[发明专利]一种基于Web的移动瘦终端访问控制方法、系统及瘦终端

说明书

技术领域

本发明涉及移动设备信息安全技术领域，更具体地，涉及一种基于Web的移动瘦终端访问控制方法、系统及瘦终端。

背景技术

随着移动互联网的发展，移动终端普及率提高，为移动办公、移动政务、电子商务、电子支付等新兴领域的发展提供了支撑。由于这些领域涉及到手机用户的个人敏感信息或公司的内部信息，因此，安全问题成为关注的重心。目前智能终端(富终端,fat client)操作系统中Android、iOS和Windows Phone(WP)占据了大部分市场份额，iOS和WP的安全依赖于其闭源性和应用溯源等安全机制，Android由于属于开源系统，会使恶意软件和黑客能够非常容易进行权限获取和系统修改，存在非常多的内核层危害。而在某些特殊领域，如移动政务，需要系统能够为用户提供机密性和完整性的保护，这些安全需求在当前的主流操作系统中并未得到满足。因此，越来越多的高安全级移动办公采用瘦终端(thin client)这一解决方案，资料显示，美国军方已经开始采用瘦终端来全面替代富终端，用于政府或涉密的移动办公。

基于VDI(Virtual Desktop Infrastructure，虚拟桌面基础架构)技术的瘦终端是在服务器侧为每个终端用户准备专用的虚拟机并在其中部署用户专属的操作系统和各种应用，然后通过桌面显示协议将完整的虚拟机桌面交付给远程用户使用。这类解决方案的基础是服务器虚拟化，分为部分虚拟化和完全虚拟化。采用更高性能的部分虚拟化技术，会因对虚拟机中操作系统的大量修改增加开发难度并影响了操作系统兼容性，其实施更难于在Windows等闭源操作系统上部署该方案。因此，基于VDI的虚拟桌面解决方案通常采用完全虚拟化技术。但是，这种方案对服务器能力要求高，其性能和响应能力会根据用户数量、物理位置和应用类型的不同而有所不同。此外，在不添加媒体加速功能的情况下，视频、Adobe Flash、IP语音(VoIP)以及其它计算或图形密集型应用不适用于该模式。网络稳定性对虚拟桌面的影响也很大，如果网络产生丢包、延时将直接影响虚拟化服务器群、网络存储设备和云终端三者间通信效率，导致用户虚拟桌面性能剧降，影响用户使用效率。安全性和传输效率依赖采用的传输协议，但由于终端可能采用不同的语言和平台开发，因此还需对服务器端进行单独配置。

基于Web操作系统(Web OS)实现移动瘦终端，其基本思想是使用Web OS，用户通过系统提供的浏览器框架来运行安装在服务器上的应用(称为Web应用)，而本地只存储这个应用的Manifest文件，用来对Web应用调用终端系统资源进行权限管理。这种方式的优点是提供跨平台性，不必考虑终端运算能力、存储条件便可以直接使用服务器上的资源，由于不需要虚拟化技术，对服务器和终端硬件要求不高。而且Web OS是基于标准统一的Web语言设计开发的操作系统，提供跨平台的操作环境。基于Web OS的瘦终端因为需要更少与服务器通信，降低了用户和接口之间响应的延迟，提供更好的用户体验。但是基于Web OS的瘦终端目前存在的问题是：Web OS在设计时注重的是移动性和跨平台性，对安全性要求不高，机密性和完整性系数低。因此使用Web OS实现瘦终端时，还须引入访问控制模型防止未经授权的访问和修改。Web应用虽然安装在服务器端，但仍存在通过特权提升达到控制系统的可能。目前的Web OS缺乏完整性验证，通过Web APIs(Application Programming Interface，应用程序编程接口)作为应用访问系统资源的唯一接口和进程通信的通道，应实施强制访问控制来保护系统资源和确保进程间的有效隔离。