CN1505892A

CN1505892A - 利用安全通信信道的安全性来使非安全通信信道安全的系统和方法

Info

Publication number: CN1505892A
Application number: CNA018217044A
Authority: CN
Inventors: A��Ĭ��; A·克拉默; W·哈伍德
Original assignee: Citrix Systems Inc
Current assignee: Citrix Systems Inc
Priority date: 2000-11-03
Filing date: 2001-11-02
Publication date: 2004-06-16
Anticipated expiration: 2021-11-02
Also published as: KR100783208B1; WO2002044858A3; EP1332599A2; HK1054281A1; RU2279186C2; CA2427699C; CN100583871C; US6986040B1; KR20040004425A; JP2004531914A; AU3514902A; IL155698A0; AU2002235149B2; WO2002044858A2; US20050050317A1; EP1332599B1; IL155698A; CA2427699A1

Abstract

本发明提供了一种用于在客户和应用服务器之间建立安全通信信道的系统和方法。在一个实施例中，服务凭据服务产生一个具有标识符和会话密钥的服务凭据。一个通信设备从服务凭据服务中获取服务凭据并且通过安全通信信道将该服务凭据发送到客户。客户通过一个应用通信信道将该服务凭据的标识符发送到一个应用服务器。然后，该应用服务器从服务凭据服务中获取服务凭据的会话密钥的一个拷贝。然后，利用所述会话密钥来加密在客户和应用服务器之间通过应用通信信道交换的通信，以便将所述应用通信信道建立为一个安全通信信道。

Description

利用安全通信信道的安全性来使非安全通信信道安全的系统和方法

技术领域

本发明总体上涉及客户服务器计算机网络。更具体而言，本发明涉及用于利用远程显示协议来安全地访问软件应用的系统和方法。

背景技术

通常利用图形或者分屏终端会话来访问被要求在一个客户计算机或客户上远程显示的软件应用。当用户请求在一个客户计算机上的应用时，该应用在一个服务器上执行并且通常被输入的信息(例如鼠标和键盘信息)和显示信息被从服务器计算机发送到客户计算机。图形或者分屏终端会话通常利用客户与服务器之间的未经认证的连接。可替代地，图形或者分屏终端会话可以通过用户将其口令提供给服务器而认证客户与服务器之间的连接。

由终端会话采用的上述技术有各种缺点。例如，将诸如口令信息的信息发送到一个未经认证的服务器将允许不被客户信任的服务器来观看所述信息。非安全连接允许偷听者截取用户的口令以便将来使用。

为了避免这些问题，通常使用传统的密码技术来认证客户和服务器。由网络使用的一种密码技术是基于服务凭据(ticket)的认证方案。大多数目前基于服务凭据的认证方案发送一个服务凭据。通常能够被只利用一次的服务凭据可以包含在将来的通信中被使用的加密密钥和/或可以含有用来支持将来的通信的秘密口令。当客户和服务器都具有所述加密密钥时，它们就能够安全的通信。

不过，当前的基于服务凭据的认证方案被在几个方面中受到限制。首先，服务凭据通常被通过非安全通信信道发送到客户，从而允许偷听者截取所述服务凭据并且恢复加密密钥。利用该加密密钥，偷听者就能够对于客户来说佯装成服务器或者对于服务器来说佯装成客户。其次，当前的方案不利用安全的网页。例如，当前的基于服务凭据的认证方案使得通过互联网进行诸如购买这样的交易不安全，这是因为诸如购买者的信用卡信息的私有信息会被发送到一个非安全网页。第三，在服务器上执行的软件应用通常被通过非安全通信信道发送，以便显示在客户机器上的远程显示协议上。例如，网络可以由专门的应用服务器(例如由佛罗里达的Ft.Lauderdale的Citrix系统公司制造的Metaframe for Windows)组成，所述专门的应用服务器用来执行通常被通过非安全通信信道发送到远程显示服务器上的特定应用。第四，尽管服务凭据通常能够被只使用一次(即将它制作成“一次性使用”的服务凭据)并且在其被首次使用之后将不再有价值，但是一次性使用的服务凭据在服务凭据的首次发送中没有保护用户的(被用于登录操作系统或者应用的)口令不被偷听者截取。因此，用户的口令仍然不能被完全防止截取，并且因此对于客户，服务器不被认证。

发明内容

本发明提供了一种用于在客户和应用服务器之间建立安全通信信道的系统和方法。服务凭据服务产生一个具有标识符和会话密钥的服务凭据。一个通信设备从服务凭据服务中获取服务凭据并且通告安全通信信道将该服务凭据发送到客户。客户通过应用通信信道将该服务凭据的标识符发送到应用服务器。然后，该应用服务器从服务凭据服务中获取服务凭据的会话密钥的一个拷贝。然后，利用所述会话密钥来加密在客户和应用服务器之间通过应用通信信道交换的通信，以便将所述应用通信信道建立为一个安全通信信道。

在一个实施例中，在一个客户上执行的web浏览器通过一个安全的web通信信道建立与web服务器的通信。客户通过安全的web通信信道从web服务器接收具有一个标识符和会话密钥的服务凭据。然后，客户通过应用通信信道向应用服务器发送服务凭据的标识符，以便向应用服务器提供用于获取会话密钥的拷贝的信息。

一方面，本发明涉及用于在客户和应用服务器之间建立安全通信信道的方法。客户通过安全的web通信信道从web服务器接收一个具有标识符和会话密钥的服务凭据。然后，客户通过一个应用通信信道将服务凭据的标识符发送到应用服务器，以便为应用服务器提供用于获取会话密钥的拷贝的信息。客户通过利用会话密钥来加密和解密去往和来自应用服务器的通信而在应用通信信道上建立一个安全的通信信道。所述标识符是当前(nonce)。在一个实施例中，客户和web服务器使用加密套接字技术来建立安全的web通信信道。

在另一个方面中，本发明涉及建立安全的通信信道的通信系统。该通信系统包括客户、应用服务器、通信设备和服务凭据服务。该服务凭据服务产生一个具有标识符和会话密钥的服务凭据。通信设备与服务凭据服务通信以便获取服务凭据。客户通过安全的通信信道与通信设备通信以便从通信设备接收服务凭据。应用服务器通过应用通信信道与客户通信以便从客户接收服务凭据的标识符，并且与服务凭据服务通信以便从服务凭据服务获取会话密钥的一个拷贝。应用服务器和客户通过作为安全通信信道的应用通信信道交换通信。在一个实施例中，服务凭据服务驻留在通信设备中。在一个实施例中，通信设备是web服务器。

附图说明

通过参考示出了根据本发明的优选实施例的系统的附图可以更好地理解本发明的上述各个方面以及许多优点，在附图中：

图1中的框图表示根据本发明的原理用于在客户与应用服务器之间建立安全通信的通信系统的实施例；以及

图2中的流程图表示由图1所示的用于在客户与应用服务器之间建立安全通信的通信系统执行的通信的实施例。

具体实施方式

图1是表示通信系统100的一个实施例的框图，通信系统100包括通过应用通信信道25与应用服务器15通信并且通过通信信道30与通信设备20通信的客户10。通信信道30和应用通信信道25通过网络27。在另外的实施例中，通信信道30和应用信道25通过另外的不同网络。例如，通信信道30可以通过第一网络(例如万维网)，并且应用通信信道30可以通过第二网络(例如直接拨号调制解调器连接)。通信信道30是一个安全通信信道，这是因为通信被加密了。应用服务器15另外还通过服务器通信信道35与通信设备20通信。应用服务器15和通信设备20是服务器网络33的一部分。通过采用客户10与通信设备20之间通过安全通信信道30的安全通信的安全性，通信系统100建立在非安全应用通信信道25上的安全通信链路，以便在客户10上安全地远程显示桌面应用。

网络27和服务器网络33可以是局域网(LAN)或者广域网(WAN)，或者诸如互联网或者万维网(即web)的多个网络中的一个。通信信道30可以是任何安全的通信信道。在一个实施例中，通信信道30(下文的web通信信道30)支持在web上的通信。在一个实施例中，服务器网络33是一个不能由公众访问的被保护网络。服务器通信信道35穿过服务器网络33，因此可以是一个非安全通信信道。通信信道25、30、35的示例实施例包括标准电话线、LAN或者WAN链路(例如T1、T3、56kb、X.25)、宽带连接(ISDN、帧中继、ATM)和无线连接。在通信信道25、30、35上的连接可以被使用多种通信协议(例如HTTP、TCP/IP、IPX、SPX、NetBIOS、以太网、RS232和直接异步连接)来建立。

客户10可以是任何个人计算机(例如286、386、486、奔腾、奔腾II、Macintosh计算机)、基于Windows的终端、网络计算机、无线设备(例如蜂窝电话)、信息设备、RISC Power PC、X-设备、工作站、小型计算机、大型计算机、个人数字助理或者能够通过安全web通信信道30进行通信的其它通信设备。在一个实施例中，客户10根据基于服务器的计算模型操作。在一个基于服务器的计算模型中，应用程序的执行完全地在应用服务器15上进行，并且用户界面、击键和鼠标移动被通过应用通信信道25发送到客户10。用户界面可以是文本驱动的(例如DOS)或者图形驱动的(例如Windows)。能够被客户10支持的平台包括DOS和用于基于windows的终端的Windows CE。

在一个实施例中，客户10包括用于连接到web的web浏览器40，诸如由华盛顿的Redmond的微软公司开发的Internet ExplorerTM。在另一个实施例中，web浏览器40使用现有的由加利福尼亚的MountainView的Netscape开发的加密套接字协议层(SSL)支持来建立到诸如通信设备20的通信设备的安全web通信信道30。web浏览器40还有一个可以是文本驱动或者图形驱动的用户界面。在应用服务器15上执行的应用的输出可以通过客户10的用户界面或者web浏览器40的用户界面而显示在客户10上。此外，客户10包括用于通过应用通信信道25建立和交换与应用服务器15的通信的应用客户41。在一个实施例中，应用客户41是由佛罗里达的Fort Lauderdale的Citrix系统公司开发的独立计算结构(ICA)客户，并且下文中被称作ICA客户41。应用客户41的其它实施例包括由华盛顿的Redmond的微软公司开发的远程显示协议(RDP)，由麻萨诸赛州的剑桥的麻省理工学院开发的X-Windows，在传统的客户/服务器应用中的数据输入客户和Java小应用程序。

应用服务器15作为能够由客户10访问的一个或多个应用程序的宿主。可由客户10获得被使用的应用被称作公布的应用。这种应用的例子包括诸如MICROSOFT WORD的子处理程序以及诸如MICROSOFTEXCEL的电子表格程序(MICROSOFT WORD和MICROSOFT EXCEL都是由华盛顿的Remond的微软公司制作的)，金融报告程序、客户注册程序、提供技术支持信息的程序、客户数据库应用或者应用设置管理程序。在另一个实施例中，应用服务器15是服务器场(farm)(未示出)的一个成员。服务器场是被作为一个单独实体来管理的一个或多个服务器的逻辑组。

在一个实施例中，通信设备20(下文的web服务器20)是将网页递送到客户10的计算机。在另外的实施例中，通信设备20可以是任何个人计算机(例如286、386、486、奔腾、奔腾II、Macintosh计算机)、基于Windows的终端、网络计算机、无线设备(例如蜂窝电话)、信息设备、RISC Power PC、X-设备、工作站、小型计算机、大型计算机、个人数字助理或者能够建立与客户10的安全web通信信道30的其它通信设备。

在一个实施例中，web服务器20还包括一个服务凭据服务60。服务凭据服务60控制通信安全性。服务凭据服务60产生一个含有加密密钥的服务凭据。该服务凭据被通过安全的web通信信道30发送到客户10(即web浏览器40)。通过安全的web通信信道30将服务凭据发送到客户10会促进根据本发明的原理在客户10与应用服务器15之间的应用通信信道25上建立安全的通信。在另一个实施例中，服务凭据服务60’驻留在另一个服务器20’上。服务器20’(以及服务凭据服务60’)通过服务器通信信道35’与web服务器20和应用服务器15通信。在另一个实施例中，服务凭据服务60是服务器网络33的一个独立的部分(未示出)。然后，web浏览器40将服务凭据发送到ICA客户41。通常用于通过安全的连接将应用数据从在应用服务器15上执行的应用发送到客户10的技术是通过web服务器20在客户10与web服务器20之间的安全连接上将应用数据发送到客户10。这个技术是效率低的，这是因为应用服务器15和客户10之间的通信采用一个额外的“中继段”，也就是web服务器20。本发明使用服务凭据机制来直接在应用服务器15与客户10之间建立一个安全的通信链路，从而消除应用数据从应用服务器15到web服务器20的中间传输。

请求将一个应用或者服务器桌面例如远程显示在客户10上的客户用户首先在web通信信道30上建立与web服务器20的通信链路32，并且将注册和口令信息传送到web服务器20。在一个实施例中，客户用户使用web浏览器40向web服务器20请求一个列在由web浏览器40显示的网页上的应用。

在另一个实施例中，web浏览器40使用SSL建立安全的web通信信道30。为了使用SSL协议来建立安全的web通信信道30，web浏览器40或者在客户10上执行的应用试图连接到web服务器20上的安全网页。然后，web服务器20通过将一个安全的web服务器证书发送到web服务器20而将web服务器的身份声明给客户10。证书管理局(CA)向web服务器20发出安全web服务器证书。web浏览器40具有嵌入在web浏览器40的软件中的委托CA(即CA的公共密钥)的列表。客户10通过利用嵌入在web浏览器40(或者应用)中的CA的公共密钥对web服务器的证书中CA的签名进行解密来验证所述web服务器的证书。因此，为了使用SSL建立一个安全的通信信道，web浏览器40或者在客户10上执行的应用在试图连接到安全网页之前将CA的公共密钥嵌入到软件中。除了使用SSL协议来建立安全web通信信道30之外，web浏览器40还能够使用其它的安全性协议在web通信信道30上连接到web服务器20，所述其它的安全性协议是诸如但不限于由加利福尼亚州的Los Altos的Terisa System开发的安全超文本传送协议(SHTTP)、由华盛顿的Redmond的微软公司开发的SSL上的HTTP(HTTPS)、专用通信技术(PCT)、由纽约的维萨国际公司和万士达国际购买公司开发的安全电子传送(SET)以及由麻萨诸赛州的Bedford的RSA Security开发的安全-MIME(S/MIME)等。

一旦通信链路32被建立，web服务器20就产生一个用于通信会话的服务凭据。该服务凭据包括第一部分和第二部分。在一个实施例中，也称作会话标识符(ID)或者当前(nonce)的第一部分是能够在由web服务器20确定的某个时间周期中被使用的密码随机数。第二部分是一个加密密钥，下面称作会话密钥。web服务器20将服务凭据存储在本地存储器中，然后将服务凭据的一个拷贝发送(箭头34)到客户10上的web浏览器40。

在一个实施例中，服务凭据包括诸如应用服务器15的网络地址的额外信息。在另一个实施例中，web服务器20独立地将应用服务器15的地址发送到客户10。例如，如果客户10利用名称向web服务器20请求一个应用，则web服务器20将该应用的名称转换成为该应用的网络地址。包括在服务凭据中的额外信息的例子非限制地是：服务凭据有效的时间、当显示在客户10上时的应用的屏幕尺寸、web通信信道30和/或应用通信信道25的带宽限制、以及记帐信息。如以下更详细描述的，web服务器20还将诸如用户的口令的用户的注册信息与存储在本地存储器中由应用服务器15将来检索的服务凭据相关联。

ICA客户41从web浏览器40获取服务凭据，随后将服务凭据的会话ID(即第一部分)发送(箭头42)到应用服务器15。会话ID可以被以加密或者明码报文的形式发送。如果该会话ID被加密了，则应用服务器15对于该被加密的会话ID进行解密，并且将一个对于与从客户10接收的会话ID相应的会话密钥的请求发送(箭头44)到web服务器20。如上所述，web服务器20验证所述会话ID，并且在服务器通信信道35上将相应的会话密钥发送(箭头48)到应用服务器15。

现在，在无需请求在非安全应用通信信道25上发送服务凭据或者会话密钥的情况下，应用服务器15和客户10(即ICA客户41)都拥有会话密钥的一个拷贝。通过使用会话密钥来加密和解密在先前非安全应用通信信道25上的通信，客户10和应用服务器25在应用通信信道25上建立(箭头50)一个安全的通信链路50。此外，用户的注册信息(例如口令)不被在非安全应用通信信道25上在客户10和应用服务器15之间发送。因此，本发明通过不将诸如用户的口令的敏感信息暴露给通过非安全应用通信信道25截取通信的偷听者而加强(箭头50)了在非安全应用通信信道25上的通信链路50的安全性。此外，因为应用服务器15和客户10利用相同的会话密钥通信，所以它们共享一个由服务凭据服务60发送的秘密。服务凭据服务60间接认证应用服务器15和客户10，并且服务凭据服务60为每个进行证明。因此，认证服务器15和客户10执行互相认证。在一个实施例中，客户10再次通过web通信信道30将用户的口令发送到web服务器20，以便提供与传统系统的兼容性(例如在web服务器20上请求客户10将用户的口令发送多次的未修改的操作系统注册序列)。

更详细地，图2示出了由通信系统100执行的用来在客户10与应用服务器15之间的应用通信信道25上建立一个安全通信链路50的过程的实施例。web浏览器40列出(步骤200)到客户10的用户观看的网页上的软件应用或者服务器桌面的web链接。使用web浏览器40的客户的用户向web服务器20请求(步骤205)一个软件应用。在一个实施例中，web浏览器40使用先前描述的SSL协议建立安全web通信信道30。在这个实施例中，客户10(例如web浏览器40)使用一个公共密钥(例如X509)证书来认证web服务器20。在另一个实施例中，客户10还被利用公共密钥证书向web服务器20认证。

在另一个实施例中，当用户使用web浏览器40向web服务器20请求一个应用时，web服务器20认证用户。例如，web服务器20利用显示在web浏览器40上的请求来请求包括用户的注册名称和口令的用户的注册信息。用户将用户的注册信息提供(步骤210)到web浏览器40。web浏览器40随后在安全web通信信道30上将用户的注册名称和口令发送(步骤220)到web服务器20。在另一个实施例中，用户的注册信息是web服务器20接受用来识别在web服务器20上的用户的帐户的任何代码或者方法。

web服务器20将用户的注册信息发送(步骤230)到服务凭据服务60。服务凭据服务60验证(步骤240)用户的注册信息并且确定用户被授权访问被请求的应用。根据被公告的用于所述应用的通信安全性策略，服务凭据服务60或者拒绝或者授权由用户对于所述应用的访问。如果服务凭据服务60拒绝访问，则web浏览器40在客户10上显示HTML错误或者错误网页。当服务凭据服务60授权访问被请求的应用时，服务凭据服务60产生(步骤245)一个用于会话的服务凭据并且将服务凭据发送(步骤250)到web服务器20。

如上所述，服务凭据包括会话ID和会话密钥。会话ID可以被在一个确定的时间周期中使用一次，并且使得所述服务凭据成为在其首次使用之后不再具有价值的“一次性使用”的服务凭据。然后，web服务器20将服务凭据存储(步骤253)到本地存储器中。在另一个实施例中，web服务器20将在步骤210中由用户提供的注册信息和用于授权的诸如被请求的应用名称的其它安全性信息与被存储的由应用服务器15后来检索的服务凭据相关联。web服务器20随后在安全web通信信道30上将服务凭据发送(步骤255)到客户10。

web浏览器40从服务凭据中提取(步骤260)会话ID并且将会话ID呈现给(步骤265)应用服务器15。应用服务器15检查会话ID以便保证该会话ID先前没有被这个客户10使用。在一个实施例中，应用服务器15监视(例如存储在本地存储器中)客户10发送到应用服务器15的每个服务凭据(即会话ID)。在另一个实施例中，服务凭据服务60检查会话ID，以便保证会话ID先前没有被这个客户10使用。在另一个实施例中，服务凭据服务监视服务凭据服务60发送到web服务器20的每个服务凭据，以便保证每个会话ID只被发送到服务凭据服务60一次。

然后，应用服务器15使用会话ID来确定与被呈现的会话ID相关的会话密钥。为此，应用服务器15将会话ID发送到服务凭据服务60，并且响应于会话ID而向web服务器20的服务凭据服务60请求(步骤270)会话密钥。服务凭据服务60访问本地存储器并且使用会话ID作为检索与会话ID相关的服务凭据信息的索引。然后，服务凭据服务60将与会话ID相关的会话密钥返回(步骤280)到应用服务器15。

为了提高应用服务器15和web服务器20之间的通信的优化，在一个替代实施例中，web服务器20将先前在步骤253中被与服务凭据相关联的额外信息(例如被请求的应用名称、用户的注册信息)发送(示为虚步骤266)到应用服务器15。应用服务器15检索(虚步骤267)额外的服务凭据信息，并且根据这个额外的信息来授权通信会话。诸如用户的口令和/或被请求的应用的名称的这个额外信息不由客户10在非安全应用通信信道25上发送到应用服务器15，从而保护信息不受可能的攻击。在这个实施例中，应用服务器15验证(虚步骤268)所述额外信息。如果额外信息无效，则应用服务器拒绝(虚步骤269)由用户访问被请求的应用。如果额外信息是有效的，则应用服务器15授权访问被请求的应用，并且如上所述，向服务凭据服务60请求(步骤270)会话密钥。

在另一个实施例中，服务凭据服务60在会话ID上执行额外的检查。例如，服务凭据服务60在会话ID上执行检查以便早期检测重放(即检查会话ID先前没有被发送到服务凭据服务60)和/或业务拒绝(DoS)攻击(即利用非法的数据分组的泛滥和最终禁止一个远程服务器)。在另一个实施例中，在应用服务器15请求(步骤270)服务凭据的第一和第二部分之前，web服务器20将服务凭据的第一和第二部分发送到应用服务器15，从而消除了步骤270中的请求。在这个实施例中，应用服务器15将会话密钥存储在其本地存储器中，并且在客户10将会话ID呈现(步骤265)给应用服务器15之后，从其本地存储器中检索会话ID。

在应用服务器15获取(步骤280)会话密钥之后，应用服务器15使用该会话密钥来加密在应用通信信道25上的到客户10的通信，并且解密在应用通信信道25上的来自客户10的通信。类似地，客户10使用客户10从在安全web通信信道30上发送的服务凭据获取的会话密钥来解密来自应用服务器15的通信并且加密到应用服务器15的通信。因为客户10和应用服务器15使用会话密钥来加密和解密在应用通信信道25上的通信，所以客户10和应用服务器15在先前的非安全应用通信信道25上建立(步骤290)安全通信链路50。此外，因为客户10和应用服务器15无需在非安全应用通信信道25上发送服务凭据(并且因此可能将会话密钥暴露给第三方)而具有会话密钥，所以客户10和应用服务器15加强了在先前的非安全应用通信信道25上的通信链路50的安全性。

在一个实施例中，使用SSL协议来使得应用通信信道25安全。在这个实施例中，服务凭据服务60利用应用服务器证书来代替服务凭据中的会话密钥。客户10使用应用服务器证书来与应用服务器15通信。响应于对于服务凭据的请求，应用服务器证书被在web通信信道30上下载到客户10。因此，因为应用服务器证书被在一个安全链路(即web通信信道30)上下载到客户10，所以应用服务器不需要被一个众所周知的公共CA签名。尽管客户10预先没有应用服务器的证书或者CA密钥，但是一个被认证的安全连接被在应用通信信道25上利用包括在服务凭据中的应用服务器证书而建立。

例如，如果客户10请求另一个SSL部分(例如单独的实例或者被请求的软件应用的实现)并且客户10在其本地存储器(例如数据库、本地盘、RAM、ROM)中没有CA证书，则客户10能够使用在服务凭据中发送的应用服务器证书来在应用通信信道25上建立一个未被认证的安全连接。更明确地，当客户10没有存储在其本地存储器中的与被请求的SSL部分相关联的CA根证书时(或者当客户10具有一个不包括用于被请求SSL部分的CA证书的CA证书不完整列表时)，客户10使用在服务凭据中发送的应用服务器证书，并且客户10不能够访问web浏览器40的CA数据库。此外，因为被签名的CA证书被需要用于web服务器20，但是不需要被用于应用服务器15(即作为一个服务器场的成员的每个应用服务器15)，所以减小了获取用于安全通信的所需要的被签名CA证书的数量的代价(和开销)。在另一个实施例中，应用服务器15存储一个私有密钥，该私有密钥用于解密被利用相应的公共密钥加密的消息。因此，服务凭据服务60将应用服务器15的相应公共密钥发送到客户10以便加密通信。

在这个实施例中，会话ID仍然提供额外的价值，这是因为保证客户10能够获得对于被请求的应用的访问并且能够获得访问一次，因为服务凭据服务60(或者web服务器20)监视服务凭据(即会话ID)。此外，如果应用服务器15和客户10使用不同的会话密钥来加密和解密在应用通信信道25上的通信，则窃听者无法修改由客户10发送到应用服务器15的会话ID，这是因为会话ID和加密校验和与应用服务器15期望的校验和(即完整性检查)不匹配。因此，客户10和应用服务器15确定何时不同的会话密钥被应用服务器15和客户10使用(例如“中间人”的攻击)来加密和解密在应用通信信道25上的通信。

在另一个实施例中，会话密钥基本上等于一个空值(即服务凭据含有用于会话密钥的唯一的一个当前或者一个当前和一个不变的值)。当会话密钥基本上等于空值时，客户10不在非安全应用通信信道25上在客户10与应用服务器15之间发送用户的注册信息(例如口令)。因此，因为服务凭据只对于单独的一个使用有效并且只授权访问先前被授权的资源(例如ICA客户41)，所以甚至利用一个空的或者固定的会话密钥值来避免外部口令暴露，并且获得单独会话等级访问控制。

此外，因为没有信息被预先配置到web浏览器40或者客户10中用来远程显示被请求的应用(也就是因为客户10不需要被提供一个服务器证书或者CA证书)，所以本发明是用于在web上安全访问桌面应用的“零安装”解决方案。此外，web浏览器40在通信信道30上从web服务器20接收服务凭据和ICA客户41。在这个实施例中，如上所述，web服务器20发送服务凭据和MIME类型文档，该文档规定数据包括一个用于ICA客户41的“文档”(作为帮助应用)。MIME类型文档调用ICA客户41和web浏览器40将服务凭据传送到ICA客户41，从而允许在无需将ICA客户41预先安装在客户10的情况下，利用通信信道30的安全性来使得应用通信信道25安全。已经描述了本发明的一些实施例，对于本领域技术人员来说，包括本发明概念的其它实施例也可以被使用。因此，本发明不应当被限制于所述实施例，而是应当由所附权利要求的精神和范围来限制。

Claims

1.一种用于在客户和应用服务器之间建立安全通信的方法，包括步骤：

由服务凭据服务产生一个具有一个标识符和一个非空值会话密钥的服务凭据；

从所述服务凭据服务获取所述服务凭据；

在一个安全通信信道上将所述服务凭据发送到一个客户；

由所述客户在一个应用通信信道上将所述服务凭据的所述标识符发送到一个应用服务器；

由所述应用服务器从所述服务凭据服务获取所述服务凭据的所述非空值会话密钥的一个拷贝；以及

使用所述非空值会话密钥对于在所述应用通信信道上在所述客户与所述应用服务器之间交换的通信进行加密，以便将所述应用通信信道建立为一个安全通信信道。

2.如权利要求1所述的方法，其中从所述服务凭据服务获取所述服务凭据还包括将所述服务凭据发送到一个web服务器。

3.如权利要求2所述的方法，其中将所述服务凭据发送到一个客户还包括由所述web服务器发送所述服务凭据。

4.如权利要求2所述的方法，其中所述服务凭据服务驻留在所述web服务器上。

5.如权利要求2所述的方法，还包括由所述应用服务器在服务器通信信道上将所述标识符发送到所述web服务器。

6.如权利要求5所述的方法，还包括由所述应用服务器接收对于发送所述标识符到所述web服务器的所述响应。

7.如权利要求5所述的方法，还包括由所述web服务器验证由所述应用服务器发送的所述标识符。

8.如权利要求7所述的方法，其中所述验证还包括由所述web服务器确认在相对于所述标识符被所述web服务器发送到所述客户的时间的一个确定的时间帧内，所述标识符被所述web服务器接收到。

9.一种用于在客户与应用服务器之间建立安全通信信道的方法，包括步骤：

在一个在所述客户上执行的web浏览器和一个web服务器之间建立一个安全的web通信信道；

在所述安全web通信信道上从所述web服务器接收一个具有一个标识符和一个非空值会话密钥的服务凭据；以及

在一个应用通信信道上将所述服务凭据的所述标识符发送到所述应用服务器，以便为所述应用服务器提供用于获取所述非空值会话密钥的一个拷贝的信息。

10.一种用于在客户和应用服务器之间建立一个安全通信信道的方法，包括步骤：

在一个安全web通信信道上接收一个具有一个标识符和一个非空值会话密钥的服务凭据；

在一个应用通信信道上将所述服务凭据的所述标识符发送到所述应用服务器，以便为所述应用服务器提供用于获取所述非空值会话密钥的一个拷贝的信息；以及

使用在所述安全web通信信道上接收的所述非空值会话密钥来加密和解密在所述应用通信信道上发送到所述应用服务器和从所述应用服务器接收的通信，以便将所述应用通信信道建立为一个安全的通信信道。

11.如权利要求10所述的方法，还包括在所述安全web通信信道上请求一个软件应用。

12.如权利要求10所述的方法，其中所述标识符是当前。

13.如权利要求10所述的方法，还包括使用加密套接字协议层技术来建立所述安全web通信信道。

14.如权利要求10所述的方法，其中所述服务凭据由服务凭据服务产生。

15.如权利要求10所述的方法，其中所述标识符是一个应用服务器证书。

16.如权利要求15所述的方法，还包括使用加密套接字协议层技术来建立所述应用通信信道。

17.如权利要求10所述的方法，还包括将一个口令发送到所述应用服务器。

18.如权利要求10所述的方法，还包括通过所述web通信信道接收所述服务凭据和一个远程显示协议应用。

19.一种用于建立安全通信信道的通信系统，包括：

产生一个具有一个标识符和一个非空值会话密钥的服务凭据服务；

与所述服务凭据服务通信以便从所述服务凭据服务获取所述服务凭据的通信设备；

在安全通信信道上与所述通信设备通信以便在所述安全通信信道上从所述通信设备接收所述服务凭据的客户；以及

应用服务器，它在一个应用通信信道上与所述客户通信以便从所述客户接收所述服务凭据的所述标识符，并且与所述服务凭据服务通信以便从所述服务凭据服务获取所述非空值会话密钥的一个拷贝，所述应用服务器和所述客户使用所述非空值会话密钥在所述加密的所述应用通信信道上交换通信，以便将所述应用通信信道建立为一个安全的通信信道。

20.如权利要求19所述的系统，其中所述服务凭据服务驻留在所述通信设备上。

21.如权利要求20所述的系统，还包括所述应用服务器在一个服务器通信信道上将所述标识符发送到所述通信设备。

22.如权利要求21所述的系统，还包括所述应用服务器响应于所述标识符而请求所述非空值会话密钥的一个拷贝。

23.如权利要求22所述的系统，还包括所述通信设备验证由所述应用服务器发送的所述标识符。

24.如权利要求23所述的系统，其中所述通信设备验证还包括所述通信设备确认所述标识符先前没有被所述应用服务器发送。

25.如权利要求23所述的系统，其中所述通信设备验证还包括所述通信设备确认在相对于所述标识符被所述通信设备发送到所述客户的时间的一个确定时间帧中，所述标识符被所述通信设备接收。

26.如权利要求24所述的系统，还包括所述通信设备响应于所述标识符而在所述服务器通信信道上将所述非空值会话密钥发送到所述应用服务器。

27.如权利要求24所述的系统，其中所述服务器通信信道是一个安全通信信道。

28.如权利要求19所述的系统，还包括所述通信设备在所述服务器通信信道上将额外信息发送到所述应用服务器。

29.如权利要求28所述的系统，其中所述额外服务凭据信息还包括所述客户的一个用户的注册信息。

30.如权利要求29所述的系统，其中所述额外服务凭据信息还包括在所述应用服务器上执行的软件应用的名称。

31.如权利要求19所述的系统，其中所述通信设备还包括web服务器。

32.如权利要求19所述的方法，还包括所述客户将操作所述客户的用户的口令发送到所述应用服务器。

33.如权利要求19所述的方法，还包括所述服务凭据服务将对应于所述客户和操作所述客户的用户中的至少一个的信息发送到所述应用服务器。