[发明专利]企业用户对主存的虚拟机的远程访问

权利要求书

1.一种用于允许第一域中主存的虚拟机和第二域中的客户端计算机(20)之间的远程呈现会话的方法，所述方法包括：

在所述第二域中的服务器处建立(1202)与所述客户端计算机的通信会话；

由所述服务器接收(1204)指示所述第一域中主存的所述虚拟机的虚拟机标识符；

从所述第二域中的虚拟化管理器接收(1206)包括签署的令牌和公钥的cookie；

使用所述公钥认证(1208)所述令牌并验证所述令牌映射到所述第一域中的用户账户；

向所述第一域中的虚拟化系统发送(1210)所述虚拟机标识符；

从所述第一域中的所述虚拟化系统接收(1212)所标识的虚拟机是有效的的确认和与所标识的虚拟机相关联的目标资源的身份；

向所述虚拟化系统中的中间监听服务发送(1214)所述虚拟机标识符和所接收的令牌；以及

将远程呈现会话数据转发(1216)到所述中间监听器服务。

2.如权利要求1所述的方法，其特征在于，所述建立还包括通过HTTPS隧道建立与所述客户端计算机的连接，其中所述HTTPS隧道指定目的地虚拟化服务器和所述中间监听服务的目的地端口。

3.如权利要求1所述的方法，其特征在于，还包括执行主机层次的授权。

4.如权利要求1所述的方法，其特征在于，还包括通过在所述服务器上执行的授权插件查询所述虚拟化服务器，以基于所述令牌确定所述客户端计算机是否被授权访问所述虚拟机。

5.如权利要求1所述的方法，其特征在于，所述签署的令牌包括承租人ID、令牌ID、令牌期满时间以及授权的目标虚拟机ID。

6.一种用于向第二域中的客户端计算机允许对第一域中主存的虚拟机的访问的系统(1300)，包括：

包括至少一个处理器(1310)的计算设备；

在所述系统操作时通信地耦合到所述处理器的存储器(1320)；所述存储器具有存储于其中的计算机指令，所述计算机指令在由所述至少一个处理器执行时致使：

接收(1322)第一虚拟机标识符、用公钥签署的令牌、以及对与所述虚拟机标识符相关联的虚拟机主机的请求；

实例化(1324)与所述客户端计算机的远程呈现会话；

经由所述远程呈现会话接收(1326)目标虚拟机标识符并用所述第一虚拟机标识符相关和授权所述目标虚拟机标识符；以及

确定(1328)所述目标和第一虚拟机标识符匹配并将经由所述远程呈现会话接收的数据转发到所述目标虚拟机。

7.如权利要求6所述的系统，其特征在于，所述转发包括在所述第一域中的单端口监听器处经由所述远程呈现会话转发所述数据。

8.如权利要求6所述的系统，其特征在于，所述相关和授权还包括基于授权存储XML中的用户角色策略确定所述第一虚拟机是否具有对所述目标虚拟机的访问权。

9.如权利要求8所述的系统，其特征在于，所述确定是使用CredSSP执行的。

10.一种其上存储用于由第二域中的客户端计算机访问第一域中主存的虚拟机的计算机可执行指令的计算机可读存储介质，所述指令用于：

与所述第一域中的虚拟化主机建立通信会话；

向所述第一域中的虚拟化主机发送虚拟机标识符和请求对所标识的虚拟机的访问的授权的声明；

从所述第二域中的虚拟化管理器接收签署的令牌；

通过所述第一域中的所述虚拟化主机建立远程呈现会话并发送基于cookie的授权将被执行的指示；

向所述第一域中的所述虚拟化主机发送包括签署的令牌和公钥的cookie；以及

建立与所请求的虚拟机的远程呈现会话。