[发明专利]应用特定客户端证书的自动生成

说明书

本文中公开了用于应用特定客户端证书的自动生成的技术。在一个实施例中，一种方法包括：在web服务器处在包含共同打包的web客户端的打包应用中接收来自web客户端的连接请求和来自web客户端的客户端证书的第一副本。在接收到客户端证书时，web服务器可以使用由web服务器针对共同打包的web客户端先前生成的客户端证书的第二副本认证来自web客户端的连接请求。响应于成功地认证，基于客户端证书的第一副本和第二副本两者，web服务器可以与web客户端建立安全连接，以允许web客户端访问计算设备上的系统级服务。否则，web服务器将拒绝连接。

背景技术

在计算中，web应用(web application)或web应用(web app)是一种遵循客户端服务器模型的计算机程序，在客户端服务器模型中，客户端(通常包括用户界面和客户端逻辑)在web浏览器中运行。web应用可以使用以标准格式(诸如由各种web浏览器支持的超文本标记语言(HTML)和)编写的网络文档(网页)。示例web应用包括网络邮件、在线零售、在线拍卖、Wiki、即时消息服务和很多其他应用。在会话期间，web浏览器解释和显示网络文档，并且充当任何web应用的通用客户端。这样，web应用可以为经由各种不同计算设备(诸如台式计算机、智能电话和平板计算机)进行访问提供极大的灵活性。

发明内容

提供本“发明内容”以便以简化的形式介绍一些概念，这些概念将在下面的“具体实施方式”中进一步描述。本“发明内容”既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

尽管web应用可以为用户和开发人员提供极大的可访问性和其他好处，但是在某些情况下，将应用部署为web应用可能会导致某些操作困难。例如，通过在web浏览器内运行web应用，web应用通常无权访问计算设备上的系统级服务，因为web浏览器中的安全边界或“沙盒”将web应用与计算设备的主机操作系统隔离。这样的系统级服务的示例可以包括各种配置服务(例如，改变机器名称)或由计算设备上的主机操作系统提供的其他合适类型的服务。

前述困难的一种解决方案是将web应用与专用web服务器一起作为打包应用部署在计算设备上。这种配置有时被称为“同一盒子”配置。在操作中，web服务器可以被授予系统级访问权限，并且服务于来自web应用的对系统级服务的请求。但是，前述解决方案存在来自其他web应用的潜在安全漏洞的风险，因为web服务器不仅可以服务于来自共同打包的web应用的请求，而且还可以服务于来自在同一计算设备上运行的其他未授权web应用的请求。这样，没有系统级访问权限的另一web应用可以通过请求web服务器执行某些操作来获取系统级访问权限。这样的操作可以绕过计算设备上的安全设置。

所公开的技术的几个实施例可以通过在打包应用中实现应用特定客户端证书的自动生成来解决上述挑战的某些方面。在一种实现中，在安装、访问许可修改或打包应用启动期间，web服务器可以被配置为自动生成服务器证书和客户端证书。服务器证书和客户端证书可以分别包括表示私钥、公钥、签名、绑定到前述组件的主题(例如，web服务器)的数据、或其他合适的安全性数据。然后，web服务器可以将所生成的服务器证书和客户端证书存储在由例如主机操作系统分配给打包应用的专用存储器位置。专用存储器位置只能由web服务器和对应web客户端访问。

在服务器证书和客户端证书的创建和存储完成之后，web服务器可以被配置为通过例如在web浏览器中启动web客户端来激活web客户端。在激活期间，web服务器可以被配置为例如作为函数调用中的变元或其他合适类型的激活指令来向web客户端传递web服务器的数字签名(或“缩略图”)或公钥或者作为可信证书颁发机构的web服务器的标识。在接收到激活指令时和/或在web浏览器中启动web客户端期间，web客户端可以从专用存储器位置取回由web服务器创建的客户端证书的副本。