技術領域

本發明涉及遠程呈現系統，尤其涉及企業用戶對主存的虛擬機的遠程訪問。

背景技術

聯網的一種日益流行的形式一般被稱為遠程呈現系統，其能使用諸如遠程桌面協議(遠程呈現)以及獨立計算架構(ICA)等協議來與遠程客戶端共享桌面和在服務器上執行的其他應用。這樣的計算系統通常將來自客戶端的鍵盤按壓和鼠標點擊或選擇傳送到服務器，通過網絡連接在另一方向將屏幕更新轉播回去。由此，當實際上僅僅向客戶端設備發送如在服務器側上顯現的桌面或應用的屏幕截圖時，用戶具有好像他的或她的機器正在完全地本地操作的體驗。

許多向其用戶提供虛擬機的企業正在從公共云提供者購買計算容量。云提供者(也被稱為公共主存者(public?hoster))出售虛擬機形式的計算容量，最終用戶在“即用即付(pay?as?you?go)”的基礎上為計算容量付費。類似地，企業也能夠從這些云提供者購買計算容量以擴展其計算容量。云提供者可使用虛擬化主機來部署虛擬機并向企業承租人出售虛擬機。云提供者的數據中心中的虛擬化主機可被聯結到云提供者的域，而承租人(云服務的計算容量的購買者)擁有實際的虛擬機。

企業承租人通常有許多用戶。承租人可進一步將計算容量細分并將從云租賃的個體虛擬機分配給來自他的企業的個體用戶。這些用戶需要以類似于他們訪問他們的本地計算機的方式訪問那些虛擬機。例如，遠程桌面協議可被用來訪問虛擬機。在服務提供者處，該基礎結構可以以對虛擬機的所有遠程桌面訪問是通過主計算機完成的方式來被設置。

通過云提供者提供遠程服務可提供一些好處，諸如：

1.即使承租人虛擬機不具有聯網設置也可提供訪問。

2.可為諸如Windows、Linux等多操作系統(OS)虛擬機工作負荷提供訪問。

3.在虛擬機上執行人工/網絡操作系統安裝的能力。

4.云提供者的網關和客虛擬機之間的網絡連通性是不需要的，從而使得云提供者的網絡和承租人的網絡能夠隔離(客虛擬機可進一步駐留于它們自己的隔離網絡中)。

發明內容

上述情形的一個問題是，通過云提供者的虛擬化主機對云中的虛擬機的遠程呈現訪問必須對承租人的企業的最終用戶是安全的。

在各實施例中，公開了用于使得企業的最終用戶能夠通過云提供者的虛擬化主機和遠程呈現網關接收對主存(hosted)的公共云中的分配的虛擬機的安全遠程呈現訪問的方法和系統。因此企業管理員可從云提供者購買計算容量并進一步將購買的計算容量在企業最終用戶間細分。云提供者不需要為作為計算容量的消費者的企業的每個最終用戶創建影子賬戶。云提供者也不需要將主機信息暴露給承租人。云提供者也不需要將主機信息暴露給互聯網。在一實施例中，用X.509證書簽署的定制令牌可被用來保護遠程呈現訪問。在其它實施例中，可使用具有用于身份聯盟的安全令牌服務(STS)的SAML令牌。

在一個實施例中，通過使用終端服務網關處的定制授權插件和虛擬化主機處的間接監聽器組件的組合，可提供授權。因此企業管理員可以能夠進一步細分購買的公共云容量并將承租人虛擬機在最終用戶間分配，而不需要公共云提供者(被稱為“主存者”)為每個企業最終用戶創建影子賬戶。當客戶端連接于遠程呈現網關時主機細節還可以被抽象，以保護結構(fabric)免受攻擊并使承租人虛擬機能夠跨云提供者的虛擬化主機自由移動而不影響遠程呈現訪問。

除了上述方面，構成本公開的一部分的權利要求、附圖、以及文本還描述了其他方面。本領域技術人員之一可理解，本公開的一個或更多個方面可包括但不限于用于實現本公開的本文所提及的電路和/或編程；該電路和/或編程實質上可以是配置成實現本文所提及的方面的硬件、軟件和/或固件的任何組合，這取決于系統設計者的設計選擇。

以上是概述，并且因此必然包含細節的簡化、一般化及省略。本領域技術人員將明白，本概述只是說明性的并且決不旨在是限制性的。

附圖說明

參考附圖來進一步描述根據本說明書的用于圖形數據傳輸到遠程計算設備的系統、方法和計算機可讀介質，在附圖中：

圖1和2描繪了其中可實現本公開的各方面的示例計算機系統。

圖3描繪了用于實施本公開的各方面的虛擬化操作環境。

圖4描繪了用于實施本公開的各方面的虛擬化操作環境。

圖5示出了包括用于實現遠程桌面服務的電路的計算機系統。

圖6描繪了用于實施本公開的各方面的操作環境。

圖7描繪了用于實施本公開的各方面的操作環境。