为来自若干不同位置中的一个的服务。
在一些情况下,可允许受管应用程序610经由API(实例OpenSSL)访问证书和专用密钥。可允许企业的受信任的管理的应用程序610用应用程序的客户端证书和专用密钥进行具体公用密钥操作。因此可识别和处理各种使用情况,例如,当应用程序表现得像浏览器且不需要证书访问时,当应用程序针对“我是谁”读取证书时,当应用程序使用证书建造安全会话符记时,和当应用程序使用专用密钥用于重要数据(例如,交易记录)的数字签名或用于临时数据加密时。
为移动装置提供对托管应用程序的智能访问
本公开的一个或多个方面可并入有计算机系统架构、远程访问系统架构、虚拟化(管理程序)系统架构、基于云的系统架构和/或上文结合图1到6所论述的企业移动性管理系统中的一个或多个,在其中体现和/或使用其实施。此外,以下首字母缩写词可用于本公开:终点分析(EPA);桌面递送控制器(DDC);移动应用程序管理(MAM);移动装置管理(MDM);移动装置体验(MDX);NetScaler网关(NSG);概念验证(POC);共享秘密库(SSV);StoreFront(SF);WorxHome(WH);XenApp(XA);XenDesktop(XD);以及XenMobile服务器(XMS)。
如上文所论述,本公开的方面在通过移动装置访问此类应用程序的情况下提供对高清晰度体验(HDX)托管应用程序的智能访问。可通过利用来自受管装置的丰富的基于MDM的终点分析作为智能访问策略的输入来提供此智能访问。另外或替代地,通过利用来自受管或非受管装置的丰富的基于MDM的终点分析作为智能访问策略的输入来提供此智能访问。另外或替代地,基于丰富的MDM终点分析和/或MAM终点分析,增强的智能访问(其可例如根据本公开的一个或多个方面提供)可限制HDX应用程序和/或特定HDX会话重定向特征的可用性。
图7说明目前CITRIX XenApp和CITRIX XenDesktop可如何提供“智能访问”(例如,关于桌面计算装置)的实例。如上文所论述,此当前终点分析(EPA)技术在桌面计算装置上工作,所述桌面计算装置通常运行桌面操作系统,例如MICRSOFT WINDOWS或APPLE MAC OSX。然而,此当前终点分析技术不可应用于移动计算装置或移动操作系统。
本公开的一个或多个方面可提供克服现有技术和/或当前技术的一个或多个限制的技术解决方案。确切地说,本公开的一个或多个方面可提供以下特征。举例来说,本公开的一个或多个方面可应用基于MDM和/或基于MAM的终点分析以提供对HDX应用程序的先进的智能访问,可包含列举、启动、执行和/或应用HDX会话策略。在一些情况下,可利用“简单的”实施模型,其中单个符合性标签用以指示特定移动装置是否(例如,与一个或多个策略)符合。在其它情况下,可利用“先进的”实施模型,其中基于使用MDM技术和/或MAM技术执行的丰富的终点分析使用一个或多个定制符合性标签,例如MDM代理和/或MAM包装器。
可提供管理用户界面,可经由所述管理用户界面配置符合性标签和/或可经由所述管理用户界面限定智能访问策略配置。举例来说,一个或多个符合性标签可限定为和/或另外用作否定标签(例如,排除标签)或肯定标签(例如,断言标签,其可例如启用特定特征)。
图8说明其中从CITRIX XenMobile接收单个符合性标签和其中根据本公开的一个或多个方面访问受阻且HDX托管应用程序中的体验(其可例如经由CITRIX XenApp和/或CITRIX XenDesktop提供到一个或多个移动装置)受限的实例。
图9说明其中从CITRIX XenMobile接收单个符合性标签且其中根据本公开的一个或多个方面在CITRIX XenMobile中选择触发事件的实例。
图10说明其中从CITRIX XenMobile接收单个符合性标签且其中根据本公开的一个或多个方面在CITRIX XenMobile中选择动作的实例。
图11说明其中从CITRIX XenMobile接收单个符合性标签且其中根据本公开的一个或多个方面基于从CITRIX XenMobile接收的单个符合性标签在CITRIX XenApp和/或CITRIX XenDesktop中设置智能访问策略的实例。
图12说明其中根据本公开的一个或多个方面从CITRIX XenMobile接收一个或多个定制符合性标签的实例。
图13说明其中基于从CITRIX XenMobile接收的一个或多个定制符合性标签在CITRIX XenApp和/或CITRIX XenDesktop中设置智能访问策略的实例。
在实施本公开的一个或多个方面时可使用一个或多个部署选项。举例来说,可使用仅MDM功能性、仅MAM功能性或MDM功能性和MAM功能性部署本公开的一个或多个方面。在一些情况下,CITRIX WorxHome可用于提供MDM功能和/或MAM功能,以及提供HDX托管应用程序功能(例如,使用CITRIX XenMobile Server Aggregated Store)。举例来说,HDX功能性可嵌入于CITRIX WorxHome中,或CITRIX Receiver可仅用作HDX播放器应用程序。在其它情况下,CITRIX WorxHome可仅用于MDM功能性和/或MAM功能性。在这些情况下CITRIXReceiver可用于HDX功能性(其可例如涉及使用单独HDX商店和HDX播放器应用程序)。
在实施本公开的一个或多个方面时可使用一个或多个技术选项。举例来说,在一个技术选项中,CITRIX WorxHome可与CITRIX XenMobile Aggregated Store一起使用。在使用此技术选项的情况中,CITRIX XenMobile Server可向CITRIX StoreFront Server发送符合性标签。
在另一技术选项中,可使用两个移动应用程序。举例来说,CITRIX WorxHome可用于登记,用于提供MDM功能性和/或MAM功能性,且用于提供移动应用程序商店和/或本机应用程序商店。此外,CITRIX Receiver可用于提供HDX商店和HDX播放器。在使用此技术选项的情况中,某些信息可在应用程序之间共享。举例来说,可共享装置标识符(ID)信息(其可例如表示优选配置)或可共享一个或多个实际符合性标签(其可例如表示更简单且实际选项,但在不使用额外安全措施的情况下可能较不安全)。在仅使用MDM功能性的情况中,可将MDM应用程序特性设置成共享值。在仅使用MAM功能性的情况中,MDX库接口、共享秘密库(SSV)库接口或另一定制应用程序编程接口(API)可用于共享值。在一些情况下,增强的递送服务协议可用于在CITRIX Receiver与StoreFront Server之间和/或在CITRIXWorxHome与XenMobile Server之间共享和/或另外传达装置ID信息和/或符合性标签。在一些情况下,XenMobile Server可将装置ID信息和/或一个或多个符合性标签发送到StoreFront Server(其可例如表示优选配置)。
在另一技术选项中,可使用管理用户界面。举例来说,CITRIX XenMobile ServerAdmin Console用户界面可用于限定一个或多个符合性标签,以供用于CITRIX StoreFront和XenApp和/或XenDesktop。可对CITRIX XenApp和/或XenDesktop Studio UI进行一个或多个更新以使用CITRIX XenMobile Server MDM和/或MAM符合性标签进行桌面和/或应用程序筛选,以及用于会话策略。
在一个或多个布置中,从MAM服务和/或MDM服务接收的终点分析(EPA)数据可提供关于正在使用的特定移动装置的信息。此类信息可例如指示移动装置是否已越狱,包含与地理围栏相关联的信息,包含识别装置模型的信息,包含识别操作系统版本的信息,包含指示是否安装特定应用程序的信息,包含指示用户是否停用某些功能或特征的信息,包含识别与移动装置相关联的运营商网络的信息,包含识别与移动装置相关联的国家代码的信息,和/或包含其它信息。
在一些情况下,XMS管理员可在XMS中配置自动动作,以基于资产库存、装置特性、事件和/或其它因素设置一个或多个特定符合性标签。举例来说,如果装置不在规定的纬度和/或经度范围内,那么特定符合性标签可以是设置成“PerimiterBreached”。另外或替代地,如果装置的操作系统低于版本8.x,那么特定符合性标签可设置成“LegacyMobileOS”。另外或替代地,如果装置已越狱,那么特定符合性标签可设置成“Jailbroken”。另外或替代地,如果装置在规定的纬度和/或经度范围内,那么特定符合性标签可以是设置成“RemoteAccess”。
XA/XD管理员可接着配置一个或多个智能访问策略。举例来说,对某些应用程序或桌面的用户访问可基于XenMobile标签而受限。举例来说,对某些应用程序或桌面的用户访问可基于指示用户的装置具有“Jailbroken”或“PerimiterBreached”状态的XenMobile标签而受限。
作为另一实例,一个或多个HDX会话策略可应用于一个或多个用户。举例来说,HDX客户端驱动器映射可基于指示用户的装置具有“Jailbroken”的状态的标签而停用。作为另一实例,可基于XenMobile标签启用的“Framehawk”HDX图形模式(其可例如以牺牲带宽使用和XA/XD服务器可扩展性为代价(例如,以牺牲CPU和内存为代价)在WAN上提供极佳HDX会话交互性(其可例如具有高时延和丢包))。举例来说,此“Framehawk”HDX图形模式可基于指示用户的装置具有“RemoteAccess”的状态的XenMobile标签而启用。否则,在装置上提供的HDX会话可使用默认Thinwire HDX图形模式,其使用极少带宽且有利于XA/XD服务器可扩展性(其可例如最大化盒上的用户数量)。在一些安排中,MAM EPA可能比MDM EPA更受限于范围内。
在实施本公开的一个或多个方面时可使用一个或多个部署选项。下文更详细地论述一些实例部署选项。
部署#1:具有XenMobile Server-Aggregated Store的统一客户端(WorxHome)
在一些情况下,本公开的方面可以图14中所示出的表示部署1的方式实施。在CITRIX WorxHome提供对应用程序的统一存储和启动支持时,可使用此部署。在此部署中,Receiver应用程序可用于实际建立HDX连接。在替代布置中,嵌入于WorxHome中的HDXEngine可用于建立HDX连接。
在图14中所说明的部署和配置中,XenMobile Server可配置成从StoreFront服务器聚合HDX应用程序。此外,NetScaler Gateway可配置有EPA。会话策略可配置成在用户代理指示WINDOWS或MAC OS X笔记本电脑或台式计算机上的浏览器时执行EPA扫描。对于其它客户端(例如,移动装置上的浏览器或本机Receiver),NetScaler Gateway可跳过EPA,在此状况下,例如可能无法从此类客户端访问需要EPA标签的敏感HDX应用程序。
此外,在图14中所说明的部署和配置中,XenApp和/或XenDesktop中的发布的应用程序和会话策略可配置成适当地用于智能访问(例如,应用程序可用性或会话体验可基于EPA而受限)。此外,XenMobile Automated Actions可配置成基于某些触发(例如,用户触发、装置触发、应用程序触发等)将装置标记为不符合。
在图14中所说明的部署和配置中,可如下出现实例运行时操作序列。第一,WorxHome可请求对来自XenMobile的应用程序进行列举。第二,在对StoreFront进行列举请求时,XenMobile可将装置符合性标签注入到程序邻域代理(PNA)协议请求中(例如,作为HTTP标头)。可使用XenMobile服务器上的签名证书对这些标签进行签名。第三,StoreFront可验证这些标签的签名且通过NFuse协议列举请求将标签中继到XA/XD。第四XA/XD可基于提供的用户内容和标签筛选出应用程序,且可将应用程序细节(例如,经由StoreFront和XenMobile)发送回WH。
第五,在用户启动应用程序时,可经由相同路径(例如,WH-->XenMobile-->StoreFront-->XA/XD)将启动请求发送到XA/XD。可在对StoreFront进行PNA启动请求之前由XenMobile插入符合性标签。如果准许启动,那么可将启动信息(其可例如体现于ICA文件中)发送到WH。第六,XA/XD可保存标签以及在创建远程HDX会话(其例如可以是远程HDXWINDOWS会话)时使用的登录票证。在远程HDX会话开始(其可例如是远程HDX WINDOWS会话开始)期间,标签可用于确定适用的会话策略。
部署#2:单独WorxHome和各自具有其自身商店的Receiver客户端
在一些情况下,本公开的方面可以图15中所示出的表示部署2的方式实施。在CITRIX WorxHome仅用作用于移动应用程序的MAM/MDM登记代理和商店时,可使用此部署。在这些情况下,Receiver可用作HDX应用程序的商店和播放器。此外,符合性标签可直接在客户端应用程序之间交换。
在此部署的替代布置中,Receiver也可以是移动应用程序的商店。换句话说,在此替代布置中,Receiver可含有用于移动应用程序和HDX应用程序两者的客户端聚合的商店且分别对XenMobile和StoreFront服务器两者进行交谈。在此替代布置中,符合性标签可能仍必须在作为MAM/MDM登记代理的WorxHome与Receiver之间传递。
在图15中所说明的部署和配置中,XenMobile Server可不配置成从StoreFront服务器聚合HDX应用程序。NetScaler Gateway可配置有EPA。会话策略可配置成在用户代理指示WINDOWS或MAC OS X笔记本电脑或台式计算机上的浏览器时执行EPA扫描。对于其它客户端(例如,移动装置上的浏览器或本机Receiver),NetScaler Gateway可跳过EPA,在此状况下,例如可能无法从此类客户端访问需要EPA标签的敏感HDX应用程序。
此外,在图15中所说明的部署和配置中,XenApp和/或XenDesktop中的发布的应用程序和会话策略可配置成适当地用于智能访问(例如,应用程序可用性或会话体验可基于EPA而受限)。此外,XenMobile Automated Actions可配置成基于某些触发(例如,用户触发、装置触发、应用程序触发等)将装置标记为不符合。
在图15中所说明的部署和配置中,管理员可能需要在XenMobile上执行以下配置中的一个或两个。第一,对于将进行MDM登记的装置,可能需要应用程序特性以配置成用于Receiver本机应用程序,以将符合性状态推送到装置。将确定此特性的格式(例如,一个长特性或多个特性)。另外,此特征还可支持仅MDM部署,但可需要使用包装和/或受管Receiver(例如,用于XM应用程序的Receiver)。第二,对于将不进行MDM登记的装置,管理员可能需要将包装和/或受管Receiver应用程序发布为XenMobile受管应用程序。
在图15中所说明的部署和配置中,可如下出现实例运行时操作序列。第一,Receiver可(经由MDM或经由MAM)安装在移动装置上。第二,XenMobile可确定装置的装置符合性状态且使用以下机制中的一个使此信息可供移动装置使用:(1)经由MDM进行应用程序特性推送;或(2)WH查询XM获得装置符合性状态且将其保存在MDX库中。符合性状态可由[标签、时间戳和签名]组成。时间戳和签名可分别用于防止重放攻击和伪造攻击。可使用安装在XMS服务器上的证书的专用密钥来创建签名。
第三Receiver可检查是否存在指示符合性状态的应用程序特性。如果没有,那么Receiver可查看MDX库(如果存在)以检查符合性状态。在对StoreFront进行列举请求时,Receiver可在递送服务请求中包含装置符合性标签。
第四,StoreFront可使用安装在其上的证书的公钥(例如,对应于存在于XM服务器上的专用密钥)来验证签名。StoreFront可接着通过NFuse列举请求将这些标签中继到XA/XD。第五,XA/XD可基于提供的用户内容和标签筛选出应用程序,且可经由StoreFront将应用程序细节发送回Receiver。第六,在用户启动应用程序时,可经由相同路径(例如,Receiver-->StoreFront-->XA/XD)将启动请求发送到XA/XD。可在对StoreFront进行递送服务启动请求之前由Receiver插入符合性标签。如果准许启动,那么可将启动信息(其可例如体现于ICA文件中)发送到Receiver。第七,XA/XD可保存标签以及在创建远程HDX会话(其例如可以是远程HDX WINDOWS会话)时使用的登录票证。在远程HDX会话开始(其可例如是远程HDX WINDOWS会话开始)期间,标签可用于确定适用的会话策略。
部署#2的替代设计:XenMobile Server将装置ID和符合性标签提供到StoreFrontServer。
在一些情况下,本公开的方面可以图16中所示出的表示可适用于上文所论述的相同部署2的更先进设计的方式实施。在此替代设计中,WorxHome和Receiver可共享装置ID且分别将其传达到XenMobile Server和StoreFront Server。XenMobile Server接着可将装置ID以及符合性标签提供到StoreFront Server。因此符合性标签可经由服务器后端共享且可基于匹配装置ID与某一Receiver情况相关联。
此设计具有若干益处。举例来说,一个益处是安全性,由于符合性标签可不直接地与移动装置交换,因此减少了潜在的攻击面。另一益处是客户端和协议实施的简单性,这是由于仅装置ID可与服务器交换。然而,建立装置ID和符合性标签从XenMobile Server到StoreFront Server的传达可能会增加复杂性。
如图16中所见,可提供单独WorxHome和各自具有其自身商店的Receiver客户端应用程序。装置ID可在客户端应用程序之间共享。此外,XenMobile Server接着可将装置ID和符合性标签提供到StoreFront Server。
在图16中所说明的部署和配置中,可如下出现实例运行时操作序列。第一,WorxHome和Receiver两者可获得唯一装置ID,例如MAC地址或在两个应用程序之间共享的自主生成的永久密钥。在仅MAM模式中,可经由MDX库或共享密钥库(SSV)或另一API获得唯一装置ID。在仅MDM模式中,唯一装置ID可由WH或XMS生成且交换。接着可经由MDM特性将其推送到Receiver。在MDM+MAM模式中,可使用上述这些机制中的任一个。
第二,两个应用程序可将唯一装置ID传达到服务器。举例来说,WH可传达到XMS以扩展现有递送服务协议(例如,WH到XMS)。此外,Receiver可传达到SF以扩展现有递送服务协议(例如,Receiver到SF)。
第三,SF可基于装置ID从XMS查询符合性标签。举例来说,SF可调用到XMS中以检查装置ID是否属于已对SF认证的用户,且可获得符合性标签。这可能需要在XMS与SF之间构建经认证的连接器。可利用XenMobile装置管理器的REST网页服务API来提取装置ID数据。替代地,新API可构建用于SF以查询XMS。可基于公用密钥/专用密钥加密来保护API。
第四,SF可将符合性标签分配和/或应用到Receiver的HDX应用程序列举和启动请求。其接着可通过NFuse列举请求将这些标签中继到XA/XD。第五,XA/XD可基于提供的用户内容和标签筛选出应用程序,且可经由StoreFront将应用程序细节发送回Receiver。
第六,在用户启动应用程序时,可经由相同路径(例如,Receiver-->StoreFront-->XA/XD)将启动请求发送到XA/XD。可在对StoreFront进行递送服务启动请求之前由Receiver插入符合性标签。如果准许启动,那么可将启动信息(其可例如体现于ICA文件中)发送到Receiver。
第七,XA/XD可保存标签以及在创建远程HDX会话(其例如可以是远程HDX WINDOWS会话)时使用的登录票证。在远程HDX会话开始(其可例如是远程HDX WINDOWS会话开始)期间,标签可用于确定适用的会话策略。
在实施本公开的一个或多个方面时,可利用下表中所包含的一个或多个技术选项。
表A-配置和管理
表B—产品组件的更新
本公开的方面可应用于选择性地限制对网页应用程序、网络和/或基于云的资源的访问或限制网页应用程序、网络和/或基于云的资源的特征。另外或替代地本公开的方面可用于涉及客户端到服务器或直接客户端到客户端通信的任何产品,例如Citrix XenApp/XenDesktop、Citrix Secure Browser Service、ShareFile和/或GoTo Products。
图17描绘根据本文中所描述的一个或多个说明性方面的为移动装置提供对托管应用程序的智能访问的方法。在一些实施例中,图17中所说明的方法可由计算平台执行,所述计算平台并入有、利用和/或包含计算机系统架构、远程访问系统架构、虚拟化(管理程序)系统架构、基于云的系统架构和/或上文结合图1到6所论述的企业移动性管理系统中的一个或多个元件。举例来说,图17中所说明的方法可由计算平台执行,所述计算平台具有至少一个处理器、存储器和通信接口。在步骤1705处,计算平台可经由通信接口从移动装置接收终点分析信息。在步骤1710处,计算平台可基于一个或多个智能访问策略和从移动装置接收的终点分析信息确定是否限制移动装置的托管高清晰度体验(HDX)应用程序或一个或多个特定HDX会话特征的可用性。在步骤1715处,基于确定限制移动装置的托管HDX应用程序或一个或多个特定HDX会话特征的可用性,计算平台可限制移动装置的托管HDX应用程序或一个或多个特定HDX会话特征的可用性。
图18描绘根据本文中所描述的一个或多个说明性方面用于对已登记装置提供对托管应用程序的智能访问的说明性计算环境。参看图18,计算环境1800可包含虚拟化服务器基础架构1810:企业移动性管理服务器1820、用户装置1830和网络1850。虚拟化服务器基础架构1810、企业移动性管理服务器1820和用户装置1830可包含一个或多个物理组件,例如一个或多个处理器、存储器、通信接口等等。此外,虚拟化服务器基础架构1810可包含、并入有和/或实施虚拟化服务器和/或上文所论述的其它虚拟化基础架构的一个或多个方面。企业移动性管理服务器1820可包含、并入有和/或实施上文所论述的企业系统和/或管理服务器的一个或多个方面。用户装置1830可包含、并入有和/或实施客户端装置、移动装置和/或上文所论述的用户装置的一个或多个方面。
举例来说,虚拟化服务器基础架构1810可包含至少一个处理器1811、至少一个存储器1812和至少一个通信接口1816。处理器1811可实行存储于存储器1812中的指令,以使得虚拟化服务器基础架构1810执行一个或多个功能,例如执行操作系统和/或一个或多个应用程序,包含可使虚拟化服务器基础架构1810提供企业应用程序商店(例如,到一个或多个登记的装置和/或与企业相关联的其它装置)、一个或多个虚拟化和/或托管应用程序会话和/或一个或多个虚拟化和/或托管桌面会话的一个或多个应用程序。存储器1812可存储企业应用程序商店模块1813(其可例如并入有虚拟化服务器基础架构1810的一个或多个方面和/或使虚拟化服务器基础架构1810提供与上文所论述的实例中的CITRIX StoreFront类似的功能性)。此外,存储器1812可存储应用程序虚拟化模块1814(其可例如并入有虚拟化服务器基础架构1810的一个或多个方面和/或使虚拟化服务器基础架构1810提供与上文所论述的实例中的CITRIXXenApp类似的功能性)。存储器1812还可存储桌面虚拟化模块1815(其可例如并入有虚拟化服务器基础架构1810的一个或多个方面和/或使虚拟化服务器基础架构1810提供与上文所论述的实例中的CITRIX XenDesktop类似的功能性)。通信接口1816可包含一个或多个网络接口,虚拟化服务器基础架构1810可经由所述一个或多个网络接口与计算环境1800中的一个或多个其它系统和/或装置通信,例如企业移动性管理服务器1820、用户装置1830和/或一个或多个其它系统和/或装置。
企业移动性管理服务器1820可包含和/或提供至少一个装置登记系统1821和至少一个策略执行系统1822。装置登记系统1821可能够使和/或使企业移动性管理服务器1820将例如用户装置1830和/或一个或多个其它用户装置的一个或多个用户装置登记到一个或多个策略执行方案中(其可例如与企业组织相关联且由一个或多个管理员使用企业移动性管理服务器1820实施和/或管理)。策略执行系统1822可能够使和/或使企业移动性管理服务器1820对例如用户装置1830和/或一个或多个其它用户装置的一个或多个已登记用户装置执行一个或多个企业策略。可由策略执行系统1822和企业移动性管理服务器1820对一个或多个已登记用户装置执行的一个或多个企业策略可包含一个或多个移动装置管理策略、移动应用程序管理策略、移动内容管理策略和/或可由策略执行系统1822和/或企业移动性管理服务器1820限定、应用、执行、更新、停用和/或另外控制其它企业策略(例如,关于一个或多个受管装置,包含一个或多个登记的用户移动装置)。
用户装置1830可包含和/或提供一个或多个本机应用程序1831和客户端代理1832。一个或多个本机应用程序1831可包含、并入有和/或实施上文所论述的本机应用程序(例如,本机应用程序610)的一个或多个方面。此外,客户端代理1832可包含、并入有和/或实施上文所论述的客户端代理(例如,客户端代理604)的一个或多个方面。网络1850可包含一个或多个局域网、广域网、公用网络、专用网络和/或子网络且可互连虚拟化服务器基础架构1810、企业移动性管理服务器1820和用户装置1830。
图19A和19B描绘根据本文中所描述的一个或多个说明性方面的用于为已登记装置提供对托管应用程序的智能访问的实例事件序列。参看图19A,在步骤1901处,用户装置1830可使用企业移动性管理服务器1820登记。举例来说,在步骤1901处,用户装置1830可使用企业移动性管理服务器1820发送、接收和/或另外交换数据以登记在企业移动装置管理、移动应用程序管理和/或可由企业移动性管理服务器1820实施的其它策略执行方案中。在一些情况下,在用户装置1830的登记期间,企业移动性管理服务器1820可为用户装置1830生成唯一装置标识符,其可由企业移动性管理服务器1820存储和/或维护和/或发送到一个或多个其它系统和/或装置(例如,用户装置1830、虚拟化服务器基础架构1810)以便有助于在后续操作中识别用户装置1830。
在步骤1902处,企业移动性管理服务器1820可发起对用户装置1830的端点分析。举例来说,企业移动性管理服务器1820可请求和/或询问用户装置1830以提供可由企业移动性管理服务器1820分析和/或另外评估的状态信息,以确定用户装置1830是否符合可由企业移动性管理服务器1820执行的一个或多个策略。在一些情况下,企业移动性管理服务器1820可执行简单的终点分析(例如,且简单地确定用户装置1830完全符合或不符合适用于用户装置1830且由企业移动性管理服务器1820在用户装置1830上执行的一组策略,如上文所论述),而在其它情况下,企业移动性管理服务器1820可执行丰富的终点分析(例如,且关于包含在适用于用户装置1830且由企业移动性管理服务器1820对用户装置1830执行的一组策略中的每个策略个别地确定用户装置1830符合或不符合包含在所述一组策略中的每个特定策略,如上文所论述)。
在步骤1903处,企业移动性管理服务器1820可为用户装置1830生成一个或多个符合性标签(例如,基于在步骤1902处发起和/或执行对用户装置1830的端点分析)。在一些情况下,一个或多个符合性标签可指示用户装置1830是否和/或指示用户装置1830符合或不符合用于用户装置1830且由企业移动性管理服务器1820对用户装置1830执行的一组策略。此外,一个或多个符合性标签(其可例如由企业移动性管理服务器1820针对用户装置1830生成)可在一些情况下由企业移动性管理服务器1820使用企业移动性管理服务器1820的签名证书签名)。
在步骤1904处,企业移动性管理服务器1820可将一个或多个符合性标签(例如,在步骤1903处由企业移动性管理服务器1820生成的一个或多个符合性标签)发送到一个或多个接收者系统和/或装置。在一些情况下,企业移动性管理服务器1820可如上文所论述结合上文所描述的实例部署模型中的一个或多个将一个或多个符合性标签发送到已登记用户装置(例如,用户装置1830)。另外或替代地,企业移动性管理服务器1820可如上文所论述结合上文所描述的其它实例部署模型中的一个或多个将一个或多个符合性标签发送到虚拟化基础架构(例如,虚拟化服务器基础架构1810)。
参看图19B,在步骤1905处,虚拟化服务器基础架构1810可从已登记用户装置(例如,用户装置1830)接收用于托管应用程序会话、托管桌面会话或其它托管会话的请求。可使用企业门户客户端和/或在用户装置1830上执行的接收器应用程序(例如,CITRIXWorxHome、CITRIX Receiver等,如在上文所论述的实例中一样)发起此请求。另外或替代地,此请求可经由虚拟化服务器基础架构1810提供的企业应用程序商店(例如,CITRIXStoreFront,如在上文所论述的实例中)接收。
在步骤1906处,虚拟化服务器基础架构1810可接收与已登记用户装置(例如,用户装置1830)相关联的请求托管会话的一个或多个符合性标签和/或与已登记用户装置(例如,用户装置1830)相关联的请求托管会话的其它终点分析信息。举例来说,在步骤1906处,虚拟化服务器基础架构1810可经由通信接口(例如,通信接口1816)接收与已登记装置(例如,用户装置1830)相关联的终点分析信息。在一些情况下,虚拟化服务器基础架构1810可从已登记用户装置(例如,用户装置1830,如上文结合上文所描述的实例部署模型中的一个或多个所论述)接收一个或多个符合性标签和/或其它终点分析信息,而在其它情况下,虚拟化服务器基础架构1810可从企业管理服务器(例如,企业移动性管理服务器1820,如上文结合上文所描述的其它实例部署模型中的一个或多个所论述)的已登记用户装置接收一个或多个符合性标签和/或其它终点分析信息。在虚拟化服务器基础架构1810从企业移动性管理服务器1820的已登记用户装置接收一个或多个符合性标签和/或其它终点分析信息的情况下,虚拟化服务器基础架构1810可使接收到的符合性标签和/或其它终点分析信息与特定已登记装置相关,接收到的符合性标签和/或其它终点分析信息基于可分配到已登记装置(例如,用户装置1830)且由虚拟化服务器基础架构1810接收的唯一标识符以及接收到的符合性标签和/或其它终点分析信息与所述特定已登记装置(例如,用户装置1830)相关。
在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含从所述已登记装置接收与所述已登记装置相关联的所述终点分析信息。举例来说,在接收与已登记装置(例如,用户装置1830)相关联的终点分析信息时,虚拟化服务器基础架构1810可从已登记装置(例如,用户装置1830)接收与已登记装置(例如,用户装置1830)相关联的终点分析信息。
在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含从企业移动性管理服务器接收与所述已登记装置相关联的所述终点分析信息。举例来说,在接收与已登记装置(例如,用户装置1830)相关联的终点分析信息时,虚拟化服务器基础架构1810可从企业移动性管理服务器(例如,企业移动性管理服务器1820)接收与已登记装置(例如,用户装置1830)相关联的终点分析信息。
在一些实施例中,可使用企业移动性管理服务器注册所述已登记装置,以在接收与所述已登记装置相关联的所述终点分析信息之前,将所述已登记装置登记在由所述企业移动性管理服务器实施的至少一个策略执行方案中。举例来说,已登记装置(例如,用户装置1830)可使用企业移动性管理服务器(例如,企业移动性管理服务器1820)注册,以在接收与已登记装置(例如,用户装置1830)相关联的终点分析信息之前将已登记装置(例如,用户装置1830)登记在由企业移动性管理服务器(例如,企业移动性管理服务器1820)实施的至少一个策略执行方案中。
在一些实施例中,接收与已登记装置相关联的终点分析信息可包含接收与已登记装置相关联的唯一装置标识符,且与已登记装置相关联的唯一装置标识符可由企业移动性管理服务器在将已登记装置登记在由企业移动性管理服务器实施的至少一个策略执行方案中期间生成。举例来说,在接收与已登记装置(例如,用户装置1830)相关联的终点分析信息时,虚拟化服务器基础架构1810可接收与已登记装置(例如,用户装置1830)相关联的唯一装置标识符。此外,与已登记装置(例如,用户装置1830)相关联的唯一装置标识符可能已由企业移动性管理服务器(例如,企业移动性管理服务器1820)在将已登记装置(例如,用户装置1830)登记在由企业移动性管理服务器(例如,企业移动性管理服务器1820)实施的至少一个策略执行方案中期间生成。
在一些实施例中,接收与所述已登记装置相关联的所述终点分析信息可包含接收由用于所述已登记装置的企业移动性管理服务器生成的一个或多个符合性标签。举例来说,在接收与已登记装置(例如,用户装置1830)相关联的终点分析信息时,虚拟化服务器基础架构1810可接收用于已登记装置(例如,用户装置1830)的由企业移动性管理服务器(例如,企业移动性管理服务器1820)生成的一个或多个符合性标签。举例来说,虚拟化服务器基础架构1810可基于由企业移动性管理服务器1820对用户装置1830执行的终点分析在步骤1906处接收由企业移动性管理服务器1820生成的用于用户装置1830的一个或多个符合性标签。
在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动装置管理(MDM)策略执行方案生成。举例来说,一个或多个符合性标签可由用于已登记装置(例如,用户装置1830)企业移动性管理服务器(例如,企业移动性管理服务器1820)基于移动装置管理(MDM)策略执行方案(其可例如由企业移动性管理服务器1820实施)生成。
在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动应用程序管理(MAM)策略执行方案生成。举例来说,一个或多个符合性标签可由用于已登记装置(例如,用户装置1830)的企业移动性管理服务器(例如,企业移动性管理服务器1820)基于移动应用程序管理(MAM)策略执行方案(其可例如由企业移动性管理服务器1820实施)生成。
在一些情况下,一个或多个符合性标签可由用于已登记装置的企业移动性管理服务器基于移动内容管理(MCM)策略执行方案生成。举例来说,一个或多个符合性标签可由用于已登记装置(例如,用户装置1830)企业移动性管理服务器(例如,企业移动性管理服务器1820)基于移动内容管理(MCM)策略执行方案(其可例如由企业移动性管理服务器1820实施)生成。
在步骤1907处,虚拟化服务器基础架构1810可分析与已登记用户装置(例如,用户装置1830)相关联的请求托管会话的一个或多个符合性标签和/或与已登记用户装置(例如,用户装置1830)相关联的请求托管会话的另一终点分析信息(例如,以基于一个或多个智能访问策略确定是否选择性地启用或停用用户装置1830的托管应用程序功能性)。举例来说,在步骤1907处,虚拟化服务器基础架构1810可分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性。一个或多个智能访问策略可例如由管理员限定和/或更新且可由虚拟化服务器基础架构1810和/或企业移动性管理服务器1820维护。此外,一个或多个智能访问策略可例如限定其中在托管会话中选择性地启用某些特征(例如,在上文实例中所论述的“Framehawk”高分辨率图形模式)的情形和/或其中在托管会话中选择性地停用某些特征(例如,在上文实例中所论述的复制和粘贴特征、打印特征和/或本地驱动器映射特征)的情形。
在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定启用完全托管应用程序功能性。举例来说,在分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性时,虚拟化服务器基础架构1810可确定启用完全托管应用程序功能性(例如,基于与已登记用户装置(例如,用户装置1830)相关联的当允许完全托管应用程序功能性时匹配一个或多个智能访问策略中所规定的一个或多个情形的一个或多个符合性标签)。
在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定启用部分托管应用程序功能性。举例来说,在分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性时,虚拟化服务器基础架构1810可确定启用部分托管应用程序功能性(例如,基于与已登记用户装置(例如,用户装置1830)相关联的当允许和/或需要部分托管应用程序功能性时匹配一个或多个智能访问策略中所规定的一个或多个情形的一个或多个符合性标签)。
在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定停用部分托管应用程序功能性。举例来说,在分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性时,虚拟化服务器基础架构1810可确定停用部分托管应用程序功能性(例如,基于与已登记用户装置(例如,用户装置1830)相关联的当需要停用特定托管应用程序功能性时匹配一个或多个智能访问策略中所规定的一个或多个情形的一个或多个符合性标签)。
在一些实施例中,分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性可包含确定停用完全托管应用程序功能性。举例来说,在分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性时,虚拟化服务器基础架构1810可确定停用完全托管应用程序功能性(例如,基于与已登记用户装置(例如,用户装置1830)相关联的当需要停用完全托管应用程序功能性时匹配一个或多个智能访问策略中所规定的一个或多个情形的一个或多个符合性标签)。在这些情况下,虚拟化服务器基础架构1810可防止和/或限制用户装置1830完全访问托管会话和/或在第一情况下可不发起对用户装置1830的托管会话。
在步骤1908处,虚拟化服务器基础架构1810可基于分析与已登记用户装置(例如,用户装置1830)相关联的一个或多个符合性标签和/或与已登记用户装置(例如,用户装置1830)相关联的另一终点分析信息来将托管应用程序体验提供到用户装置1830。举例来说,在步骤1908处,虚拟化服务器基础架构1810可基于分析与已登记装置(例如,用户装置1830)相关联的终点分析信息以及基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性来经由通信接口(例如,通信接口1816)将托管应用程序体验提供到已登记装置(例如,用户装置1830)
在将托管应用程序体验提供到用户装置1830时,虚拟化服务器基础架构1810可例如根据在步骤1908处基于终点分析信息和智能访问策略选择性地启用和/或停用的托管应用程序功能性而生成与一个或多个托管应用程序和/或托管桌面相关联的一个或多个虚拟化和/或远程用户接口图形和/或将其发送到用户装置1830。另外或替代地,在将托管应用程序体验提供到用户装置1830时,虚拟化服务器基础架构1810可例如根据在步骤1908处基于终点分析信息和智能访问策略选择性地启用和/或停用的托管应用程序功能性接收和/或处理从用户装置1830接收的输入和/或请求。
图20描绘根据本文中所描述的一个或多个说明性方面的为已登记装置提供对托管应用程序的智能访问的实例方法。参看图20,在步骤2005处,具有至少一个处理器、通信接口和存储器的计算平台可经由通信接口接收与已登记装置相关联的终点分析信息。在步骤2010处,所述计算平台可分析与所述已登记装置相关联的所述终点分析信息,以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性。在步骤2015处,所述计算平台可基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
如上文所说明,本公开的各个方面涉及为移动装置提供对托管应用程序的智能访问。尽管已经以特定地针对结构特征和/或方法动作的语言来描述主题,但应理解,所附权利要求书中所限定的主题未必限于上文所描述的特定特征或动作。实际上,上文所描述的特定特征和动作描述为所附权利要求的一些实例实施方案。
Claims (20)
1.一种计算平台,其包括:
至少一个处理器;
通信接口,其以通信方式耦合到所述至少一个处理器;以及
存储器,其存储计算机可读指令,所述计算机可读指令在由所述至少一个处理器执行时,致使所述计算平台:
经由所述通信接口接收与已登记装置相关联的终点分析信息;
分析与所述已登记装置相关联的所述终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性;以及
基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
2.根据权利要求1所述的计算平台,其中接收与所述已登记装置相关联的所述终点分析信息包括从所述已登记装置接收与所述已登记装置相关联的所述终点分析信息。
3.根据权利要求1所述的计算平台,其中接收与所述已登记装置相关联的所述终点分析信息包括从企业移动性管理服务器接收与所述已登记装置相关联的所述终点分析信息。
4.根据权利要求1所述的计算平台,其中使用企业移动性管理服务器注册所述已登记装置,以在接收与所述已登记装置相关联的所述终点分析信息之前,将所述已登记装置登记在由所述企业移动性管理服务器实施的至少一个策略执行方案中。
5.根据权利要求4所述的计算平台,
其中接收与所述已登记装置相关联的所述终点分析信息包括接收与所述已登记装置相关联的唯一装置标识符,且
其中与所述已登记装置相关联的所述唯一装置标识符由所述企业移动性管理服务器在将所述已登记装置登记在由所述企业移动性管理服务器实施的所述至少一个策略执行方案中的期间生成。
6.根据权利要求1所述的计算平台,其中接收与所述已登记装置相关联的所述终点分析信息包括接收由用于所述已登记装置的企业移动性管理服务器生成的一个或多个符合性标签。
7.根据权利要求6所述的计算平台,其中所述一个或多个符合性标签由用于所述已登记装置的所述企业移动性管理服务器基于移动装置管理(MDM)策略执行方案生成。
8.根据权利要求6所述的计算平台,其中所述一个或多个符合性标签由用于所述已登记装置的所述企业移动性管理服务器基于移动应用程序管理(MAM)策略执行方案生成。
9.根据权利要求6所述的计算平台,其中所述一个或多个符合性标签由用于所述已登记装置的所述企业移动性管理服务器基于移动内容管理(MCM)策略执行方案生成。
10.根据权利要求1所述的计算平台,其中分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性包括确定启用完全托管应用程序功能性。
11.根据权利要求1所述的计算平台,其中分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性包括确定启用部分托管应用程序功能性。
12.根据权利要求1所述的计算平台,其中分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性包括确定停用部分托管应用程序功能性。
13.根据权利要求1所述的计算平台,其中分析与所述已登记装置相关联的所述终点分析信息以基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性包括确定停用完全托管应用程序功能性。
14.一种方法,其包括:
在包括至少一个处理器、通信接口和存储器的计算平台处:
由所述至少一个处理器经由所述通信接口接收与已登记装置相关联的终点分析信息;
由所述至少一个处理器分析与所述已登记装置相关联的所述终点分析信息,以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性;以及
由所述至少一个处理器基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
15.根据权利要求14所述的方法,其中接收与所述已登记装置相关联的所述终点分析信息包括从所述已登记装置接收与所述已登记装置相关联的所述终点分析信息。
16.根据权利要求14所述的方法,其中接收与所述已登记装置相关联的所述终点分析信息包括从企业移动性管理服务器接收与所述已登记装置相关联的所述终点分析信息。
17.根据权利要求14所述的方法,其中使用企业移动性管理服务器注册所述已登记装置,以在接收与所述已登记装置相关联的所述终点分析信息之前,将所述已登记装置登记在由所述企业移动性管理服务器实施的至少一个策略执行方案中。
18.根据权利要求17所述的方法,
其中接收与所述已登记装置相关联的所述终点分析信息包括接收与所述已登记装置相关联的唯一装置标识符,且
其中与所述已登记装置相关联的所述唯一装置标识符由所述企业移动性管理服务器在将所述已登记装置登记在由所述企业移动性管理服务器实施的所述至少一个策略执行方案中的期间生成。
19.根据权利要求14所述的方法,其中接收与所述已登记装置相关联的所述终点分析信息包括接收由用于所述已登记装置的企业移动性管理服务器生成的一个或多个符合性标签。
20.一种或多种非暂时性计算机可读媒体,其存储指令,所述指令在由包括至少一个处理器、存储器和通信接口的计算装置执行时致使所述计算装置:
经由所述通信接口接收与已登记装置相关联的终点分析信息;
分析与所述已登记装置相关联的所述终点分析信息以基于一个或多个智能访问策略确定是否选择性地启用或停用托管应用程序功能性;以及
基于分析与所述已登记装置相关联的所述终点分析信息且基于所述一个或多个智能访问策略确定是否选择性地启用或停用所述托管应用程序功能性来经由所述通信接口向所述已登记装置提供托管应用程序体验。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662340025P | 2016-05-23 | 2016-05-23 | |
| US62/340,025 | 2016-05-23 | ||
| US15/472,685 | 2017-03-29 | ||
| US15/472,685 US10595202B2 (en) | 2016-05-23 | 2017-03-29 | Dynamic access to hosted applications |
| PCT/US2017/033746 WO2017205241A1 (en) | 2016-05-23 | 2017-05-22 | Dynamic access to hosted applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109155781A true CN109155781A (zh) | 2019-01-04 |
| CN109155781B CN109155781B (zh) | 2021-05-14 |
Family
ID=60330601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780029602.1A Expired - Fee Related CN109155781B (zh) | 2016-05-23 | 2017-05-22 | 对托管应用程序的动态访问 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10595202B2 (zh) |
| EP (1) | EP3466026B1 (zh) |
| JP (1) | JP6782307B2 (zh) |
| CN (1) | CN109155781B (zh) |
| WO (1) | WO2017205241A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109800031A (zh) * | 2019-01-18 | 2019-05-24 | 广州虎牙信息科技有限公司 | 基于移动办公系统的业务控制方法、服务器、终端及装置 |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11847040B2 (en) | 2016-03-16 | 2023-12-19 | Asg Technologies Group, Inc. | Systems and methods for detecting data alteration from source to target |
| US11086751B2 (en) | 2016-03-16 | 2021-08-10 | Asg Technologies Group, Inc. | Intelligent metadata management and data lineage tracing |
| US10574559B2 (en) * | 2016-11-10 | 2020-02-25 | Bank Of America Corporation | System for defining and implementing performance monitoring requirements for applications and hosted computing environment infrastructure |
| GB2566264B (en) * | 2017-09-01 | 2020-05-13 | Trustonic Ltd | Application certificate |
| US11159627B1 (en) * | 2017-10-20 | 2021-10-26 | Parallels International Gmbh | Seamless remote network redirection |
| US11057500B2 (en) | 2017-11-20 | 2021-07-06 | Asg Technologies Group, Inc. | Publication of applications using server-side virtual screen change capture |
| US10749870B2 (en) * | 2017-11-21 | 2020-08-18 | Vmware, Inc. | Adaptive device enrollment |
| US10986078B2 (en) * | 2017-11-21 | 2021-04-20 | Vmware, Inc. | Adaptive device enrollment |
| US10798103B2 (en) | 2017-11-21 | 2020-10-06 | VWware, Inc. | Adaptive device enrollment |
| US10972468B2 (en) | 2017-11-21 | 2021-04-06 | Vmware, Inc. | Adaptive device enrollment |
| US10812611B2 (en) * | 2017-12-29 | 2020-10-20 | Asg Technologies Group, Inc. | Platform-independent application publishing to a personalized front-end interface by encapsulating published content into a container |
| US11611633B2 (en) | 2017-12-29 | 2023-03-21 | Asg Technologies Group, Inc. | Systems and methods for platform-independent application publishing to a front-end interface |
| US10877740B2 (en) | 2017-12-29 | 2020-12-29 | Asg Technologies Group, Inc. | Dynamically deploying a component in an application |
| KR102524517B1 (ko) * | 2018-02-23 | 2023-04-21 | 삼성전자주식회사 | 전자 장치 및 그의 동작 방법 |
| US10855686B2 (en) | 2018-04-09 | 2020-12-01 | Bank Of America Corporation | Preventing unauthorized access to secure information systems using multi-push authentication techniques |
| US11146590B2 (en) * | 2018-04-19 | 2021-10-12 | Ncr Corporation | Omni-channel end-point security |
| US20200028879A1 (en) | 2018-07-17 | 2020-01-23 | Microsoft Technology Licensing, Llc | Queryless device configuration determination-based techniques for mobile device management |
| US11184223B2 (en) * | 2018-07-31 | 2021-11-23 | Microsoft Technology Licensing, Llc | Implementation of compliance settings by a mobile device for compliance with a configuration scenario |
| US11757937B2 (en) * | 2018-09-14 | 2023-09-12 | Vmware, Inc. | Enabling webapp security through containerization |
| US10936337B2 (en) | 2018-11-09 | 2021-03-02 | Citrix Systems, Inc. | Rendering content of service providers via web page having dynamically-loaded plugins |
| US11258756B2 (en) | 2018-11-14 | 2022-02-22 | Citrix Systems, Inc. | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor |
| US11159531B2 (en) * | 2019-02-01 | 2021-10-26 | Citrix Systems, Inc. | Computer system providing anonymous remote access to shared computing sessions and related methods |
| US11310279B2 (en) * | 2019-04-05 | 2022-04-19 | International Business Machines Corporation | Implementation of selected enterprise policies |
| US11645102B2 (en) * | 2019-05-20 | 2023-05-09 | Citrix Systems, Inc. | Connection leasing system and related methods for use with legacy virtual delivery appliances |
| US11762634B2 (en) | 2019-06-28 | 2023-09-19 | Asg Technologies Group, Inc. | Systems and methods for seamlessly integrating multiple products by using a common visual modeler |
| US11941137B2 (en) | 2019-10-18 | 2024-03-26 | Asg Technologies Group, Inc. | Use of multi-faceted trust scores for decision making, action triggering, and data analysis and interpretation |
| US11693982B2 (en) | 2019-10-18 | 2023-07-04 | Asg Technologies Group, Inc. | Systems for secure enterprise-wide fine-grained role-based access control of organizational assets |
| US11886397B2 (en) | 2019-10-18 | 2024-01-30 | Asg Technologies Group, Inc. | Multi-faceted trust system |
| US11055067B2 (en) | 2019-10-18 | 2021-07-06 | Asg Technologies Group, Inc. | Unified digital automation platform |
| US11269660B2 (en) | 2019-10-18 | 2022-03-08 | Asg Technologies Group, Inc. | Methods and systems for integrated development environment editor support with a single code base |
| US11849330B2 (en) | 2020-10-13 | 2023-12-19 | Asg Technologies Group, Inc. | Geolocation-based policy rules |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140108649A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US20140189777A1 (en) * | 2012-12-28 | 2014-07-03 | Tarun Viswanathan | Policy-based secure containers for multiple enterprise applications |
| CN104365071A (zh) * | 2012-04-04 | 2015-02-18 | 阿尔卡特朗讯公司 | 用于在网络节点中实施多个标签分发协议(ldp)实例的系统和方法 |
| WO2016022712A1 (en) * | 2014-08-07 | 2016-02-11 | Mobile Iron, Inc. | Device identification in service authorization |
| CN105430091A (zh) * | 2015-12-11 | 2016-03-23 | 山东科大机电科技股份有限公司 | 基于云存储的远程设备健康管理方法及使用该方法的系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8973118B2 (en) | 2011-12-14 | 2015-03-03 | Cellco Partnership | Token based security protocol for managing access to web services |
| US8849979B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9886565B2 (en) * | 2014-06-20 | 2018-02-06 | Microsoft Technology Licensing, Llc | User-specific visualization of display elements |
-
2017
- 2017-03-29 US US15/472,685 patent/US10595202B2/en active Active
- 2017-05-22 JP JP2018559370A patent/JP6782307B2/ja active Active
- 2017-05-22 EP EP17728009.6A patent/EP3466026B1/en active Active
- 2017-05-22 WO PCT/US2017/033746 patent/WO2017205241A1/en unknown
- 2017-05-22 CN CN201780029602.1A patent/CN109155781B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104365071A (zh) * | 2012-04-04 | 2015-02-18 | 阿尔卡特朗讯公司 | 用于在网络节点中实施多个标签分发协议(ldp)实例的系统和方法 |
| US20140108649A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US20140189777A1 (en) * | 2012-12-28 | 2014-07-03 | Tarun Viswanathan | Policy-based secure containers for multiple enterprise applications |
| WO2016022712A1 (en) * | 2014-08-07 | 2016-02-11 | Mobile Iron, Inc. | Device identification in service authorization |
| CN105430091A (zh) * | 2015-12-11 | 2016-03-23 | 山东科大机电科技股份有限公司 | 基于云存储的远程设备健康管理方法及使用该方法的系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109800031A (zh) * | 2019-01-18 | 2019-05-24 | 广州虎牙信息科技有限公司 | 基于移动办公系统的业务控制方法、服务器、终端及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017205241A1 (en) | 2017-11-30 |
| US10595202B2 (en) | 2020-03-17 |
| CN109155781B (zh) | 2021-05-14 |
| US20170339564A1 (en) | 2017-11-23 |
| EP3466026B1 (en) | 2023-04-05 |
| JP6782307B2 (ja) | 2020-11-11 |
| JP2019526843A (ja) | 2019-09-19 |
| EP3466026A1 (en) | 2019-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109155781A (zh) | 对托管应用程序的动态访问 | |
| US11722465B2 (en) | Password encryption for hybrid cloud services | |
| JP6821857B2 (ja) | 連携ログオンプロバイダの依存パーティへのシングルサインオンの拡張 | |
| CN107690793B (zh) | 用于移动平台的隧穿的方法、设备和计算机可读存储媒体 | |
| US11627120B2 (en) | Dynamic crypto key management for mobility in a cloud environment | |
| US10826905B2 (en) | Secure access to on-premises web services from multi-tenant cloud services | |
| JP6687641B2 (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| AU2021200602B2 (en) | Virtual private networking based on peer-to-peer communication | |
| CN109558721A (zh) | 客户端应用程序的安全单点登录和条件访问 | |
| CN105379223B (zh) | 管理对企业资源的访问的方法和装置 | |
| CN105359486B (zh) | 使用代理安全访问资源 | |
| CN109074274A (zh) | 虚拟浏览器集成 | |
| CN108028845A (zh) | 使用导出凭证注册企业移动装置管理服务 | |
| AU2020233653B2 (en) | Secure information exchange in federated authentication | |
| CN107924431B (zh) | 匿名应用程序包装 | |
| CN105378744A (zh) | 在企业系统中的用户和设备认证 | |
| CN107636603A (zh) | 基于位置的装置可用性 | |
| JP2021535521A (ja) | 仮想デスクトップでのローカルマップアカウント | |
| US11557016B2 (en) | Tracking image senders on client devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210514 |