安全地訪問網(wǎng)絡(luò)服務(wù)的方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及對網(wǎng)絡(luò)(web)服務(wù)的安全訪問的領(lǐng)域�。更確切地說,本發(fā)明涉及一種用于通過在用戶設(shè)備上運(yùn)行網(wǎng)絡(luò)應(yīng)用程序的瀏覽器通過網(wǎng)絡(luò)來安全地訪問網(wǎng)絡(luò)服務(wù)的方法�,其中,所述網(wǎng)絡(luò)服務(wù)是由本地設(shè)備托管的�。
【背景技術(shù)】
[0002]本節(jié)旨在向讀者介紹本領(lǐng)域的各個方面,其可以與下面所描述和/或要求保護(hù)的本發(fā)明的各個方面有關(guān)����。本討論被認(rèn)為是有助于向讀者提供背景信息以便于更好地理解本發(fā)明的各個方面。因此�����,應(yīng)當(dāng)理解�,這些陳述要從這個角度閱讀,而不是作為對現(xiàn)有技術(shù)的承認(rèn)�。
[0003]數(shù)字?jǐn)?shù)據(jù)(例如���,圖片,視頻等)越來越多地在移動設(shè)備(例如���,智能手機(jī)�,平板電腦����,膝上型計算機(jī))上產(chǎn)生和進(jìn)行管理�����。這些數(shù)據(jù)也經(jīng)常經(jīng)由因特網(wǎng)被共享��、備份或處理��。事實(shí)上��,許多“云”服務(wù)處理用戶的內(nèi)容��,無論是圖片處理服務(wù)��、社交網(wǎng)絡(luò)或在線存儲����。這些云服務(wù)的大多數(shù)完全依靠網(wǎng)絡(luò)技術(shù)�。其結(jié)果是���,用戶需要通過HTTP上傳大量內(nèi)容到網(wǎng)絡(luò)應(yīng)用程序�����。然而��,上傳的速度是被可用帶寬所限制的�����。實(shí)際上��,由于對傳統(tǒng)基礎(chǔ)設(shè)施(xDSL)或?qū)蚕斫橘|(zhì)(網(wǎng)狀)的使用�����,導(dǎo)致到因特網(wǎng)的連接速度仍然是有限的���。
[0004]長上傳時間使得用戶不能讓其獨(dú)立的設(shè)備待機(jī)或斷電,并要求這些用戶使其設(shè)備保持連接以處理通過因特網(wǎng)的傳輸轉(zhuǎn)。為了緩解這些問題�����,提出了一種將通過HTTP的上傳卸載到永久連接到網(wǎng)絡(luò)的第三方設(shè)備(例如住宅網(wǎng)關(guān))的機(jī)制�。因此,提出了一種用于定位提供對網(wǎng)絡(luò)服務(wù)的卸載的第三方設(shè)備的方法�。
[0005]然而,將任務(wù)卸載到第三方需要信任此第三方����,換句話說,托管卸載服務(wù)的第三方設(shè)備必須由用戶的獨(dú)立的設(shè)備進(jìn)行驗(yàn)證��。用于對設(shè)備或網(wǎng)絡(luò)服務(wù)進(jìn)行驗(yàn)證的已知解決方案是基于信任權(quán)威機(jī)構(gòu)的認(rèn)證�。證書由信任權(quán)威機(jī)構(gòu)傳送給擁有網(wǎng)絡(luò)服務(wù)的受信任的運(yùn)營商或傳送給用戶的物理設(shè)備�����。然而����,這些解決方案與諸如網(wǎng)絡(luò)瀏覽器的傳統(tǒng)軟件,以及其中處理環(huán)境有限的標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議不兼容����。換句話說��,瀏覽器在輸入和輸出方面受到限制����,例如��,瀏覽器不能訪問該瀏覽器在其上執(zhí)行的設(shè)備的存儲介質(zhì)(諸如硬盤驅(qū)動器)�,不能直接訪問網(wǎng)絡(luò)。
[0006]因此需要一種用于通過在用戶設(shè)備上運(yùn)行網(wǎng)絡(luò)應(yīng)用程序的瀏覽器通過網(wǎng)絡(luò)來安全地訪問網(wǎng)絡(luò)服務(wù)���,其中����,所述網(wǎng)絡(luò)服務(wù)是由本地設(shè)備托管的解決方案��。該方法應(yīng)該刻意簡單以便于實(shí)施和使用�,并與傳統(tǒng)軟件兼容,適于以JavaScript實(shí)現(xiàn)��,并在瀏覽器中運(yùn)行����。
[0007]本發(fā)明提供了這樣的解決方案。
【發(fā)明內(nèi)容】
[0008]在第一方面,本發(fā)明涉及一種用于通過在用戶設(shè)備上運(yùn)行網(wǎng)絡(luò)應(yīng)用程序的瀏覽器通過網(wǎng)絡(luò)來安全地訪問網(wǎng)絡(luò)服務(wù)的方法�。所述網(wǎng)絡(luò)服務(wù)至少是由其中本地設(shè)備正在被該用戶設(shè)備訪問的設(shè)備托管的。有利地�,該本地設(shè)備是托管網(wǎng)絡(luò)服務(wù)和最接近該用戶設(shè)備的設(shè)備。本地設(shè)備包含唯一地標(biāo)識所述本地設(shè)備的全局名稱和與該全局名稱相關(guān)聯(lián)的證書�����。該方法還包含通過對標(biāo)識托管網(wǎng)絡(luò)服務(wù)的任何設(shè)備的通用名稱進(jìn)行尋址來由網(wǎng)絡(luò)應(yīng)用程序向網(wǎng)絡(luò)發(fā)送用于訪問網(wǎng)絡(luò)服務(wù)的請求的步驟���;由網(wǎng)絡(luò)應(yīng)用程序從網(wǎng)絡(luò)接收包含標(biāo)識托管網(wǎng)絡(luò)服務(wù)的本地設(shè)備的所述全局名稱的對請求的響應(yīng)的步驟���;由網(wǎng)絡(luò)應(yīng)用程序檢驗(yàn)所接收的全局名稱包含在名單中的步驟;以及�,當(dāng)檢驗(yàn)成功時,通過對全局名稱進(jìn)行尋址連接到本地設(shè)備的步驟���;從本地設(shè)備接收證書的步驟;通過瀏覽器檢驗(yàn)與全局名稱相關(guān)聯(lián)的證書的步驟和安全地訪問網(wǎng)絡(luò)服務(wù)的步驟�����。有利地����,通用名稱是根據(jù)其可訪問任何本地設(shè)備的名稱���,即,對于托管網(wǎng)絡(luò)服務(wù)的所有設(shè)備是通用的�����。有利地����,所述名單,也被稱為白名單�,包含被信任以用于托管網(wǎng)絡(luò)服務(wù)的設(shè)備的全局名稱。有利地�,該名單不包含被信任以用于托管網(wǎng)絡(luò)服務(wù)的本地設(shè)備的全局名稱的詳盡名單,因?yàn)槿置Q的數(shù)量可能是巨大的����,但用于匹配本地設(shè)備的全局名稱的模式(pattern)。
[0009]根據(jù)有利的特征��,由受信任的運(yùn)營商向本地設(shè)備傳送全局名稱和與全局名稱相關(guān)聯(lián)的證書��。
[0010]根據(jù)另一有利的特征��,通過在瀏覽器中運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序從受信任的運(yùn)營商動態(tài)地獲得該白名單。在一個變型中����,所述白名單硬編碼在在瀏覽器上運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序中。
[0011]在第一優(yōu)選實(shí)施例中��,用于通過對通用名稱進(jìn)行尋址來訪問該網(wǎng)絡(luò)服務(wù)的請求是HTTP請求���,并且用于通過對全局名稱進(jìn)行尋址來安全地訪問所述網(wǎng)絡(luò)服務(wù)的請求是包括SSL請求的HTTPS請求����。
[0012]根據(jù)變型���,本地設(shè)備是網(wǎng)關(guān)設(shè)備��、機(jī)頂盒��、網(wǎng)絡(luò)附接存儲器(NAS)���。
[0013]在第二方面,本發(fā)明涉及一種用于通過運(yùn)行網(wǎng)絡(luò)應(yīng)用程序的瀏覽器通過網(wǎng)絡(luò)來安全地訪問網(wǎng)絡(luò)服務(wù)的用戶設(shè)備��。所述網(wǎng)絡(luò)服務(wù)至少是由其中本地設(shè)備正在被該用戶設(shè)備訪問的設(shè)備托管的��。有利地��,該本地設(shè)備是托管網(wǎng)絡(luò)服務(wù)和最接近該用戶設(shè)備的設(shè)備�。該設(shè)備包含通過對標(biāo)識托管網(wǎng)絡(luò)服務(wù)的任何設(shè)備的通用名稱進(jìn)行尋址來由網(wǎng)絡(luò)應(yīng)用程序向網(wǎng)絡(luò)發(fā)送用于訪問網(wǎng)絡(luò)服務(wù)的請求的部件;由網(wǎng)絡(luò)應(yīng)用程序從網(wǎng)絡(luò)接收包含對托管網(wǎng)絡(luò)服務(wù)的本地設(shè)備進(jìn)行唯一標(biāo)識的全局名稱的對請求的響應(yīng)的部件�;由網(wǎng)絡(luò)應(yīng)用程序檢驗(yàn)所接收的全局名稱包含在名單(也被稱為白名單)中的部件,其中該名單包含被信任以用于托管網(wǎng)絡(luò)服務(wù)的本地設(shè)備的全局名稱�����;以及通過對全局名稱進(jìn)行尋址通過網(wǎng)絡(luò)應(yīng)用程序連接到本地設(shè)備的部件��;從本地設(shè)備接收證書的部件和檢驗(yàn)與全局名稱相關(guān)聯(lián)的證書的部件以及用于安全地訪問網(wǎng)絡(luò)服務(wù)的部件��。
[0014]對于用于通過在用戶設(shè)備上運(yùn)行網(wǎng)絡(luò)應(yīng)用程序的瀏覽器通過網(wǎng)絡(luò)來安全地訪問網(wǎng)絡(luò)服務(wù)的方法所描述的任何特征或?qū)嵤├c適于實(shí)施所公開方法的用戶設(shè)備或本地設(shè)備是兼容的���,其中所述網(wǎng)絡(luò)服務(wù)是由本地設(shè)備托管的����。
[0015]有利地���,根據(jù)第一實(shí)施例的方法是與當(dāng)前軟件和標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議兼容的���。因此��,它可以被部署���,而無需改變該用戶的瀏覽器或者所使用的協(xié)議。
【附圖說明】
[0016]現(xiàn)在將通過非限制性示例的方式���,參考附圖�����,描述本發(fā)明的優(yōu)選特征��,附圖中:
[0017]圖1示出了可以使用本發(fā)明的示例性網(wǎng)絡(luò)��;
[0018]圖2示出了根據(jù)本發(fā)明第一實(shí)施例的安全訪問方法的步驟�����;
[0019]圖3示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全訪問方法的步驟�;以及
[0020]圖4示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的實(shí)現(xiàn)安全訪問方法的本地設(shè)備�。
【具體實(shí)施方式】
[0021]圖1示出可以使用本發(fā)明的示例性網(wǎng)絡(luò)100。網(wǎng)絡(luò)100包含托管諸如圖片共享應(yīng)用程序的網(wǎng)絡(luò)應(yīng)用程序的服務(wù)器設(shè)備110��。用戶擁有在其上有可用網(wǎng)絡(luò)瀏覽器的諸如電池供電的設(shè)備(平板電腦�、膝上型計算機(jī)�����、移動電話)或計算機(jī)的個人設(shè)備120。例如圖片共享應(yīng)用程序的網(wǎng)絡(luò)應(yīng)用程序的客戶端部分在用戶設(shè)備120的瀏覽器上執(zhí)行并且該網(wǎng)絡(luò)應(yīng)用程序訪問該網(wǎng)絡(luò)應(yīng)用程序的該服務(wù)器部分����。該網(wǎng)絡(luò)應(yīng)用程序的該客戶端部分還可以訪問網(wǎng)絡(luò)服務(wù),諸如卸載服務(wù)�����。用戶設(shè)備通過局域網(wǎng)160連接到運(yùn)行在諸如因特網(wǎng)路由器�、機(jī)頂盒、其他用戶計算機(jī)��、住宅網(wǎng)關(guān)���、NAS 150的本地設(shè)備上的網(wǎng)絡(luò)服務(wù)�。該網(wǎng)絡(luò)應(yīng)用程序的該客戶端部分和網(wǎng)絡(luò)服務(wù)可以通過諸如無線因特網(wǎng)路由器或住宅網(wǎng)關(guān)的網(wǎng)絡(luò)接入設(shè)備130訪問該網(wǎng)絡(luò)應(yīng)用程序的該服務(wù)器部分�。因此,住宅網(wǎng)關(guān)是在快速局域網(wǎng)160和相對慢的寬帶網(wǎng)絡(luò)140之間的前沿(frontier)��,其中到該慢的寬帶網(wǎng)絡(luò)的接入對于上傳數(shù)據(jù)到網(wǎng)絡(luò)應(yīng)用程序的服務(wù)器部分是一個問題�。在優(yōu)選實(shí)施例中����,網(wǎng)絡(luò)接入設(shè)備130是本地設(shè)備�,因?yàn)榫W(wǎng)絡(luò)接入設(shè)備總是通電的。例如���,在其中這樣的網(wǎng)絡(luò)接入設(shè)備130不支持卸載功能的變型中���,本地設(shè)備是任何類型的本地網(wǎng)絡(luò)140的設(shè)備,優(yōu)選地是如上詳述的總是開啟的類型��,例如NAS150����。本發(fā)明提供了一種解決方案,用于驗(yàn)證本地設(shè)備130�����、150或更確切地說運(yùn)行在本地設(shè)備130���、150上的網(wǎng)絡(luò)服務(wù)����,以使得通過避免攻擊者冒充本地設(shè)備而保護(hù)在本地設(shè)備中臨時經(jīng)過的上傳