CN113196724A - 用于应用预启动的系统和方法 - Google Patents

用于应用预启动的系统和方法 Download PDF

Info

Publication number
CN113196724A
CN113196724A CN201980084649.7A CN201980084649A CN113196724A CN 113196724 A CN113196724 A CN 113196724A CN 201980084649 A CN201980084649 A CN 201980084649A CN 113196724 A CN113196724 A CN 113196724A
Authority
CN
China
Prior art keywords
application
user
access
client
web
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980084649.7A
Other languages
English (en)
Inventor
A·乔汉
K·斯里瓦特桑
J·M·R·阿里桑卡拉
C·M·拉迈亚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Citrix Systems Inc
Original Assignee
Citrix Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Citrix Systems Inc filed Critical Citrix Systems Inc
Publication of CN113196724A publication Critical patent/CN113196724A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • G06F16/9577Optimising the visualization of content, e.g. distillation of HTML documents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

所描述的实施例包括用于管理和预建立网络应用和安全通信会话的系统和方法。可以分析会话日志以识别可能被访问的应用或安全通信会话,并且在接收到建立会话的请求之前,中间装置(例如,诸如中间设备或其他装置的另一装置、或诸如客户机应用的客户机上的中间代理)可以预建立会话,以执行任何必要的握手或凭证或密钥交换过程。当随后请求会话时(例如,响应于用户请求),系统可以立即开始使用预建立的会话。可以在企业内协调该预建立,以提供负载均衡和会话建立的调度,以防止在任何一个时间点产生较大的处理负载。

Description

用于应用预启动的系统和方法
相关申请的交叉引用
本申请要求于2018年11月7日提交的名称为“SYSTEMS AND METHODS FORAPPLICATION PRE-LAUNCH”的美国专利申请No.16/183,232的优先权和利益,其内容出于所有目的通过引用全部合并于此。
技术领域
本申请总地涉及网络应用和安全通信会话的管理和预建立。
背景技术
随着企业的劳动力变得更有移动性和在各种条件下工作,个人可以使用一个或多个客户机装置(包括个人装置)以访问网络资源,例如web应用。由于客户机装置和网络资源可以被访问的方式之间的不同,给企业在管理访问网络资源和监测资源的潜在滥用提出显著的挑战。
发明内容
许多网络提供的资源(诸如,经由传输层安全(TLS)协议进行的安全通信或网络应用(诸如web应用))需要大量的处理时间来为客户机建立会话。例如,安全通信通道可能需要生成或协商加密密钥、认证、握手等,这可能会导致显著的等待时间。类似地,经由虚拟机或其他资源提供的网络应用可能需要实例化这种虚拟机、保留处理线程、对用户或装置凭证进行认证、握手、解压缩和加载资源等。在许多实施方式中,建立这些通信或应用会话可能会给用户或客户机装置带来显著的延迟。此外,在许多企业部署中,许多用户或装置可能试图在短时间内(例如,在工作日开始时)建立这些会话。同时建立数十个、数百个甚至数千个会话所产生的额外握手和处理开销可能在会话变得实际可用之前导致大量延迟。
本公开涉及用于网络应用和安全通信会话的管理和预建立的系统和方法。可以分析会话日志以识别可能被访问的应用或安全通信会话,并且在接收到建立会话的请求之前,中间装置(例如,诸如中间设备或其他装置的另一装置、或诸如客户机应用的客户机上的中间代理)可以预建立会话,以执行任何必要的握手或凭证或密钥交换过程。当随后请求会话时(例如,响应于用户请求),系统可以立即开始使用预建立的会话。可以在企业内协调该预建立,以提供负载均衡和会话建立的调度,以防止在任何一个时间点产生较大的处理负载。
本公开还涉及嵌入式浏览器的系统和方法。在客户机装置上执行的客户机应用可以允许用户访问由一个或多个服务器服务的和/或托管在一个或多个服务器上的应用(app),诸如web应用和软件即服务(SaaS)应用(以下有时通常称为网络应用)。嵌入或集成到客户机应用的浏览器可以向用户呈现经由客户机应用访问或请求的网络应用,并且可以启用用户与网络应用之间的交互性。该浏览器有时被称为嵌入式浏览器,而具有嵌入式浏览器的客户机应用(CEB)有时被称为工作空间应用。客户机应用可以建立到一个或多个服务器的安全连接,以提供应用会话,以便用户使用客户机装置和嵌入式浏览器访问网络应用。嵌入式浏览器可以与客户机应用集成,以确保与网络应用相关的流量通过客户机应用路由和/或在客户机应用中处理,这可以为客户机应用提供流量的实时可见性(例如,当通过客户机应用进行解密时)、以及用户交互和行为。当经由(由客户机应用和嵌入式浏览器共享)的用户界面请求网络应用,以及通过嵌入式浏览器在同一用户界面内呈现时,嵌入式浏览器可以向用户提供无缝体验。
在一个方面,本公开涉及一种用于网络应用的预启动的方法。该方法包括由包括由客户机装置执行的嵌入式浏览器的客户机应用接收认证用户的请求。该方法还包括由客户机应用将用户认证为有效。该方法还包括由客户机应用从用户的先前行为的日志中识别由用户可能请求访问的一个或多个应用服务器提供的一个或多个网络应用。该方法还包括由客户机应用将代表用户访问所识别的一个或多个网络应用的请求传输至一个或多个应用服务器,访问所识别的一个或多个网络应用的请求在接收到来自用户的访问网络应用的请求之前传输。该方法还包括由客户机应用从一个或多个应用服务器接收代表用户执行以经由嵌入式浏览器呈现的所识别的一个或多个网络应用的数据,接收到的数据存储在客户机应用的存储器中。该方法还包括从用户接收访问所识别的一个或多个网络应用中的第一网络应用的请求。该方法还包括响应于接收到访问第一网络应用的请求,从客户机应用的存储器向嵌入式浏览器提供接收到的第一网络应用的数据,浏览器呈现所提供的数据以显示给用户。
在一些实施方式中,该方法包括通过识别用户可能请求访问的一个或多个网络应用的数据或一个或多个网络应用内的视图来识别用户可能请求访问的一个或多个网络应用;以及其中,访问所识别的一个或多个网络应用的请求还包括对所识别的一个或多个网络应用的数据或一个或多个网络应用内的视图的请求。
在一些实施方式中,该方法包括通过将用户的先前行为的日志提供给机器学习引擎来识别用户可能请求访问的一个或多个网络应用,机器学习引擎从输入识别一个或多个网络应用,输入包括先前经由嵌入式浏览器访问的网络应用的标识、经由嵌入式浏览器的访问次数的标识、或由嵌入式浏览器访问的数据的标识。
在一些实施方式中,该方法包括:由客户机应用经由嵌入式浏览器监测与一个或多个网络应用的用户交互;由客户机应用从所监测的用户交互中识别由用户可能请求访问的一个或多个应用服务器提供的第二一个或多个网络应用;由客户机应用响应于识别,将代表用户访问所识别的第二一个或多个网络应用的请求传输至一个或多个应用服务器;由客户机应用从一个或多个应用服务器接收代表用户执行以经由嵌入式浏览器呈现的所识别的第二一个或多个网络应用的数据,接收到的所识别的第二一个或多个网络应用的数据存储在客户机应用的存储器中;由客户机应用经由嵌入式浏览器接收用户访问第二一个或多个网络应用中的第二网络应用的请求;以及响应于接收到访问第二网络应用的请求,从客户机应用的存储器向嵌入式浏览器提供接收到的第二网络应用的数据,浏览器呈现所提供的数据以显示给用户。
在一些实施方式中,该方法包括通过利用远程认证服务器执行认证程序来认证用户,以及其中,传输访问所识别的一个或多个网络应用的请求和接收所识别的一个或多个网络应用的数据在认证程序完成之前发生。
在一些实施方式中,该方法包括通过将接收到的数据存储在客户机应用的存储器中而不向嵌入式浏览器提供视觉输出,来接收所识别的一个或多个网络应用的数据。在另一实施方式中,将接收到的数据存储在客户机应用的存储器中而不向嵌入式浏览器提供视觉输出包括实例化具有禁用可见性的嵌入式浏览器的新选项卡或窗口,接收到的第一网络应用的数据被提供给实例化的新选项卡或窗口以进行呈现。在一些这样的其他实施方式中,该方法包括响应于接收到访问第一网络应用的请求,启用实例化的新选项卡或窗口的可见性以显示给用户。
在另一方面,本公开涉及一种用于安全通信通道的预建立的方法。该方法包括由会话记录管理器服务器经由第一网络连接与提供网络应用的应用服务器建立安全通信会话。该方法包括由会话记录管理器从应用服务器接收识别安全通信会话的参数的会话记录。该方法包括由会话记录管理器经由第二网络连接从执行包括嵌入式浏览器的客户机应用的客户机装置接收访问由应用服务器提供的网络应用的请求。该方法包括由会话记录管理器将会话记录转发给客户机应用,客户机应用经由第三网络连接向应用服务器传输恢复安全通信会话的请求。
在一些实施方式中,该方法包括通过执行加密握手程序来建立安全通信会话。在另一实施方式中,会话记录包括用于安全通信会话的加密密钥的标识,以及客户机应用利用用于安全通信会话的加密密钥来传输恢复安全通信会话的请求。
在一些实施方式中,应用服务器是多个应用服务器中的第一应用服务器,并且客户机装置是多个客户机装置中的第一客户机装置,以及建立安全通信会话包括响应于多个客户机装置对第一应用服务器的高利用的历史,从多个应用服务器中选择第一应用服务器。在一些实施方式中,该方法包括通过由会话记录管理器与应用服务器建立多个安全通信会话来建立安全通信会话,每个安全通信会话与不同的会话记录相关联。在一些实施方式中,该方法包括由会话记录管理器从相应的多个客户机装置接收访问由应用服务器提供的网络应用的多个请求;以及由会话记录管理器将与不同的安全通信会话相关联的会话记录转发给多个客户机装置中的每一个,多个客户机装置中的每个客户机装置向应用服务器传输恢复相应的安全通信会话的请求。
在另一方面,本公开涉及一种用于网络应用的预启动的系统。该系统包括客户机装置,其包括网络接口、存储器装置和处理器,该处理器执行包括嵌入式浏览器的客户机应用。客户机应用被配置为接收认证用户的请求;将用户认证为有效;以及从用户的先前行为的日志中识别由用户可能请求访问的一个或多个应用服务器提供的一个或多个网络应用。网络接口被配置为:将代表用户访问所识别的一个或多个网络应用的请求传输至一个或多个应用服务器,访问所识别的一个或多个网络应用的请求在接收到来自用户的访问网络应用的请求之前传输;以及从一个或多个应用服务器接收代表用户执行以经由嵌入式浏览器呈现的所识别的一个或多个网络应用的数据,接收到的数据存储在存储器装置中。客户机应用还被配置为:从用户接收访问所识别的一个或多个网络应用中的第一网络应用的请求;以及响应于接收到访问第一网络应用的请求,从存储器装置向嵌入式浏览器提供接收到的第一网络应用的数据,浏览器呈现所提供的数据以显示给用户。
在一些实施方式中,客户机应用还被配置为识别用户可能请求访问的一个或多个网络应用的数据或一个或多个网络应用内的视图;以及访问所识别的一个或多个网络应用的请求还包括对所识别的一个或多个网络应用的数据或一个或多个网络应用内的视图的请求。
在一些实施方式中,客户机应用还被配置为将用户的先前行为的日志提供给机器学习引擎,机器学习引擎从输入识别一个或多个网络应用,该输入包括先前经由嵌入式浏览器访问的网络应用的标识、经由嵌入式浏览器的访问次数的标识、或由嵌入式浏览器访问的数据的标识。
在一些实施方式中,客户机应用还被配置为:经由嵌入式浏览器监测与一个或多个网络应用的用户交互;以及从所监测的用户交互中识别由用户可能请求访问的一个或多个应用服务器提供的第二一个或多个网络应用。网络接口还被配置为:响应于识别,将代表用户访问所识别的第二一个或多个网络应用的请求传输至一个或多个应用服务器;以及从一个或多个应用服务器接收代表用户执行以经由嵌入式浏览器呈现的所识别的第二一个或多个网络应用的数据,接收到的所识别的第二一个或多个网络应用的数据存储在存储器装置中。客户机应用还被配置为经由嵌入式浏览器接收用户访问第二一个或多个网络应用中的第二网络应用的请求;以及响应于接收到访问第二网络应用的请求,从存储器装置向嵌入式浏览器提供接收到的第二网络应用的数据,浏览器呈现所提供的数据以显示给用户。
在一些实施方式中,客户机应用还被配置为利用远程认证服务器执行认证程序;以及其中,传输访问所识别的一个或多个网络应用的请求和接收所识别的一个或多个网络应用的数据在认证程序完成之前发生。
在一些实施方式中,客户机应用还被配置为将接收到的数据存储在存储器装置中而不向嵌入式浏览器提供视觉输出。在另一实施方式中,客户机应用还被配置为:实例化具有禁用可见性的嵌入式浏览器的新选项卡或窗口,接收到的第一网络应用的数据被提供给实例化的新选项卡或窗口以进行呈现;以及响应于接收到访问第一网络应用的请求,启用实例化的新选项卡或窗口的可见性以显示给用户。
附图说明
通过参考以下结合附图的描述,本解决方案的前述和其他目的、方面、特征和优点将变得更加明显和更好理解,其中:
图1是计算装置的实施例的框图;
图2是用于访问资源的云服务的说明性实施例的框图;
图3是企业移动性管理系统的示例实施例的框图;
图4是嵌入式浏览器的系统400的框图;
图5是用于使用安全浏览器的系统的示例实施例的框图;
图6是用于使用安全浏览器插件的浏览器重定向的实施方式的示例表示;
图7是使用安全浏览器的系统的示例实施例的框图;
图8是用于使用本地嵌入式浏览器和托管安全浏览器的系统的示例实施例的框图;
图9是用于使用本地嵌入式浏览器和托管安全浏览器的示例处理流程;
图10是用于管理用户对网页的访问的系统的示例实施例;
图11是用于应用会话的预建立的系统的示例实施例的框图;
图12是用于应用会话的预建立的方法的实施方式的流程图;
图13是用于安全通信会话的预建立的系统的示例实施例的框图;以及
图14是用于安全通信会话的预建立的方法的实施方式的流程图。
根据下文结合附图时阐述的详细描述,本解决方案的特征和优点将变得更加明显,在附图中,相似的附图标记始终标识相应的元件。在附图中,相似的附图标记通常表示相同、功能相似和/或结构相似的元件。
具体实施方式
为了阅读以下各个实施例的描述,本说明书各部分的以下描述及其各自的内容可能是有帮助的:
A部分描述了一种计算环境,该计算环境可用于实践本文描述的实施例;
B部分描述了用于嵌入式浏览器的系统和方法。
C部分描述了用于应用和通信会话预启动的系统和方法。
A.计算环境
在讨论本文B部分中详细的系统和方法的实施例的细节之前,讨论这样的实施例可以被部署的计算环境可能是有帮助的。
如图1所示,计算机101可以包括一个或多个处理器103、易失性存储器122(例如,随机存取存储器(RAM))、非易失性存储器128(例如,一个或多个硬盘驱动器(HDD)或其他磁性或光学存储介质、一个或多个固态驱动器(SSD)(例如闪存驱动器或其他固态存储介质)、一个或多个混合磁性和固态驱动器、和/或一个或多个虚拟存储卷(例如云存储)、或这种物理存储卷和虚拟存储卷或其阵列的组合)、用户界面(UI)123、一个或多个通信接口118和通信总线150。用户界面123可包括图形用户界面(GUI)124(例如,触摸屏、显示器等)和一个或多个输入/输出(I/O)装置126(例如,鼠标、键盘、麦克风、一个或多个扬声器、一个或多个照相机、一个或多个生物特征扫描仪、一个或多个环境传感器、一个或多个加速度计等)。非易失性存储器128存储操作系统115、一个或多个应用116和数据117,从而例如由处理器103从易失性存储器122中执行操作系统115和/或应用116的计算机指令。在一些实施例中,易失性存储器122可以包括一种或多种类型的RAM和/或高速缓冲存储器,其可以提供比主存储器更快的响应时间。可以使用GUI 124的输入装置来输入数据,或者可以从I/O装置126接收数据。计算机101的各种元件可以经由一条或多条通信总线(显示为通信总线150)进行通信。
图1所示的计算机101仅作为示例示出,因为可以通过任何计算或处理环境,以及利用可以具有能够如本文所述操作的合适的硬件和/或软件的任何类型的机器或机器组,来实现客户机、服务器、中间装置和其他网络装置。处理器103可以由执行一个或多个可执行指令(诸如计算机程序)的一个或多个可编程处理器来实现,用以执行系统的功能。如本文所使用的,术语“处理器”描述了执行功能、操作或操作序列的电路。功能、操作或操作序列可以被硬编码到电路中,或者通过存储在存储器装置中的指令被软编码和被电路执行。“处理器”可以使用数字值和/或使用模拟信号执行功能、操作或操作序列。在一些实施例中,“处理器”可以以一个或多个专用集成电路(ASIC)、微处理器、数字信号处理器(DSP)、图形处理单元(GPU)、微控制器、现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、多核处理器、或具有关联存储器的通用计算机来实现。“处理器”可以是模拟、数字或混合信号。在一些实施例中,“处理器”可以是一个或多个物理处理器或一个或多个“虚拟”(例如,位于远程的或“云”)处理器。包括多个处理器核和/或多个处理器的处理器可以提供用于并行、同时执行多个指令或用于并行、同时执行多于一段数据上的一个指令的功能。
通信接口118可以包括一个或多个接口,以使计算机101能够通过各种有线和/或无线或蜂窝连接来访问诸如局域网(LAN)、广域网(WAN)、个人局域网(PAN)或互联网的计算机网络。
在所描述的实施例中,计算装置101可以代表客户机计算装置的用户执行应用。例如,计算装置101可以执行虚拟机,该虚拟机提供执行会话,应用在该执行会话(例如托管的桌面会话)内代表用户或客户机计算装置执行。计算装置101还可以执行终端服务会话以提供托管的桌面环境。计算装置101可以提供对包括以下中的一个或多个的计算环境的访问:一个或多个应用、一个或多个桌面应用以及可以在其中执行一个或多个应用的一个或多个桌面会话。
网络环境、计算机101以及客户机和服务器计算机的实施和操作的其他细节,可以参见2017年1月3日授予佛罗里达州劳德代尔堡的Citrix Systems,Inc.的美国专利No.9,538,345中的描述,其教导通过引用合并于此。
B.用于嵌入式浏览器的系统和方法
本公开涉及嵌入式浏览器的系统和方法。在客户机装置上执行的客户机应用可以允许用户访问由一个或多个服务器服务的和/或托管在一个或多个服务器上的应用(app),诸如web应用和软件即服务(SaaS)应用(以下有时通常称为网络应用)。嵌入或集成到客户机应用中的浏览器可以向用户呈现经由客户机应用访问或请求的网络应用,并且可以启用用户与网络应用之间的交互性。该浏览器有时被称为嵌入式浏览器,而具有嵌入式浏览器的客户机应用(CEB)有时被称为工作空间应用。客户机应用可以建立到一个或多个服务器的安全连接,以提供应用会话,以便用户使用客户机装置和嵌入式浏览器访问网络应用。嵌入式浏览器可以与客户机应用集成,以确保与网络应用相关的流量通过客户机应用路由和/或在客户机应用中处理,这可以为客户机应用提供流量的实时可见性(例如,当通过客户机应用进行解密时)、以及用户交互和行为。当经由用户界面(由客户机应用和嵌入式浏览器共享)请求网络应用,以及通过嵌入式浏览器在同一用户界面内呈现时,嵌入式浏览器可以为用户提供无缝体验。
客户机应用可以终止与网络应用的服务器建立的安全连接(诸如安全套接字层(SSL)虚拟专用网络(VPN)连接)的一端。客户机应用可以从网络应用接收加密的流量,并且可以在进一步处理(例如,由嵌入式浏览器呈现)之前对流量进行解密。客户机应用可以监测接收到的流量(例如,以加密分组的形式),并且还可以对解密的数据流和/或SSL协议栈的内部具有完全可见性。这种可见性可以允许客户机应用执行或促进基于策略的管理(例如,包括数据丢失防护(DLP)能力)、应用控制(例如,提高性能、服务水平)以及分析的收集和产生。例如,本地CEB可以为信息技术(IT)管理员提供用于通过CEB部署Web和SaaS应用的受控系统,并允许IT管理员经由CEB设置策略或配置,以执行上述任何活动。
许多Web和SaaS输送的应用从Web服务器连接到用户的通用浏览器(例如InternetExplorer、Firefox等)。一旦通过认证,便会加密此类网络应用的整个会话。然而,在这种情况下,管理员可能不具有对从用户的数字工作空间进入网络应用的内容、或离开网络应用并进入用户的数字工作空间的内容的可见性、分析、或控制。此外,在通用浏览器中查看的网络应用的内容可以被复制或下载(例如,由用户或程序)到潜在地任意应用或装置,从而导致可能违反数据安全性。
本系统和方法可以确保与网络应用相关联的流量是被引导通过CEB的。通过图示的方式,例如,当用户访问具有启用的安全断言标记语言(SAML)的SaaS web服务时,相应的访问请求可以被转发到一个指定的网关服务,该服务确定、检查或者验证CEB是否被用于提出该访问请求。响应于确定CEB被用于提出访问请求,网关服务可以执行或提供认证和单点登录(SSO),并且可以允许CEB直接连接到SaaS web服务。加密(例如标准加密)可用于CEB与SaaS web服务之间的应用会话。当来自web服务的内容在CEB中未加密以经由嵌入式浏览器查看时,和/或当输入经由CEB输入时,CEB可以提供用于例如控制和分析的选择性应用相关的信息上的附加服务。例如,分析代理或应用编程接口(API)可以被嵌入在CEB中以提供或执行附加服务。
CEB(有时被称为工作空间应用或接收器)可以与一个或多个网关服务、中间装置和/或网络服务器(有时统称为云服务或思杰云(Citrix Cloud))进行交互操作,以提供对网络应用的访问。与云服务的实施例的操作相关的环境的特征和元件如下所述。
图2示出了用于在访问包括网络应用的资源中使用的云服务的实施例。云服务可以包括企业移动性技术架构200,在一个说明性实施例中,其可以包括访问网关260。例如,该架构可以用于自携装置(BYOD)的环境中。该架构可以使客户机装置202(例如,手机或其它装置)的用户能够从客户机装置202访问企业或个人资源,并且使用客户机装置202以供个人使用。用户可以经由在客户机装置202上执行的客户机应用来访问这种企业资源204或企业服务208。用户可以使用由用户购买的客户机装置202或由企业提供给用户的客户机装置202来访问这种企业资源204或企业服务208。用户可以将客户机装置202仅用于商业用途或用于商业和个人用途。客户机装置可运行iOS操作系统和Android操作系统等。企业可以选择实施策略来管理客户机装置202。可以通过防火墙或网关来植入策略,使得客户机装置可以被识别、保护或安全验证,为客户机装置提供对企业资源的选择性或完全访问权限。这些策略可以是客户机装置管理策略、移动应用管理策略、移动数据管理策略或客户机装置、应用和数据管理策略的一些组合。通过施加客户机装置管理策略管理的客户机装置202可以被称为注册装置。该客户机装置管理策略可经由例如客户机应用施加。
在一些实施例中,客户机装置的操作系统可以被分成受管理分区210和未管理分区212。受管理分区210可以被施加策略以保护在受管理分区中运行的应用和存储在其中的数据。在受管理分区上运行的应用可以是安全应用。在其他实施例中,所有应用可以根据与该应用分开接收的一个或多个策略文件的集合来执行,并且该策略文件定义一个或多个安全参数、特征、资源限制和/或由客户机装置管理系统在应用在装置上执行时实施的其他访问控制。通过根据它们各自的策略文件进行操作,可以允许或限制每个应用与一个或多个其他应用和/或资源的通信,从而创建虚拟分区。因此,如本文所使用的,分区可以指存储器的物理分区部分(物理分区)、存储器的逻辑分区部分(逻辑分区)和/或如本文所述由于实施一个或多个策略和/或跨多个app的策略文件而创建的虚拟分区(虚拟分区)。换句话说,通过在受管理app上实施策略,那些app可能会被限制为只能与其他受管理app和受信任的企业资源进行通信,从而创建虚拟分区,未管理app和装置无法访问该虚拟分区。
安全应用可以是电子邮件(email)应用、web浏览应用、软件即服务(SaaS)访问应用、Windows应用访问应用等。客户机应用可包括安全应用启动器218。安全应用可以是安全本机应用214、由安全应用启动器218执行的安全远程应用222、由安全应用启动器218执行的虚拟化应用226,等等。安全本机应用214可以由安全应用包装器220包装。当在装置上执行安全本机应用时,安全应用包装器220可以包括在客户机装置202上执行的集成策略。安全应用包装器220可以包括元数据,该元数据将在客户机装置202上运行的安全本机应用214指向安全本机应用214可能需要的以完成安全本机应用214执行要求的任务的托管在企业的资源。由安全应用启动器218执行的安全远程应用222可以在安全应用启动器应用218内执行。由安全应用启动器218执行的虚拟化应用226可以利用客户机装置202上、企业资源204处等的资源。由安全应用启动器218执行的虚拟化应用226在客户机装置202上使用的资源可以包括用户交互资源、处理资源等。用户交互资源可以用于收集和传输键盘输入、鼠标输入、照相机输入、触觉输入、音频输入、视觉输入、手势输入等。处理资源可以用于呈现用户界面,处理从企业资源204接收的数据等。由安全应用启动器218执行的虚拟化应用226在企业资源204处使用的资源可以包括用户界面生成资源、处理资源等。用户界面生成资源可以被用于组装用户界面、修改用户界面、刷新用户界面,等等。处理资源可以用于创建信息、读取信息、更新信息、删除信息等。例如,虚拟化应用可以记录与图形用户界面(GUI)相关联的用户交互,并将它们传达给服务器应用,其中服务器应用可以使用用户交互数据作为在服务器上运行的应用的输入。在该布置中,企业可以选择在服务器侧维持应用以及与应用相关联的数据、文件等。虽然企业可以根据此处通过确保一些应用在客户机装置上的部署(例如,通过客户机应用)的安全的原则来选择“移动化”它们,但也可以为特定应用选择该布置。例如,尽管可以确保一些应用在客户机装置上使用的安全性,但是其他应用可能没有准备好或不适合在客户机装置上部署,因此企业可以选择通过虚拟化技术为移动用户提供对未准备好的应用的访问。作为另一个示例,企业可能具有带有大型和复杂数据集的大型复杂应用(例如,物质资源计划应用),在这种情况下很难或不希望为客户机装置定制应用,因此企业可以选择通过虚拟化技术提供对应用的访问。作为又一个示例,企业可以具有维持高度安全数据(例如,人力资源数据、客户数据、工程数据)的应用,该应用可能被企业认为甚至对于安全的移动环境也太敏感,因此企业可以选择使用虚拟化技术允许移动访问这些应用和数据。企业可以选择在客户机装置上提供完全安全和功能完整的应用。企业可以使用客户机应用(可以包括虚拟化应用)来允许访问被认为更适合在服务器侧操作的应用。在一个实施例中,虚拟化的应用可以在安全存储位置中的一个中在移动电话上存储一些数据、文件等。例如,企业可以选择允许特定信息存储在电话中,而不允许其他信息。
结合本文中所描述的虚拟化应用,客户机装置可以具有被设计为呈现GUI并且然后记录用户与GUI的交互的虚拟化应用。该虚拟化应用可以将用户交互传送到服务器侧,以被服务器侧的应用作为用户与该应用的交互使用。作为响应,服务器侧的应用可以将新的GUI发送回客户机装置。例如,新的GUI可以是静态页面、动态页面、动画等,从而提供对远程资源的访问。
安全应用可以访问存储在客户机装置的受管理分区210中的安全数据容器228中的数据。安全包装应用214、由安全应用启动器执行的应用222,由安全应用启动器218执行的虚拟化应用226等可以访问在安全数据容器中保护的数据。存储在安全数据容器228中的数据可以包括文件、数据库等。存储在安全数据容器228中的数据可以包括限于特定的安全应用230,在安全应用232之间共享的数据等。限于安全应用的数据可以包括安全通用数据234和高度安全数据238。安全通用数据可以使用诸如高级加密标准(AES)128位加密之类的强加密形式,而高度安全数据238可以使用诸如AES 256位加密之类的非常强加密形式。当从装置管理器224接收到命令时,可以从装置中删除存储在安全数据容器228中的数据。安全应用可以具有双模式选项240。双模式选项240可以向用户呈现在非安全或非管理模式下操作安全应用的选项。在非安全或非管理模式下,安全应用可以访问存储在客户机装置202的非管理分区212上的非安全数据容器242中的数据。存储在非安全数据容器中的数据可以是个人数据244。存储在非安全数据容器242中的数据还可以由在客户机装置202的未管理分区212上运行的非安全应用248访问。当存储在安全数据容器228中的数据被从客户机装置202删除时,存储在非安全数据容器242中的数据可以保持在客户机装置202中。企业可能希望从客户机装置中删除由企业拥有、许可或控制的所选择的或所有的数据、文件和/或应用(企业数据),同时留下或以其它方式保留由用户拥有、许可或控制的个人数据、文件和/或应用(个人数据)。该操作可以称为选择性擦除。利用根据本文所述方面布置的企业和个人数据,企业可以执行选择性擦除。
客户机装置202可以连接到企业处的企业资源204和企业服务208,连接到公共互联网248等。该客户机装置可以通过虚拟专用网络连接来连接到企业资源204和企业服务208。虚拟专用网络连接(也称为微VPN或应用特定的VPN)可以特定于特定应用(例如,如微VPN 250所示)、特定装置、客户机装置上的特定安全区域(例如,如O/S VPN 252所示)等。例如,电话的安全区域中的每个包装应用都可以通过应用特定的VPN访问企业资源,从而可以基于与该应用相关联的属性(可能结合用户或装置属性信息)来授予对VPN的访问权限。虚拟专用网络连接可以承载Microsoft Exchange流量、Microsoft Active Directory流量、超文本传输协议(HTTP)流量、安全超文本传输协议(HTTPS)流量、应用管理流量等。虚拟专用网络连接可以支持并启用单点登录认证过程254。单点登录过程可以允许用户提供一组认证凭证,然后由认证服务258对其进行验证。然后,认证服务258可以向用户授予对多个企业资源204的访问权限,而无需用户向每个单独的企业资源204提供认证凭证。
虚拟专用网络连接可以由访问网关260建立和管理。访问网关260可以包括管理、加速和改善企业资源204到客户机装置202的输送的性能增强特征。访问网关还可以将流量从客户机装置202重新路由到公共互联网248,从而使客户机装置202能够访问在公共互联网248上运行的公共可用和非安全的应用。该客户机装置可以经由传输网络262连接到访问网关。传输网络262可以使用一种或多种传输协议,并且可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、专用网络等。
企业资源204可以包括电子邮件服务器、文件共享服务器、SaaS/Web应用、Web应用服务器、Windows应用服务器等。电子邮件服务器可以包括Exchange服务器、Lotus Notes服务器等。文件共享服务器可以包括ShareFile服务器等。SaaS应用可以包括Salesforce等。Windows应用服务器可以包括为提供旨在在本地Windows操作系统上运行的应用等而构建的任何应用服务器。企业资源204可以是基于本地的资源、基于云的资源等。企业资源204可由客户机装置202直接访问或通过访问网关260访问。客户机装置202可以经由传输网络262访问企业资源204。传输网络262可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、专用网络等。
云服务可以包括访问网关260和/或企业服务208。企业服务208可以包括认证服务258、威胁检测服务264、装置管理器服务224、文件共享服务268、策略管理器服务270、社交整合服务272、应用控制器服务274等。认证服务258可以包括用户认证服务、装置认证服务、应用认证服务、数据认证服务等。认证服务258可以使用凭证。凭证可以通过企业资源204等存储在客户机装置202上。存储在客户机装置202上的凭证可以被存储在客户机装置上的加密位置,凭证可以被临时存储在客户机装置202上以在认证等时使用。威胁检测服务264可以包括入侵检测服务、未授权访问尝试检测服务等。未授权访问尝试检测服务可以包括访问装置、应用、数据等的未授权的尝试。装置管理服务224可以包括配置、供应、安全、支持、监测、报告和报废服务。文件共享服务268可以包括文件管理服务、文件存储服务、文件协作服务等。策略管理器服务270可以包括装置策略管理器服务、应用策略管理器服务、数据策略管理器服务等。社交整合服务272可以包括联系人整合服务、协作服务、与诸如Facebook、Twitter和LinkedIn等的社交网络的整合。应用控制器服务274可以包括管理服务、供应服务、部署服务、分配服务、撤销服务、包装服务等。
企业移动性技术架构200可以包括应用商店278。应用商店278可以包括未包装应用280、预包装应用282等。可以从应用控制器274将应用填充在应用商店278中。客户机装置202可以通过访问网关260、通过公共互联网248等来访问应用商店278。可以提供具有直观且易于使用的用户界面的应用商店。
软件开发工具包284可以通过在应用周围提供安全包装为用户提供保护用户选择的应用的能力。然后,可以通过使用应用控制器274将已使用软件开发工具包284包装的应用填充到应用商店278中,使其对客户机装置202可用。
企业移动性技术架构200可以包括管理和分析能力。管理和分析能力可以提供与如何使用资源、使用资源的频率等有关的信息。资源可以包括装置、应用、数据等。如何使用资源可以包括哪些装置下载哪些应用、哪些应用访问哪些数据等。使用资源的频率可以包括应用的下载频率、应用访问特定数据集的次数等。
图3描绘了企业移动性管理系统300的说明性实施例。为了简单起见,已省略了以上参考图2已描述的移动性管理系统200的一些组件。图3中描绘的系统300的架构在许多方面与上面参考图2描述的系统200的架构相似,并且可以包括上面未提及的附加特征。
在这种情况下,左侧代表具有客户机代理304的注册客户机装置302,其与网关服务器306交互以访问各种企业资源308和服务309,例如Web或SaaS应用、Exchange、Sharepoint、公钥基础设施(PKI)资源、Kerberos资源、凭证发行服务,如右上方所示。网关服务器306可以包括云服务的特征和功能的实施例,例如访问网关260和应用控制器功能。尽管未具体示出,客户机代理304可以是客户机应用的一部分和/或与客户机应用交互,该客户机应用可以作为企业应用商店(店面)操作以选择和/或下载网络应用。
客户机代理304可以充当托管在企业数据中心中的Windows app/桌面的UI(用户界面)中间装置,其使用高清晰度用户体验(HDX)或独立计算架构(ICA)显示远程协议来访问。客户机代理304还可支持客户机装置302上的本机应用(例如本机iOS或Android应用)的安装和管理。例如,上图中所示的受管理应用310(邮件、浏览器、包装的应用)是在装置上本地执行的本机应用。该架构的客户机代理304和应用管理框架用于向企业资源/服务308提供策略驱动的管理能力和特征,诸如连接性和SSO(单点登录)。客户机代理304利用至其它网关服务器组件的SSO来处理向企业(例如向访问网关(AG))的主要用户认证。客户机代理304从网关服务器306获得策略以控制客户机装置302上的受管理应用310的行为。
本机应用310与客户机代理304之间的安全进程间通信(IPC)链路312代表管理通道,该管理通道允许客户机代理提供由应用管理框架314“包装”每个应用实施的策略。IPC通道312还允许客户机代理304提供使到企业资源308的连接性和SSO成为可能的凭证和认证信息。最终,IPC通道312允许应用管理框架314调用由客户机代理304实现的用户界面功能,例如在线和离线认证。
客户机代理304与网关服务器306之间的通信本质上是来自应用管理框架314的管理通道的扩展,该应用管理框架314包装了每个本机受管理的应用310。应用管理框架314从客户机代理304请求策略信息,客户机代理304又从网关服务器306请求策略信息。应用管理框架314请求认证,以及客户机代理304登录到网关服务器306(也被称为NetScaler访问网关)的网关服务部分。客户机代理304还可在网关服务器306上调用支持服务,其可产生输入材料以导出用于本地数据仓库316的加密密钥,或提供客户机凭证,该客户机凭证可使得能够对PKI保护的资源进行直接认证,如下文更充分地解释的。
更详细地,应用管理框架314“包装”每个受管理的应用310。这可以经由显式的构建步骤,或经由后构建处理步骤来合并。在首次启动应用310时,应用管理框架314可以与客户机代理304“配对”,以初始化安全IPC通道并获取该应用的策略。应用管理框架314可以实施在本地应用的策略的相关部分,例如客户机代理登录依赖性和一些包含策略,其限制了本地OS服务可以如何被使用,或者它们如何与应用310交互。
应用管理框架314可以使用客户机代理304通过安全IPC通道312提供的服务来促进认证和内部网络访问。专用和共享数据仓库316(容器)的密钥管理也可以通过受管理的应用310和客户机代理304之间的适当交互来管理。仓库316仅在在线认证之后才可用,或者,如果策略允许,可在离线认证后使其可用。仓库316的首次使用可能需要在线认证,并且在需要再次在线认证之前,离线访问最多可以限制为策略刷新期。
可直接从单个受管理的应用310通过访问网关306网络访问内部资源。应用管理框架314负责代表每个应用310协调网络访问。客户机代理304可以通过提供在在线认证之后获得的合适的时间有限的辅助凭证来促进这些网络连接。可以使用多种模式的网络连接,例如反向web代理连接和端到端VPN样式的隧道318。
邮件和浏览器管理的应用310可以具有特殊状态,并且可以利用对于任意包装的应用通常可能不可用的设施。例如,邮件应用可以使用特殊的后台网络访问机制,该机制允许它在延长的时间内访问Exchange,而无需完整的AG登录。浏览器应用可以使用多个专用数据仓库来隔离不同种类的数据。
该架构可以支持各种其他安全特征的合并。例如,在某些情况下,网关服务器306(包括其网关服务)可能不需要验证活动目录(AD)密码。企业可以自行决定是否将AD密码用作某些用户在某些情况下的认证因素。如果用户在线或离线(即,已连接或未连接到网络),则可以使用不同的认证方法。
逐步认证是一种特征,其中网关服务器306可以识别使用强认证来被允许访问更多敏感数据的受管理的本机应用310,并确保仅在执行适当的认证之后才允许访问这些应用,即使这意味着在先前较弱级别的登录之后,要求用户重新认证。
该解决方案的另一安全特征是对客户机装置302上的数据仓库316(容器)的加密。仓库316可以被加密,使得包括剪贴板/缓存数据、文件、数据库和配置在内的所有装置上的数据都受到保护。对于在线仓库,密钥可以存储在服务器(网关服务器306)上,对于离线仓库,密钥的本地副本可以通过用户密码或生物特征验证来保护。当数据被本地存储在装置302上的安全容器316中时,优选地,利用最低限度的AES 256加密算法。
还可以实现其他安全容器特征。例如,可以包括日志记录特征,其中记录在应用310内部发生的所有安全事件的日志并将其报告给后端。可以支持数据擦除,例如如果应用310检测到篡改,则可以用随机数据覆盖相关联的加密密钥,而不留下在文件系统上用户数据被破坏的提示。屏幕截图保护是另一个特征,应用可能会阻止任何数据存储在屏幕截图中。例如,可以将关键窗口的隐藏属性设置为YES。这可能会使得屏幕上当前显示的任何内容都被隐藏,从而产生空白屏幕截图,通常任何内容都将驻留在该屏幕截图上。
诸如通过防止任何数据在应用容器之外本地传输(例如通过将数据复制或发送至外部应用),可以防止本地数据传输。键盘高速缓存特征可操作来禁用敏感文本字段的自动更正功能。SSL凭证验证可能是可操作的,因此应用专门验证服务器SSL凭证,而不是将其存储在密钥链中。可以使用加密密钥生成特征,以便使用用户提供的密码或生物特征数据生成用于在装置上加密数据的密钥(如果需要离线访问)。如果不需要离线访问,可以将它与另一个随机生成的密钥进行异或并存储在服务器侧。密钥导出功能可以操作,使得从用户密码生成的密钥使用KDF(密钥导出功能,尤其是基于密码的密钥导出功能2(PBKDF2)),而不是为其创建密码散列。后者使密钥容易受到暴力破解或字典攻击。
此外,可以在加密方法中使用一个或多个初始化向量。初始化向量可以使得同一加密数据的多个副本产生不同的密文输出,从而防止重放和密码分析攻击。这也可以防止攻击者即使使用被盗的加密密钥也无法解密任何数据。此外,可以使用认证然后解密,其中仅在用户已经在应用内进行认证之后才对应用数据进行解密。另一个特征可以涉及在存储器中的敏感数据,仅当需要它时,它可以被保持在存储器中(而不是在磁盘上)。例如,登录凭证可能会在登录后从存储器中擦除,并且Objective-C实例变量中的加密密钥和其他数据不会被存储,因为它们很容易被引用。而是可以为这些手动分配存储器。
可以经由CEB实现非活动超时,其中,在策略定义的非活动时间段之后,终止用户会话。
可以以其他方式防止来自应用管理框架314的数据泄漏。例如,当将应用310置于后台时,可以在预定的(可配置的)时间段之后清除存储器。当置于后台时,可以对应用的最后显示的屏幕获取截图以加快前台操作进程。屏幕截图可能包含机密数据,因此应被清除。
另一安全特征涉及不使用用于访问一个或多个应用的AD(活动目录)322密码而使用OTP(一次性密码)320。在某些情况下,某些用户不知道(或不被允许知道)其AD密码,因此这些用户可以使用OTP 320进行认证,例如通过使用像SecurID这样的硬件OTP系统(OTP也可以由不同的供应商提供,例如Entrust或Gemalto)。在某些情况下,在用户使用用户ID进行认证之后,带有OTP 320的文本将被发送给用户。在某些情况下,只能将其实现为在线使用,提示是单个字段。
对于那些经由企业策略允许离线使用的应用310,可以实现离线密码以用于离线认证。例如,企业可能希望店面以这种方式被访问。在这种情况下,客户机代理304可以要求用户设置定制的离线密码并且不使用AD密码。网关服务器306可以提供策略来控制和执行有关密码的最小长度、字符类型组成和密码年龄的密码标准,例如标准Windows Server密码复杂性要求所描述的,尽管可以修改这些要求。
另一个特征涉及针对特定应用310的客户机侧凭证作为辅助凭证的启用(目的是经由应用管理框架微VPN特征访问PKI保护的web资源)。例如,应用可以利用这样的凭证。在这种情况下,可以支持使用ActiveSync协议的基于凭证的认证,其中来自客户机代理304的凭证可以由网关服务器306检索并在密钥链中使用。每个受管理应用可以具有一个关联的客户机凭证,该凭证由网关服务器306中定义的标签标识。
网关服务器306可以与企业专用web服务进行交互以支持客户机凭证的发行,以允许相关的受管理应用向内部PKI保护的资源进行认证。
客户机代理304和应用管理框架314可以被增强以支持获得和使用客户机凭证以向内部PKI保护的网络资源进行认证。可以支持多于一个凭证,例如以匹配各种级别的安全性和/或分离要求。凭证可由邮件和浏览器管理的应用使用,并最终由任意包装的应用使用(前提是那些应用使用web服务样式的通信模式,其中应用管理框架可以合理地居中调解https请求)。
iOS上的应用管理客户机凭证支持可能依赖于在每个使用时间段的每个受管理应用中的iOS密钥链中导入公钥加密标准(PKCS)12BLOB(二进制大对象)。应用管理框架客户机凭证支持可以使用具有私有内存密钥存储的HTTPS实施方式。客户机凭证可能永远不会存在于iOS密钥链中,也可能不会持久保留,除非可能存在于受到严格保护的“仅在线”数据值中。
也可以通过要求将客户机装置302向企业认证以提供附加的安全性实现相互SSL或TLS,反之亦然。也可以实现用于向网关服务器306进行认证的虚拟智能卡。
有限和完全的Kerberos支持都可以是附加特征。完全支持特征涉及使用AD密码或受信任的客户机凭证对活动目录(AD)322进行完全Kerberos登录,并获得Kerberos服务票证以响应HTTP协商认证挑战的能力。有限的支持特征涉及Citrix访问网关企业版(AGEE)中的约束委派,其中AGEE支持调用Kerberos协议转换,以便它可以响应于HTTP协商认证挑战,而获得和使用Kerberos服务票证(经受约束委派)。该机制在反向web代理(也称为公司虚拟专用网络(CVPN))模式中,以及在VPN和微VPN模式中http(但不是https)连接被代理时起作用。
另一特征涉及应用容器锁定和擦除,其可以在检测到越狱或获取超级权限时自动进行,并且作为来自管理控制台的推送命令而进行,并且即使在应用310未运行时也可以包括远程擦除功能。
可以支持企业应用商店的多站点架构或配置以及应用控制器,其允许用户在发生故障的情况下从多个不同位置之一进行服务。
在某些情况下,可以允许受管理应用310经由API(示例OpenSSL)访问凭证和私钥。可以允许企业的受信任的受管理应用310使用应用的客户机凭证和私钥来执行特定的公钥操作。例如,当应用的行为类似于浏览器并且不使用凭证访问时,当应用读取“我是谁”的凭证时,当应用使用凭证来建立安全会话令牌时,以及当应用使用私钥以进行重要数据(例如,事务日志)的数字签名或临时数据加密时,可以相应地识别和处理各种用例。
现在参考图4,描绘了嵌入式浏览器的系统400的框图。在简要概述中,该系统400可以包括具有用于用户的数字工作空间的客户机装置402、客户机应用404、在至少一个网络装置上432上操作的云服务408、以及从一个或多个服务器430服务的和/或托管在一个或多个服务器430上的网络应用406。客户机应用404可以例如包括以下中至少之一:嵌入式浏览器410、网络代理412、云服务代理414、远程会话代理416或安全容器418。云服务408可以例如包括在以下中至少之一:安全浏览器420、访问网关422(或CIS,例如,用于登记和/或认证客户机应用和/或用户)、或分析服务424(或CAS,例如,用于从客户机应用接收信息以进行分析)。网络应用406可以包括批准的应用426和未批准的应用428。
在一个或多个实施例中,上述元件或实体中的每一个以硬件、或硬件和软件的组合实现。系统400的每个组件可以使用以上结合图1详细描述的硬件或硬件或软件的组合来实现。例如,这些元件或实体的每一个可以包括任何应用、程序、库、脚本、任务、服务、进程或在客户机装置402、至少一个网络装置432和/或在一个或多个服务器430的硬件上执行的任何类型和形式的可执行指令。在一个或多个实施例中,硬件包括诸如一个或多个处理器的电路。例如,至少一个网络装置432和/或一个或多个服务器430可以包括以上结合至少例如图1描述的计算装置的任何元件。
客户机装置402可以包括以上结合至少例如图1描述的计算装置的任何实施例。客户机装置402可以包括任何用户装置,诸如台式计算机、膝上型计算机、平板装置、智能电话、或任何其他移动或个人装置。客户机装置402可以包括用户的数字工作空间,该用户的数字工作空间可以包括文件系统、高速缓存或存储器(例如,包括电子剪贴板)、容器、应用和/或客户机装置402上的其他资源。数字工作空间可以包括或扩展到客户机装置402可访问的一个或多个网络,诸如内联网和互联网,包括可经由一个或多个网络访问的文件系统和/或其他资源。例如,可以通过使用具有嵌入式浏览器410(CEB)的客户机应用404来保护数字工作空间的一部分。数字工作空间的安全部分可以包括例如文件系统、高速缓存或内存(例如,包括电子剪贴板)、应用、容器和/或分配给CEB、和/或由CEB分配给经由CEB访问的网络应用406的其他资源。数字工作空间的安全部分还可以包括由CEB(经由一个或多个策略)指定的用于包括在数字工作空间的安全部分的资源(例如,特定的本地应用可以经由策略被指定允许接收从网络应用获得的数据)。
客户机应用404可以包括一个或多个组件,诸如嵌入式浏览器410、网络代理412、云服务代理414(有时称为管理代理)、远程会话代理416(有时称为HDX引擎)和/或安全容器418(有时称为安全高速缓存容器)。例如,一个或多个组件可以作为客户机应用404或CEB的软件构建或发布的一部分进行安装,也可以单独获取或下载并安装/集成到客户机应用404或CEB的现有安装中。例如,客户机装置可以从网络装置432下载或以其他方式接收客户机应用404(或任何组件)。在一些实施例中,客户机装置可以将对客户机应用404的请求发送到网络装置432。例如,客户机装置的用户可以发起客户机应用的请求、下载和/或安装。网络装置432继而可发送客户机应用到客户机装置。在一些实施例中,网络装置432可以将用于客户机应用的设置或安装应用发送到客户机装置。在接收到时,客户机装置可以安装该客户机应用到客户机装置的硬盘上。在一些实施例中,客户机装置可以运行设置应用以打开或解压缩客户机应用的包。在一些实施例中,客户机应用可以是对安装在客户机装置上的另一个应用(例如,网络代理412)的扩展(例如,附加组件(add-on)、内插式附件(add-in)、小应用或插件(plug-in))。客户机装置可以安装客户机应用以与预安装的应用接口或互操作。在一些实施例中,客户机应用可以是独立应用。客户机装置可以安装客户机应用以作为单独的进程执行。
嵌入式浏览器410可以包括web浏览器应用或引擎的元件和功能。嵌入式浏览器410可以本地呈现网络应用作为客户机应用的组件或扩展。例如,嵌入式浏览器410可以在CEB内呈现SaaS/Web应用,这可以向CEB提供应用会话的完全的可见性和控制。嵌入式浏览器可以经由任何方式嵌入或合并到客户机应用中,例如直接集成(例如,编程语言或脚本插入)到客户机应用的可执行代码中,或经由插件安装。例如,嵌入式浏览器可以包括基于Chromium的浏览器引擎或其他类型的浏览器引擎,例如,可以使用Chromium嵌入式框架(CEF)将其嵌入到客户机应用中。嵌入式浏览器可以包括基于HTML5的布局图形用户界面(GUI)。嵌入式浏览器可以为合并了各种编程语言的客户机应用提供HTML呈现和JavaScript支持。例如,嵌入式浏览器的元件可以绑定到合并了C、C++、Delphi、Go、Java、.NET/Mono、Visual Basic 6.0和/或Python的客户机应用。
在一些实施例中,嵌入式浏览器包括安装在客户机应用上的插件。例如,插件可以包括一个或多个组件。一个这样的组件可以是ActiveX控件或Java控件,或者是能够加载到客户机应用中并在其中执行的任何其他类型和/或形式的可执行指令。例如,客户机应用可以加载和运行嵌入式浏览器的Active X控件,例如在客户机应用的存储空间或上下文中。在一些实施例中,嵌入式浏览器可以作为扩展安装在客户机应用上,并且用户可以选择启用或禁用插件或扩展。嵌入式浏览器(例如,经由插件或扩展)可以形成或操作为安全浏览器,用于保护、使用和/或访问数字工作空间的安全部分内的资源。
嵌入式浏览器可以合并超出标准或典型浏览器中的可用或可能的代码和功能。例如,嵌入式浏览器可以与安全容器418绑定或被分配给安全容器418,以定义用户数字工作空间的安全部分的至少一部分。嵌入式浏览器可以与客户机装置的高速缓存的一部分绑定或被分配给客户机装置的高速缓存的一部分,以形成安全剪贴板(例如,客户机装置本地或可扩展到其他装置),该剪贴板可以是安全容器418的至少一部分。嵌入式浏览器可以与客户机应用集成,以确保与网络应用相关的流量通过客户机应用路由和/或在客户机应用中进行处理,这可以为客户机应用提供流量的实时可见性(例如,当通过客户机应用解密时)。对流量的这种可见性可以允许客户机应用执行或促进基于策略的管理(例如,包括数据丢失防护(DLP)能力)、应用控制、以及分析的收集和产生。
在一些实施例中,嵌入式浏览器合并了客户机应用404的一个或多个其他组件,诸如云服务代理414、远程会话代理416和/或安全容器418。例如,用户可以使用嵌入式浏览器的云服务代理414与访问网关422(有时称为CIS)互操作以访问网络应用。例如,云服务代理414可以在嵌入式浏览器内执行,并且可以从嵌入式浏览器接收导航命令并将其发送到托管网络应用。云服务代理可以使用远程呈现协议将由网络应用生成的输出显示到嵌入式浏览器。例如,云服务代理414可以包括HTML5 Web客户机,其允许最终用户访问嵌入式浏览器上的远程桌面和/或应用。
客户机应用404和CEB在客户机装置的操作(OSI)栈的应用层上操作。客户机应用404可以包括和/或执行与云服务408互操作的一个或多个代理。客户机应用404可以接收、获得、检索或以其他方式访问各种策略(例如,企业的定制、指定或内部策略或规则)和/或数据(例如,来自云服务408的访问网关422和/或网络装置、或可以由企业管理的其他服务器)。客户机应用可以访问策略和/或数据以控制和/或管理网络应用(例如,SaaS、web或远程托管的应用)。网络应用的控制和/或管理可以包括网络应用的各个方面的控制和/或管理,例如访问控制、会话输送、可用特征或功能、服务级别、流量管理和监测等等。网络应用可以来自企业的提供者或供应商(例如,salesforce.com、SAP、Microsoft Office 365),来自企业本身或来自另一个实体(例如,Dropbox或Gmail服务)。
例如,云服务代理414可以提供与网络应用的使用和/或访问有关的策略驱动的管理能力和特征。例如,云服务代理414可以包括策略引擎,以应用(例如,从云服务接收到的)一个或多个策略来确定对诸如网络应用的资源的访问控制和/或连接性。例如,当在客户机应用和提供SaaS应用的服务器430之间建立会话时,云服务代理414可以应用一个或多个策略来控制会话的流量级别和/或流量类型(或其他方面),例如来管理SaaS应用的服务级别。可以控制或管理的应用流量的其他方面可以包括:应用于流量的加密级别和/或加密类型、对于用户所允许的交互级别、对网络应用的某些功能(例如打印屏幕、保存、编辑或复制功能)的受限访问、对使用或传输从网络应用获得的数据的限制、限制对两个或更多个网络应用的并发访问、限制对某些文件存储库或其他资源的访问等等。
云服务代理414可传达或馈送信息至云服务408的分析服务424,例如对CEB可见的有关SaaS交互事件的信息。使用CEB的这种配置可以监测或捕获信息以进行分析,而无需在客户机装置和服务器430之间放置内联装置或代理,也无需使用SaaS API网关“带外”方法。在一些实施例中,云服务代理414不在嵌入式浏览器内执行。在这些实施例中,用户可以类似地使用云服务代理414来与访问网关(或CIS)422互操作以访问网络应用。例如,云服务代理414可以向访问网关(或CIS)422注册和/或认证,并且可以从访问网关(或CIS)422获得网络应用的列表。云服务代理414可以包括和/或作为应用商店(或店面)进行操作,以供用户选择和/或下载网络应用。当登录以访问网络应用时,云服务代理414可以从嵌入式浏览器拦截和传送导航命令到网络应用。云服务代理可以使用远程呈现协议将由网络应用生成的输出显示到嵌入式浏览器。例如,云服务代理414可以包括HTML5 web客户机,其允许最终用户访问嵌入式浏览器上的远程桌面和/或应用。
在一些实施例中,云服务代理414为用户和/或客户机装置提供单点登录(SSO)能力以访问多个网络应用。云服务代理414可以例如通过与访问网关422通信,来执行用户认证以访问网络应用以及其他网络资源和服务。例如,云服务代理414可以认证或向访问网关422注册,以访问云服务408和/或网络应用406的其他组件。响应于认证或注册,访问网关422可以为(或代表)用户和/或客户机应用向网络应用执行认证和/或SSO。
客户机应用404可以包括网络代理412。网络代理412有时被称为软件定义的广域网(SD-WAN)代理、mVPN代理或微VPN代理。该网络代理412可以建立或促进建立客户机应用和一个或多个资源(例如,服务于网络应用的服务器430)之间的网络连接。网络代理412可以为来自客户机应用的请求的连接执行握手,以访问网络应用,并且可以建立请求的连接(例如,安全或加密的连接)。网络代理412可以例如经由虚拟专用网络(VPN)连接到企业资源(包括服务)。例如,网络代理412可以建立客户机应用和提供网络应用406的服务器430之间的安全套接字层(SSL)VPN。VPN连接,有时也被称为微VPN或应用专用VPN,可能特定于特定的网络应用、特定的装置、客户机装置上的特定的安全区域等,例如上面结合图3所讨论的。作为某些示例,这样的VPN连接可以承载Microsoft Exchange流量、Microsoft ActiveDirectory流量、超文本传输协议(HTTP)流量、安全超文本传输协议(HTTPS)流量。
远程会话代理416(有时被称为HDX引擎)可包括上文结合图2所讨论的客户机代理304的特征,例如,以支持显示远程协议(例如,HDX或ICA)。在一些实施例中,远程会话代理416可以根据诸如远程桌面协议(RDP)、设备链接协议(ALP)、远程帧缓冲器(RFB)协议和ICA协议的任何各种协议建立远程桌面会话和/或远程应用会话。例如,远程会话代理416可以为客户机装置的用户建立远程应用会话以访问企业网络应用。远程会话代理416可以例如在由网络代理412建立的安全连接(例如,VPN)之内或之上建立远程应用会话。
客户机应用或CEB可以包括安全容器418或与安全容器418相关联。安全容器可以包括在客户机装置内的可访问和/或由客户机装置可访问的一种或多种类型的资源的逻辑或虚拟描述。例如,安全容器418可以指数字工作空间的整个安全部分,或安全部分的特定方面。在一些实施例中,安全容器418对应于安全高速缓存(例如,电子或虚拟剪贴板),并且可以动态地合并用户的每个客户机装置的本地高速缓存的一部分,和/或受保护或安全(例如,加密)的用户的基于云的高速缓存。安全容器可以定义文件系统的一部分,和/或描绘分配给CEB和/或经由CEB访问的网络应用的资源。安全容器可以包括例如以上结合图2讨论的安全数据容器228的元件。CEB可以被配置为(例如,经由策略)限制、禁止或禁用识别为在安全容器内的资源和/或数据上的某些动作或活动。安全容器可以被定义以指定安全容器内的资源和/或数据对于误用、滥用和/或泄漏进行监测。
在某些实施例中,安全容器与实现各种企业安全特征的安全浏览器(例如,嵌入式浏览器410或安全浏览器420)的使用有关或涉及其使用。被配置为在安全浏览器内运行的网络应用(或由安全浏览器访问的网页)可以有效地继承由安全浏览器实现的安全机制。这些网络应用可以被视为包含在安全容器内。使用这种安全浏览器可以使企业实施内容过滤策略,例如,其中员工被阻止从其客户机装置访问特定网站。例如,可以使用安全浏览器来使客户机装置用户无需VPN即可访问公司内部网络。
在一些实施例中,安全容器可以支持用于保护企业资源的各种类型的补救措施。一种这样的补救措施是锁住客户机装置、或客户机装置上存储要保护的数据的安全容器,以使得客户机装置或安全容器只能用例如管理员提供的有效密码来解锁。在一些实施例中,这些和其他类型的补救措施可以基于在客户机装置上检测到的条件而自动调用(例如,经由策略的应用),或者可以由管理员远程启动。
在一些实施例中,安全容器可以包括用于文档的安全文档容器。文档可以包括任何计算机可读文件,其包括文本、音频、视频和/或其他类型的信息或媒体。文档可以包括这些媒体类型中的任何单独一个或组合。如本文所解释的,安全容器可以帮助防止企业信息向客户机装置的不同应用和组件以及向其他装置传播。企业系统(可以部分或全部在云网络内)可以将文档传输到各种装置,这些装置可以被存储在安全容器中。安全容器可以防止客户机装置的未授权的应用和其他组件访问安全容器内的信息。对于允许用户使用自己的客户机装置访问、存储和使用企业数据的企业,在客户机装置上提供安全容器有助于保护企业数据。例如,在客户机装置上提供安全容器可以在每个客户机装置上的一个位置集中企业数据,并且可以促进在需要时,从每个客户机装置对企业数据的选择性的或完全的删除。
安全容器可以包括实现存储文档和/或其他类型的文件的文件系统的应用。文件系统可以包括客户机装置的计算机可读存储器的一部分。文件系统可以在逻辑上与客户机装置的计算机可读存储器的其他部分分离。以这种方式,例如,企业数据可以被存储在安全容器中,并且私有数据可以被存储在客户机装置的计算机可读存储器的单独部分中。该安全容器可以允许CEB、经由CEB访问的网络应用、本地安装的应用和/或客户机装置的其他组件从文件系统中读取、写入和/或删除信息(如果被授权这样做)。从安全容器删除数据可以包括:删除存储在安全容器中的实际数据,删除指向存储在安全容器中的数据的指针,删除用于解密存储在安全容器中的数据的加密密钥,等等。该安全容器可以由例如客户机应用、管理员或客户机装置制造商安装。安全容器可以使得删除存储在文件系统中的部分或全部企业数据,而无需修改存储在安全容器外部的客户机装置上的私有数据。文件系统可以促进从文件系统中选择性或完全地删除数据。例如,企业系统的授权组件可以基于例如编码规则从文件系统中删除数据。在一些实施例中,客户机应用可以响应于从企业系统接收删除命令,从文件系统中删除数据。
安全容器可以包括访问管理器,该访问管理器管理客户机装置的应用和其他组件对文件系统的访问。可以基于在文档和/或在文件系统中由客户机应用维持的文档访问策略(例如,编码规则),管理对文件系统的访问。文档访问策略可以基于以下限制对文件系统的访问:(1)客户机装置的哪个应用或其他组件正在请求访问,(2)正在请求哪些文档,(3)时间或日期,(4)客户机装置的地理位置,(5)请求的应用或其他组件是否提供了正确的证书或凭证,(6)客户机装置的用户是否提供正确的凭证,(7)其他条件,或它们的任何组合。用户的凭证可以包括例如密码、安全性问题(例如,您的高中的吉祥物是什么?)的一个或多个答案、生物特征信息(例如,指纹扫描、眼球扫描)等。因此,通过使用访问管理器,可以将安全容器配置为仅由被授权访问安全容器的应用访问。作为一个示例,访问管理器可以使安装在客户机装置上的企业应用能够访问存储在安全容器中的数据,并防止非企业应用访问存储在安全容器中的数据。
对文档访问的时间和地理限制可能是有用的。例如,管理员可以部署文档访问策略,该文档访问策略将文档(存储在安全容器中)的可用性限制到指定的时间窗口和/或客户机装置在其中必须驻留才能访问文档的地理区域(例如,由GPS芯片确定)。此外,文档访问策略可以指示安全容器或客户机应用从安全容器中删除文档,或者在指定的时间段到期时或在客户机装置被带到定义的地理区域之外的情况下,使文档不可用。
一些文档可以具有禁止该文档在安全容器内被保存的访问策略。在这样的实施例中,仅当用户例如经由云服务登录或认证时,文档才可用于在客户机装置上查看。
访问管理器还可以被配置为在远程装置(例如,企业资源或其他企业服务器)和安全容器之间实施某些连接模式。例如,访问管理器可以要求由安全容器从远程装置接收的文档和/或从安全容器发送到远程装置的文档例如通过安全隧道/连接进行传输。访问管理器可以要求对发送到安全容器和从安全容器发送的所有文档进行加密。该客户机应用或访问管理器可以被配置为加密从安全容器发送的文档以及解密发送到安全容器的文档。安全容器中的文档也可以加密形式存储。
安全容器可以被配置为防止客户机装置或其他装置的未授权应用或组件使用文档或文档包括的数据或安全容器。例如,可以对有权从安全容器访问文档的客户机装置应用进行编程,以防止用户复制文档数据并将其粘贴到另一个文件或应用界面中,或者在本地在安全容器之外将文档或文档数据保存为新文件。类似地,安全容器可以包括文档查看器和/或编辑器,其不允许这样的复制/粘贴和本地保存操作。此外,可以将访问管理器配置为防止这种复制/粘贴和本地保存操作。此外,安全容器和被编程并授权从安全容器访问文档的应用可以被配置为防止用户将这种文档附加到电子邮件或其他形式的通信中。
一个或多个应用(例如,安装在客户机装置上的应用,和/或经由CEB访问的网络应用)可以被编程或控制(例如,经由基于策略的实施)以将企业相关的数据仅写入安全容器中。例如,可以为应用的源代码提供安全容器的资源名称。类似地,远程应用(例如,在除客户机装置以外的装置上执行)可以被配置为将数据或文档仅发送到安全容器(而不是客户机装置的其他组件或存储器位置)。将数据存储到安全容器可以自动地进行,例如,在应用、客户机应用、和/或安全浏览器的控制下。可以对客户机应用进行编程,以对存储在安全容器中或将要存储在安全容器中的文档进行加密或解密。在某些实施例中,安全容器只能由这种应用(在客户机装置或远程装置上)使用:被编程为识别和使用安全容器的应用,并且该应用具有授权这样做。
网络应用406可以包括批准的网络应用426和未批准的网络应用428。通过非限制性示例的方式,批准的网络应用426可以包括来自Workday、Salesforce、Office 365、SAP等的网络应用,而未批准的网络应用426可以包括来自Dropbox、Gmail等的网络应用。例如,图4示出了经由CEB访问批准的应用426的情况。在操作(1)中,安装在客户机装置402上的客户机应用404的用户实例可以向云服务408的访问网关422注册或认证。例如,用户可以向客户机装置402认证该用户,并登录到客户机装置402。客户机应用可以自动执行或由用户激活。在一些实施例中,用户可以在客户机应用签到(例如,通过向客户机应用认证用户)。响应于登录或签到,客户机应用可以向访问网关422注册或认证用户和/或客户机应用。
在操作(2)中,响应于注册或认证,访问网关422可以识别或检索可用的或预分配给用户的列举的网络应用的列表,并且可以将该列表提供给客户机应用。例如,响应于注册或认证,访问网关可以识别用户和/或检索用户的用户简档。根据身份和/或用户简档,访问网关可以确定列表(例如,检索与用户简档和/或用户身份匹配的网络应用的存储的列表)。该列表可以对应于为用户批准的网络应用的列表。访问网关可以将列表发送到客户机应用或嵌入式浏览器,该列表可以经由客户机应用或嵌入式浏览器呈现给用户(例如,在店面用户界面中)以供选择。
在操作(3)中,用户可以通过从呈现给用户的网络应用列表中进行选择,来启动与批准的网络应用(例如SaaS应用)的连接。例如,用户可以点击经由客户机应用或者嵌入式浏览器显示的批准的网络应用的图标或其他表示。该用户动作可以触发CEB向配置网络应用的服务器发送连接或访问请求。该请求可以包括对服务器(例如,SaaS提供者)的请求,以与访问网关进行通信以认证用户。例如,服务器可以向访问网关发送请求以认证用户。
在操作(4)中,访问网关可以与服务器执行SSO,以认证用户。例如,响应于服务器对用户进行认证的请求,访问网关可以向用于SSO的服务器430提供用户的凭证,以访问所选择的网络应用和/或其他批准的网络应用。在操作(5)中,用户可以基于SSO(例如,使用凭证)登录到所选择的网络应用。客户机应用(例如,网络代理412和/或远程会话代理416)可以与服务器430建立安全连接和会话以访问所选择的网络应用。CEB可以解密经由安全连接接收到的应用流量。CEB可以监测经由CEB和到服务器430的安全连接发送的流量。
在操作(6)中,客户机应用可以将信息提供给云服务408的分析服务424,以进行分析处理。例如,客户机应用404的云服务代理414可以监测或捕获与所选择的网络应用的用户交互事件。云服务代理414可以将用户交互事件传达到分析服务424,以进行处理以产生分析。
图5描绘了用于使用安全浏览器的系统的示例实施例。在简要概述中,该系统包括云服务408、网络应用406和客户机装置402。在一些实施例中,系统的各种元件类似于以上针对图4所描述的元件,但是客户机应用(具有嵌入式浏览器)在客户机装置402中不可用。标准或典型的浏览器在客户机装置上可能是可用的,例如,用户可以从该浏览器发起访问批准的网络应用的请求。可以经由可由管理员设置或自动设置的策略(例如,经由人工智能)将网络应用指定为批准的或未批准的。
例如,在操作(1)中,用户可以使用标准浏览器登录到网络应用。为了访问批准的网络应用,用户可以经由标准浏览器访问预定义URL和/或配置网络应用的服务器的相应网页,以发起访问网络应用的请求。在一些实施例中,请求可以被转发到指定的网关服务或被指定的网关服务拦截(例如,在该请求的数据路径中)。例如,网关服务可以驻留在客户机装置上(例如,作为可执行程序),或者可以驻留在例如云服务408的网络装置432上。在一些实施例中,访问网关可以对应于或包括网关服务。网关服务可以确定所请求的网络应用是否为批准的网络应用。网关服务可以确定CEB是否发起了请求。该网关服务可以检测或以其他方式确定该请求是从在客户机装置中的非CEB的源发起的(例如,通过标准的浏览器发起的)。在一些实施例中,不需要指定的网关服务来检测或确定该请求是否从CEB发起,例如如果所请求的网络应用是批准的,该用户正在通过标准浏览器发起该请求,和/或被访问的是预定义的URL和/或相应网页。
在操作(2)中,服务器可以经由云服务408的访问网关对用户进行认证。服务器可以响应于请求,与访问网关进行通信以对用户进行认证。例如,该请求可以包括服务器与访问网关进行通信以认证用户的指示。在一些实施例中,服务器被预配置为与访问网关通信以认证用户,用于访问批准的网络应用的请求。服务器可以向访问网关发送请求以认证用户。响应于服务器认证用户的请求,访问网关可以将用户的凭证提供给服务器430。
在操作(3)中,网关服务和/或服务器可以定向(或重定向)所有流量到安全浏览器420,其提供安全浏览服务。这可以响应于以下中至少之一:确定所请求的网络应用是批准的网络应用,确定从非CEB的源发起该请求,确定所请求的网络应用是批准的,确定用户正在经由标准浏览器发起请求,和/或确定访问预定义的URL和/或相应的网页。
可以将用户的URL会话重定向到安全浏览器。例如,服务器、网关服务和/或访问网关可以响应于该确定,生成和/或发送URL重定向消息至标准浏览器。标准浏览器的安全浏览器插件可以接收URL重定向消息,并且可以例如向安全浏览器420发送访问未批准的网络应用的请求。安全浏览器420可以将请求定向到未批准的网络应用的服务器。URL重定向消息可以指示标准浏览器(和/或安全浏览器插件)将来自标准浏览器的流量(例如,发往网络应用)定向至托管在网络装置上的安全浏览器420。这可以经由动态路由通过安全浏览器服务提供无客户机访问和控制。在一些实施例中,在与服务器(例如,使用SSO)执行用户的认证之前,所有流量至安全浏览器420的重定向被启动或被配置。
在一些实施例中,网关服务可以定向或请求所请求的网络应用的服务器与安全浏览器420通信。例如,网关服务可以定向服务器和/或安全浏览器在服务器和安全浏览器之间建立安全连接,以建立用于网络应用的应用会话。
在一些实施例中,安全浏览器420包括托管在云服务408的网络装置432上的浏览器。安全浏览器420可以包括以上至少结合例如图4描述的安全浏览器420的一个或多个特征。所托管的浏览器可以包括CEB的嵌入式浏览器,其在网络装置432上托管,而不是在客户机装置上。所托管的浏览器可以包括托管在网络装置432上的CEB的托管虚拟化版本的嵌入式浏览器。与安装在客户机装置上的CEB类似,流量通过网络装置上托管的CEB路由,这允许管理员具有对通过CEB的流量的可见性,并保留对安全策略控制、分析和/或性能管理的控制。
图6示出了用于使用安全浏览器插件的浏览器重定向的示例实现。在简要概述中,该实施方式包括具有在客户机装置上操作的安全浏览器插件516的web浏览器512、以及驻留在网络装置上的托管的web浏览器(或安全浏览器)522。web浏览器512可以对应于标准浏览器,而不是如上面结合例如图4所讨论的嵌入式浏览器。安全浏览器插件516可在第一网络510内执行并访问在第二网络530中的服务器430。第一网络510和第二网络530是出于说明的目的,并且可以用更少或更多的计算机网络代替。安全浏览器插件516可以安装在标准浏览器512上。插件可以包括一个或多个组件。一个这样的组件可以包括ActiveX控件或Java控件或能够加载到标准浏览器中并在其中执行的任何其他类型和/或形式的可执行指令。例如,标准浏览器可以在标准浏览器的存储空间或上下文中,加载并运行安全浏览器插件516的Active X控件。在一些实施例中,安全浏览器插件可以作为扩展安装在标准浏览器上,并且用户可以选择启用或禁用该插件或扩展。安全浏览器插件可以进行与安全浏览器420通信和/或操作,以保护、使用和/或访问数字工作空间的安全部分内的资源。
通过使用在标准浏览器512内操作的安全浏览器插件516,经由标准浏览器512访问的网络应用可以被重定向到托管的安全浏览器。例如,安全浏览器插件516可以被实现和/或设计为检测网络应用正在经由标准浏览器访问,并且可以定向/重定向与网络应用相关联的来自客户机装置的流量至托管的安全浏览器。托管的安全浏览器可以将从网络应用接收的流量定向到安全浏览器插件516和/或客户机代理514,以例如进行呈现和/或显示。客户机代理514可以在web浏览器512和/或安全浏览器插件内执行,并且可以包括以上结合至少例如图4讨论的客户机应用404的特定元件或特征。例如,客户机代理514可以包括用于在web浏览器512处呈现网络应用的远程会话代理416。在一些实施例中,在托管的安全浏览器处呈现网络应用,并且所呈现的数据被传送或镜像到安全浏览器插件516和/或客户机代理514以进行处理和/或显示。
通过示例的方式,用户可能正在远程工作并且可能想要访问网络应用,该网络应用是在安全的企业网络的内部,而用户正在连接到不安全网络的计算装置上工作。在这种情况下,用户可以利用在第一网络510中执行的标准浏览器512,其中第一网络510可以包括不安全的网络。用户想要访问的服务器430可能在第二网络530上,其中第二网络530包含例如安全的企业网络。用户可能无法通过点击安全网站532的内部统一记录定位符(URL)从不安全的第一网络510访问服务器430。即,用户在从外部不安全网络510执行标准浏览器512时,可能需要利用不同的URL(例如,外部URL)。外部URL可以被定向到,或者可以寻址被配置成在第二网络530(例如,安全网络)内访问服务器430的一个或多个托管的web浏览器522。为了保持安全访问,安全浏览器插件516可以将内部URL重定向到托管的安全浏览器的外部URL。
安全浏览器插件516能够实现网络检测,以便识别是否将内部URL重定向到外部URL。标准浏览器512可以接收包括在安全网络内执行的网站的内部URL的请求。例如,标准浏览器512可以接收响应于用户在标准浏览器中输入web网址(例如,用于安全网站532)的请求。安全浏览器插件516可以将用户web浏览器应用512从内部的URL重定向到托管的web浏览器应用的外部的URL。例如,安全浏览器插件516可以用在安全网络530内执行的托管的web浏览器应用522的外部URL替换内部URL。
安全浏览器插件516可以允许将客户机代理514连接到托管的web浏览器应用522。客户机代理514可以包括插件组件,例如ActiveX控件或Java控件或能够加载到标准浏览器512中并在其中执行的任何其他类型和/或形式的可执行指令。例如,客户机代理514可以包括由标准浏览器512加载和运行的ActiveX控件,诸如在用户web浏览器应用512的存储空间或上下文中。客户机代理514可以被预配置为在用户web浏览器应用512内呈现托管的web浏览器应用522的内容。
客户机代理514可以连接到服务器或云/托管的web浏览器服务520,其使用瘦客户机或远程显示协议来呈现由在服务520上执行的托管的web浏览器应用522生成的显示输出。瘦客户机或远程显示协议可以是以下协议的非穷举列表中的任何一个:由佛罗里达州劳德代尔的思杰系统公司开发的独立计算架构(ICA)协议;或由华盛顿州雷德蒙德的微软公司制造的远程桌面协议(RDP)。
托管的web浏览器应用522可以在全屏模式中导航到所请求的网络应用,并且可以呈现所请求的网络应用。客户机代理514可以例如基于正在以全屏模式显示的内容以无缝和透明的方式呈现web浏览器应用512上的网络应用的内容或重现,使得看起来该内容正被标准浏览器512显示。换句话说,可以给用户的印象是网站内容是由用户web浏览器应用512而不是由托管的web浏览器应用522显示的。客户机代理514可以使用瘦客户机或远程显示协议,将由用户web浏览器应用512生成的导航命令发送到托管的web浏览器应用522。由于导航命令对托管的web浏览器应用522的显示输出的改变,可以由客户机代理514反映在用户web浏览器应用512中,从而给用户印象:导航命令是由用户web浏览器应用512执行的。
再次参考图5,在操作(4)中,可以在标准浏览器上打开新的浏览器选项卡,以呈现或显示安全浏览器会话。例如,可以通过安全浏览器插件建立或打开新的浏览器选项卡。安全浏览器插件和/或客户机代理可以从安全浏览器会话接收数据,并且可以如以上结合例如图6所讨论的那样在新的浏览器选项卡内呈现网络应用。
在操作(5)中,安全浏览器可以将经由网络应用的所有用户交互事件馈送回分析服务以进行处理。安全的浏览器插件可以在浏览器选项卡内监测并拦截定向到网络应用的重现的任何用户交互事件。因此,用户可以使用本机(或标准)的浏览器访问网络应用,同时经由云服务和安全浏览器的互操作(在没有客户机应用的情况下),允许对网络应用的流量的可见性。
图7描绘了使用安全浏览器的系统的另一个示例性实施例。在简要概述中,该系统包括云服务408、网络应用406和客户机装置402。在一些实施例中,系统的各种元件与以上针对图5描述的元件相似。在客户机装置402中,具有嵌入式浏览器的客户机应用不可用。在客户机装置上,标准的或典型的(例如,HTML5)浏览器是可用的,用户可以从其发起访问未批准的网络应用的请求。可以经由可由管理员设置或自动设置的策略(例如,经由人工智能)将网络应用指定为批准的或未批准的。
在操作(1)中,用户可以尝试使用标准浏览器登录到未批准的网络应用。用户可以尝试访问配置该网络应用的服务器的网页,并发起访问该网络应用的请求。在一些实施例中,请求可以被转发到指定的网关服务或被指定的网关服务拦截(例如,在请求的数据路径中)。例如,网关服务(有时称为SWG)可以驻留在客户机装置上(例如,作为可执行程序),或者可以驻留在例如云服务408的网络装置432上。网关服务可以检测或以其他方式确定所请求的网络应用是否为批准的网络应用。网关服务可以确定CEB是否发起了请求。网关服务可以检测或以其他方式确定该请求是从客户机装置中除CEB之外的源发起的(例如,由标准浏览器发起的)。
在操作(2)中,网关服务检测到所请求的网络应用是未批准的网络应用。网关服务可以例如从请求中提取信息(例如,目的地址、所请求的网络应用的名称),并将该信息与来自批准和/或未批准的网络应用的数据库的信息进行比较。网关服务可以基于比较确定所请求的网络应用是未批准的网络应用。
在操作(3)中,响应于该确定,网关服务可以阻止对所请求的网络应用的访问,例如通过阻止请求。响应于该确定,网关服务可以生成和/或发送URL重定向消息至标准浏览器。URL重定向消息可以类似于图5中操作(3)中从服务器发送到标准浏览器的URL重定向消息。标准浏览器的安全浏览器插件可接收URL重定向消息,并且可以例如向安全浏览器420发送访问未批准的网络应用的请求。安全浏览器420可以将请求定向到未批准的网络应用的服务器。
未批准的网络应用的服务器可以例如响应于从安全浏览器接收到请求,经由云服务408的访问网关来认证用户。响应于该请求,服务器可以与访问网关通信以认证用户。服务器可以向访问网关发送认证用户的请求。响应于服务器对用户进行认证的请求,访问网关可以向服务器430提供用户的凭证。在认证时,安全浏览器(或相应的CEB)可以与服务器建立安全连接和应用会话。
在操作(4)中,可以在标准浏览器上打开新的浏览器选项卡,以呈现或显示安全浏览器的应用会话。例如,可以由安全浏览器插件建立或打开新的浏览器选项卡。安全浏览器插件和/或客户机代理可以从安全浏览器会话接收数据,并且可以在新的浏览器选项卡内呈现网络应用,如以上结合例如图5-6所讨论的。
在操作(5)中,安全浏览器可以经由网络应用将所有用户交互事件馈送回分析服务以进行处理。安全浏览器插件可以在浏览器选项卡内监测并拦截任何涉及网络应用重现的用户交互事件。因此,用户可以使用本机(或标准)浏览器访问网络应用,同时允许经由云服务和安全浏览器(在没有客户机应用的情况下)的互操作的对于网络应用的流量的可见性。
在某些实施例中,在CEB在客户机装置上不存在或不可用的情况下,执行浏览器重定向,使得经由用于处理的相应的托管安全浏览器(或托管CEB)访问每个请求的网络应用,而不是将所有流量重定向通过单个托管的安全浏览器(或托管的CEB)。每个专用的安全浏览器都可以提供分区功能并提高安全性。
CEB的使用,无论是托管的还是客户机装置本地的,都可以允许应用流量的端到端可见性以进行分析、服务水平协议(SLA)、资源利用、审计等。除了这种可见性,CEB可以配置有用于管理和控制任何这些方面以及其他方面的策略。例如,可以支持DLP特征以控制“复制和粘贴”活动、文件下载、文件共享以及例如实施水印。作为另一个示例,CEB可以配置有用于管理和控制对本地驱动器和/或装置资源(例如外围装置)的访问的策略。
现在参考图8,描绘了用于使用本地嵌入式浏览器和托管安全浏览器的系统的示例实施例。示出了环境,其中可以使用不同类型的客户机装置402A、402B(例如,在BYOD环境中),使得一个客户机装置可以在本地配备有合适的CEB,而另一客户机装置可能没有安装合适的本地CEB。在这样的环境中,可以使用图4、5和7中描述的系统,以基于本地安装的合适CEB的可用性支持客户机装置中的每一个。
图9描绘了用于使用本地嵌入式浏览器和托管安全浏览器的示例处理流程。该处理流程可以在以上图8中描述的环境中使用,以确定对于每个客户机装置访问网络应用应使用嵌入式浏览器还是托管的安全浏览器。例如,在操作901中,HTTP客户机可以尝试访问web服务(例如,网络应用的服务器)。在操作903中,web服务可以将HTTP客户机重定向到网关服务以进行认证。在操作905中,网关服务可以确定HTTP客户机是否为CEB。如果是这样,则在操作909中,网关服务可以确定CEB是否是合适的CEB,例如能够执行所定义的应用策略。如果是这样,则在操作911中,允许CEB访问web服务,并且可以执行所定义的策略。
如果网关服务确定该HTTP客户机不是CEB,则在操作907中,网关服务可使CEB的虚拟化版本被初始化并被托管在远程服务器(例如,云服务408的网络装置432)上。在一些实施例中,这样的托管CEB在网络装置432上可能已经可用,并且可以被选择使用。例如,在操作911中,CEB被允许访问web服务,并且可以执行所定义的策略。
如果网关服务确定HTTP客户机是CEB,但是该CEB不是合适的CEB,则在操作907中,网关服务可以使CEB的虚拟化版本被初始化并被托管在远程服务器(例如,云服务408的网络装置432)上。在一些实施例中,这样的托管CEB可能已经在网络装置432上可用,并且可以被选择使用。例如,在操作911中,CEB被允许访问web服务,并且可以执行所定义的策略。
在一些实施例中,如果用户正在请求访问位于公司数据中心中的web应用,则网关服务(在云服务中或在内部)可以在检测到具有CEB的客户机应用时允许访问。否则,可以将请求路由到具有CEB的托管虚拟化版本的服务,然后对访问进行认证和授权。
例如,在操作905和/或操作909中,关于HTTP客户机是否是CEB以及它是否是合适的CEB的决定可以由许多因素来确定。例如,为了确定HTTP客户机是否是CEB,该网关服务可以考虑例如包括以下中至少之一的因素:用户身份和认证的强度、客户机位置、客户机IP地址、用户身份被信任程度、客户机位置、客户机IP、客户机装置的越狱状态、反恶意软件状态、对客户机装置的企业策略的遵从、和/或客户机软件的完整性的远程证明或其他证据。
为了确定CEB能够兑现或支持所有定义的应用策略(这可以由于客户机版本、客户机OS平台和其他因素而变化),客户机装置的软件和网关服务可以执行能力协商和/或交换版本信息。在一些实施例中,网关服务可以查询或检查CEB的版本号或标识符,以确定CEB是否是要使用的合适的CEB。
驱动所有流量通过CEB,然后允许对访问基于SaaS和Web的系统的内容进行附加控制。SaaS和Web流量的数据丢失防护(DLP)可以通过CEB app来应用,其特征包括将对其他CEB访问应用或IT管理的装置的复制和粘贴控制。通过使内容只能在IT控制下下载到指定的文件服务器或服务,也可以执行DLP。
现在参考图10,描绘了用于管理用户对网页的访问的系统的示例实施例。某些网页(或网站)被认为是安全的,而另一些网页则可能是可疑的。用户可以通过标准浏览器经由相应的URL访问网页。例如,用户可以点击与URL相对应的链接,该链接可以包括在使用邮件应用正在查看的电子邮件中。访问网关(SWG)可以拦截通过点击链接而生成的访问请求,并且可以确定相应的URL是安全的还是可疑的。如果URL被认为是安全的,则访问网关可以允许请求继续进行至相应的网站或web服务器。如果该URL是可疑的,则访问网关可以重定向请求经由托管的安全浏览器处理。安全浏览器可以请求访问和访问网页(代表标准浏览器),并且可以允许将网页信息传送到标准浏览器,类似于经由浏览器重定向对网络应用的处理,如结合至少图7和5所讨论的。
C.用于应用和通信会话预启动的系统和方法
许多网络提供的资源(诸如,经由传输层安全(TLS)协议进行的安全通信或网络应用(诸如web应用))需要大量的处理时间来为客户机建立会话。例如,安全通信通道可能需要生成或协商加密密钥、认证、握手等,这可能会导致显著的等待时间。类似地,经由虚拟机或其他资源提供的网络应用可能需要实例化这种虚拟机、保留处理线程、对用户或装置凭证进行认证、握手、解压缩和加载资源等。在许多实施方式中,建立这些通信或应用会话可能会给用户或客户机装置带来显著的延迟。此外,在许多企业部署中,许多用户或装置可能试图在短时间内(例如,在工作日开始时)建立这些会话。同时建立数十个、数百个甚至数千个会话所带来的额外握手和处理开销可能在会话变得实际可用之前导致大量延迟。
本公开涉及用于网络应用和安全通信会话的管理和预建立的系统和方法。可以分析会话日志以识别可能被访问的应用或安全通信会话,并且在接收到建立会话的请求之前,中间装置(例如,诸如中间设备或其他装置的另一装置、或诸如客户机应用的客户机上的中间代理)可以预建立会话,执行任何必要的握手或凭证或密钥交换过程。当随后请求会话时(例如,响应于用户请求),系统可以立即开始使用预建立的会话。可以在企业内协调该预建立,以提供负载均衡和会话建立的调度,以防止在任何一个时间点产生较大的处理负载。
例如,关于网络应用预启动或网络应用会话的预建立,可以将经由客户机应用或嵌入式浏览器登录SaaS容器的动作用作系统管理透明地登录所包含的SaaS应用的触发器,而无需用户的进一步参与或启动。这可以智能地完成,以增强用户的体验,而不会浪费潜在资源。例如,在一些实施方式中,通过对用户行为的分析,系统可以预测哪些网络应用倾向于一起使用,并且可以在嵌入式浏览器的隐藏选项卡中预启动它们。当用户随后显式启动相应的应用时,浏览器可以使一个或多个相应的隐藏选项卡可见,并且该应用立即可用,从而减少了由于登录/单点登录过程和页面加载时间而造成的延迟,这在安全浏览器远程会话的情况下可能是可观的。
因此,当用户登录SaaS容器或启动客户机应用的执行并执行认证(例如,提供用户凭证)时,系统可以透明地登录或访问一个或多个网络应用。可以经由智能机器学习系统从用户、装置或类似集合中(例如,在企业组织、团队、部门、地理位置等内)的其他用户或装置的过去访问模式确定一个或多个网络应用的集合。在一些实施方式中,机器学习系统可以包括神经网络,其中输出对应于网络应用和/或网络应用内的页面、视图或报告;以及输入对应于用户与应用的交互和/或用户或装置特性(例如,装置的类型、用户组、一天中的时间或一周中的一天、对第一应用或应用内的视图的启动或访问、对用户或共享数据项的访问等)。例如,在一个实施方式中,可以从用户行为的日志训练神经网络,用户行为包括启动应用、在应用内执行动作等,其中相应的其他应用、数据或视图作为输出来启动。用户访问应用、视图或数据之前的各种交互或行为(或其他变量,诸如装置类型或一天中的时间)可以与应用、视图或数据的启动相关联,从而一旦经过训练,响应于用户正在执行交互或变量或行为正在被识别,系统可以在任何用户请求之前透明地在隐藏的窗口或选项卡中预启动相应的应用、视图或数据。给定交互或变量或行为的集合或序列,可以响应于所学习的访问应用、视图或数据的条件概率超过阈值来执行预启动。
应用的预启动可以包括将用户登录到网络应用中,下载或访问该应用使用的任何资源,以及预先加载登陆页面或内部页面并准备进行访问。如果应用是在安全浏览器中输送的,则预启动可以包括会话初始化和应用在安全浏览器中的输送。因此,可以将应用预启动和透明登录视为“预取”的一种形式,或者是对系统的一种预期的、乐观的准备,以备随后使用。
不利用本文讨论的智能预启动系统和方法的实施方式可以尝试预取或本地高速缓存数据或应用的一部分。然而,首先,这样的系统可能仅预取访问最多的数据或应用,因此无法预测可以响应于访问其他数据或应用而访问的应用或数据(例如,每周一次的时间输入应用可能比例如文字处理应用更少得使用,但可能总是同时启动,或者可能总是与模板或其他用户偏好数据一起启动)。此外,基于单个用户或装置的预取可能无法识别一组用户内的常见访问模式(例如,同一组中的用户可能每周一次在指定时间访问特定的会议或协作应用),并且相应地预启动数据或应用。然而,本文所讨论的智能系统可以经由上文所讨论的机器学习的条件概率来识别并预启动这些应用或数据。此外,在一些实施方式中,系统可以为用户或装置的组智能地调度预启动,从而在每个用户访问相同的应用或数据时减少峰值处理和带宽需求。
第二,不利用本文讨论的智能预启动系统和方法的实施方式可能无法访问特定于用户的数据,或者无法利用用户凭证和特权来访问应用或数据。例如,许多网络应用要求对用户或装置凭证进行认证才能访问应用或用户数据。未经认证,通常无法在本地预取或高速缓存这种网络应用。此外,在许多实施方式中,由于数据可能改变,利用“实时”数据的动态网络应用可能不在本地高速缓存。类似地,在地理上最接近的高速缓存(例如,边缘高速缓存)处预取应用数据对于需要特定于用户的凭证的多用户应用而言可能无效。但是,一旦用户提供了凭证或通过客户机应用进行了认证,通过预加载应用或数据,本文讨论的系统和方法可以允许对动态应用和特定于用户的数据进行这种访问。
参考图11,描绘了用于预启动网络应用和/或用户数据的系统1100的一个实施例的框图。系统1100可以包括客户机应用1112,客户机应用1112包括可以呈现经由客户机应用1112访问的网络应用的信息的嵌入式浏览器1114、以及预启动代理1116。客户机应用1112可以是先前在本文详细描述的客户机应用1112的实例。具有嵌入式浏览器1114的客户机应用1112(CEB)可以包括CEB的任何元件,如先前在本文描述的。在一些实施例中,客户机应用1112可以在由用户操作的客户机装置1104上执行。网络应用可以包括先前在本文详细描述的任何类型或形式的网络应用1108。
在一个或多个实施例中,以硬件或硬件和软件的组合来实现上述元件或实体中的每一个。系统1100的每个组件可以使用以上结合图1详细描述的硬件或硬件或软件的组合来实现。例如,这些元件或实体中的每一个可以包括在客户机装置的硬件上执行的任何应用、程序、库、脚本、任务、服务、进程或任何类型和形式的可执行指令(例如,客户机应用1112)。在一个或多个实施例中,硬件包括诸如一个或多个处理器的电路。
预启动代理1116可以包括应用、服务器、服务、守护进程、例程或其他可执行逻辑,用于在从用户接收到访问应用或数据的请求之前预测或预料或以其他方式选择要访问的应用或数据并发起访问应用或数据的请求。预启动代理1116可以与一个或多个应用服务器1102执行认证或握手,并且可以代表用户或嵌入式浏览器(例如,应用的登陆页面或内部页面或视图等)访问应用或用户数据的一个或多个部分。预启动代理1116可以实例化嵌入式浏览器1114的新窗口或选项卡,并且可以将应用的访问部分加载到新窗口或选项卡内。窗口或选项卡最初可能是不可见的或隐藏的。当用户请求访问应用或视图时(例如,经由客户机应用提供的启动页面上的链接或缩略图,通过在相关联的图标上双击等),相应的窗口或选项卡将变为可见。
如图所示,在各种实施方式中,预启动代理1116可以部署在客户机装置1104上,或者在应用服务器1102或中间装置1106上。在预启动代理1116不在客户机装置1104上的实施方式中,预启动代理1116可以将命令发送到客户机应用1112或嵌入式浏览器以实例化新的选项卡或窗口并访问所选择的应用。这样的实施方式可以允许系统容易地利用来自中央位置处的多个客户机装置的历史交互日志。
图12是用于预建立应用会话的方法的实施方式的流程图。在步骤1202,客户机应用可以利用认证服务器或应用服务器执行认证过程。认证可以包括:接收认证用户的请求(例如,在登录web应用或服务器时,或者从启动客户机应用或选择登录界面时),获得用户凭证(例如,帐户名或号码、生物特征数据、密码或其他这样的标识符,经由提示或经由输入接口(例如,NFC或蓝牙接口,其接收另一装置提供的认证令牌,来自指纹读取器的数据等)),将认证请求传输至认证服务器或应用服务器,并且如果凭证被确定为有效则接收认证令牌。该请求可以包括加密的或散列的凭证数据,并且服务器可以将散列与相似的散列数据进行比较以识别匹配,从而指示凭证是有效的。在其他实施方式中,可以采用其他认证或握手协议。
在步骤1204,预启动代理或客户机应用可以从用户或该用户为其成员的一组用户的先前行为的日志中识别由一个或多个应用服务器提供的、用户可能请求访问的一个或多个网络应用。在一些实施方式中,识别一个或多个网络应用可以包括使用从先前的用户与应用的交互以及对应用的访问的请求中训练的机器学习系统。系统的输入可以包括先前访问的网络应用的标识、访问时间或日期、应用内的导航(例如到web应用的不同页面)等。在一些实施方式中,识别一个或多个网络应用可以包括识别要由一个或多个网络应用使用的数据,包括特定于用户的数据。
在步骤1206,预启动代理或客户机应用可以代表用户或客户机应用的嵌入式浏览器请求对所识别的一个或多个应用的访问。该请求可以被传输到一个或多个应用服务器,并且可以在接收到用户访问应用的明确请求或交互(例如,点击与该应用相对应的链接或缩略图,从菜单中选择该应用,等等。)之前被传输。该请求可以包括用户或客户机装置的认证令牌,以使得可以使用用户凭证或特权来访问网络应用。
在步骤1208,预启动代理或客户机应用可以接收所识别的一个或多个网络应用的数据以经由嵌入式浏览器进行呈现。嵌入式浏览器可以以隐藏状态实例化新的选项卡或窗口,并呈现接收到的数据。呈现数据可以包括执行网络应用的代码,包括HTML或Javascript或任何其他类型和形式的可执行指令,以及传输对嵌入式数据(例如,图像或其他媒体、用户数据等)的进一步请求并呈现接收到的嵌入式数据。
在步骤1210,客户机应用可以从用户接收访问网络应用的请求。在许多实施方式中,该请求可以经由诸如选择菜单项、链接、缩略图、图块或与应用相关联的其他实体的用户界面来进行,并且可以经由嵌入式浏览器来进行。
如果所请求的应用对应于预启动应用之一(例如,如果已经请求并接收到数据),则在步骤1212,客户机应用可以提供所接收的数据以供嵌入式浏览器呈现。在一些实施方式中,所接收的数据可能已经被呈现在隐藏的选项卡或窗口中,并且在步骤1212,客户机应用或嵌入式浏览器可以启用隐藏的选项卡或窗口的可见性。
如果所请求的应用不对应于预启动应用,则在步骤1214,客户机应用可以正常请求对网络应用的访问(例如,向应用服务器传输访问该应用的请求,以发起网络应用的执行或实例化网络应用的虚拟机等)。
在步骤1216,在一些实施方式中,预启动代理或客户机应用可以更新应用选择数据或应用访问的历史日志,以用于更新如上文讨论的应用选择系统的训练。在一些实施方式中,更新应用选择数据可以包括向中间装置或应用服务器提供应用选择信息,该中间装置或应用服务器可以将该信息与来自其他客户机装置的信息进行聚合,以提供更准确的应用选择预测。类似地,在步骤1218,客户机应用或预启动代理可以监测用户与网络应用的交互,其中所监测的交互(例如,选择web应用的内部页面、访问用户数据等)用于更新训练和对应用或数据的选择以进行预启动。
尽管主要针对网络应用进行了讨论,但是相同的过程可以适用于数据的选择以及预启动或预访问以供网络应用使用。另外,过程可以连续地或重复地执行。例如,预启动代理可以预启动几个网络应用以供用户使用;以及响应于用户选择第一网络应用,预启动代理可以请求或预启动供第一网络应用使用的用户数据(例如,可经由web应用的另一页面访问的数据等)。当用户导航到网络应用中的相应页面或请求加载数据时,嵌入式浏览器可以启用相应选项卡或窗口的可见性并显示预启动的数据,从而通过在用户请求之前检索数据来有效消除对数据的用户请求和用户访问之间的等待时间。可以使用类似的过程来预启动用户在访问第一应用之后可能访问的其他应用。
通过在用户请求之前检索相应的数据,经由智能机器学习系统选择用于预启动的应用和用户数据可以由此极大地加速对应用的访问。另外,类似的过程也可以用于建立安全通信会话。
具体地,建立安全通信通道(诸如经由TLS协议或类似的加密协议)提供客户机和服务器(以及其他装置)之间的安全数据传输。然而,由于与安全通道建立相关联的处理和网络开销(诸如安全密钥生成、交换、认证和握手),建立这些通道要付出代价。为了避免这些开销(或者实际上为了使它们对于客户机装置的用户透明或不明显),机器学习系统可以识别可能需要的安全通信通道(例如,用于访问网络应用和/或用户数据,如上所述),并且预建立或预启动通道,从而在用户启动访问之前执行开销处理任务。当随后需要连接时,该连接可能已经建立并且可以立即使用,从而就用户而言,消除了延迟。另外,因为可以在预测的使用之前建立通信通道,所以系统可以随着时间调度这些处理任务,从而允许对来自大量的多个客户机装置的请求进行时间负载均衡。
在一些实施方式中,在启用安全通信通道的该预建立时,系统允许在企业的LAN边界处形成应用的受信任集,并确保受信任集内部的最佳安全性和认证。会话建立可以在希望通过潜在WAN建立安全通信通道的客户机和服务器之间进行优化,并且该系统可以随时间管理数千个并发连接,从而减少峰值处理和网络利用率。这在最常用的应用尝试同时连接到服务器的企业中也有帮助。通过使用智能机器学习系统,该系统可以自适应地学习企业中在任何特定时间最频繁或最可能使用的服务,并预建立到这些服务的TLS连接,从而促进数千个客户机上的会话恢复。
想要与服务器的使用TLS协议的安全通信通道的客户机需要在可以交换任何数据之前预设成功的TLS握手。建立新的TLS握手是复杂的过程,由于安全密钥生成、交换、通过WAN的多次握手的发送和接收、证书认证等,因此该过程对计算资源提出了严峻的要求。潜在的网络由于相关联的网络延迟而对TLS握手造成了巨大威胁,并且使用用于更安全的密钥交换和认证的更大的非对称密钥大小进一步增加了计算资源。两者的结合会导致TLS握手,从而使问题进一步恶化。常见的用例是多个客户机尝试同时连接到同一服务器。因此,在优化与TLS会话建立相关联的开销方面的任何节省都是双赢局面。
为了实现这些优点,系统允许在客户机使用安全通信会话之前由客户机或中间装置建立安全通信会话,并允许客户机恢复会话以进行实际使用。在先前的成功TLS握手期间恢复已创建的TLS会话,而无需在TLS服务器处的特定于会话的状态,有助于服务器和客户机节省执行密钥生成、交换和认证的计算能力。当服务器处理来自不同客户机的大量连接时,这将更为有用。此外,它节省了发送完整握手消息的带宽。
本文讨论的系统和方法减少了通过WAN进行的完整TLS握手的次数,并且相对于不使用这些系统和方法的实施方式提供了一些特定的好处:
·早晨登录综合症:由过多用户登录的针对特定应用的大量涌入的会话请求,可能通过所有应用/用户利用与同一服务器的多次TLS握手猛烈冲击WAN网络。通过使用预取的会话信息,启动到远程服务器的新TLS连接的应用可以尝试会话恢复,并且如果服务器支持会话恢复则可以受益。这立即在WAN和计算资源的角度提供了巨大的好处,从而允许在应用管理和输送方面具有更高的效率。
·通过减少握手为增加非对称密钥大小铺平道路:由于可以减少完整握手的次数,因此企业服务器可以使用更大的非对称密钥大小。由于减少了完整的TLS握手,因此减少了企业服务器上的计算负载。
·对紧急情况的无缝处理,如用户应用崩溃/服务器崩溃/会话生存期到期:在应用崩溃/软件崩溃的情况下,客户机必须重新启动与服务器的TLS握手。这是额外的处罚。另外,当客户机继续使用会话信息进行恢复时,如果TLS服务器在服务器重新启动、会话票证密钥轮换、服务器崩溃并恢复等情况下不支持会话票证,则这也需要新的TLS握手,从而使这种情况变得更糟,因为大量客户机应用都遭受这种情况。通过允许恢复TLS会话,避免了这些到期和崩溃引发的握手。
·与机器学习框架集成以使用最频繁使用或最可能访问的服务器:这将提高减少通过WAN进行完整TLS握手的次数的好处。
图13是用于预建立安全通信会话的系统的示例实施例的框图。执行包括嵌入式浏览器1314的客户机应用1312的客户机装置1304可以与一个或多个应用服务器1302通信以访问网络应用1308。由中间装置1306执行的会话记录管理器1316可以预建立与应用服务器1302的安全通信会话(A),并在会话数据库1318中维持会话的参数。
随后,客户机装置1304可以向中间装置1306传输建立会话的请求(B)。会话记录管理器1316可以选择已建立的安全通信会话,并将该会话的参数传递给客户机应用1312,然后客户机应用1312可以直接立接恢复与应用服务器1302的会话(C)。
会话记录管理器1316可以包括应用、服务器、服务、守护进程、例程或其他可执行逻辑,用于选择与之建立安全通信会话的应用服务器或数据服务器;用于建立会话并记录参数;以及用于将参数传输到客户机以允许恢复会话。会话记录管理器1316可以从客户机装置和/或应用服务器接收关于频繁访问的网络应用的数据,这些数据可以是整体的和/或处于特定的时间或日期。在一些实施方式中,会话记录管理器1316创建和管理用户或客户机装置的客户机证书,将证书维持在会话数据库1318中。会话记录管理器1316预取每个(从分析服务或机器学习系统中学习的)服务器的会话信息,并发起与服务器的TLS握手或类似的安全通信会话握手。会话信息可立即用于企业中的所有众多用户或装置,从而节省了每个客户机处的额外握手和计算过载。会话记录管理器1316还频繁地更新频繁使用的服务器的IP,并确保数据是有效的和最近的、自身最新的,以便馈送给客户机。
会话记录管理器1316还可以验证属于受信任集的客户机应用或装置,并共享会话记录(如果可用)。受信任集是一个虚拟组,包括与客户机应用1312集成的一组应用,该客户机应用1312使用客户机证书与会话记录管理器成功建立了安全连接和认证。
在操作中,系统的管理员可以使用会话记录管理器1316为企业中的单个用户或装置创建证书,并且可以将证书分发给相应的用户或装置以允许它们成为受信任集的一部分。会话记录管理器1316周期性地接收企业中访问的网络应用和应用服务器的标识。会话记录管理器1316通过与频繁访问的服务器执行TLS握手或类似协议来建立会话记录,就像标准客户机应用一样,从而作为所有客户机应用的单点代表。与代理模块不同,会话记录管理器1316通过为需要与服务器建立连接的客户机共享会话信息来用作会话恢复的加速器,从而增强了握手并使得整个过程更加强化和有效。
客户机应用可以与会话记录管理器1316建立有效的TLS连接。在许多实施方式中,中间装置1306可以被部署在与客户机装置1304的LAN连接上,从而导致非常高的速度和低等待时间的连接。客户机应用可以从会话记录管理器1316接收会话记录(如果有的话)。客户机应用可以尝试重用从会话记录管理器1316接收到的会话记录,以与相应的应用服务器1302建立优化的TLS会话。如果没有从会话记录管理器1316接收到会话记录,则客户机应用可以继续常规TLS握手。
会话记录可以包括从服务器接收的会话票证的生存期提示或标识符。会话记录管理器1316可以使用生存期标识符来刷新和更新相应服务器的会话记录。从服务器的角度来看,只要会话信息和现有会话是有效的,客户机应用就可以轻松利用会话恢复。在应用或软件崩溃、用户应用重启、笔记本电脑重启、服务器崩溃或重启、或者服务器轮换或刷新其密钥等情况下,会话可以类似地恢复。
在不使用这些系统和方法的实施方式中,每个客户机应用可能必须单独使用会话信息并在会话变得过时时从服务器学习,然后借助常规TLS握手来建立与服务器的连接。由于上述情况,特别是服务器崩溃/重启/服务器密钥刷新/轮换或者主要是客户机应用中断时,考虑到将再次开始使用新的TLS握手来冲击WAN的典型企业中的客户机的数量,这是非常昂贵的操作。
图14是用于安全通信会话的预建立的方法的实施方式的流程图。简言之,会话记录管理器1316可以通过主动建立到最顶层服务器或最有可能被访问的应用服务器的连接来预取所有会话记录。会话记录管理器1316根据每个会话的会话生存期提示进行操作,并帮助主动刷新会话票证,以供企业中的所有众多客户机立即使用。在服务器崩溃或服务器密钥刷新的情况下,在一些实施方式中,客户机装置可以直接向服务器发起TLS握手,并且还可以指示会话记录管理器1316通过重新发起TLS握手来从服务器补充会话信息。然后,可以使新刷新的会话信息可用于所有客户机装置,并且会话恢复无缝地进行,而无需由客户机在WAN上发起任何新的TLS握手,从而减少了客户机应用对计算资源的使用。
在一些实施方式中,会话记录管理器1316可以周期性地从应用服务器、客户机装置和/或分析服务器接收关于最频繁访问的服务器的更新。这样的更新可以包括完全限定的域名(FQDN)和端口信息,并且可以包括该企业的前n个频繁访问的服务器的列表,其中每个服务器都有一个元组FQDN:PORT。在一些实施方式中,会话记录管理器1316可以进行DNS查询,以接收每个FQDN的IP地址(因为IP地址可以根据实施方式而改变,例如使用云内的托管服务器、针对具有多个位置的企业的地理位置分散的服务器等)。会话记录管理器1316可以形成FQDN:IP:PORT的键,以关联会话记录表或数据库中的会话记录信息。
会话记录管理器1316可以周期性地查看数据库中的条目,以确定任何条目是否已经到期。如果条目已经到期或不存在会话,则在步骤1402,会话记录管理器1316可以通过向服务器发起TLS握手,然后保存在步骤1404从服务器接收到的会话记录细节,来开始预取或预创建过程。如果服务器已禁用TLS会话票证支持,则在一些实施方式中,可以不向数据库或表添加任何条目,并且会话记录管理器1316可以记录该元组不存在会话票证支持。
为了发起与服务器的安全通信会话,客户机应用首先与会话记录管理器1316建立TLS连接,并使用管理员提供的客户机证书对自己进行认证。在成功认证之后,客户机成为会话记录管理器1316的受信任集的一部分。在一些实施方式中,这可能在首次执行客户机应用或启动客户机装置时发生。随后,或者当客户机应用在步骤1406想要与服务器建立TLS连接时,客户机应用可以与会话记录管理器1316联系,请求包括FQDN:IP:PORT元组细节的会话。如果活动会话可用,则会话记录管理器1316可以在步骤1408以会话记录进行响应。
客户机应用可以使用从会话记录管理器1316接收到的会话记录通过重新使用会话信息来发起到服务器的连接。如果服务器支持会话重用,则避免了完整的TLS握手;否则,客户机应用可以退回到新握手。
在一些实施方式中,如果没有会话可用,则会话记录管理器1316可以在步骤1410建立新的连接,更新会话记录数据库并将连接信息提供给客户机装置。在其他实施方式中,如果没有会话可用,则客户机应用可以建立其自己的连接并执行TLS握手。
在步骤1412,应用选择信息可以例如由会话记录管理器1316或由分析服务器进行更新。例如,在一些实施方式中,会话记录管理器可以增加用于客户机装置经由安全通信会话访问的相应应用的计数器。在步骤1402,该信息可用于识别与之建立会话的可能的应用服务器。
因此,通过使用类似的预启动技术,可以在接收任何客户机请求之前,并且在接收到指示访问网络应用的用户的任何交互之前,预建立安全通信会话。结合应用的预启动,用户可以安全访问网络应用而经历很少的等待时间或不经历等待时间:用户可以登录到客户机应用,该客户机应用可以自动地和透明地选择用户可能访问的应用,并且可以从会话记录管理器请求与相应的应用服务器建立安全通信会话。客户机应用可以接收与相应服务器的现有的和活动的安全通信会话的会话信息,并且可以立即恢复会话并请求和接收应用数据和/或用户数据。如果用户随后选择访问网络应用,则可以在嵌入式浏览器的新窗口或选项卡中呈现接收到的数据,或者可以使不可见的选项卡或窗口可见。该窗口或选项卡可以与恢复的安全通信会话相关联,从而允许对网络应用的立即和安全访问,而不会因执行额外的握手或接收应用数据而受到任何延迟。
应当理解,上述系统可以提供那些组件中的任一个或每一个的多个组件,并且这些组件可以在独立的机器上或者在一些实施例中在分布式系统中的多个机器上提供。可以通过使用编程和/或工程技术来生产软件、固件、硬件或其任何组合,将上述系统和方法实现为方法、设备或制造产品。另外,可以将上述系统和方法作为嵌入在一个或多个制造产品之上或之中的一个或多个计算机可读程序来提供。本文所使用的术语“制造产品”旨在包括可从一个或多个计算机可读装置可访问的或嵌入其中的代码或逻辑、固件、可编程逻辑、存储装置(例如EEPROM、ROM、PROM、RAM、SRAM等)、硬件(例如集成电路芯片、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)、电子装置、计算机可读非易失性存储单元(例如CD-ROM、USB闪存、硬盘驱动器等)。可以从文件服务器访问该制造产品,该文件服务器经由网络传输线、无线传输介质、在空间传播的信号、无线电波、红外信号等提供对计算机可读程序的访问。该制造产品可以是闪存卡或磁带。该制造产品包括硬件逻辑以及嵌入在计算机可读介质中的由处理器执行的软件或可编程代码。通常,计算机可读程序可以以任何编程语言(例如LISP、PERL、C、C++、C#、PROLOG)或任何字节代码语言(例如JAVA)实现。软件程序可以作为目标代码存储在一个或多个制造产品之上或之中。
尽管已经描述了方法和系统的各种实施例,但是这些实施例是示意性的,并且绝不限制所描述的方法或系统的范围。相关领域的技术人员可以在不脱离所描述的方法和系统的最广泛范围的情况下,对所描述的方法和系统的形式和细节进行改变。因此,本文描述的方法和系统的范围不应受到任何示意性实施例的限制,而应根据所附权利要求及其等同物来定义。

Claims (20)

1.一种用于网络应用的预启动的方法,包括:
由包括由客户机装置执行的嵌入式浏览器的客户机应用接收认证用户的请求;
由所述客户机应用将所述用户认证为有效;
由所述客户机应用从所述用户的先前行为的日志中识别由所述用户可能请求访问的一个或多个应用服务器提供的一个或多个网络应用;
由所述客户机应用将代表所述用户访问所识别的一个或多个网络应用的请求传输至所述一个或多个应用服务器,访问所识别的一个或多个网络应用的请求在接收到来自所述用户的访问网络应用的请求之前传输;
由所述客户机应用从所述一个或多个应用服务器接收代表所述用户执行以经由所述嵌入式浏览器呈现的所识别的一个或多个网络应用的数据,所述接收到的数据存储在所述客户机应用的存储器中;
从所述用户接收访问所识别的一个或多个网络应用中的第一网络应用的请求;以及
响应于接收到访问所述第一网络应用的请求,从所述客户机应用的存储器向所述嵌入式浏览器提供接收到的所述第一网络应用的数据,所述浏览器呈现所提供的数据以显示给所述用户。
2.根据权利要求1所述的方法,其中,识别所述用户可能请求访问的一个或多个网络应用还包括识别所述用户可能请求访问的所述一个或多个网络应用的数据或所述一个或多个网络应用内的视图;以及其中,访问所识别的一个或多个网络应用的请求还包括对所识别的所述一个或多个网络应用的数据或所述一个或多个网络应用内的视图的请求。
3.根据权利要求1所述的方法,其中,识别所述用户可能请求访问的一个或多个网络应用还包括将所述用户的先前行为的日志提供给机器学习引擎,所述机器学习引擎从输入识别所述一个或多个网络应用,所述输入包括先前经由所述嵌入式浏览器访问的网络应用的标识、经由所述嵌入式浏览器的访问次数的标识、或由所述嵌入式浏览器访问的数据的标识。
4.根据权利要求1所述的方法,还包括:
由所述客户机应用经由所述嵌入式浏览器监测与所述一个或多个网络应用的用户交互;
由所述客户机应用从所监测的用户交互中识别由所述用户可能请求访问的一个或多个应用服务器提供的第二一个或多个网络应用;
由所述客户机应用响应于所述识别将代表所述用户访问所识别的第二一个或多个网络应用的请求传输至所述一个或多个应用服务器;
由所述客户机应用从所述一个或多个应用服务器接收代表所述用户执行以经由所述嵌入式浏览器呈现的所识别的第二一个或多个网络应用的数据,接收到的所识别的第二一个或多个网络应用的数据存储在所述客户机应用的存储器中;
由所述客户机应用经由所述嵌入式浏览器接收用所述户访问所述第二一个或多个网络应用中的第二网络应用的请求;以及
响应于接收到访问所述第二网络应用的请求,从所述客户机应用的存储器向所述嵌入式浏览器提供接收到的所述第二网络应用的数据,所述浏览器呈现所提供的数据以显示给所述用户。
5.根据权利要求1所述的方法,其中,认证所述用户包括利用远程认证服务器执行认证程序,以及其中,传输访问所识别的一个或多个网络应用的请求和接收所识别的一个或多个网络应用的数据在所述认证程序完成之前发生。
6.根据权利要求1所述的方法,其中,接收所识别的一个或多个网络应用的数据还包括将接收到的数据存储在所述客户机应用的存储器中而不向所述嵌入式浏览器提供视觉输出。
7.根据权利要求6所述的方法,其中,将接收到的数据存储在所述客户机应用的存储器中而不向所述嵌入式浏览器提供视觉输出还包括:实例化具有禁用可见性的所述嵌入式浏览器的新选项卡或窗口,接收到的所述第一网络应用的数据被提供给实例化的新选项卡或窗口以进行呈现;以及还包括:
响应于接收到访问所述第一网络应用的请求,启用所述实例化的新选项卡或窗口的可见性以显示给所述用户。
8.一种用于安全通信通道的预建立的方法,包括:
由会话记录管理器服务器经由第一网络连接与提供网络应用的应用服务器建立安全通信会话;
由所述会话记录管理器从所述应用服务器接收识别所述安全通信会话的参数的会话记录;
由所述会话记录管理器经由第二网络连接从执行包括嵌入式浏览器的客户机应用的客户机装置接收访问由所述应用服务器提供的网络应用的请求;以及
由所述会话记录管理器将所述会话记录转发给所述客户机应用,所述客户机应用经由第三网络连接向所述应用服务器传输恢复所述安全通信会话的请求。
9.根据权利要求8所述的方法,其中,建立所述安全通信会话还包括执行加密握手程序。
10.根据权利要求9所述的方法,其中,所述会话记录包括用于所述安全通信会话的加密密钥的标识,以及其中,所述客户机应用利用用于所述安全通信会话的所述加密密钥来传输恢复所述安全通信会话的请求。
11.根据权利要求8所述的方法,其中,所述应用服务器是多个应用服务器中的第一应用服务器,并且所述客户机装置是多个客户机装置中的第一客户机装置,以及其中,建立所述安全通信会话还包括响应于所述多个客户机装置对所述第一应用服务器的高利用的历史,从所述多个应用服务器中选择所述第一应用服务器。
12.根据权利要求8所述的方法,其中,建立所述安全通信会话还包括由所述会话记录管理器与所述应用服务器建立多个安全通信会话,每个安全通信会话与不同的会话记录相关联。
13.根据权利要求8所述的方法,还包括:由所述会话记录管理器从相应的多个客户机装置接收访问由所述应用服务器提供的所述网络应用的多个请求;以及由所述会话记录管理器将与不同的安全通信会话相关联的会话记录转发给所述多个客户机装置中的每一个,所述多个客户机装置中的每个客户机装置向所述应用服务器传输恢复相应的安全通信会话的请求。
14.一种用于网络应用的预启动的系统,包括:
客户机装置,包括网络接口、存储器装置和处理器,所述处理器执行包括嵌入式浏览器的客户机应用,所述客户机应用被配置为:
接收认证用户的请求,
将所述用户认证为有效,
从所述用户的先前行为的日志中识别由所述用户可能请求访问的一个或多个应用服务器提供的一个或多个网络应用;
其中,所述网络接口被配置为:
将代表所述用户访问所识别的一个或多个网络应用的请求传输至所述一个或多个应用服务器,访问所识别的一个或多个网络应用的请求在接收到来自所述用户的访问网络应用的请求之前传输,以及
从所述一个或多个应用服务器接收代表所述用户执行以经由所述嵌入式浏览器呈现的所识别的一个或多个网络应用的数据,所述接收到的数据存储在所述存储器装置中;以及
其中,所述客户机应用还被配置为:
从所述用户接收访问所识别的一个或多个网络应用中的第一网络应用的请求,以及
响应于接收到访问所述第一网络应用的请求,从所述存储器装置向所述嵌入式浏览器提供接收到的所述第一网络应用的数据,所述浏览器呈现所提供的数据以显示给所述用户。
15.根据权利要求14所述的系统,其中,所述客户机应用还被配置为识别所述用户可能请求访问的所述一个或多个网络应用的数据或所述一个或多个网络应用内的视图;以及其中,访问所识别的一个或多个网络应用的请求还包括对所识别的所述一个或多个网络应用的数据或所述一个或多个网络应用内的视图的请求。
16.根据权利要求14所述的系统,其中,所述客户机应用还被配置为将所述用户的先前行为的日志提供给机器学习引擎,所述机器学习引擎从输入识别所述一个或多个网络应用,所述输入包括先前经由所述嵌入式浏览器访问的网络应用的标识、经由所述嵌入式浏览器的访问次数的标识、或由所述嵌入式浏览器访问的数据的标识。
17.根据权利要求14所述的系统,其中,所述客户机应用还被配置为:
经由所述嵌入式浏览器监测与所述一个或多个网络应用的用户交互,以及
从所监测的用户交互中识别由所述用户可能请求访问的一个或多个应用服务器提供的第二一个或多个网络应用;
其中,所述网络接口还被配置为:
响应于所述识别将代表所述用户访问所识别的第二一个或多个网络应用的请求传输至所述一个或多个应用服务器,以及
从所述一个或多个应用服务器接收代表所述用户执行以经由所述嵌入式浏览器呈现的所识别的第二一个或多个网络应用的数据,接收到的所识别的第二一个或多个网络应用的数据存储在所述存储器装置中;以及
其中,所述客户机应用还被配置为:
经由所述嵌入式浏览器接收所述用户访问所述第二一个或多个网络应用中的第二网络应用的请求,以及
响应于接收到访问所述第二网络应用的请求,从所述存储器装置向所述嵌入式浏览器提供接收到的所述第二网络应用的数据,所述浏览器呈现所提供的数据以显示给所述用户。
18.根据权利要求14所述的系统,其中,所述客户机应用还被配置为利用远程认证服务器执行认证程序;以及其中,传输访问所识别的一个或多个网络应用的请求和接收所识别的一个或多个网络应用的数据在所述认证程序完成之前发生。
19.根据权利要求14所述的系统,其中,所述客户机应用还被配置为将接收到的数据存储在所述存储器装置中而不向所述嵌入式浏览器提供视觉输出。
20.根据权利要求19所述的系统,其中,所述客户机应用还被配置为:
实例化具有禁用可见性的所述嵌入式浏览器的新选项卡或窗口,接收到的所述第一网络应用的数据被提供给实例化的新选项卡或窗口以进行呈现;以及
响应于接收到访问所述第一网络应用的请求,启用所述实例化的新选项卡或窗口的可见性以显示给所述用户。
CN201980084649.7A 2018-11-07 2019-11-06 用于应用预启动的系统和方法 Pending CN113196724A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/183232 2018-11-07
US16/183,232 US11153285B2 (en) 2018-11-07 2018-11-07 Systems and methods for application pre-launch
PCT/US2019/060042 WO2020097185A2 (en) 2018-11-07 2019-11-06 Systems and methods for application pre-launch

Publications (1)

Publication Number Publication Date
CN113196724A true CN113196724A (zh) 2021-07-30

Family

ID=69160010

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980084649.7A Pending CN113196724A (zh) 2018-11-07 2019-11-06 用于应用预启动的系统和方法

Country Status (6)

Country Link
US (2) US11153285B2 (zh)
EP (1) EP3878159B1 (zh)
CN (1) CN113196724A (zh)
AU (1) AU2019374799A1 (zh)
CA (1) CA3118694A1 (zh)
WO (1) WO2020097185A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113922984A (zh) * 2021-09-02 2022-01-11 成都安恒信息技术有限公司 一种客户端应用的网络访问识别和管控方法

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE447310T1 (de) 2005-07-01 2009-11-15 Research In Motion Ltd Herausnehmbares speichermodul zur beschleunigung der netzauswahl durch ein drahtloses benutzergerät
WO2015057538A1 (en) 2013-10-14 2015-04-23 Equifax Inc. Providing identification information to mobile commerce applications
US11574299B2 (en) 2013-10-14 2023-02-07 Equifax Inc. Providing identification information during an interaction with an interactive computing environment
CN108228270B (zh) * 2016-12-19 2021-04-16 腾讯科技(深圳)有限公司 启动资源加载方法及装置
EP3610622B1 (en) 2017-04-13 2022-07-13 Equifax Inc. Location-based detection of unauthorized use of interactive computing environment functions
CN109005143B (zh) * 2017-06-07 2022-03-04 上海中兴软件有限责任公司 一种调整网站负载的方法及装置
CA3090205A1 (en) * 2017-12-14 2019-06-20 Equifax Inc. Embedded third-party application programming interface to prevent transmission of sensitive data
US11159511B1 (en) * 2019-01-10 2021-10-26 Microstrategy Incorporated Authentication protocol management
JP7273523B2 (ja) * 2019-01-25 2023-05-15 株式会社東芝 通信制御装置および通信制御システム
US11288347B2 (en) * 2019-03-07 2022-03-29 Paypal, Inc. Login from an alternate electronic device
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
US11546334B2 (en) * 2019-07-29 2023-01-03 Citrix Systems, Inc. Client device configuration for remote digital workspace access
US11356255B1 (en) * 2019-12-31 2022-06-07 Virtuozzo International Gmbh System and method for securely connecting applications to middleware services in a cloud platform
US20220004414A1 (en) * 2020-07-01 2022-01-06 Intelligent Waves Llc Predictive loading of a virtual device in anticipation of a connection request from a physical device
US11709696B2 (en) 2020-07-01 2023-07-25 Hypori, LLC Preloading of virtual devices in anticipation of a connection request from a physical device
FR3114891B3 (fr) * 2020-10-05 2022-09-30 Amadeus Système d’identification biométrique
US11044348B1 (en) 2020-11-05 2021-06-22 Atlassian Pty Ltd System, method, and computer program product for improved embedded application data management
US11743263B2 (en) * 2020-11-11 2023-08-29 Appaegis Inc. System and method to control application access
US11258884B1 (en) * 2020-11-25 2022-02-22 Cyberark Software Ltd. Secure remote access based on inspection and validation of remote access protocol traffic
EP4272067A1 (en) * 2020-12-30 2023-11-08 Citrix Systems, Inc. Secure session resume
US20220294788A1 (en) * 2021-03-09 2022-09-15 Oracle International Corporation Customizing authentication and handling pre and post authentication in identity cloud service
US11470141B1 (en) 2022-02-01 2022-10-11 Browserstack Limited Remote device infrastructure
US20230315830A1 (en) * 2022-03-30 2023-10-05 Landis+Gyr Innovations, Inc. Web-based authentication for desktop applications
US11886325B2 (en) * 2022-06-30 2024-01-30 Browserstack Limited Network status simulation for remote device infrastructure
EP4343567A1 (en) * 2022-09-20 2024-03-27 Sap Se Fast switching to transaction entry program
US11860771B1 (en) 2022-09-26 2024-01-02 Browserstack Limited Multisession mode in remote device infrastructure
US20240187431A1 (en) * 2022-12-06 2024-06-06 Microsoft Technology Licensing, Llc System and method for monitoring user actions with respect to a resource presented by a web browser
US20230376416A1 (en) * 2023-02-16 2023-11-23 Intel Corporation Optimizing Provisioning Certification Caching Service Protocol for Performance Improvement and Scalability

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102474503A (zh) * 2009-08-14 2012-05-23 上海贝尔股份有限公司 客户端安全访问消息存储服务器的方法和相关设备
CN102752323A (zh) * 2011-04-18 2012-10-24 阿里巴巴集团控股有限公司 分布式session服务系统及方法
CN102999368A (zh) * 2012-12-14 2013-03-27 广东欧珀移动通信有限公司 移动终端中程序预先启动方法、装置及移动终端
CN104321768A (zh) * 2012-03-19 2015-01-28 法国埃布尔公司 用于执行应用程序以通过浏览电信网络查阅可访问的内容和服务的方法和系统
CN105431822A (zh) * 2013-06-12 2016-03-23 微软技术许可有限责任公司 应用的预测预启动
US20170142219A1 (en) * 2014-05-09 2017-05-18 Amazon Technologies, Inc. Client-side predictive caching for content
CN108293057A (zh) * 2015-12-03 2018-07-17 微软技术许可有限责任公司 用于通信信令的数据压缩
CN108762836A (zh) * 2018-05-21 2018-11-06 Oppo广东移动通信有限公司 预加载应用的管理方法、装置、存储介质及智能终端

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2861934B1 (fr) * 2003-10-30 2006-01-27 Wavecom Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication.
CA2513018A1 (en) * 2005-07-22 2007-01-22 Research In Motion Limited Method for training a proxy server for content delivery based on communication of state information from a mobile device browser
US20090083537A1 (en) * 2005-08-10 2009-03-26 Riverbed Technology, Inc. Server configuration selection for ssl interception
US9444903B2 (en) * 2011-06-02 2016-09-13 Surfeasy Inc. Proxy based network communications
US9401917B2 (en) * 2011-06-03 2016-07-26 Blackberry Limited Pre-caching resources based on a cache manifest
US8612418B2 (en) * 2011-07-14 2013-12-17 Google Inc. Mobile web browser for pre-loading web pages
CN105100003B (zh) * 2014-05-06 2019-05-28 腾讯科技(深圳)有限公司 一种客户端的网页游戏预加载方法及装置
US9538345B2 (en) 2015-01-28 2017-01-03 Citrix Systems, Inc. Systems and methods for performing load balancing and message routing for short message peer to peer protocol
EP3269105B1 (en) * 2015-03-09 2019-06-05 Telefonaktiebolaget LM Ericsson (publ) Transmission encryption in a proxy
US10320934B1 (en) * 2015-08-25 2019-06-11 Instart Logic, Inc. One-time cache
US10404663B1 (en) * 2016-02-29 2019-09-03 Parallels International Gmbh File sharing over secure connections
US10264050B2 (en) * 2016-10-03 2019-04-16 Paypal, Inc. Predictive analysis of computing patterns for preloaded data to reduce processing downtime
US10810571B2 (en) 2016-10-13 2020-10-20 Paypal, Inc. Location-based device and authentication system
US20190228105A1 (en) * 2018-01-24 2019-07-25 Rocket Fuel Inc. Dynamic website content optimization
US11531978B2 (en) * 2018-09-14 2022-12-20 Khizar Ahmad Khan Platform for managing mobile applications

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102474503A (zh) * 2009-08-14 2012-05-23 上海贝尔股份有限公司 客户端安全访问消息存储服务器的方法和相关设备
CN102752323A (zh) * 2011-04-18 2012-10-24 阿里巴巴集团控股有限公司 分布式session服务系统及方法
CN104321768A (zh) * 2012-03-19 2015-01-28 法国埃布尔公司 用于执行应用程序以通过浏览电信网络查阅可访问的内容和服务的方法和系统
CN102999368A (zh) * 2012-12-14 2013-03-27 广东欧珀移动通信有限公司 移动终端中程序预先启动方法、装置及移动终端
CN105431822A (zh) * 2013-06-12 2016-03-23 微软技术许可有限责任公司 应用的预测预启动
US20170142219A1 (en) * 2014-05-09 2017-05-18 Amazon Technologies, Inc. Client-side predictive caching for content
CN108293057A (zh) * 2015-12-03 2018-07-17 微软技术许可有限责任公司 用于通信信令的数据压缩
CN108762836A (zh) * 2018-05-21 2018-11-06 Oppo广东移动通信有限公司 预加载应用的管理方法、装置、存储介质及智能终端

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113922984A (zh) * 2021-09-02 2022-01-11 成都安恒信息技术有限公司 一种客户端应用的网络访问识别和管控方法
CN113922984B (zh) * 2021-09-02 2024-02-02 成都安恒信息技术有限公司 一种客户端应用的网络访问识别和管控方法

Also Published As

Publication number Publication date
WO2020097185A2 (en) 2020-05-14
AU2019374799A1 (en) 2021-05-20
EP3878159B1 (en) 2023-07-19
WO2020097185A3 (en) 2020-07-23
US11153285B2 (en) 2021-10-19
US20220070151A1 (en) 2022-03-03
US20200145385A1 (en) 2020-05-07
US11647005B2 (en) 2023-05-09
EP3878159A2 (en) 2021-09-15
CA3118694A1 (en) 2020-05-14

Similar Documents

Publication Publication Date Title
US11647005B2 (en) Systems and methods for application pre-launch
CN112997153B (zh) 用于经由嵌入式浏览器跨不同的saas应用的一致的执行策略的系统和方法
US11558484B2 (en) Systems and methods for secure peer-to-peer caching
US12028338B2 (en) Systems and methods for secure SAAS redirection from native applications
CN112313652A (zh) 用于经由嵌入式浏览器提供数据丢失防护的系统和方法
CN112956171B (zh) 用于维持和传输saas会话状态的系统和方法
CN112930670A (zh) 用于网络应用的集成服务发现的系统和方法
CN112913213A (zh) 用于为经由客户机应用的嵌入式浏览器访问的网络应用呈现附加内容的系统和方法
CN113168420B (zh) 用于使用嵌入式浏览器在远程应用内呈现Web链接的系统和方法
CN112805982B (zh) 用于跨域应用的应用脚本
CN113316924B (zh) 用于saas应用的推送通知服务的系统和方法
CN112997180A (zh) 用于将基于html的应用与嵌入式浏览器集成的系统和方法
CN113168350A (zh) 用于各种应用之间的桥接协议的系统和方法
CN113260980B (zh) 用于实时saas对象的系统和方法
CN112292669A (zh) 用于嵌入式浏览器的系统和方法
US20220094672A1 (en) Systems and methods for encrypted browser cache
CN113302608B (zh) 用于saas应用的智能感知的系统和方法
CN113260978A (zh) 用于经由前缀高速缓存进行等待时间掩蔽的系统和方法
CN113272788A (zh) 用于saas的实时图块的系统和方法
CN113039769A (zh) 用于经由嵌入式浏览器深度链接saas应用的系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210730