用於遠程訪問應用程式的渲染服務的製作方法

2023-08-09 21:09:26

專利名稱：用於遠程訪問應用程式的渲染服務的製作方法
技術領域：
本發明涉及以提高的保密性級別對應用程式提供遠程訪問。特別地，本發明指的是託管應用程式的伺服器，客戶端可以經由保密的通信信道訪問應用程式。被訪問的應用程式的輸出在伺服器上被渲染，並且藉助於加密的數據流被提供給客戶端。
背景技術：
現代的應用程式需要高的保密性級別。特別地，許多聯機服務需要能夠保密的訪問敏感數據的保密方法。但是，當前的應用程式往往不能供應期望的保密性級別。一個理由是，由於用戶處理的操作不能完全地被例如(可靠的)中央系統所保護，因此在用戶的裝置上處理的操作傾向於以各種方式被操縱。舉例來說，在客戶端上執行的典型的應用程式可以連接到伺服器以檢索保密性關 鍵數據。該應用程式可以執行用戶的認證，並且可以將保密性關鍵數據從伺服器傳送到客戶端。如果客戶端上的應用程式被操縱或被黑客攻擊，則入侵者可以獲得對認證數據的訪問，並且可以監視或操縱傳送到客戶端的保密性關鍵數據。同樣，例如，通過採用漏洞利用或擊鍵記錄器，以及通過數據包的捕獲或者認證數據的網上誘騙或者允許稍後以不希望的方式再使用監視數據的其他不希望的數據監視、操縱或損壞，可以監視用戶錄入的數據以及在伺服器和客戶端之間通信的數據。促成這種攻擊的一個理由是，用戶可能在可能不可靠的系統上執行應用程式。例如，通過各種類型的惡意代碼，該系統可以被損壞，各種類型的惡意代碼諸如是間諜軟體、病毒、木馬或馬威爾、保密性漏洞利用、或允許訪問和操縱在應用程式和被訪問的聯機服務之間通信的數據的其他代碼。另一個保密性問題涉及應用程式的未被授權的執行，其中從伺服器被傳送到這種應用程式的數據可以以未被授權的方式被使用。這是由於安裝在客戶端裝置上的應用程式和數據可能傾向於惡意操縱和未被授權的訪問的事實。相關代碼可能被修改，以致應用程式供應者的伺服器將不能夠正確地認證應用程式的完整性，可能導致將保密性關鍵數據傳送到未被授權的應用程式。處理這種保密性問題的常用方法包括加密方法的使用，以及例如,通過例如證書或其他密碼的籤名和方法，檢查應用程式和系統的完整性。但是，仍然存在計算機保密性技術的一個核心問題，即，在未保密的客戶端或系統上執行的每段代碼可以容易地被攻擊或操縱，並且因此產生保密性威脅。因此，本發明的目的是提高應用程式的保密性級別和完整性。

發明內容
通過如獨立權利要求中限定的對應用程式提供訪問的伺服器和方法來解決這個問題。該發明的伺服器和方法的較佳實施例被限定在從屬權利要求書中。根據本發明的用於對應用程式提供訪問的伺服器，包括將客戶端與所述伺服器連接的輸入信道和輸出信道，耦接到所述輸入信道和應用程式的接口，所述接口經由所述輸入信道從所述客戶端接收輸入數據並且將所述接收的輸入數據傳送到應用程式，和耦接到所述輸出信道和所述應用程式的渲染器，所述渲染器將所述應用程式的輸出渲染成數據流，該數據流經由輸出信道被傳送到客戶端，其中輸入數據和數據流兩者都被加密。伺服器提供在客戶端和應用程式之間的通信接口，應用程式諸如是保密性關鍵應用程式或聯機服務。該通信經由兩個獨立的信道，輸入信道和輸出信道被建立，並且分別通過伺服器的接口和渲染器被調解。兩個信道可以被建立在一個網絡連接之內。但是，較佳地，兩個信道是獨立於彼此建立的完全分開的信道。因而，如果一個信道被監視，入侵者不能自動地獲得對另一個信道的通信數據的訪問。輸入信道以加密的方式將輸入數據從客戶端傳遞迴到伺服器。輸入信道被耦接到伺服器的接口，伺服器被配置成向應用程式供應所述接收的輸入數據。加密的輸入數據可以在伺服器的接口中被解碼並且經由保密的連接被供應給應用程式，或者接口可以被配置成直接將加密的輸入數據傳給應用程式，而不對所述輸入數據進行解碼，無論在哪種情況下，應用程式看管解碼輸入數據。 應用程式接收輸入數據，以便控制執行，或者更新當前的運行狀態。在響應中，應用程式產生輸出並且將所述輸出數據提供給伺服器的渲染器。渲染器被配置成接收和處理各種級別的應用程式的各種類型的輸出數據，包括低級別的更新命令，例如，對諸如圖形或音頻程序庫的輸出程序庫的接口，或者應用程式的已經渲染的輸出的調用。較佳地，輸出數據經由保密的連接被傳送到渲染器。渲染器被配置成接收和處理輸出數據並且產生數據流，該數據流經由輸出信道被傳送到客戶端。較佳地，數據流被加密，以致只可能通過接收客戶端被解密。另外或作為替換，輸出信道也可以被加密，從而降低竊聽的風險。因為在獨立於連接的客戶端裝置的規格的伺服器上完成渲染，應用程式的渲染的輸出的質量可以是非常高的，並且可以例如包括非常詳細的三維圖形對象的豐富表示以及聲音效果和音樂的豐富表示。因此，客戶端不涉及任何渲染任務並且不需要附加的渲染資源。客戶端僅僅必須能夠充分地表示從伺服器接收的輸出數據流。因此，該發明的方法允許在任何客戶端裝置上的最高質量的輸出，僅僅受到伺服器的渲染能力和資源限制。因為伺服器經由耦接到用於接收輸入的輸入信道的接口和耦接到用於傳輸輸出數據流的輸出信道的渲染器來完全地控制訪問，所以該發明的伺服器以提高的保密性級別提供對應用程式的訪問，較佳地對保密性關鍵應用程式或聯機服務程序的訪問。因而，客戶端沒有被直接地連接到由伺服器託管(host)的應用程式，並且特別地，客戶端對由伺服器上的應用程式所使用的任何數據具有不直接或間接的訪問。客戶端僅僅必須能夠連接到伺服器，解碼和顯示接收的數據流，以及加密和發送輸入數據到伺服器。因此，客戶端僅僅必須符合伺服器的通信接口，而不必對伺服器上託管的應用程式的任何通信和訪問細節具有任何具體知識。客戶端甚至可以完全不知道訪問的應用程式的類型和規格以及應用程式的任何附加功能性。因此，因為沒有直接的保密性關鍵弱點，諸如專門的接口或下載的保密性數據，所以在客戶端側完成的任何保密性相關操縱無效，或者在伺服器檢測操縱，在這種情況下，伺服器可以阻斷對託管的應用程式的訪問。事實上，客戶端裝置上的用戶僅僅對輸出數據流有影響。任何用戶的影響，諸如單擊屏幕上的按鈕或錄入密鑰，在客戶端內不引起任何直接的功能性處理，而是相反地被傳送到伺服器作為輸入數據，它們被處理並被供應給由伺服器託管的各個應用程式。同樣，伺服器本身較佳地可以僅僅具有為客戶端的各個動作所需的數據。特別地，應用程式和任何相關的數據較佳地通過伺服器的接口和渲染器與客戶端保持分開。此外，因為兩個通信信道被加密並且較佳地完全獨立於彼此地運行，所以不能通過截取客戶端和伺服器之間的通信來攻擊或劫持系統。因此，對由伺服器託管的具體應用程式的訪問只可能在客戶端上，在客戶端處，兩個信道匯合，即在客戶端處，經由輸出信道傳送的數據流被接收並且經由輸入信道傳送的輸入數據被產生。特別地，將需要劫持通信信道和解密輸出數據流的輸出信道的竊聽，在沒有可能對應用程式有影響的情況下，將最多只能允許監視或操縱應用程式輸出。同樣，因為沒有監視應用程式的結果的可能，所以輸入信道的竊聽(和解碼)將只允許監視輸入或(盲目地)包括附加數據。因此，僅僅在客戶端裝置處，用戶可以完全地對應用程式有影響。
該發明的伺服器允許聯機運行應用程式，而不是下載該應用程式或該應用程式的一部分，進一步提高保密性，大大地簡化了客戶端裝置上的應用程式的安裝和維護。為了顯示數據流，應用程式的用戶可以從能夠連接伺服器並與伺服器通信的以及滿足渲染器的最低要求的任何裝置訪問該應用程式。此外，因為應用程式沒有被安裝，而是僅僅經由伺服器被啟動(聯機)和使用，所以應用程式的用戶必定可以總是訪問相同的以及最新的應用程式，而不管他們從什麼類型的客戶端裝置訪問應用程式。在本發明的特別較佳實施例中，所述應用程式在環境中被執行。較佳地，伺服器的所述接口和所述渲染器經由保密的連接被耦接到該環境，保密的連接例如通過傳送數據的加密和驗證，保證了通信數據的高的保密性級別和完整性。該環境可以在包括其自身的硬體和作業系統的專用系統上被支持，或者可以被例示作為虛擬環境，諸如與伺服器上的其他環境位於同一位置的虛擬機。該環境也可以是表示保密的環境或者安全區的更限制的環境，諸如具有有限的相互影響能力的沙箱。該環境可以被配置成僅僅允許經由與伺服器的接口和渲染器的保密連接，對應用程式的訪問，以致任何其他通信請求通過該環境被阻斷。因而，每個應用程式被較佳地託管在其自身的環境中，並且完全地與其他應用程式或者任何不受控制的訪問隔離。伺服器較佳地使得第三方應用程式供應者能夠上傳應用程式，以及在保密的環境中執行這些應用程式。在應用程式可以通過各個第三方應用程式供應者被管理的同時，月艮務器及其部件和服務，諸如接口、渲染器、通信數據的加密和解碼，以及伺服器基礎結構可以通過伺服器的擁有者或供應者被提供和管理，伺服器的擁有者或供應者可以不同於第三方應用程式供應者。伺服器可以提供用於第三方應用程式供應者的服務以在安全區中運行它們的應用程式，以及可以允許這些應用程式的用戶以保密的方式使用它們，這保證了沒有入侵者的操縱可以損害應用程式的任何敏感數據或功能。較佳地，所述環境位於伺服器上。伺服器的作業系統較佳地具有例示諸如保密的環境或虛擬機的用於執行應用程式的環境的能力，保密的環境或虛擬機可以只限於較佳地經由保密連接對伺服器的接口和渲染器有影響。連接可以藉助於系統和作業系統的通信功能被建立，或者可以使用通信等級的情況，通信等級被較佳地設計和配置成保護數據免於在系統部件之間傳遞的期間被未授權的訪問。例如，要被傳遞的數據可以暫時地被存儲或者高速緩衝存儲在共享的內存、高速緩衝存儲器或者存儲器中，同時傳遞的數據的指示器被傳給接收部件。較佳地，傳遞的數據被加密並且被存儲在共享的內存或者高速緩衝存儲器中的存儲目標中，並且只有在包含該數據的存儲目標正在被授權的接收部件請求的情況下才被解碼。因而，為了使得可能的保密性威脅最小化，即使執行應用程式的環境正位於還對所述應用程式授予訪問的相同伺服器的同一位置上，伺服器也被配置成密閉和將連接到客戶端和執行應用程式的所述環境的伺服器部件分開，以及保護傳送的數據。在本發明的較佳實施例，伺服器進一步包括用於設立環境以及管理在所述環境中的應用程式的管理部件。較佳地，管理部件允許第三方應用程式供應者將應用程式上傳到伺服器上的指定環境。特別地，應用程式將不能被安裝在上傳該應用程式的伺服器以外的任何其他系統上。因此，該應用程式必須只能在一個系統上被測試，以及將總是以同樣的方式運行和表現，而不管客戶端裝置上的客戶端硬體或作業系統。因為應用程式僅僅經由伺服器接口和渲染器對客戶端有影響，所以不需要對其他硬體或系統的適配。諸如通過上傳和安裝該安裝的應用程式的修復、升級、更新或改變，管理部件進一步使得第三方應用程式 供應者能夠更新他們的應用程式。為了確保應用程式和相關數據的最大保密性，管理部件可以包括傳遞途徑，該傳遞途徑由伺服器供應者提供，但是在第三方應用程式供應者的完全控制之下。同樣，第三方應用程式供應者具有應用程式管理的完全控制，並且不取決於來自伺服器供應者的支持。為了保護管理部件免於不希望的訪問，管理部件較佳地滿足用於聯機訪問的高保密性標準，並且為了安裝和管理應用程式，管理部件甚至可以需要第三方應用程式供應者與伺服器的局部或直接連接。另外，管理部件可以僅僅具有對相應的應用程式的訪問。伺服器的其他部件或由伺服器託管的其他應用程式較佳地通過管理部件是不可訪問的。在本發明的另一個特別較佳的實施例中，所述環境進一步地包括耦接到所述應用程式的資料庫。資料庫可以在內存或任何其他數據存儲器中存儲數據，資料庫較佳地整體地被連結到環境，諸如環境的內存空間或數據存儲器或者分開的數據存儲器，資料庫在環境內是可訪問。為了進一步保護數據免於被未授權的訪問，資料庫可以存儲較佳地與應用程式本身分開的保密性關鍵的或敏感的數據。因而，在沒有其相應數據的情況下，應用程式可以被上傳到各個環境。同樣，伺服器本身較佳地僅僅訪問為當前動作所需的數據以及為訪問環境內的應用程式所需的數據，同時數據源或任何敏感數據保持在資料庫中。經由內部連接，較佳地經由執行應用程式的環境內的保密的連接，可以通過應用程式訪問資料庫。內部連接可以類似於在伺服器的接口和渲染器以及環境之間的保密連接。但是，因為內部連接被設置在環境內，所以存儲在資料庫中的數據較佳地從不離開環境，並且因此不能例如通過伺服器的部件或作業系統從環境的外面被截取。特別地，應用程式和資料庫之間的內部連接對於訪問應用程式的任何客戶端是不可見的。任何來自與敏感數據相關的客戶端的請求通過伺服器被處理，伺服器將該請求傳送到應用程式，應用程式又為請求的數據查詢資料庫。但是，客戶端以及伺服器沒有被授予對資料庫的直接訪問。更確切地，任何對資料庫的訪問通過應用程式本身被處理，並且僅僅應用程式的輸出被提供給伺服器的渲染器用於最後的渲染，以及將輸出傳輸到客戶端。較佳地，每個應用程式被連接到環境內的其自身的資料庫或多個資料庫，環境又可以僅僅被直接耦接到這些具體的應用程式。資料庫基礎結構可以通過伺服器供應者、第三方應用程式供應者、或第三方數據供應者被提供。較佳地，資料庫以及資料庫內存儲的數據可以通過第三方應用程式供應者或第三方數據供應者被控制和管理。因而，數據較佳地保持在一個或兩個第三方供應者的完全控制下，並且為了最大的安全，只能通過應用程式被訪問。在本發明的又一個較佳實施例中，接口和渲染器被耦接到在一個以上的附加環境中執行的一個以上的附加應用程式。較佳地，所述一個以上的附加環境中的每個附加環境以相同的方式被配置作為環境，並且可以包括與該環境類似的或相同的部件和保密性特徵，諸如連接、資料庫、以及傳遞的數據的加密和解密。特別地，所述一個以上的附加環境中的每個附加環境可以位於伺服器或位於分開的系統或資源上。同樣地，所述一個以上的附加環境中的每個附加環境可以被實現作為具有各自的作業系統的分開的硬體，或者作為作業系統內的虛擬環境，諸如虛擬機或沙箱。為了將通過訪問應用程式的客戶端接收的輸入數據供應給相關的環境以及將各個應用程式的輸出提供給渲染器用於傳送到所述客戶端，包括接口和渲染器的伺服器及其部件較佳地經由諸如保密連接的連接被較佳地耦接到所述一個以上的附加環境中的每個附加環境。伺服器可以允許多個第三方應用程式供應者經由伺服器將他們的應用程式上傳到相應的環境，以致所有的應用程式在相應的環境中具有 他們自己空間並且彼此被密封。較佳地，每個第三方應用程式供應者在給定的限制內管理在相關環境中的他的應用程式或者多個他的應用程式。特別地，沒有其他的第三方應用程式供應者可以被允許訪問其他第三方應用程式供應者的任何應用程式。根據本發明的較佳實施例，數據流包括音頻流和視頻流，其中使用音頻編碼解碼器壓縮音頻流，使用視頻編碼解碼器壓縮視頻流，以及編碼的音頻流和視頻流被彙編在貯存器比特流中。較佳地，數據流是多模式數據流或者多媒體數據流。多媒體數據流可以包括由渲染器從訪問的應用程式的輸出產生的視頻流和/或音頻流。例如，渲染器可以將應用程式的可視輸出變換成視頻流。類似地，渲染器可以將應用程式的任何附加輸出或者替換輸出，諸如音頻輸出或者其他形態的輸出數據，變換成相應的數據流。較佳地，渲染器不局限於二維可視輸出數據，並且可以例如能夠接收應用程式的立體輸出和相關命令，以及產生兩個視頻流或者一個交錯的視頻流，傳遞用於各個眼睛的可視數據。類似地，渲染器也可以能夠產生攜帶立體聲數據的音頻流以及用於其他多維多模式數據的數據流。音頻編碼解碼器可以是能夠接收音頻輸出並且產生諸如WMA、AAC或Vorbis的音頻數據流的任何編碼技術。較佳地，音頻編碼解碼器可以支持音頻流的加密。類似地，視頻編碼解碼器可以是能夠接收視頻輸出並且產生諸如WMV或MPEG-4的視頻數據流的任何編碼技術。較佳地，視頻編碼解碼器也可以支持視頻流的加密。用於產生音頻流或視頻流或者較佳地支持相關輸入數據流的加密的其他形態的任何流，或者考慮到結果的音頻或視頻流或者另一個形態的任何流的後續加密的其他編碼解碼器也可以被使用。貯存器比特流可以是配置成容納一個以上的數據流的任何適當的比特流，諸如ASF或ISMA。但是，較佳地考慮到結果的貯存器比特流的後續加密，也可以使用其他適當的貯存比特流。在本發明的較佳實施例中，輸入數據包括鍵擊、滑鼠數據、接觸數據、照相信息、手指掃描、信用卡掃描和ID掃描中的一個或多個。特別地，為了控制應用程式，較佳地除可執行的命令或功能之外，輸入數據可以包括通常錄入的任何數據。在本發明的特別較佳實施例中，接口被進一步配置成認證所述客戶端，所述客戶端包括經由加密的傳送從所述客戶端接收認證數據、以及利用所述應用程式來驗證認證數據。較佳地，用戶可以通過將客戶端連接到伺服器並且請求對應用程式的訪問來激活服務。伺服器可以開始加密的視頻流的流出，請求客戶端上的用戶的認證。用戶可以錄入他的認證並且經由加密的傳送來發送相應的認證數據到伺服器。較佳地，認證數據被傳給請求的應用程式，並且由請求的應用程式驗證。只有當應用程式接受用戶的認證時，伺服器才可以向客戶端建立數據流，傳遞請求的應用程式的輸出。為了認證用戶，伺服器可以使用輸入信道和輸出信道中的一個或兩個。例如，伺服器可以僅僅在建立用於使應用程式的輸出流出到客戶端的輸出信道之前，使用於認證的加密的請求流出，以及通過輸入信道接收認證數據。伺服器也可以首先建立兩個信道，以及使用輸出信道以使認證請求流出和使用輸入信道以接收認證數據。較佳地，根據任何適當的認證協議來執行認證，包括證書、密鑰及其他參數以及加密口令、ID或手指掃描等，諸如CHAP、PAP、EAP或Kerberos協議的交換。
在本發明的較佳實施例中，基於客戶端的認證，使用公共密鑰算法或對稱密鑰算法，加密數據流。較佳地，可以使用對稱密鑰方法，較佳地使用分組密碼或流密碼，諸如AES (Rijndael)、DES、3DES、Serpent、RC4等，來加密數據流和/或輸出信道。同樣，為了加密數據流和/或輸出信道，可以使用非對稱加密技術，諸如迪菲-赫爾曼(Diffie-Hellman)、橢圓曲線算法、RSA等。較佳地，選擇允許迅速地解密數據流而不過度使用客戶端裝置上的資源的加密技術，但是，不損害用於訪問應用程式的所選定的保密性級別。例如，為了使數據流的任何未授權的解碼複雜化，同時使得能夠快速解碼數據流，分組或流密碼可以被選擇並且在流出期間經常地被改變。在本發明的又一個較佳實施例中，使用公共密鑰算法或對稱密鑰算法來加密輸入數據。較佳地，為了加密輸入數據和/或輸入信道，使用非對稱加密技術，諸如迪菲-赫爾曼(Diffie-Hellman)、橢圓曲線算法、RSA等。但是，也可以使用對稱密鑰方法，諸如AES(Rijndael)、DES、3DES、Serpent等，來加密輸入數據和/或輸入信道。輸入數據的加密也可以基於所述客戶端的認證的結果。因為在伺服器上執行解碼，並且因此在這點上沒有限制，所以關於客戶端的解碼資源，輸入數據和/或輸入信道的加密不必強加限制。較佳地，選擇考慮到利用客戶端裝置上的有限資源快速加密的加密技術。但是，將理解，必須選擇保證期望的保密性級別的適當的加密技術。較佳地，附加的加密數據也可以經由輸出信道被傳送到客戶端。這種附加數據可以包括用於在客戶端處運行的應用程式的控制數據、認證數據或其他保密性相關的數據。附加數據可以通過應用程式被加密，被傳給伺服器的渲染器，以及經由輸出信道直接被傳送到客戶端。渲染器也可以從應用程式接收原始的未加密的附加數據，加密該數據，以及將該數據與數據流一起傳送到客戶端。例如，除了應用程式的輸出的視頻流之外，應用程式可以傳遞非視頻數據到渲染器，需要時非視頻數據被傳送到客戶端。在本發明的特別較佳實施例中，客戶端通過小型客戶端應用程式或嵌入網頁中的應用程式連接到伺服器。客戶端裝置可以是能夠與伺服器連接的常規的個人計算機、膝上型電腦、可攜式裝置、智慧型電話、能夠上網的TV或任何其他通信裝置。特別地，為了通過伺服器訪問所述應用程式，在客戶端裝置上不需要專門的資源，諸如高端圖形卡或渲染部件，或者提高的處理能力。客戶端裝置只需要向伺服器分別建立輸入信道和輸出信道，以便發送輸入數據到伺服器以及顯示在伺服器處渲染的數據流。較佳地，客戶端裝置執行所述小型客戶端應用程式，所述小型客戶端應用程式可以被預先安裝在該裝置上或者可以從伺服器下載。客戶端裝置也可以通過執行環球網瀏覽器以及顯示網頁或包括代碼的文件來連接到伺服器，以便訪問所述伺服器。因而，客戶端應用程式不必被安裝在客戶端裝置上。因為在伺服器上完成所有的計算和渲染，所以該方法確保了相同的高輸出質量和同樣的計算結果，而不管連接到伺服器的客戶端裝置的種類。較佳地，在網際網路或寬帶網絡內建立輸入信道和輸出信道。寬帶網絡可以是能夠以適當的數據速度傳遞數據流和信息的任何網 絡，適當的數據速度可以是足夠高的，以便以低的等待時間將輸出供應到客戶端以及將輸入供應到伺服器，低的等待時間較佳地是小於200ms，最較佳地的是大約或小於100ms，以及特別優先的是小於35ms。因為輸入和輸出信道較佳地被彼此分開，所以也可以使用網絡組合，諸如衛星網絡和網際網路的組合，其中輸入信道通過網際網路被建立，並且數據流經由輸出信道通過衛星網絡被傳送到客戶端。寬帶網絡也可以是任何有線電視網、輸電線網絡、ATM網、或行動網路，諸如3GPP長期演進技術(LTE)或符合4G或5G網絡標準的網絡。較佳地，可以使用獨立於被使用的客戶端裝置的TCP/IP經由網際網路建立輸入和輸出信道。此外，根據本發明的系統包括根據本發明的實施例的伺服器，一個以上的客戶端和容納一個以上的所述輸入和輸出信道的通信網絡，其中所述一個以上的所述輸入和輸出信道中的每一個被配置成將所述一個以上的客戶端中的一個客戶端與所述伺服器連接。根據本發明的用於對應用程式提供訪問的方法，包括經由輸入信道和輸出信道將客戶端與伺服器連接，經由所述輸入信道從所述客戶端接收輸入數據，將所述接收的輸入數據傳送到應用程式，將所述應用程式的輸出渲染成數據流，以及經由輸出信道將所述數據流傳送到客戶端，其中輸入數據和數據流兩者都被加密。較佳地，所述輸入數據通過伺服器的接口被接收，以及所述應用程式輸出通過伺服器的渲染器被渲染。較佳地，伺服器的所述接口和渲染器經由諸如保密連接的連接被耦接到所述應用程式。因為應用程式僅僅通過伺服器被訪問並且不必在客戶端本身上被下載、安裝或執行，所以該發明的方法大大地提高了用於訪問諸如保密性關鍵應用程式或聯機服務的應用程式的保密性級別。所有相關的輸入和輸出數據分別在伺服器和客戶端之間在兩個分開的保密的通信信道中被傳送，所有相關的輸入和輸出數據僅僅包括已經渲染的輸出數據和輸入數據，不能獨立於彼此被有目的地解碼。此外，應用程式可以被完全地保護免於任何未授權的訪問。因此，關於應用程式或通信信道的任何操縱、修改、劫持或其他攻擊是極其困難的、不可行的、乃至不可能的。在本發明的較佳實施例中，該方法進一步包括在環境中執行所述應用程式。較佳地，該方法進一步包括在伺服器上提供所述環境。在本發明的特別較佳實施例，該方法進一步包括通過伺服器的管理部件來設立環境以及管理在所述環境中的應用程式。因而，該環境可以被指定為可以設立環境和管理應用程式的第三方應用程式供應者。較佳地，第三方應用程式供應者可以在該環境內安裝、測試、更新或修復應用程式。所有的其他功能和服務通過伺服器被提供，並且較佳地，不能被第三方應用程式供應者修改。在本發明的又一個較佳實施例中，該方法進一步包括訪問所述環境中的資料庫的所述應用程式。較佳地，在所述環境內經由內部的保密連接訪問所述資料庫。
在本發明的又一個較佳實施例中，該方法進一步包括提供在一個以上的附加環境中執行的一個以上的附加應用程式。較佳地，為了提供對每個託管的應用程式的訪問，所述伺服器的所述接口和渲染器被耦接到所述一個以上的附加環境。根據本發明的另一個較佳實施例，該方法進一步包括經由輸出信道將附加的加密數據傳送到客戶端。所述附加的加密數據的傳送可以包括將附加數據和數據流插入到貯存器流中，以及加密貯存器流和/或使加密的數據流與所述加密的附加數據交錯。根據本發明的特別較佳實施例，所述渲染包括將音頻流和視頻流渲染成所述數據流，使用音頻編碼解碼器來對音頻流進行編碼，使用視頻編碼解碼器來對視頻流進行編碼，以及將編碼的音頻流和視頻流彙編在貯存器比特流中。此外，數據流可以是任何多模式數據流或者多媒體數據流。在本發明的又一個較佳實施例中，所述方法進一步包括認證所述客戶端，所述客戶端包括經由加密的傳送從所述客戶端接收認證數據、以及利用所述應用程式來驗證認證 數據。輸入信道或輸出信道或兩個信道可以被用於請求客戶端的認證以及將所述認證數據傳送到伺服器。同時，為了保密地認證所述客戶端，可以建立和使用另外的通信信道。在本發明的特別較佳實施例中，該方法進一步包括基於客戶端的認證使用公共密鑰算法或對稱密鑰算法來加密數據流，以及使用公共密鑰算法或對稱密鑰算法來加密輸入數據。較佳地，所述加密輸入數據也可以基於客戶端的認證的結果。根據本發明的特別較佳實施例，客戶端通過小型客戶端應用程式或嵌入網頁中的應用程式連接到伺服器。特別地，該方法可以進一步包括在網際網路或寬帶網絡內建立輸入信道和輸出信道。此外，根據本發明的電腦程式產品包括一個以上的計算機可讀介質，在其上存儲有程序代碼，其中所述程序代碼意指當在伺服器上被安裝和執行時，使得伺服器執行根據本發明的實施例的方法。


下面結合附圖以舉例說明本發明的實施例的方式描述本發明的進一步的細節和特徵，其中圖I顯示為了訪問伺服器上託管的應用程式而連接到根據本發明的實施例的伺服器的客戶端的不意圖；圖2圖示根據本發明的實施例的伺服器的基礎結構，包括在伺服器的接口和渲染器(renderer)以及託管應用程式和相關資料庫的環境之間的通信；圖3顯示根據本發明的實施例的伺服器的配置，該伺服器包括多個環境，每個環境託管分開的應用程式和資料庫；和圖4a和4b圖示根據本發明的實施例的用於對應用程式提供訪問的方法的流程圖。
具體實施例方式圖I顯示根據本發明的實施例的用於提供對應用程式的訪問的伺服器100，其中伺服器100通過輸入信道120和輸出信道130與客戶端110連接。伺服器100可以是能夠提供聯機服務的專用伺服器、雲伺服器或任何適當的伺服器。伺服器100可以包括渲染器140和接口 150，渲染器140和接口 150較佳地通過伺服器100被露出或提供作為服務。伺服器100也可以被連接到封裝應用程式170的環境160，環境160例如是安全區、虛擬機或沙箱，應用程式170諸如是需要提高的保密性級別和數據完整性的聯機應用程式、環球網服務應用程式(web service)、雲應用程式、遊戲應用程式、保密性關鍵應用程式或任何應用程式。渲染器140和接口 150藉助於連接180，較佳地藉助於保密的或加密的連接，被較佳地耦接到環境160。雖然客戶端110、伺服器100及其服務140、150可以位於公共區域或例如可以通過網際網路訪問的網絡中，但是應用程式170隻可以通過伺服器100被訪問，並且較佳地不暴露於任何公共場所。伺服器100使得第三方應用程式供應者能夠將他們的應用程式上傳到保密的伺服器100上，並且保持環境160內的所有的關鍵數據。較佳地，應用程式170的輸出或呈現，例如，可視的或聲音的輸出，通過渲染器140以最高質量被渲染。由系統或伺服器供應者提供和維護的渲染器140可以是雲渲染器或者提供高質量的渲染數據的任何渲染服務。特別地，渲染器140不局限於任何類型的渲染器 或者不局限於用於某種形態的渲染器，諸如僅僅可視的渲染器。渲染器140可能能夠渲染用於不同形態和用於多個尺寸的輸出數據，諸如立體數據或者三維聲音。渲染器140可以連續地渲染應用程式170的輸出並且將結果饋送到數據流中，數據流經由輸出信道130被傳遞到客戶端110。因此，除渲染的數據流之外，沒有應用程式的數據或者信息同樣地離開伺服器100，渲染的數據流例如可以包括視頻流或者音頻流。因而，所有潛在的敏感數據或者信息保留在應用程式170或者環境160內，並且沒有應用程式170的實際數據被同樣地傳送到客戶端110。客戶端110可以是只對網際網路或者其他網絡提供訪問的任何適當的計算裝置，任何適當的計算裝置諸如是常規的個人計算機、膝上型電腦或者移動計算機、手提式裝置或者能夠與伺服器建立連接的任何裝置，能夠與伺服器建立連接的任何裝置諸如是平板計算機、個人數字助理、行動電話、智慧型電話、交互式電視裝置、視頻遊戲控制臺或者簡單的終端。為了在伺服器100上訪問應用程式170，客戶端110可以執行小型客戶端應用程式或者顯示包括用於訪問伺服器100的通信接口的網頁。較佳地，客戶端110上的與應用程式170的相互作用相關的所有輸入被加密並且經由輸入信道120被傳送到伺服器100的接口150，並且進一步地通過連接180被傳送到環境160中的應用程式170。同樣地，應用程式170的輸出可以經由連接180被傳送到渲染器140並且被渲染成數據流，該數據流可以被加密並且經由輸出信道130被傳送到客戶端110。客戶端110可以對接收的數據流進行解密，顯示被渲染的數據，並且再次通過輸入信道120將任何輸入發送給伺服器100。圖2圖示根據本發明的另一個實施例的伺服器100的基礎結構，包括在伺服器100的渲染器140和接口 150與環境160之間的通信，環境160託管所述應用程式170和相關的資料庫200。在這個實施例中，應用程式170的數據可以與應用程式170分開並且被存儲在資料庫200中。應用程式170和資料庫200兩者可以通過管理部件210被維護。較佳地，管理部件210使得第三方應用程式供應者能夠上傳和管理應用程式170。同樣，管理部件210可以允許第三方應用程式供應者和/或第三方數據供應者管理資料庫200並且將數據上傳到資料庫200。為了進一步提高保密性和數據一致性，應用程式170可以通過內部連接220來訪問資料庫200，內部連接220可以是保密的或者加密的連接。此外，為了使得第三方應用程式供應者能夠上傳、安裝和維護應用程式170，管理部件210可以使用連結230。類似的附加的連結或者所述連結230還可以被用於維護資料庫200以及被用於將數據上傳到資料庫200 中。在圖2的實施例中，應用程式170和存儲在資料庫200中的相應的數據較佳地被分開。數據保留在環境160內，並且在必要時只能通過應用程式170被訪問。特別地，通過第三方應用程式和/或數據供應者的各自的安全標準，數據可以被保密。較佳地，為了確保即使對環境160的成功攻擊也不能自動地導致對資料庫200的數據的完全訪問，應用程式170和資料庫200之間的內部連接220以較高的保密性級別被設立，例如，作為加密的連接或者另外保密的連接。內部連接220可以以與連接180類似的方式被設立。但是，因為內部連接220較佳地被完全地建立在環境160之內並且因此不能從外面被訪問，所以與連接180相比，內部連接220的保密性級別可以較低。資料庫200可以是考慮到對數據的保密訪問和數據的保密傳送的任何適當的數 據庫。較佳地，資料庫200通過管理部件210被管理。替代地或者另外，另外的資料庫管理部件可以被用於設立資料庫200以及維護數據。在舉例說明的實施例中，可以通過系統或伺服器供應者和/或通過第三方應用程式供應者來提供資料庫基礎結構，而且可以通過第三方數據供應者來上傳和維護數據。替代地，資料庫200還可以通過第三方數據供應者被提供和管理。類似地，所述資料庫200的數據也可以通過第三方應用程式供應者被提供和管理。較佳地，該發明的方法使得能夠在單獨的資料庫200中存儲數據。但是，每個應用程式170也可以包括在應用程式170或另一個存儲器之內的有關數據，諸如直接位於應用程式170的一個以上的文件，並且該發明的方法不局限於僅僅使用單獨的資料庫。圖3顯示根據本發明的實施例的伺服器100的配置，伺服器100包括多個環境360a、360b、360c、360d，各自託管應用程式 370a、370b、370c、370d 以及資料庫 300a、300b、300c、300d。每個環境 360a、360b、360c、360d 可以通過連接 180a、180b、180c、180d 與伺服器100的渲染器140和接口 150耦接。較佳地，每個環境360a、360b、360c、360d執行單個的、分開的應用程式370a、370b、370c、370d，例如，醫療管理應用程式370a、聯機銀行業務370b、遠程訪問應用程式370c或聯機商店370d。但是，將理解這些應用程式僅僅是需要提高的保密性級別的應用程式的實例，並且本發明不局限於這些具體的舉例說明的應用程式。較佳地，在每個環境360a、360b、360c、360d中，相應的應用程式370a、370b、370c、370d經由內部連接320a、320b、320c、320d被連接到相關的資料庫300a、300b、300c、300d。每個應用程式370a、370b、370c、370d也可以通過管理部件310a、310b、310c、310d被管理，管理部件310a、310b、310c、310d也可以被用於管理各個資料庫300a、300b、300c、300d。每個應用程式370a、370b、370c、370d和資料庫300a、300b、300c、300d可以分別被相同的或另一個第三方應用程式供應者和/或相同的或另一個第三方數據供應者所擁有並且控制。例如，健康保險公司可以使用環境360a，以便向諸如醫療從業者或其他授權人員的授權用戶提供他們的病人的健康記錄。由於健康記錄是非常機密和敏感的數據，因此它們被較佳地存儲在資料庫300a中，資料庫300a與所述醫療管理應用程式370a分開。授權用戶可以利用客戶端，通過伺服器100來訪問應用程式370a，以及請求存儲在資料庫300a中的病人的醫療記錄。不管客戶端裝置的渲染能力和性能，伺服器100的渲染器140以最高的解析度和質量來渲染請求的醫療記錄的任何文件，請求的醫療記錄的任何文件諸如是X射線或CT、MRI、或fMRI容量數據集的高解析度的圖像，從而允許授權用戶例如以極端放大的功能或渲染體積的快速轉動來交互地檢查圖像，極端放大的功能或渲染體積的快速轉動通常需要授權用戶的客戶端裝置上的提高的計算能力和資源。醫療記錄被存儲在資料庫300a中，資料庫300a可以被直接地託管在伺服器100上，或者可以被存儲在由第三方數據供應者擁有和管理的保密的伺服器上，第三方數據供應者例如是健康保險公司或健康記錄的另一個供應者。該發明的方法也可以例如被銀行所使用，以便經由銀行間的網絡將自動櫃員機或ATM相互連接到伺服器100。雖然銀行間的網絡可能已經符合高的保密性標準，但是可以通過將加密的視頻流而不是銀行業務數據傳輸到客戶端來進一步地提高保密性的級別。較佳地，同樣，諸如鍵盤輸入、信用卡號、PIN及其他數據輸入的任何輸入數據也可以以保密的方式被傳送到伺服器100。除了渲染的數據流之外，伺服器100可以進一步地以保密的方式將數據傳送到客戶端。例如，釋放ATM中的紙幣的實際控制可以從伺服器100被傳送回到各個客戶端。通過將所述應用程式的輸出和伺服器100上的附加信息組合成一個數據流，服務 器100上的輸出的渲染允許銀行在所述客戶端的屏幕上顯示諸如廣告的附加信息。例如，基於由銀行的本地分行提供的顧客或信息的概況或反饋，附加數據可以在必要時被單獨地更新。同樣，例如，銀行可以提供在環境360b中執行的所述聯機銀行業務應用程式370b。所有的財務數據保持與聯機銀行業務應用程式370b分開，並且被存儲在聯機資料庫300b中。在又一個實例，汽車製造商可以製造通過伺服器100訪問的汽車配置工具，其中顧客可以選擇所有可能的選項以定製汽車。即使客戶端應用程式在諸如舊的PC系統、行動電話、可上網的TV等的慢速乃至舊的裝置或具有有限資源的裝置上運行，伺服器100也可以隨處供應高的可視質量的相同輸出，諸如實時的車輛的流暢地渲染的視頻片斷。因而，在汽車經銷商的商店處提供的相同的應用程式可以經由網際網路在家被訪問。例如，配置工具可以被安裝作為在環境360c中執行的遠程訪問應用程式370c。聯機資料庫300c可以存儲由顧客選擇的個人配置，以及諸如由應用程式370c彙編的可用車輛和汽車部件的網格(mesh)、紋理及其他幾何數據的三維表示，個人配置和三維表示由伺服器100的渲染器140渲染被並且提供給用戶。同樣，公司可以在環境360d中設立聯機商店應用程式370d，例如，網絡商店。與聯機商店應用程式370d的業務相關的票據及其他財務交易需要提高的保密性級別，並且因此可以被存儲在單獨的資料庫300b中。由於聯機商店應用程式370d的輸出通過伺服器100的渲染器140被渲染並且因此獨立於訪問聯機商店應用程式370d的客戶端裝置的任何製圖硬體或其他資源和限制，所以即使聯機商店應用程式370d可以利用特製(fancy)的產品視頻以便與動畫界面和高解析度的紋理一起來為產品做廣告，聯機商店應用程式370d也保證在任何客戶端裝置上的相同的用戶體驗。因為對聯機商店應用程式370d的每個訪問以及聯機商店應用程式370d的輸出的渲染由伺服器100處理，所以沒有財務或票據數據或者任何產品數據同樣地需要被下載到客戶端裝置。同樣，因為所有的數據保持在相關的資料庫300d中，所以大大地降低了獲得對數據的未授權的訪問的任何可能性。進一步對於直接地在伺服器100上託管資料庫300d，資料庫300d也可以被設置在網絡商店擁有者的附加存儲器系統上。將理解，結合圖3中顯示的本發明的示範實施例描述的應用程式370a、370b、370c、370d僅僅是應用程式或保密性關鍵應用程式的實例，並且本發明不僅僅局限於這些應用程式。事實上，為了提高遠程訪問的保密性級別，可以由該發明的伺服器100託管任何應用程式。此外，該發明的方法提供了僅僅受伺服器100的渲染能力所限制的每個應用程式的最高質量的輸出，其中結果的輸出以相同的方式被顯示在每個客戶端裝置上。為了授予對所述應用程式370a、370b、370c、370d中的一個以上的應用程式的訪問，伺服器100的渲染器140和接口 150能夠對多個客戶端建立分開的連接·。作為替換，對於每個客戶端，分開的渲染器和接口可以被例示，以致伺服器100為每個客戶端提供分開的渲染器和接口。同時，每個分開的渲染器和接口可以通過分開的連接被連接到設置在伺服器100處的所有的應用程式370a、370b、370c、370d。替代地，依據請求，並且只有在成功認證之後當客戶端被授予對請求的應用程式370a、370b、370c、370d的訪問時，才可以建立每個分開的連接。圖4a和4b顯示根據本發明的實施例的用於授予對應用程式的訪問的方法400的流程圖。較佳地，方法400可以包括通過用戶激活服務並且連接到伺服器410。在成功連接之後，伺服器可以開始流出加密的視頻流420，並且請求用戶的認證430。用戶可以經由加密傳送錄入他的認證440，該認證可以經由加密的輸入信道從客戶端被傳送到伺服器。伺服器可以利用用戶請求的應用程式驗證認證數據450。如果認證是成功的，為了向用戶的裝置供應應用程式的渲染的輸出，伺服器可以對客戶端建立數據流460，該數據流諸如是通過加密的輸出信道保密的視頻和/或音頻流。用戶可以通過錄入輸入數據與渲染的輸出相互作用，輸入數據在諸如加密的輸入信道的分開的保密的反向信道上被傳送到伺服器470。應用程式通過伺服器接收輸入數據，並且將輸入數據處理作為直接的本地輸入480。因此，應用程式可以訪問應用程式數據，該應用程式數據例如可以從資料庫中被檢索。應用程式的輸出可以被發送給渲染器490，渲染器按照需要渲染或更新輸出的數據流500。更新的數據流較佳地經由加密的輸出信道被提供給客戶端，並且用戶可以繼續對應用程式有影響以及錄入另外的輸入數據470。用戶也可以退出對伺服器和應用程式的連接。即使已經關於示範實施例描述了本發明的方法，在沒有離開本發明的範圍的情況下，也可以實現關於描述的實例方法或伺服器的各種變形。例如，不同的渲染技術、加密技術、資料庫、將伺服器與客戶端連接的網絡、在伺服器和環境之內的連接和連結、以及伺服器和客戶端部件可以被用於實現本發明。同樣，本發明不局限於任何具體的網絡標準、通信協議以及網絡的類型，而且不局限於諸如音頻或視頻編碼解碼器的任何具體的編碼解碼器或比特流。此外，本發明可以在不同於描述的實例的權利要求書的範圍內被實施。特別地，實例的特徵可以以任何適當的方式被組合、省略或添加，並且可以在任何組合中對本發明具有重要性。
權利要求
1.一種用於對應用程式提供訪問的伺服器，其特徵在於，包括 將客戶端與所述伺服器連接的輸入信道和輸出信道； 耦接到所述輸入信道和應用程式的接口，所述接口經由所述輸入信道從所述客戶端接收輸入數據並且將所述接收的輸入數據傳送到應用程式；和 耦接到所述輸出信道和所述應用程式的渲染器，所述渲染器將所述應用程式的輸出渲染成數據流，所述數據流經由所述輸出信道被傳送到所述客戶端，其中所述輸入數據和所述數據流兩者都被加密。
2.如權利要求I所述的伺服器，其特徵在於，所述應用程式在環境中被執行。
3.如權利要求2所述的伺服器，其特徵在於，進一步包括管理部件，所述管理部件用於設立所述環境並且管理在所述環境中的所述應用程式。
4.如權利要求2所述的伺服器，其特徵在於，所述環境進一步包括耦接到所述應用程式的資料庫。
5.如權利要求2所述的伺服器，其特徵在於，所述接口和所述渲染器被耦接到在一個以上的附加環境中執行的一個以上的附加應用程式。
6.如權利要求I所述的伺服器，其特徵在於，所述數據流包括音頻流和視頻流，其中使用音頻編碼解碼器來壓縮所述音頻流，使用視頻編碼解碼器來壓縮所述視頻流，以及編碼的音頻流和視頻流被彙編在貯存器比特流中。
7.如權利要求I所述的伺服器，其特徵在於，所述輸入數據包括鍵擊、滑鼠數據、接觸數據、照相信息、手指掃描、信用卡掃描和ID掃描中的一個或多個。
8.如權利要求I所述的伺服器，其特徵在於，所述接口被進一步配置成認證所述客戶端，所述認證所述客戶端包括經由加密的傳送從所述客戶端接收認證數據、以及利用所述應用程式來驗證所述認證數據。
9.如權利要求8所述的伺服器，其特徵在於，基於所述客戶端的所述認證，使用公共密鑰算法或對稱密鑰算法加密所述數據流，以及使用公共密鑰算法或對稱密鑰算法加密所述輸入數據。
10.如權利要求I所述的伺服器，其特徵在於，所述客戶端通過小型客戶端應用程式或嵌入網頁中的應用程式連接到所述伺服器。
11.一種用於對應用程式提供訪問的方法，其特徵在於，包括 經由輸入信道和輸出信道將客戶端與伺服器連接； 經由所述輸入信道從所述客戶端接收輸入數據； 將所述接收的輸入數據傳送到應用程式； 將所述應用程式的輸出渲染成數據流；和 經由所述輸出信道將所述數據流傳送到所述客戶端，其中所述輸入數據和所述數據流兩者都被加密。
12.如權利要求11所述的方法，其特徵在於，進一步包括在環境中執行所述應用程式。
13.如權利要求12所述的方法，其特徵在於，進一步包括通過所述伺服器的管理部件來設立所述環境，並且管理所述環境中的所述應用程式。
14.如權利要求12所述的方法，其特徵在於，進一步包括所述應用程式訪問所述環境中的資料庫。
15.如權利要求12所述的方法，其特徵在於，進一步包括提供在一個以上的附加環境中執行的一個以上的附加應用程式。
16.如權利要求11所述的方法，其特徵在於，進一步包括經由所述輸出信道將附加的加密數據傳送到所述客戶端。
17.如權利要求11所述的方法，其特徵在於，所述渲染包括將音頻流和視頻流渲染成所述數據流； 使用音頻編碼解碼器來對所述音頻流進行編碼； 使用視頻編碼解碼器來對所述視頻流進行編碼；和 將編碼的音頻流和視頻流彙編在貯存器比特流中。
18.如權利要求11所述的方法，其特徵在於，進一步包括認證所述客戶端，所述認證所述客戶端包括經由加密的傳送從所述客戶端接收認證數據、以及利用所述應用程式來驗證所述認證數據。
19.如權利要求18所述的方法，其特徵在於，進一步包括基於所述客戶端的所述認證使用公共密鑰算法或對稱密鑰算法來加密所述數據流，以及使用公共密鑰算法或對稱密鑰算法來加密所述輸入數據。
20.如權利要求11所述的方法，其特徵在於，所述客戶端通過小型客戶端應用程式或嵌入網頁中的應用程式連接到所述伺服器。
全文摘要
本發明涉及以提高的保密性級別對應用程式提供遠程訪問。提供用於對應用程式提供訪問的伺服器以及方法，伺服器包括將客戶端與所述伺服器連接的輸入信道和輸出信道，耦接到所述輸入信道和應用程式的接口，所述接口經由所述輸入信道從所述客戶端接收輸入數據並且將所述接收的輸入數據傳送到應用程式，和耦接到所述輸出信道和所述應用程式的渲染器，所述渲染器將所述應用程式的輸出渲染成數據流，該數據流將經由輸出信道被傳送到客戶端，其中輸入數據和數據流兩者都被加密。用於對應用程式提供遠程訪問的本發明的伺服器和方法大大地提高了訪問的應用程式和對遠程應用程式訪問兩者的保密性級別和完整性。
文檔編號H04L29/06GK102780689SQ20121013434
公開日2012年11月14日 申請日期2012年5月2日 優先權日2011年5月2日
發明者傑瓦特·耶爾利 申請人:吉菲斯股份有限公司