CN112333141B - 基于远程应用的提供互联网Web应用服务的方法、装置及*** - Google Patents

基于远程应用的提供互联网Web应用服务的方法、装置及*** Download PDF

Info

Publication number
CN112333141B
CN112333141B CN202010916153.6A CN202010916153A CN112333141B CN 112333141 B CN112333141 B CN 112333141B CN 202010916153 A CN202010916153 A CN 202010916153A CN 112333141 B CN112333141 B CN 112333141B
Authority
CN
China
Prior art keywords
server
client
web application
application service
sending
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010916153.6A
Other languages
English (en)
Other versions
CN112333141A (zh
Inventor
姜文志
请求不公布姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202010916153.6A priority Critical patent/CN112333141B/zh
Publication of CN112333141A publication Critical patent/CN112333141A/zh
Application granted granted Critical
Publication of CN112333141B publication Critical patent/CN112333141B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

基于远程应用的提供互联网Web应用服务的方法,包括:互联网用户的浏览器向服务端发送访问请求,获取所述服务端返回的页面内容;所述浏览器根据所述页面内容,判断所述互联网用户的终端是否安装客户端;若所述终端已安装所述客户端,所述浏览器控制打开所述客户端;所述客户端与所述服务端建立SSL或TLS的安全隧道;所述客户端接收所述服务端发送的访问互联网Web应用服务的虚拟界面并显示;所述客户端获取所述互联网用户对所述虚拟界面的操作指令,并发送至所述服务端,直至完成访问。本发明既保证互联网用户访问企事业单位对外提供的互联网Web应用服务,又保证内部网络和***安全,实现“内部代码不在互联网执行”。本发明还提出了相应的装置和***。

Description

基于远程应用的提供互联网Web应用服务的方法、装置及***
技术领域
本发明涉及互联网领域,特别是涉及基于远程应用的提供互联网Web应用服务的方法、装置及***。
背景技术
为方便向互联网用户提供服务,企事业单位建设了对外提供互联网Web应用服务的***,如政府的门户网站、银行的网上银行、企业的电商平台以及支付***。互联网用户使用Web浏览器通过http或https协议访问上述的互联网Web应用,轻松获得服务。然而,互联网Web应用服务给企事业单位、互联网用户提供便利的同时,安全性问题也日益突出。
为保障提供互联网Web应用服务的网络和***的安全,企事业单位使用防火墙、入侵检测***或入侵防御***、Web应用防火墙、防病毒***、APT攻击检测***及态势感知***等安全产品,尤其必需配备漏洞扫描***来检测***中存在的安全漏洞,及时对***漏洞进行补丁修复,以此提高网络和***的整体安全。然而,使用大量的安全产品,尽管投入了大量的人力和物力,企事业单位仍然无法把控自身的网络安全,时刻面临被网络攻击的风险。
面对***漏洞,企事业单位是否对***漏洞进行补丁修复,往往难以决断,一是对***漏洞不进行补丁修复,则***漏洞随时都有被攻破利用的可能,进而发生网络安全事件;二是对***漏洞进行补丁修复,则可能影响应用***的正常运行,进而发生业务中断,影响业务的连续性。尽管可以通过模拟应用***的运行环境,测试补丁修复对应用***的影响,减少补丁修复可能出现的风险,但是无法模拟应用***对大量真实数据的处理,仍存在补丁修复后***宕机的可能。随着时间的推移,新的***漏洞会不断出现,检测漏洞、测试补丁、修复漏洞将循环往复,耗费了企事业单位大量的人力和物力。
综上所述,企事业单位向互联网用户提供Web应用服务的同时,如何有效实现***漏洞不被利用,如何有效保护自身网络和***安全,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提出基于远程应用的提供互联网Web应用服务的方法、装置及***,旨在解决企事业单位向互联网用户提供Web应用服务的同时,有效保证自身的***漏洞不被利用,有效保障自身网络和***安全。
为解决上述技术问题,本发明提供如下技术方案:
基于远程应用的提供互联网Web应用服务的方法,包括:
互联网用户的浏览器向服务端发送访问请求,获取所述服务端根据所述访问请求返回的页面内容;
所述浏览器根据所述页面内容,判断所述互联网用户的终端是否安装客户端;
若所述终端未安装所述客户端,则所述浏览器跳转到下载所述客户端的页面;
所述互联网用户在所述终端上下载并安装所述客户端,并使用所述浏览器重新向所述服务端发送所述访问请求;
若所述互联网用户的所述终端已安装所述客户端,所述浏览器控制打开所述客户端;
所述客户端与所述服务端建立SSL或TLS的安全隧道;
所述客户端接收所述服务端发送的访问互联网Web应用服务的虚拟界面的图像数据,根据所述图像数据显示远程应用的所述虚拟界面;
所述客户端获取所述互联网用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的所述图像数据,并根据所述更新虚拟界面的所述图像数据实时更新所述远程应用的所述虚拟界面,所述操作指令是所述互联网用户通过远程应用访问企事业单位对外提供的所述互联网Web应用服务;
所述客户端持续获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端,直至完成访问所述互联网Web应用服务;
所述客户端检测到所述互联网用户关闭显示的所有所述虚拟界面,并在一个时间间隔内未向所述服务端发送请求或未接收到所述服务端发送的显示内容,断开与所述服务端的连接,关闭所述客户端自身的进程。
优选地,根据所述页面内容判断所述互联网用户的所述终端已安装所述客户端,所述浏览器控制打开所述客户端,以使所述客户端与所述服务端建立SSL或TLS的安全隧道;
所述互联网用户在所述终端上安装的所述客户端,在所述终端的桌面上不显示所述客户端的桌面快捷图标;所述客户端运行后,在所述终端的桌面任务栏的右下角不显示所述客户端运行的图标,使所述互联网用户感觉不到所述客户端的运行;
所述互联网用户关闭显示的所有所述虚拟界面,在所述客户端断开与所述服务端的连接,关闭所述客户端自身的进程前,再次使用所述浏览器向所述服务端发送所述访问请求;当所述浏览器获取所述服务端根据所述访问请求返回的所述页面内容,判断所述客户端正在运行则请求所述客户端再次向所述服务端发起访问,或者所述客户端检测到所述浏览器向所述服务端发送所述访问请求时,所述客户端再次向所述服务端发起所述访问请求,接收所述服务端发送的当前运行的虚拟界面的图像数据,并根据所述图像数据显示远程应用的所述虚拟界面。
优选地,所述服务端内置有Web浏览器,使用所述Web浏览器访问企事业单位对外提供的所述互联网Web应用服务,获取所述Web浏览器运行的所述虚拟界面的所述图像数据,并将所述图像数据发送至所述客户端;所述服务端接收所述客户端发送的对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,并响应于所述操作指令以执行所述Web浏览器访问所述互联网Web应用服务;
所述服务端在发送获取的所述图像数据前,使用压缩算法对所述图像数据进行压缩;所述客户端接收到所述服务端发送的所述图像数据,使用压缩算法对所述图像数据进行解压,并显示远程应用的所述虚拟界面;
所述服务端也可以将所述Web浏览器访问所述互联网Web应用服务的虚拟界面进行实时封装,封装之后得到视频流,将所述视频流发送至所述客户端,并由所述客户端显示。
优选地,所述客户端与所述服务端建立SSL或TLS的安全隧道,还包括:
所述客户端向所述服务端请求服务端证书,并通过接收到的所述服务端证书验证所述服务端身份的合法性;
如果合法性验证没有通过,所述客户端与所述服务端将断开通讯;
如果合法性验证通过,所述客户端与所述服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
所述加密算法可以是公开的国标、国密标准算法,也可以是企业自有开发的私有算法;所述压缩算法可以是公开的标准算法,也可以是企业自有开发的私有算法;
作为可选项,所述服务端也可以验证所述客户端证书的合法性。
优选地,所述客户端将识别的USB-Key设备映射至所述服务端;所述互联网Web应用服务通过所述USB-Key设备存储的所述互联网用户的公钥、私钥和数字证书来验证所述互联网用户身份的合法性,以及完成交易数据的数字签名;
所述服务端获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,发送所述证书验证请求至所述客户端,并接收所述客户端发送的所述数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;
所述服务端获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的数字签名请求,转发所述数字签名请求至所述客户端;所述客户端将接收的所述数字签名请求提交至所述USB-Key设备,获取由所述USB-Key设备完成所述数字签名请求的数字签名响应,转发所述数字签名响应至所述服务端;所述服务端将接收的所述数字签名响应发送至所述互联网Web应用服务,由所述互联网Web应用服务完成交易。
优选地,所述客户端对发送至所述服务端的所有数据报或数据包添加代表所述客户端的特殊标识,而所述服务端对接收的所有数据报或数据包进行检测,丢弃未含有所述特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包。
基于远程应用的提供互联网Web应用服务的客户端装置,包括:
控制模块,用于控制各个模块协调一致地工作;用于对发送至所述服务端的所有数据报或数据包添加代表所述客户端的特殊标识;用于检测到所述浏览器向所述服务端发送所述访问请求,再次向所述服务端发起所述访问请求;用于检测到所述互联网用户关闭显示的所有所述虚拟界面,并在一个时间间隔内未向所述服务端发送请求或未接收到所述服务端发送的显示内容,断开与所述服务端的连接,关闭所述客户端自身的进程;
安全隧道建立模块,用于向所述服务端请求所述服务端证书,完成验证所述服务端身份的合法性,向所述服务端发送建立安全连接的请求,与所述服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块,用于接收所述服务端发送的访问所述互联网Web应用服务的所述虚拟界面的所述图像数据,使用压缩算法对所述虚拟界面的所述图像数据进行解压,根据所述图像数据显示远程应用的所述虚拟界面;
其中,所述界面图像处理模块包括:界面图像接收单元,接收所述服务端发送的访问所述互联网Web应用服务的所述虚拟界面的所述图像数据;界面图像解压单元,使用压缩算法解压所述虚拟界面的所述图像数据;界面图像显示单元,根据解压后的所述虚拟界面的所述图像数据显示远程应用的所述虚拟界面;
鼠标/键盘事件处理模块,用于获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;
其中,所述鼠标/键盘事件处理模块包括:获取单元,用于获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令;发送单元,将所述鼠标点击/键盘输入操作指令发送至所述服务端;
USB-Key处理模块,用于当检测到有外部USB-Key设备接入所述互联网用户的所述终端时,将获取的USB-Key设备信息发送至所述服务端,把识别的所述USB-Key设备映射至所述服务端;用于接收所述服务端发送的所述证书验证请求,并将从所述USB-Key设备获取的所述数字证书发送至所述服务端;用于接收所述服务端发送的所述数字签名请求,并转发所述数字签名请求至所述USB-Key设备;获取所述USB-Key设备内部完成的数字签名响应,并将所述数字签名响应转发至所述服务端;
其中,所述USB-Key处理模块包括:代理单元,用于当检测到有外部USB-Key设备接入所述互联网用户的所述终端时,将获取的USB-Key设备信息发送至控制单元;用于接收所述控制单元发送的所述证书验证请求,并根据所述证书验证请求将从所述USB-Key设备获取的所述数字证书转发至所述控制单元;用于接收所述控制单元发送的所述数字签名请求,并转发所述数字签名请求至所述USB-Key设备;用于获取所述USB-Key设备内部完成的数字签名响应,并将所述数字签名响应转发至所述控制单元;控制单元,用于接收所述代理单元发送的所述USB-Key设备信息,并发送所述USB-Key设备信息至所述服务端;用于接收所述服务端发送的所述证书验证请求,并转发所述证书验证请求至所述代理单元;用于接收所述代理单元发送的所述数字证书,并转发所述数字证书至所述服务端;用于接收所述服务端发送的所述数字签名请求,并转发所述数字签名请求至所述代理单元;用于接收所述代理单元发送的所述数字签名响应,并发送所述数字签名响应至所述服务端。
基于远程应用的提供互联网Web应用服务的服务端装置,包括:
控制模块,用于控制各个模块协调一致地工作;用于接收所述互联网用户的所述浏览器发送的所述访问请求,并将对应的所述页面内容发送至所述浏览器;用于对接收的所有数据报或数据包进行检测,丢弃未含有所述特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包;
安全隧道建立模块,用于向所述客户端发送所述服务端证书,接收所述客户端建立安全连接的请求,与所述客户端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块,用于获取所述Web浏览器模块中Web浏览器运行的所述虚拟界面的所述图像数据,使用压缩算法压缩所述虚拟界面的所述图像数据,并将压缩的所述虚拟界面的所述图像数据发送至所述客户端;
其中,所述界面图像处理模块包括:界面图像获取单元,获取所述Web浏览器模块中Web浏览器运行的所述虚拟界面的所述图像数据;界面图像压缩单元,使用压缩算法压缩所述虚拟界面的所述图像数据;界面图像发送单元,将压缩后的所述虚拟界面的所述图像数据发送至所述客户端;
鼠标/键盘事件处理模,用于接收所述客户端发送的所述鼠标点击/键盘输入操作指令,响应于所述鼠标点击/键盘输入操作指令,以执行对所述Web浏览器的操作;
其中,所述鼠标/键盘事件处理模块包括:接收单元,接收所述客户端发送的所述鼠标点击/键盘输入操作指令;响应单元,响应于所述鼠标点击/键盘输入操作指令,以执行对所述Web浏览器的操作;
Web浏览器模块,用于访问企事业单位对外提供的所述互联网Web应用服务,实现所述互联网用户通过基于远程应用的方式访问所述互联网Web应用服务;
USB-Key处理模块,用于接收所述客户端发送的所述USB-Key设备信息,将所述客户端识别的所述USB-Key设备映射到本地;用于获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,将获取的所述证书验证请求发送至所述客户端,接收所述客户端发送的所述数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;用于获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的数字签名请求,将获取的所述数字签名请求发送至所述客户端,根据所述客户端发送的所述数字签名响应,将接收的所述数字签名响应发送至所述互联网Web应用服务;
其中,所述USB-Key处理模块包括:代理单元,用于根据接收的所述USB-Key设备信息将所述客户端识别的所述USB-Key设备映射到本地;用于获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,将获取的所述证书验证请求发送至控制单元,根据所述控制单元发送的所述数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;用于获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的所述数字签名请求,将获取的所述数字签名请求发送至所述控制单元,根据所述控制单元发送的所述数字签名响应,将接收的所述数字签名响应发送至所述互联网Web应用服务;控制单元,用于接收所述客户端发送的所述USB-Key设备信息;用于接收所述代理单元发送的所述证书验证请求,并转发所述证书验证请求至所述客户端;用于接收所述客户端发送的所述数字证书,并转发所述数字证书至所述代理单元;用于接收所述代理单元发送的所述数字签名请求,并转发所述数字签名请求至所述客户端;用于接收所述客户端发送的所述数字签名响应,并转发所述数字签名响应至所述代理单元。
基于远程应用的提供互联网Web应用服务的***,包括:基于远程应用的提供互联网Web应用服务的客户端装置以及基于远程应用的提供互联网Web应用服务的服务端装置。
基于远程应用的提供互联网Web应用服务的***,还提出了一种适用于移动APP架构的***,包括移动APP端装置和服务端装置。
优选地,所述移动APP端装置包括控制模块、安全隧道建立模块、界面图像处理模块、虚拟鼠标/键盘事件处理模块、硬件读取模块、数字证书模块、指纹识别模块、人脸识别模块、定位模块;
所述控制模块,用于控制各个模块协调一致地工作;用于对发送至所述服务端的所有数据报或数据包添加代表所述客户端的特殊标识;
所述安全隧道建立模块,用于向所述服务端请求所述服务端证书,完成验证所述服务端身份的合法性,向所述服务端发送建立安全连接的请求,与所述服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
所述界面图像处理模块,用于接收所述服务端发送的访问所述互联网Web应用服务的所述虚拟界面的所述图像数据,使用压缩算法对所述虚拟界面的所述图像数据进行解压,根据所述图像数据显示远程应用的所述虚拟界面;
所述虚拟鼠标/键盘事件处理模块,用于获取所述移动互联网用户对显示的虚拟界面的虚拟鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;
其中,所述虚拟鼠标/键盘事件处理模块包括:获取单元,用于获取所述移动互联网用户对显示的所述虚拟界面的所述虚拟鼠标点击/键盘输入操作指令;发送单元,将所述虚拟鼠标点击/键盘输入操作指令发送至所述服务端;
所述硬件获取模块,用于所述移动APP端启动时或硬件发生变化时,获取硬件的相关信息,包括但不限于手机号码、手机序列号IMEI、型号、序列号,将获取的所述硬件相关信息发送至所述服务端;
所述数字证书模块,用于接收所述服务端发送的所述移动互联网用户的所述数字证书,并保存于所述移动APP端;用于接收所述服务端发送的所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求;用于读取保存于所述移动APP端的所述移动互联网用户的所述数字证书,并发送至所述服务端;
其中,所述数字证书模块包括:接收保存单元,接收所述服务端发送的所述移动互联网用户的所述数字证书,并保存于所述移动APP端;验证请求接收单元,接收所述服务端发送的所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求;读取发送单元,读取保存于所述移动APP端的所述移动互联网用户的所述数字证书,并发送至所述服务端;
所述指纹识别模块,用于检测所述移动互联网用户掌上设备的指纹功能是否可用;用于接收所述服务端发送的所述移动互联网Web应用服务调用指纹识别功能的请求;用于获取所述移动互联网用户的所述指纹图像,将获取的所述指纹图像发送至所述服务端;
其中,所述指纹识别模块包括:控制单元,检测所述移动互联网用户掌上设备的指纹功能是否可用,接收所述服务端发送的所述移动互联网Web应用服务调用指纹识别功能的所述请求;指纹图像获取单元,获取所述移动互联网用户的所述指纹图像;指纹图像发送单元,将获取的所述指纹图像发送至所述服务端;
所述人脸识别模块,用于检测所述移动互联网用户掌上设备的摄像头功能是否可用;用于接收所述服务端发送的所述移动互联网Web应用服务调用人脸识别功能的请求;用于获取所述移动互联网用户的所述人脸图像,将获取的所述人脸图像发送至所述服务端;
其中,所述人脸识别模块包括:控制单元,检测所述移动互联网用户掌上设备的摄像头功能是否可用,接收所述服务端发送的所述移动互联网Web应用服务调用人脸识别功能的所述请求;人脸图像获取单元,获取所述移动互联网用户的所述人脸图像;人脸图像发送单元,将获取的所述人脸图像发送至所述服务端;
所述定位模块,用于接收所述服务端发送的所述移动互联网Web应用服务调用所述互联网用户位置功能的请求,获取所述移动互联网用户的位置信息,并将所述位置信息发送至所述服务端。
优选地,所述服务端装置包括控制模块、安全隧道建立模块、界面图像处理模块、虚拟鼠标/键盘事件处理模、Web浏览器模块、硬件接收模块、数字证书模块、人脸识别模块、指纹识别模块、定位模块;其中数字证书模块、人脸识别模块、指纹识别模块、定位模块可以提供应用程序接口,供所述移动互联网Web应用服务进行调用;
所述控制模块,用于控制各个模块协调一致地工作;用于对接收的所有数据报或数据包进行检测,丢弃未含有所述特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包;
所述安全隧道建立模块,用于向所述客户端发送所述服务端证书,接收所述客户端建立安全连接的请求,与所述客户端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
所述界面图像处理模块,用于获取所述Web浏览器模块中Web浏览器运行的所述虚拟界面的所述图像数据,使用压缩算法压缩所述虚拟界面的所述图像数据,并将压缩的所述虚拟界面的所述图像数据发送至所述客户端;
所述虚拟鼠标/键盘事件处理模,用于接收所述移动APP端发送的虚拟鼠标点击/键盘输入操作指令,响应于所述虚拟鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
其中,所述虚拟鼠标/键盘事件处理模块包括:接收单元,接收所述移动APP端发送的所述虚拟鼠标点击/键盘输入操作指令;响应单元,响应于所述虚拟鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
所述Web浏览器模块,用于访问企事业单位对外提供的基于移动APP架构的所述移动互联网Web应用服务,实现所述移动互联网用户通过基于远程应用的方式访问基于移动APP架构的所述移动互联网Web应用服务;
所述硬件接收模块,用于接收所述移动APP端发送的所述硬件相关信息,并将接收的所述硬件相关信息发送至所述移动互联网Web应用服务;
所述数字证书模块,用于获取所述移动互联网用户通过远程应用的方式请求所述移动互联网Web应用服务下载的所述移动互联网用户的所述数字证书,将下载的所述数字证书发送至所述移动APP端;用于获取所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的验证请求,并转发至所述移动APP端;用于接收所述移动APP端发送的所述移动互联网用户的所述数字证书,并发送至所述移动互联网Web应用服务;
其中,所述数字证书模块包括:下载发送单元,获取所述移动互联网用户通过远程应用的方式请求所述移动互联网Web应用服务下载的所述移动互联网用户的所述数字证书,将下载的所述数字证书发送至所述移动APP端;验证请求获取单元,获取所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求,并转发至所述移动APP端;接收发送单元,接收所述移动APP端发送的所述移动互联网用户的所述数字证书,并发送至所述移动互联网Web应用服务;
所述指纹识别模块,用于获取所述移动互联网Web应用服务调用指纹识别功能的请求,并发送至所述移动APP端;用于接收所述移动APP端发送的所述指纹图像,将接收的所述指纹图像发送至所述移动互联网Web应用服务;
其中,所述指纹识别模块包括:代理单元,获取所述移动互联网Web应用服务调用指纹识别功能的所述请求,并发送至所述移动APP端,将接收的所述指纹图像发送至所述移动互联网Web应用服务;指纹图像接收单元,接收所述移动APP端发送的所述指纹图像;
所述人脸识别模块,用于获取所述移动互联网Web应用服务调用人脸识别功能的请求,并发送至所述移动APP端;用于接收所述移动APP端发送的所述人脸图像,将接收的所述人脸图像发送至所述移动互联网Web应用服务;
其中,所述人脸识别模块包括:代理单元,获取所述移动互联网Web应用服务调用人脸识别功能的请求,并发送至所述移动APP端,将接收的所述人脸图像发送至所述移动互联网Web应用服务;人脸图像接收单元,接收所述移动APP端发送的所述人脸图像;
所述定位模块,用于获取所述移动互联网Web应用服务调用所述互联网用户位置功能的请求,并发送至所述移动APP端,将接收所述移动APP端发送的所述位置信息发送至所述移动互联网Web应用服务。
在本发明提出的基于远程应用的提供互联网Web应用服务的方法中,首先,互联网用户的终端安装客户端,使用浏览器控制打开客户端;客户端运行后与服务端建立SSL或TLS的安全隧道,在终端的桌面任务栏的右下角不显示客户端运行的图标,使互联网用户感觉不到客户端的运行,仅以为只是安装了一个浏览器插件而已,此方法改变了互联网用户的Browser/Server访问模式,变成Client/Server+Browser/Server的访问模式。其次,客户端接收并显示服务端发送的访问互联网Web应用服务的虚拟界面,把鼠标点击/键盘输入操作指令发送至服务端,并更新服务端响应于接收到的鼠标点击/键盘输入操作指令后的虚拟界面。浏览器运行在服务端,客户端接收的仅是浏览器运行的图像界面,内部代码不在互联网执行,互联网的代码也不会在提供互联网Web应用服务的***内运行,杜绝了***漏洞被利用的可能,保障自身网络和***安全。然后,客户端对发送至服务端的所有数据报或数据包添加代表客户端的特殊标识,服务端丢弃接收到的未含有特殊标识的数据报或数据包,也能够减少大量的非法攻击。
相应地,本发明还提供了与上述基于远程应用的提供互联网Web应用服务的方法相对应的装置及***,具有上述技术效果,在此不再赘述。
基于远程应用的提供互联网Web应用服务的装置及***,是基于Client/Server结构,与安装于掌上设备的移动APP应用结构类似。所以,本发明还提出了适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***。移动APP端接收的是服务端使用Web浏览器访问移动互联网Web应用服务的虚拟界面,将获取移动互联网用户对显示的虚拟界面的虚拟鼠标点击/键盘输入操作指令发送至服务端。移动APP端和服务端同样实现了互联网代码和内部代码的隔离,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中基于远程应用的提供互联网Web应用服务的方法的流程示意图;
图2为本发明实施例中基于远程应用的提供互联网Web应用服务的***的***架构示意图;
图3为本发明实施例中基于远程应用的提供互联网Web应用服务的***的网络结构示意图;
图4为本发明实施例中基于远程应用的提供互联网Web应用服务的***的***结构示意图;
图5为本发明实施例中基于远程应用的提供互联网Web应用服务的***的界面图像处理模块的结构示意图;
图6为本发明实施例中基于远程应用的提供互联网Web应用服务的***的鼠标/键盘事件处理模块的结构示意图;
图7为本发明实施例中基于远程应用的提供互联网Web应用服务的***的USB-Key处理模块的结构示意图;
图8为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的***结构示意图;
图9为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的数字证书模块的结构示意图;
图10为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的指纹识别模块的结构示意图;
图11为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的人脸识别模块的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
除非上下文另有特定清楚的描述,本发明中的元件和组件,数量既可以单个的形式存在,也可以多个的形式存在,本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。可以理解,本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组合。本文中提到的企事业单位,泛指对外提供互联网Web应用服务的单位,包括但不限于政府、事业单位、企业、组织。本文中提到的USB-Key处理功能、硬件读取功能、数字证书功能、指纹识别功能、人脸识别功能、定位功能,企事业单位可以根据实际情况选取一个或多个进行使用。
如图1所示,在一个实施例中,提出了基于远程应用的提供互联网Web应用服务的方法,该方法应用于互联网用户终端;互联网用户终端,包括台式电脑、笔记本电脑,通过互联网以远程应用的方式访问企事业单位对外提供的互联网Web应用服务。该方法包括:
步骤S101,互联网用户的浏览器向服务端发送访问请求,获取服务端根据该访问请求返回的页面内容。
互联网用户访问企事业单位对外提供的互联网Web应用服务时,使用浏览器打开互联网Web应用服务的网址。服务端检测到浏览器的访问请求,将该请求对应的页面内容发送至浏览器。浏览器接收服务端发送的页面内容。
步骤S102,浏览器根据页面内容,判断互联网用户的终端是否安装客户端。
浏览器接收服务端发送的页面内容,根据该页面内容,判断互联网用户的终端是否安装客户端。
步骤S103,若终端未安装客户端,则浏览器跳转到下载客户端的页面。
若互联网用户的终端未安装客户端,则浏览器跳转到下载客户端的页面,提示互联网用户下载客户端软件并安装。
步骤S104,互联网用户在终端上下载并安装客户端,并使用浏览器重新向服务端发送访问请求。
根据下载客户端页面上的提示方法,互联网用户在终端上下载并安装客户端,并使用浏览器重新向服务端发送访问请求,即转向步骤S101。互联网用户在终端上安装的客户端,在终端的桌面上不显示该客户端的桌面快捷图标。
步骤S105,若互联网用户的终端已安装客户端,浏览器控制打开客户端。
若互联网用户的终端已安装客户端,浏览器控制打开客户端。客户端运行后,在终端的桌面任务栏的右下角不显示客户端运行的图标,使互联网用户感觉不到客户端的运行。
步骤S106,客户端与服务端建立SSL或TLS的安全隧道。
客户端运行后,客户端向服务端请求服务端证书,并通过接收到的服务端证书验证服务端身份的合法性。如果合法性验证没有通过,客户端与服务端将断开通讯;如果合法性验证通过,客户端与服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道。
加密算法可以是公开的国标、国密标准算法,也可以是企业自有开发的私有算法;压缩算法可以是公开的标准算法,也可以是企业自有开发的私有算法。
作为可选项,服务端也可以验证客户端证书的合法性。
步骤S107,客户端接收服务端发送的访问互联网Web应用服务的虚拟界面的图像数据,根据该图像数据显示远程应用的虚拟界面。
服务端内置有Web浏览器,使用该Web浏览器访问企事业单位对外提供的互联网Web应用服务,获取该Web浏览器运行的虚拟界面的图像数据,并将该图像数据发送至客户端。客户端接收服务端发送的Web浏览器运行的虚拟界面的图像数据,根据该图像数据显示远程应用的虚拟界面。
服务端在发送获取的图像数据前,使用压缩算法对该图像数据进行压缩;客户端接收到服务端发送的图像数据之后,使用压缩算法对该图像数据进行解缩,并显示远程应用的虚拟界面。
服务端也可以将Web浏览器访问互联网Web应用服务的虚拟界面进行实时封装,封装之后得到视频流,将视频流发送至所述客户端,并由所述客户端显示。
步骤S108,客户端获取互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,并将该操作指令发送至服务端。
为远程访问互联网Web应用服务,互联网用户对显示的虚拟界面进行鼠标点击和/或键盘输入的操作。客户端获取互联网用户的该操作指令,并将该操作指令发送至服务端。
步骤S109,客户端接收服务端响应于操作指令返回的更新虚拟界面的图像数据,并根据该更新虚拟界面的图像数据实时更新远程应用的虚拟界面,而该操作指令是互联网用户通过远程应用访问企事业单位对外提供的互联网Web应用服务。
服务端接收客户端发送的对显示的虚拟界面的鼠标点击/键盘输入操作指令,响应于该操作指令以执行Web浏览器访问企事业单位对外提供的互联网Web应用服务,并将更新虚拟界面的图像数据发送至客户端。客户端接收服务端发送的更新虚拟界面的图像数据,并根据该图像数据实时更新远程应用的虚拟界面。
步骤S110,客户端持续获取互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,并将该操作指令发送至服务端,直至完成访问互联网Web应用服务。
在互联网用户通过远程应用访问企事业单位对外提供的互联网Web应用服务过程中,客户端持续不断的获取互联网用户的鼠标点击/键盘输入操作指令,并将获取的操作指令发送给服务端,由服务端进行响应,并实时更新Web浏览器运行的更新的虚拟界面,直至完成访问该互联网Web应用服务。
步骤S111,客户端检测到互联网用户关闭显示的所有虚拟界面,并在一个时间间隔内未向服务端发送请求或未接收到服务端发送的显示内容,断开与服务端的连接,关闭客户端自身的进程。
客户端检测到互联网用户关闭显示的所有虚拟界面,并在一个时间间隔内未向服务端发送请求或未接收到服务端发送的显示内容,说明互联网用户已完成访问企事业单位对外提供的互联网Web应用服务,客户端断开与服务端的连接,关闭客户端自身的进程。
互联网用户关闭显示的所有虚拟界面,在客户端未关闭客户端自身的进程前,再次使用浏览器向服务端发送访问请求。当浏览器获取服务端根据访问请求返回的页面内容,判断客户端正在运行则请求客户端再次向服务端发起访问,或者客户端检测到浏览器向服务端发送访问请求时,客户端再次向服务端发起访问请求,接收服务端发送的当前运行的虚拟界面的图像数据,并根据图像数据显示远程应用的虚拟界面。
图2为本发明实施例中基于远程应用的提供互联网Web应用服务的***的***架构示意图,如图2所示,本实施例的用于基于远程应用的提供互联网Web应用服务的***的***架构,具体包括:
客户端01,用于与服务端建立SSL或TLS的安全隧道,接收服务端发送的访问企事业单位对外提供的互联网Web应用服务的虚拟界面的图像数据,根据图像数据显示远程应用的虚拟界面;用于获取互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,发送至服务端,远程操作Web浏览器访问企事业单位对外提供的互联网Web应用服务,并更新服务端响应于操作指令返回的更新虚拟界面,直至完成访问该互联网Web应用服务;用于对发送至服务端的所有数据报或数据包添加代表客户端的特殊标识;用于将识别的USB-Key设备映射至服务端;用于检测到互联网用户关闭显示的所有虚拟界面,并在一个时间间隔内未向服务端发送请求或未接收到服务端发送的显示内容,断开与服务端的连接,关闭客户端自身的进程。
服务端02,用于接收互联网用户的浏览器发送的访问请求,并将对应的页面内容发送至该浏览器;用于与客户端建立SSL或TLS的安全隧道,响应于接收客户端发送的鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作,实现访问企事业单位对外提供的互联网Web应用服务,并将Web浏览器运行的虚拟界面发送至客户端;用于对接收的所有数据报或数据包进行检测,丢弃未含有特殊标识的数据报或数据包,处理含有特殊标识的所述数据报或数据包;用于接收客户端发送的USB-Key设备信息,将客户端识别的USB-Key设备映射到本地。
图3为本发明实施例中基于远程应用的提供互联网Web应用服务的***的网络结构示意图,如图3所示,本实施例的用于基于远程应用的提供互联网Web应用服务的***的网络结构,具体包括:
***200是代表用于企事业单位对外提供互联网Web应用服务使用的传统安全产品,包括但不限于防火墙、入侵防御***、Web应用防火墙等。互联网用户使用浏览器通过http或https协议访问企事业单位对外提供互联网Web应用服务的Web服务器或者Web代理服务器。互联网用户的程序代码可以在Web服务器或者Web代理服务器执行,尽管部署了一系列安全产品,但无法全部检测和阻断程序代码里的攻击内容,仍不能把控自身的网络安全,时刻面临被网络攻击的风险。
***100部署于互联网和内部网络之间的边界,对外连接互联网,对内可以访问企事业单位对外提供互联网Web应用服务的Web服务器和/或Web代理服务器。互联网用户的终端,包括台式电脑、笔记本电脑,可以使用互联网通过***100远程访问企事业单位对外提供的互联网Web应用服务。
***100安装服务端的软件,并运行。若要访问企事业单位对外提供的互联网Web应用服务,互联网用户的终端需要安装客户端软件,并运行客户端,与服务端建立SSL或TLS的安全隧道,通过服务端以远程应用的方式来访问企事业单位对外提供互联网Web应用服务,显示的仅是服务端的Web浏览器运行的虚拟界面。
***100的服务端接收的仅仅是客户端获取的互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,以及USB-Key设备的映射,不接受互联网用户的任何程序代码。互联网的任何攻击代码不可能到达Web服务器和/或Web代理服务器,除非***100自身存在安全问题,否则不可能对Web服务器和/或Web代理服务器,以及内部网络构成安全威胁。该方法不仅能够保证企事业单位正常向互联网用户提供Web应用服务,而且能够有效保证自身的***漏洞不被利用,有效保障自身网络和***安全。
图4为本发明实施例中基于远程应用的提供互联网Web应用服务的***的***结构示意图,如图4所示,本实施例的用于本发明实施例中基于远程应用的提供互联网Web应用服务的***的***结构,具体可以包括:
客户端01,包括控制模块011、安全隧道建立模块012、界面图像处理模块013、鼠标/键盘事件处理模块014、USB-Key处理模块015。
控制模块011,用于控制各个模块协调一致地工作;用于对发送至服务端的所有数据报或数据包添加代表客户端的特殊标识;用于检测到浏览器向服务端发送访问请求,再次向服务端发起访问请求;用于检测到互联网用户关闭显示的所有虚拟界面,并在一个时间间隔内未向服务端发送请求或未接收到服务端发送的显示内容,断开与服务端的连接,关闭客户端自身的进程;
安全隧道建立模块012,用于向服务端请求服务端证书,完成验证服务端身份的合法性,向服务端发送建立安全连接的请求,与服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块013,用于接收服务端发送的访问互联网Web应用服务的虚拟界面的图像数据,使用压缩算法对虚拟界面的图像数据进行解压,根据图像数据显示远程应用的虚拟界面;
鼠标/键盘事件处理模块014,用于获取互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,将操作指令发送至服务端;
USB-Key处理模块015,用于当检测到有外部USB-Key设备接入互联网用户的终端时,将获取的USB-Key设备信息发送至服务端,把识别的USB-Key设备映射至服务端;用于接收服务端发送的证书验证请求,并将从USB-Key设备获取的数字证书发送至服务端;用于接收服务端发送的数字签名请求,并转发数字签名请求至USB-Key设备;获取USB-Key设备内部完成的数字签名响应,并将数字签名响应转发至服务端。
服务端02,包括控制模块021、安全隧道建立模块022、界面图像处理模块023、鼠标/键盘事件处理模024、Web浏览器模块026、USB-Key处理模块025。
控制模块021,用于控制各个模块协调一致地工作;用于接收互联网用户的浏览器发送的访问请求,并将对应的页面内容发送至浏览器;用于对接收的所有数据报或数据包进行检测,丢弃未含有特殊标识的数据报或数据包,处理含有特殊标识的数据报或数据包;
安全隧道建立模块022,用于向客户端发送服务端证书,接收客户端建立安全连接的请求,与客户端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块023,用于获取Web浏览器模块中Web浏览器运行的虚拟界面的图像数据,使用压缩算法压缩虚拟界面的图像数据,并将压缩的虚拟界面的图像数据发送至客户端;
鼠标/键盘事件处理模024,用于接收客户端发送的鼠标点击/键盘输入操作指令,响应于鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
Web浏览器模块026,用于访问企事业单位对外提供的互联网Web应用服务,实现互联网用户通过基于远程应用的方式访问互联网Web应用服务;
USB-Key处理模块025,用于接收客户端发送的USB-Key设备信息,将客户端识别的USB-Key设备映射到本地;用于获取互联网Web应用服务验证互联网用户身份的证书验证请求,将获取的证书验证请求发送至客户端,接收客户端发送的数字证书,将接收的数字证书发送至互联网Web应用服务;用于获取互联网Web应用服务需要互联网用户对交易数据进行签名的数字签名请求,将获取的数字签名请求发送至客户端,根据客户端发送的数字签名响应,将接收的数字签名响应发送至互联网Web应用服务。
图5为本发明实施例中基于远程应用的提供互联网Web应用服务的***的界面图像处理模块的结构示意图,如图5所示,本实施例的用于本发明实施例中基于远程应用的提供互联网Web应用服务的***的界面图像处理模块的结构,具体可以包括:
客户端01的界面图像处理模块13有界面图像接收单元133、界面图像解压单元132、界面图像显示单元131。
界面图像接收单元133,用于接收服务端发送的访问互联网Web应用服务的虚拟界面的图像数据;
界面图像解压单元132,用于使用压缩算法解压虚拟界面的图像数据;
界面图像显示单元131,用于根据解压后的虚拟界面的图像数据显示远程应用的虚拟界面。
服务端02的界面图像处理模块23有界面图像获取单元231、界面图像压缩单元232、界面图像发送单元233。
界面图像获取单元231,用于获取Web浏览器模块中Web浏览器运行的虚拟界面的图像数据;
界面图像压缩单元232,用于使用压缩算法压缩虚拟界面的图像数据;
界面图像发送单元233,用于将压缩后的虚拟界面的图像数据发送至客户端。
图6为本发明实施例中基于远程应用的提供互联网Web应用服务的***的鼠标/键盘事件处理模块的结构示意图,如图6所示,本实施例的用于本发明实施例中基于远程应用的提供互联网Web应用服务的***的鼠标/键盘事件处理模块的结构,具体可以包括:
客户端01的鼠标/键盘事件处理模块14有获取单元141、发送单元142。
获取单元141,用于获取互联网用户对显示的虚拟界面的鼠标点击/键盘输入操作指令;
发送单元142,用于将鼠标点击/键盘输入操作指令发送至服务端。
服务端02的鼠标/键盘事件处理模块24有接收单元242、响应单元241。
接收单元242,用于接收客户端发送的鼠标点击/键盘输入操作指令;
响应单元241,用于响应于鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作。
图7为本发明实施例中基于远程应用的提供互联网Web应用服务的***的USB-Key处理模块的结构示意图,如图7所示,本实施例的用于本发明实施例中基于远程应用的提供互联网Web应用服务的***的USB-Key处理模块的结构,具体可以包括:
客户端01的USB-Key处理模块15有代理单元151、控制单元152。
代理单元151,用于当检测到有外部USB-Key设备接入互联网用户的终端时,将获取的USB-Key设备信息发送至控制单元;用于接收控制单元发送的证书验证请求,并根据证书验证请求将从USB-Key设备获取的数字证书转发至控制单元;用于接收控制单元发送的数字签名请求,并转发数字签名请求至USB-Key设备;用于获取USB-Key设备内部完成的数字签名响应,并将数字签名响应转发至控制单元;
控制单元152,用于接收代理单元发送的USB-Key设备信息,并发送USB-Key设备信息至服务端;用于接收服务端发送的证书验证请求,并转发证书验证请求至代理单元;用于接收代理单元发送的数字证书,并转发数字证书至服务端;用于接收服务端发送的数字签名请求,并转发数字签名请求至代理单元;用于接收代理单元发送的数字签名响应,并发送数字签名响应至服务端。
服务端02的USB-Key处理模块25有代理单元251、控制单元252。
代理单元251,用于根据接收的USB-Key设备信息将客户端识别的USB-Key设备映射到本地;用于获取互联网Web应用服务验证互联网用户身份的证书验证请求,将获取的证书验证请求发送至控制单元,根据控制单元发送的数字证书,将接收的数字证书发送至互联网Web应用服务;用于获取互联网Web应用服务需要互联网用户对交易数据进行签名的数字签名请求,将获取的数字签名请求发送至控制单元,根据控制单元发送的数字签名响应,将接收的数字签名响应发送至互联网Web应用服务;
控制单元252,用于接收客户端发送的USB-Key设备信息;用于接收代理单元发送的证书验证请求,并转发证书验证请求至客户端;用于接收客户端发送的数字证书,并转发数字证书至代理单元;用于接收代理单元发送的数字签名请求,并转发数字签名请求至客户端;用于接收客户端发送的数字签名响应,并转发数字签名响应至代理单元。
图8为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的***结构示意图,如图8所示,本实施例的用于本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的***结构,具体可以包括:
移动APP端03,包括控制模块031、安全隧道建立模块032、界面图像处理模块033、虚拟鼠标/键盘事件处理模块034、硬件读取模块035、数字证书模块036、指纹识别模块037、人脸识别模块038、定位模块039。
控制模块031,用于控制各个模块协调一致地工作;用于对发送至服务端的所有数据报或数据包添加代表客户端的特殊标识;
安全隧道建立模块032,用于向服务端请求服务端证书,完成验证服务端身份的合法性,向服务端发送建立安全连接的请求,与服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块033,用于接收服务端发送的访问互联网Web应用服务的虚拟界面的图像数据,使用压缩算法对虚拟界面的图像数据进行解压,根据图像数据显示远程应用的虚拟界面;
虚拟鼠标/键盘事件处理模块034,用于获取移动互联网用户对显示的虚拟界面的虚拟鼠标点击/键盘输入操作指令,将操作指令发送至服务端;
硬件读取模块035,用于移动APP端启动时或硬件发生变化时,获取硬件的相关信息,包括但不限于手机号码、手机序列号IMEI、型号、序列号,将获取的硬件相关信息发送至服务端;
数字证书模块036,用于接收服务端发送的移动互联网用户的数字证书,并保存于移动APP端;用于接收服务端发送的移动互联网Web应用服务验证移动互联网用户身份所需数字证书的验证请求;用于读取保存于移动APP端的移动互联网用户的数字证书,并发送至服务端;
指纹识别模块037,用于检测移动互联网用户掌上设备的指纹功能是否可用;用于接收服务端发送的移动互联网Web应用服务调用指纹识别功能的请求;用于获取移动互联网用户的指纹图像,将获取的指纹图像发送至服务端;
人脸识别模块038,用于检测移动互联网用户掌上设备的摄像头功能是否可用;用于接收服务端发送的移动互联网Web应用服务调用人脸识别功能的请求;用于获取移动互联网用户的人脸图像,将获取的人脸图像发送至服务端;
定位模块039,用于接收服务端发送的移动互联网Web应用服务调用互联网用户位置功能的请求,获取移动互联网用户的位置信息,并将位置信息发送至服务端。
服务端04,包括控制模块041、安全隧道建立模块042、界面图像处理模块043、虚拟鼠标/键盘事件处理模044、Web浏览器模块050、硬件接收模块045、数字证书模块046、指纹识别模块047、人脸识别模块048、定位模块049。
控制模块041,用于控制各个模块协调一致地工作;用于对接收的所有数据报或数据包进行检测,丢弃未含有特殊标识的数据报或数据包,处理含有特殊标识的数据报或数据包;
安全隧道建立模块042,用于向客户端发送服务端证书,接收客户端建立安全连接的请求,与客户端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块043,用于获取Web浏览器模块中Web浏览器运行的虚拟界面的图像数据,使用压缩算法压缩虚拟界面的图像数据,并将压缩的虚拟界面的图像数据发送至客户端;
虚拟鼠标/键盘事件处理模044,用于接收移动APP端发送的虚拟鼠标点击/键盘输入操作指令,响应于虚拟鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
Web浏览器模块050,用于访问企事业单位对外提供的基于移动APP架构的移动互联网Web应用服务,实现移动互联网用户通过基于远程应用的方式访问基于移动APP架构的移动互联网Web应用服务;
硬件接收模块045,用于接收移动APP端发送的硬件相关信息,并将接收的硬件相关信息发送至移动互联网Web应用服务;
数字证书模块046,用于获取移动互联网用户通过远程应用的方式请求移动互联网Web应用服务下载的移动互联网用户的数字证书,将下载的数字证书发送至移动APP端;用于获取移动互联网Web应用服务验证移动互联网用户身份所需数字证书的验证请求,并转发至移动APP端;用于接收移动APP端发送的移动互联网用户的数字证书,并发送至移动互联网Web应用服务;
指纹识别模块047,用于获取移动互联网Web应用服务调用指纹识别功能的请求,并发送至移动APP端;用于接收移动APP端发送的指纹图像,将接收的指纹图像发送至移动互联网Web应用服务;
人脸识别模块048,用于获取移动互联网Web应用服务调用人脸识别功能的请求,并发送至移动APP端;用于接收移动APP端发送的人脸图像,将接收的人脸图像发送至移动互联网Web应用服务;
定位模块049,用于获取移动互联网Web应用服务调用互联网用户位置功能的请求,并发送至移动APP端,将接收移动APP端发送的位置信息发送至移动互联网Web应用服务。
图9为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的数字证书模块的结构示意图,如图9所示,本实施例的用于本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的数字证书模块的结构,具体可以包括:
客户端03的数字证书模块36有接收保存单元361、验证请求接收单元362、读取发送单元363。
接收保存单元361,用于接收服务端发送的移动互联网用户的数字证书,并保存于移动APP端;
验证请求接收单元362,用于接收服务端发送的移动互联网Web应用服务验证移动互联网用户身份所需数字证书的验证请求;
读取发送单元363,用于读取保存于移动APP端的移动互联网用户的数字证书,并发送至服务端。
服务端04的数字证书模块46有下载发送单元461、验证请求获取单元462、接收发送单元463。
下载发送单元461,用于获取移动互联网用户通过远程应用的方式请求移动互联网Web应用服务下载的移动互联网用户的数字证书,将下载的数字证书发送至移动APP端;
验证请求获取单元462,用于获取移动互联网Web应用服务验证移动互联网用户身份所需数字证书的验证请求,并转发至移动APP端;
接收发送单元463,用于接收移动APP端发送的移动互联网用户的数字证书,并发送至移动互联网Web应用服务。
图10为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的指纹识别模块的结构示意图,如图10所示,本实施例的用于本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的指纹识别模块的结构,具体可以包括:
客户端03的指纹识别模块37有控制单元371、指纹图像获取单元372、指纹图像发送单元373。
控制单元371,检测移动互联网用户掌上设备的指纹功能是否可用,接收服务端发送的移动互联网Web应用服务调用指纹识别功能的请求;
指纹图像获取单元372,用于获取移动互联网用户的指纹图像;
指纹图像发送单元373,用于将获取的指纹图像发送至服务端。
服务端04的指纹识别模块47有代理单元471、指纹图像接收单元472。
代理单元471,用于获取移动互联网Web应用服务调用指纹识别功能的请求,并发送至移动APP端,将接收的指纹图像发送至移动互联网Web应用服务;
指纹图像接收单元472,用于接收移动APP端发送的指纹图像。
图11为本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的人脸识别模块的结构示意图,如图11所示,本实施例的用于本发明实施例中适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***的人脸识别模块的结构,具体可以包括:
客户端03的人脸识别模块38有控制单元381、人脸图像获取单元382、人脸图像发送单元383。
控制单元381,用于检测移动互联网用户掌上设备的摄像头功能是否可用,接收服务端发送的移动互联网Web应用服务调用人脸识别功能的请求;
人脸图像获取单元382,用于获取移动互联网用户的人脸图像;
人脸图像发送单元383,用于将获取的人脸图像发送至服务端。
服务端04的人脸识别模块48有代理单元481、人脸图像接收单元482。
代理单元481,用于获取移动互联网Web应用服务调用人脸识别功能的请求,并发送至移动APP端,将接收的人脸图像发送至移动互联网Web应用服务;
人脸图像接收单元482,用于接收移动APP端发送的人脸图像。
本发明介绍了基于远程应用的提供互联网Web应用服务的方法,是企事业单位通过远程应用方式向互联网用户提供互联网Web应用服务的方法。该方法提示互联网用户下载并安装客户端,但又使互联网用户感觉不到客户端的运行,仅以为只是安装了一个浏览器插件而已,访问互联网Web应用服务好像仍然使用浏览器,保留了用户的使用习惯。互联网用户接收的是远程应用访问互联网Web应用服务的虚拟界面,也只能将获取的对显示的虚拟界面的鼠标点击/键盘输入操作指令发送至互联网Web应用服务,互联网的代码不会在提供Web应用服务的***内运行,提供Web应用服务的内部代码也不会在互联网上执行,实现了互联网代码和内部代码的隔离,杜绝了***漏洞被利用的可能,防止了被渗透攻击的可能,保障了自身网络和***安全。客户端对发送至服务端的所有数据报或数据包添加代表客户端的特殊标识,服务端丢弃接收到的未含有特殊标识的数据报或数据包,也能够减少大量的非法攻击。本发明介绍的基于远程应用的提供互联网Web应用服务的方法、装置及***,适用于互联网用户的台式电脑、笔记本电脑的终端设备,不仅能够保证互联网用户通过远程应用的方式能够访问企事业单位对外提供的互联网Web应用服务,而且能够保证企事业单位自身的网络和***安全,也能够实现暂缓或者无须对***漏洞进行补丁修复。
本发明还介绍了适用于移动APP架构的基于远程应用的提供互联网Web应用服务的***,适用于移动互联网用户的掌上设备,包括智能手机、平板电脑及其他PDA设备等。该***设计了一个安全的架构,提出了客户端和服务端的功能及实现的方法。企事业单位使用Web技术开发,实现业务功能的快速上线。企事业单位开发的Web应用可以调用该***的服务端提供的应用程序接口,获取数字证书、人脸图像、指纹图像、定位的信息,实现认证或识别功能。该***的提出可以使企事业单位集中精力实现业务逻辑,而不用把过多人力和物力用在APP界面、通信及安全设计上。该***的移动互联网用户接收的是远程应用的虚拟界面,同样实现了互联网代码和内部代码的隔离,杜绝了***漏洞被利用的可能,防止了被渗透攻击的可能,保障了自身网络和***安全。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (12)

1.基于远程应用的提供互联网Web应用服务的方法,包括:
互联网用户的浏览器向服务端发送访问请求,获取所述服务端根据访问请求返回的页面内容;
所述浏览器根据所述页面内容,判断所述互联网用户的终端是否安装客户端;若所述终端未安装所述客户端,则所述浏览器跳转到下载所述客户端的页面;所述互联网用户在所述终端上下载并安装所述客户端,并使用所述浏览器重新向所述服务端发送所述访问请求;
若所述互联网用户的所述终端已安装所述客户端,所述浏览器控制打开所述客户端;
所述客户端与所述服务端建立SSL或TLS的安全隧道;
所述客户端接收所述服务端发送的访问互联网Web应用服务的虚拟界面的图像数据,根据所述图像数据显示远程应用的所述虚拟界面;
所述客户端获取所述互联网用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的所述图像数据,并根据所述更新虚拟界面的所述图像数据实时更新所述远程应用的所述虚拟界面,所述操作指令是所述互联网用户通过远程应用访问企事业单位对外提供的所述互联网Web应用服务;
所述客户端持续获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端,直至完成访问所述互联网Web应用服务;
所述客户端检测到所述互联网用户关闭显示的所有所述虚拟界面,并在一个时间间隔内未向所述服务端发送请求或未接收到所述服务端发送的显示内容,断开与所述服务端的连接,关闭所述客户端自身的进程。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述页面内容判断所述互联网用户的所述终端已安装所述客户端,所述浏览器控制打开所述客户端,以使所述客户端与所述服务端建立SSL或TLS的安全隧道;
所述互联网用户在所述终端上安装的所述客户端,在所述终端的桌面上不显示所述客户端的桌面快捷图标;所述客户端运行后,在所述终端的桌面任务栏的右下角不显示所述客户端运行的图标,使所述互联网用户感觉不到所述客户端的运行;所述互联网用户关闭显示的所有所述虚拟界面,在所述客户端断开与所述服务端的连接,关闭所述客户端自身的进程前,再次使用所述浏览器向所述服务端发送所述访问请求;当所述浏览器获取所述服务端根据所述访问请求返回的所述页面内容,判断所述客户端正在运行则请求所述客户端再次向所述服务端发起访问,或者所述客户端检测到所述浏览器向所述服务端发送所述访问请求时,所述客户端再次向所述服务端发起所述访问请求,接收所述服务端发送的当前运行的虚拟界面的图像数据,并根据所述图像数据显示远程应用的所述虚拟界面。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务端内置有Web浏览器,使用所述Web浏览器访问企事业单位对外提供的所述互联网Web应用服务,获取所述Web浏览器运行的所述虚拟界面的所述图像数据,并将所述图像数据发送至所述客户端;所述服务端接收所述客户端发送的对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,并响应于所述操作指令以执行所述Web浏览器访问所述互联网Web应用服务;
所述服务端在发送获取的所述图像数据前,使用压缩算法对所述图像数据进行压缩;所述客户端接收到所述服务端发送的所述图像数据,使用压缩算法对所述图像数据进行解压,并显示远程应用的所述虚拟界面;
所述服务端也可以将所述Web浏览器访问所述互联网Web应用服务的虚拟界面进行实时封装,封装之后得到视频流,将所述视频流发送至所述客户端,并由所述客户端显示。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述客户端与所述服务端建立SSL或TLS的安全隧道,还包括:
所述客户端向所述服务端请求服务端证书,并通过接收到的所述服务端证书验证所述服务端身份的合法性;
如果合法性验证没有通过,所述客户端与所述服务端将断开通讯;
如果合法性验证通过,所述客户端与所述服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
所述加密算法可以是公开的国标、国密标准算法,也可以是企业自有开发的私有算法;所述压缩算法可以是公开的标准算法,也可以是企业自有开发的私有算法;作为可选项,所述服务端也可以验证所述客户端证书的合法性。
5.根据权利要求1所述的基于远程应用的提供互联网Web应用服务的方法,其特征在于,所述客户端与所述服务端在交互过程中,所述方法还包括:
所述客户端将识别的USB-Key设备映射至所述服务端;所述互联网Web应用服务通过所述USB-Key设备存储的所述互联网用户的公钥、私钥和数字证书来验证所述互联网用户身份的合法性,以及完成交易数据的数字签名;
所述服务端获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,发送所述证书验证请求至所述客户端,并接收所述客户端发送的所述数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;
所述服务端获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的数字签名请求,转发所述数字签名请求至所述客户端;所述客户端将接收的所述数字签名请求提交至所述USB-Key设备,获取由所述USB-Key设备内部完成所述数字签名请求的数字签名响应,转发所述数字签名响应至所述服务端;所述服务端将接收的所述数字签名响应发送至所述互联网Web应用服务,由所述互联网Web应用服务完成交易。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述客户端对发送至所述服务端的所有数据报或数据包添加代表所述客户端的特殊标识,而所述服务端对接收的所有数据报或数据包进行检测,丢弃未含有所述特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包。
7.基于远程应用的提供互联网Web应用服务的客户端装置,其特征在于,包括:控制模块,用于控制各个模块协调一致地工作;用于对发送至服务端的所有数据报或数据包添加代表所述客户端的特殊标识;用于检测到浏览器向所述服务端发送访问请求,再次向所述服务端发起所述访问请求;用于检测到互联网用户关闭显示的所有虚拟界面,并在一个时间间隔内未向所述服务端发送请求或未接收到所述服务端发送的显示内容,断开与所述服务端的连接,关闭所述客户端自身的进程;
安全隧道建立模块,用于向所述服务端请求所述服务端证书,完成验证所述服务端身份的合法性,向所述服务端发送建立安全连接的请求,与所述服务端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块,用于接收所述服务端发送的访问所述互联网Web应用服务的所述虚拟界面的图像数据,使用压缩算法对所述虚拟界面的所述图像数据进行解压,根据所述图像数据显示远程应用的所述虚拟界面;
其中,所述界面图像处理模块包括:界面图像接收单元,接收所述服务端发送的访问所述互联网Web应用服务的所述虚拟界面的所述图像数据;界面图像解压单元,使用压缩算法解压所述虚拟界面的所述图像数据;界面图像显示单元,根据解压后的所述虚拟界面的所述图像数据显示远程应用的所述虚拟界面;
鼠标/键盘事件处理模块,用于获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;
其中,所述鼠标/键盘事件处理模块包括:获取单元,获取所述互联网用户对显示的所述虚拟界面的所述鼠标点击/键盘输入操作指令;发送单元,将所述鼠标点击/键盘输入操作指令发送至所述服务端;
USB-Key处理模块,用于当检测到有外部USB-Key设备接入所述互联网用户的终端时,将获取的USB-Key设备信息发送至所述服务端,把识别的所述USB-Key设备映射至所述服务端;用于接收所述服务端发送的证书验证请求,并将从所述USB-Key设备获取的数字证书发送至所述服务端;用于接收所述服务端发送的数字签名请求,并转发所述数字签名请求至所述USB-Key设备;获取所述USB-Key设备内部完成的数字签名响应,并将所述数字签名响应转发至所述服务端;
其中,所述USB-Key处理模块包括:代理单元,用于当检测到有外部USB-Key设备接入所述互联网用户的所述终端时,将获取的USB-Key设备信息发送至控制单元;用于接收所述控制单元发送的所述证书验证请求,并根据所述证书验证请求将从所述USB-Key设备获取的所述数字证书转发至所述控制单元;用于接收所述控制单元发送的所述数字签名请求,并转发所述数字签名请求至所述USB-Key设备;用于获取所述USB-Key设备内部完成的数字签名响应,并将所述数字签名响应转发至所述控制单元;控制单元,用于接收所述代理单元发送的所述USB-Key设备信息,并发送所述USB-Key设备信息至所述服务端;用于接收所述服务端发送的所述证书验证请求,并转发所述证书验证请求至所述代理单元;用于接收所述代理单元发送的所述数字证书,并转发所述数字证书至所述服务端;用于接收所述服务端发送的所述数字签名请求,并转发所述数字签名请求至所述代理单元;用于接收所述代理单元发送的所述数字签名响应,并发送所述数字签名响应至所述服务端。
8.基于远程应用的提供互联网Web应用服务的服务端装置,其特征在于,包括:控制模块,用于控制各个模块协调一致地工作;用于接收互联网用户的浏览器发送的访问请求,并将对应的页面内容发送至所述浏览器;用于对接收的所有数据报或数据包进行检测,丢弃未含有特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包;
安全隧道建立模块,用于向客户端发送所述服务端证书,接收所述客户端建立安全连接的请求,与所述客户端选择加密算法并协商会话密钥和选择压缩算法,建立SSL或TLS的安全隧道;
界面图像处理模块,用于获取Web浏览器模块中Web浏览器运行的虚拟界面的图像数据,使用压缩算法压缩所述虚拟界面的所述图像数据,并将压缩的所述虚拟界面的所述图像数据发送至所述客户端;
其中,所述界面图像处理模块包括:界面图像获取单元,获取所述Web浏览器模块中Web浏览器运行的所述虚拟界面的所述图像数据;界面图像压缩单元,使用压缩算法压缩所述虚拟界面的所述图像数据;界面图像发送单元,将压缩后的所述虚拟界面的所述图像数据发送至所述客户端;
鼠标/键盘事件处理模,用于接收所述客户端发送的所述鼠标点击/键盘输入操作指令,响应于所述鼠标点击/键盘输入操作指令,以执行对所述Web浏览器的操作;
其中,所述鼠标/键盘事件处理模块包括:接收单元,接收所述客户端发送的所述鼠标点击/键盘输入操作指令;响应单元,响应于所述鼠标点击/键盘输入操作指令,以执行对所述Web浏览器的操作;
Web浏览器模块,用于访问企事业单位对外提供的所述互联网Web应用服务,实现所述互联网用户通过基于远程应用的方式访问所述互联网Web应用服务;USB-Key处理模块,用于接收所述客户端发送的USB-Key设备信息,将所述客户端识别的所述USB-Key设备映射到本地;用于获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,将获取的所述证书验证请求发送至所述客户端,接收所述客户端发送的数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;用于获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的数字签名请求,将获取的所述数字签名请求发送至所述客户端,根据所述客户端发送的所述数字签名响应,将接收的所述数字签名响应发送至所述互联网Web应用服务;
其中,所述USB-Key处理模块包括:代理单元,用于根据接收的所述USB-Key设备信息将所述客户端识别的所述USB-Key设备映射到本地;用于获取所述互联网Web应用服务验证所述互联网用户身份的证书验证请求,将获取的所述证书验证请求发送至控制单元,根据所述控制单元发送的所述数字证书,将接收的所述数字证书发送至所述互联网Web应用服务;用于获取所述互联网Web应用服务需要所述互联网用户对交易数据进行签名的所述数字签名请求,将获取的所述数字签名请求发送至所述控制单元,根据所述控制单元发送的所述数字签名响应,将接收的所述数字签名响应发送至所述互联网Web应用服务;控制单元,用于接收所述客户端发送的所述USB-Key设备信息;用于接收所述代理单元发送的所述证书验证请求,并转发所述证书验证请求至所述客户端;用于接收所述客户端发送的所述数字证书,并转发所述数字证书至所述代理单元;用于接收所述代理单元发送的所述数字签名请求,并转发所述数字签名请求至所述客户端;用于接收所述客户端发送的所述数字签名响应,并转发所述数字签名响应至所述代理单元。
9.基于远程应用的提供互联网Web应用服务的***,其特征在于,包括:权利要求7所述的客户端装置以及权利要求8所述的服务端装置。
10.基于远程应用的提供互联网Web应用服务的***,还提出了一种适用于移动APP架构的***,其特征在于,所述移动APP架构***的移动APP端装置包括:
所述移动APP端装置包括控制模块、安全隧道建立模块、界面图像处理模块、虚拟鼠标/键盘事件处理模块、硬件读取模块、数字证书模块、指纹识别模块、人脸识别模块、定位模块;
所述控制模块,用于控制各个模块协调一致地工作;用于对发送至所述服务端的所有数据报或数据包添加代表所述客户端的特殊标识;
所述安全隧道建立模块,描述与权利要求7中的所述安全隧道建立模块一致;
所述界面图像处理模块,描述与权利要求7中的所述界面图像处理模块一致;所述虚拟鼠标/键盘事件处理模块,用于获取移动互联网用户对显示的虚拟界面的虚拟鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;其中,所述虚拟鼠标/键盘事件处理模块包括:获取单元,用于获取移动互联网用户对显示的所述虚拟界面的所述虚拟鼠标点击/键盘输入操作指令;发送单元,将所述虚拟鼠标点击/键盘输入操作指令发送至所述服务端;
硬件获取模块,用于所述移动APP端启动时或硬件发生变化时,获取硬件的相关信息,包括但不限于手机号码、手机序列号IMEI、型号、序列号,将获取的硬件相关信息发送至所述服务端;
所述数字证书模块,用于接收所述服务端发送的所述移动互联网用户的所述数字证书,并保存于所述移动APP端;用于接收所述服务端发送的移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求;用于读取保存于所述移动APP端的所述移动互联网用户的所述数字证书,并发送至所述服务端;
其中,所述数字证书模块包括:接收保存单元,接收所述服务端发送的所述移动互联网用户的所述数字证书,并保存于所述移动APP端;验证请求接收单元,接收所述服务端发送的所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求;读取发送单元,读取保存于所述移动APP端的所述移动互联网用户的所述数字证书,并发送至所述服务端;
所述指纹识别模块,用于检测所述移动互联网用户掌上设备的指纹功能是否可用;用于接收所述服务端发送的所述移动互联网Web应用服务调用指纹识别功能的请求;用于获取所述移动互联网用户的指纹图像,将获取的所述指纹图像发送至所述服务端;
其中,所述指纹识别模块包括:控制单元,检测所述移动互联网用户掌上设备的指纹功能是否可用,接收所述服务端发送的所述移动互联网Web应用服务调用指纹识别功能的所述请求;指纹图像获取单元,获取所述移动互联网用户的所述指纹图像;指纹图像发送单元,将获取的所述指纹图像发送至所述服务端;
所述人脸识别模块,用于检测所述移动互联网用户掌上设备的摄像头功能是否可用;用于接收所述服务端发送的所述移动互联网Web应用服务调用人脸识别功能的请求;用于获取所述移动互联网用户的人脸图像,将获取的人脸图像发送至所述服务端;
其中,所述人脸识别模块包括:控制单元,检测所述移动互联网用户掌上设备的摄像头功能是否可用,接收所述服务端发送的所述移动互联网Web应用服务调用人脸识别功能的所述请求;人脸图像获取单元,获取所述移动互联网用户的人脸图像;人脸图像发送单元,将获取的所述人脸图像发送至所述服务端;
所述定位模块,用于接收所述服务端发送的所述移动互联网Web应用服务调用所述互联网用户位置功能的请求,获取所述移动互联网用户的位置信息,并将所述位置信息发送至所述服务端。
11.基于远程应用的提供互联网Web应用服务的***,还提出了一种适用于移动APP架构的***,其特征在于,所述移动APP架构***的服务端装置,还包括:
所述服务端装置包括控制模块、安全隧道建立模块、界面图像处理模块、虚拟鼠标/键盘事件处理模、Web浏览器模块、硬件接收模块、数字证书模块、人脸识别模块、指纹识别模块、定位模块;其中数字证书模块、人脸识别模块、指纹识别模块、定位模块可以提供应用程序接口,供移动互联网Web应用服务进行调用;
所述控制模块,用于控制各个模块协调一致地工作;用于对接收的所有数据报或数据包进行检测,丢弃未含有所述特殊标识的所述数据报或数据包,处理含有所述特殊标识的所述数据报或数据包;
所述安全隧道建立模块,描述与权利要求8中的所述安全隧道建立模块一致;所述界面图像处理模块,描述与权利要求8中的所述界面图像处理模块一致;所述虚拟鼠标/键盘事件处理模,用于接收移动APP端发送的虚拟鼠标点击/键盘输入操作指令,响应于所述虚拟鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
其中,所述虚拟鼠标/键盘事件处理模块包括:接收单元,接收所述移动APP端发送的所述虚拟鼠标点击/键盘输入操作指令;响应单元,响应于所述虚拟鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
所述Web浏览器模块,用于访问企事业单位对外提供的基于移动APP架构的所述移动互联网Web应用服务,实现移动互联网用户通过基于远程应用的方式访问基于移动APP架构的所述移动互联网Web应用服务;
所述硬件接收模块,用于接收所述移动APP端发送的硬件相关信息,并将接收的所述硬件相关信息发送至所述移动互联网Web应用服务;
所述数字证书模块,用于获取所述移动互联网用户通过远程应用的方式请求所述移动互联网Web应用服务下载的所述移动互联网用户的所述数字证书,将下载的所述数字证书发送至所述移动APP端;用于获取所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的验证请求,并转发至所述移动APP端;用于接收所述移动APP端发送的所述移动互联网用户的所述数字证书,并发送至所述移动互联网Web应用服务;
其中,所述数字证书模块包括:下载发送单元,获取所述移动互联网用户通过远程应用的方式请求所述移动互联网Web应用服务下载的所述移动互联网用户的所述数字证书,将下载的所述数字证书发送至所述移动APP端;验证请求获取单元,获取所述移动互联网Web应用服务验证所述移动互联网用户身份所需所述数字证书的所述验证请求,并转发至所述移动APP端;接收发送单元,接收所述移动APP端发送的所述移动互联网用户的所述数字证书,并发送至所述移动互联网Web应用服务;
所述指纹识别模块,用于获取所述移动互联网Web应用服务调用指纹识别功能的请求,并发送至所述移动APP端;用于接收所述移动APP端发送的指纹图像,将接收的指纹图像发送至所述移动互联网Web应用服务;
其中,所述指纹识别模块包括:代理单元,获取所述移动互联网Web应用服务调用指纹识别功能的所述请求,并发送至所述移动APP端,将接收的所述指纹图像发送至所述移动互联网Web应用服务;指纹图像接收单元,接收所述移动APP端发送的所述指纹图像;
所述人脸识别模块,用于获取所述移动互联网Web应用服务调用人脸识别功能的请求,并发送至所述移动APP端;用于接收所述移动APP端发送的人脸图像,将接收的所述人脸图像发送至所述移动互联网Web应用服务;
其中,所述人脸识别模块包括:代理单元,获取所述移动互联网Web应用服务调用人脸识别功能的请求,并发送至所述移动APP端,将接收的所述人脸图像发送至所述移动互联网Web应用服务;人脸图像接收单元,接收所述移动APP端发送的所述人脸图像;
所述定位模块,用于获取所述移动互联网Web应用服务调用所述互联网用户位置功能的请求,并发送至所述移动APP端,将接收所述移动APP端发送的位置信息发送至所述移动互联网Web应用服务。
12.基于远程应用的提供互联网Web应用服务的***,提出的一种适用于移动APP架构的***,包括:权利要求10所述的移动APP端装置以及权利要求11所述的服务端装置。
CN202010916153.6A 2020-09-06 2020-09-06 基于远程应用的提供互联网Web应用服务的方法、装置及*** Active CN112333141B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010916153.6A CN112333141B (zh) 2020-09-06 2020-09-06 基于远程应用的提供互联网Web应用服务的方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010916153.6A CN112333141B (zh) 2020-09-06 2020-09-06 基于远程应用的提供互联网Web应用服务的方法、装置及***

Publications (2)

Publication Number Publication Date
CN112333141A CN112333141A (zh) 2021-02-05
CN112333141B true CN112333141B (zh) 2023-04-18

Family

ID=74304534

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010916153.6A Active CN112333141B (zh) 2020-09-06 2020-09-06 基于远程应用的提供互联网Web应用服务的方法、装置及***

Country Status (1)

Country Link
CN (1) CN112333141B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112861178B (zh) * 2021-02-08 2022-07-01 视若飞信息科技(上海)有限公司 一种基于浏览器的在线协作方法、***、设备及存储介质
CN113190828A (zh) * 2021-05-25 2021-07-30 网宿科技股份有限公司 一种请求代理方法、客户端设备及代理服务设备
CN113645193B (zh) * 2021-07-16 2023-06-23 牙木科技股份有限公司 网络安全防护方法、业务管理***及计算机可读存储介质
CN115459966B (zh) * 2022-08-25 2024-01-09 北京伽睿智能科技集团有限公司 一种可信的数字设备远程运维方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101277246A (zh) * 2008-05-12 2008-10-01 华耀环宇科技(北京)有限公司 一种基于传输层vpn技术的安全通信方法
CN102868728A (zh) * 2012-08-23 2013-01-09 福建升腾资讯有限公司 在vdi环境下基于虚拟通道的网络代理方法
CN103581265A (zh) * 2012-08-07 2014-02-12 深圳市傲冠软件股份有限公司 远程访问方法及***
CN106686091A (zh) * 2016-12-30 2017-05-17 广州尚融网络科技有限公司 一种虚拟通道控制方法及***
CN108259440A (zh) * 2016-12-29 2018-07-06 航天信息股份有限公司 基于云计算的USBKey身份认证在B/S架构应用的方法和***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2634024B1 (es) * 2016-03-23 2018-07-10 Juan José BERMÚDEZ PÉREZ Método seguro para compartir datos y controlar el acceso a los mismos en la nube
US10574444B2 (en) * 2018-01-22 2020-02-25 Citrix Systems, Inc. Systems and methods for secured web application data traffic

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101277246A (zh) * 2008-05-12 2008-10-01 华耀环宇科技(北京)有限公司 一种基于传输层vpn技术的安全通信方法
CN103581265A (zh) * 2012-08-07 2014-02-12 深圳市傲冠软件股份有限公司 远程访问方法及***
CN102868728A (zh) * 2012-08-23 2013-01-09 福建升腾资讯有限公司 在vdi环境下基于虚拟通道的网络代理方法
CN108259440A (zh) * 2016-12-29 2018-07-06 航天信息股份有限公司 基于云计算的USBKey身份认证在B/S架构应用的方法和***
CN106686091A (zh) * 2016-12-30 2017-05-17 广州尚融网络科技有限公司 一种虚拟通道控制方法及***

Also Published As

Publication number Publication date
CN112333141A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
CN112333141B (zh) 基于远程应用的提供互联网Web应用服务的方法、装置及***
US9306933B2 (en) Ensuring network connection security between a wrapped app and a remote server
US9674173B2 (en) Automatic certificate enrollment in a special-purpose appliance
US8990920B2 (en) Creating a virtual private network (VPN) for a single app on an internet-enabled device or system
US8997208B2 (en) Gateway device for terminating a large volume of VPN connections
CN107864117B (zh) 网页拦截方法、装置及计算机可读存储介质
US20130104220A1 (en) System and method for implementing a secure USB application device
JP4176533B2 (ja) 端末装置及びプログラム
FR3026207A1 (fr) Terminal a affichage securise
Panja et al. Cybersecurity in banking and financial sector: Security analysis of a mobile banking application
CN106411880B (zh) 一种游戏数据的安全加密、解密方法和加密、解密装置
CN103036852B (zh) 一种实现网络登录的方法以及装置
CN112448930A (zh) 账号注册方法、装置、服务器及计算机可读存储介质
CN112632605A (zh) 一种防止越权访问的方法、装置、计算机设备及存储介质
CN114598541A (zh) 一种安全评估方法及装置、电子设备和可读存储介质
US11228910B2 (en) Mobile communication device and method of determining security status thereof
CN105577657B (zh) 一种ssl/tls算法套件的扩展方法
CN107066888B (zh) 可扩展的可信用户接口、方法和电子设备
EP3841731B1 (en) Securing sensitive user data across hardware and software components having unbalanced trust levels
Özdemir et al. Investigation of Attack Types in Android Operating System
Zhang Network Security Middleware Based on USB Key
CN114697107B (zh) 通信方法、装置、计算机设备和可读存储介质
CN117240618B (zh) 家庭云盒子访问方法、装置、设备及存储介质
US20210377302A1 (en) Systems and methods for preventing the fraudulent sending of data from a computer application to a malicious third party
CN113515768A (zh) 一种信息安全保护方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant