CN103843300B - 用于保护单点登录域以防凭证泄漏的方法和设备 - Google Patents
用于保护单点登录域以防凭证泄漏的方法和设备 Download PDFInfo
- Publication number
- CN103843300B CN103843300B CN201280048720.4A CN201280048720A CN103843300B CN 103843300 B CN103843300 B CN 103843300B CN 201280048720 A CN201280048720 A CN 201280048720A CN 103843300 B CN103843300 B CN 103843300B
- Authority
- CN
- China
- Prior art keywords
- small data
- data file
- domain
- browser client
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S19/00—Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
- G01S19/01—Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
- G01S19/13—Receivers
- G01S19/32—Multimode operation in a single same satellite system, e.g. GPS L1/L2
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S19/00—Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
- G01S19/01—Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
- G01S19/13—Receivers
- G01S19/24—Acquisition or tracking or demodulation of signals transmitted by the system
- G01S19/246—Acquisition or tracking or demodulation of signals transmitted by the system involving long acquisition integration times, extended snapshots of signals or methods specifically directed towards weak signal acquisition
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S19/00—Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
- G01S19/38—Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system
- G01S19/39—Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system the satellite radio beacon positioning system transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
- G01S19/42—Determining position
- G01S19/421—Determining position by combining or switching between position solutions or signals derived from different satellite radio beacon positioning systems; by combining or switching between position solutions or signals derived from different modes of operation in a single system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
Abstract
本发明揭示一种用于保护单点登录域以防凭证泄漏的方法。在所述方法中,验证服务器210将验证小数据文件102提供到浏览器客户端220。所述小数据文件具有用于所述域的验证凭证,且与所述域的验证子域相关联。服务器10从所述浏览器客户端接收所述小数据文件114。在验证所述所接收小数据文件中的所述用户验证凭证后,所述服务器210即刻通过向所述浏览器客户端转发用于所述域的受限使用小数据文件132来对接入请求作出响应。所述服务器210从内容服务器230接收使从所述浏览器客户端接收的所述受限使用小数据文件的会话识别符有效的请求134。在生效后,所述服务器210即刻将有效会话消息182提供到所述内容服务器230以使得所述内容服务器能够将所请求内容184转发到所述客户端。
Description
技术领域
本发明大体上涉及保护单点登录域以防凭证泄漏。
背景技术
单点登录技术允许经授权用户基于与受保护子域网站中的一者的一个登录事务而接入在共享域下的受保护子域网站。在典型的单点登录技术中,接入受保护子域网站的用户经验证且连接到网站,所述网站对用户的浏览器提供会话小数据文件(cookie)。会话小数据文件允许用户除了能够接入子域网站之外还能够接入域下的所有网站。
然而,子域网站的每个主机以及在每个主机上运行的每个脚本必须受信任,以便使用户验证保持安全。在受保护域下的另一子域中操作且被用户访问的恶意网站可从用户的浏览器收集用户的会话小数据文件。在会话小数据文件中泄漏的用户凭证可被再使用以获得对所述域下的子域的其它受保护内部网站的非法接入。
因此需要用于保护单点登录域以防凭证泄漏的技术。
发明内容
本发明的一方面可驻存于一种用于保护单点登录域以防凭证泄漏的方法中。在所述方法中,验证服务器将验证小数据文件提供到用户浏览器客户端。验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与单点登录域的验证子域相关联。验证服务器接收来自浏览器客户端的接入请求中的验证小数据文件。接入请求是基于响应于来自用户浏览器客户端的内容请求,在单点登录域内由用户浏览器客户端从内容服务器接收的重定向。在验证所述所接收验证小数据文件中的所述用户验证凭证后,所述验证服务器即刻通过向所述用户浏览器客户端转发用于所述单点登录域的受限使用小数据文件来对所述接入请求作出响应。验证服务器从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求。内容服务器从用户浏览器客户端接收受限使用小数据文件。在所述受限使用小数据文件的所述会话识别符生效后,所述验证服务器即刻将有效会话消息提供到所述内容服务器以使得所述内容服务器能够将所请求内容转发到所述用户浏览器客户端。
在本发明的更详细方面中,受限使用小数据文件可为单次使用小数据文件。在所述受限使用小数据文件的所述会话识别符生效后,所述验证服务器可即刻使所述受限使用小数据文件失效以禁止所述受限使用小数据文件的进一步使用。受限使用小数据文件可具有短的期满时间。所述短的期满时间可包括大约一分钟。内容服务器可包括单点登录域的子域。受限使用小数据文件可仅对内容服务器的子域有效。会话识别符可包括单次会话密钥。
本发明的另一方面可驻存于验证服务器中,包括:用于将验证小数据文件提供到用户浏览器客户端的装置,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与单点登录域的验证子域相关联;用于接收来自浏览器客户端的接入请求中的验证小数据文件的装置,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求,在单点登录域内由用户浏览器客户端从内容服务器接收的重定向;用于在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件来对接入请求作出响应的装置;用于从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求的装置,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及用于在受限使用小数据文件的会话识别符生效后即刻将有效会话消息提供到内容服务器以使得内容服务器能够将所请求内容转发到用户浏览器客户端的装置。
本发明的另一方面可驻存于验证服务器中,包括:处理器,其经配置以:将验证小数据文件提供到用户浏览器客户端,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与单点登录域的验证子域相关联;接收来自浏览器客户端的接入请求中的验证小数据文件,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求,在单点登录域内由用户浏览器客户端从内容服务器接收的重定向;在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件来对接入请求作出响应;从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及在受限使用小数据文件的会话识别符生效后即刻将有效会话消息提供到内容服务器以使得内容服务器能够将所请求内容转发到用户浏览器客户端。
本发明的另一方面可驻存于包括计算机可读媒体的计算机程序产品中,包括:用于致使计算机将验证小数据文件提供到用户浏览器客户端的代码,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与单点登录域的验证子域相关联;用于致使计算机接收来自浏览器客户端的接入请求中的验证小数据文件的代码,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求,在单点登录域内由用户浏览器客户端从内容服务器接收的重定向;用于致使计算机在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件来对接入请求作出响应的代码;用于致使计算机从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求的代码,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及用于致使计算机在受限使用小数据文件的会话识别符生效后即刻将有效会话消息提供到内容服务器以使得内容服务器能够将所请求内容转发到用户浏览器客户端的代码。
附图说明
图1是根据本发明的用于保护单点登录域以防凭证泄漏的方法的流程图。
图2是展示启用与验证服务器和多个内容服务器的通信的耦合到因特网的用户浏览器客户端的框图。
图3是展示用于实施验证服务器的计算机的实例的框图。
图4是根据本发明的用于保护单点登录域以防凭证泄漏的方法的另一流程图。
具体实施方式
词语“示范性”本文用以表示“充当实例、例子或说明”。本文描述为“示范性”的任何实施例不一定解释为比其它实施例优选或有利。
参见图1和2,本发明的一方面可驻存于用于保护单点登录域以防凭证泄漏的方法100中。在所述方法中,验证服务器210将验证小数据文件102提供到用户浏览器客户端220(步骤110)。验证小数据文件具有用于单点登录域的至少一个用户验证凭证112,且与单点登录域的验证子域相关联。验证服务器接收来自浏览器客户端的接入请求114中的验证小数据文件(步骤120)。接入请求是基于响应于来自用户浏览器客户端的内容请求118,在单点登录域内由用户浏览器客户端从内容服务器230接收的重定向116。在验证所接收验证小数据文件中的用户验证凭证后(步骤130),验证服务器即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件132来对接入请求作出响应(步骤140)。验证服务器从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求134(步骤150)。内容服务器从用户浏览器客户端接收受限使用小数据文件(步骤160)。在受限使用小数据文件的会话识别符生效后(步骤170),验证服务器将有效会话消息182提供到内容服务器以使得内容服务器能够将所请求内容184转发到用户浏览器客户端(步骤190)。
在本发明的更详细方面中,受限使用小数据文件132可为单次使用小数据文件。在受限使用小数据文件的会话识别符生效后(步骤150),验证服务器可即刻使受限使用小数据文件失效以禁止受限使用小数据文件的进一步使用(步骤180)。受限使用小数据文件可具有短的期满时间。所述短的期满时间可包括大约一分钟。受限使用小数据文件可专用于特定内容服务器230。内容服务器可包括单点登录域的子域。受限使用小数据文件可仅对内容服务器的子域有效。会话识别符可包括单次会话密钥。
另外参见图3,包括验证服务器210的站可为包含处理器320、存储器330(和/或磁盘驱动器)、显示器340以及小键盘或键盘350的计算机310。类似地,包括用户客户端220的另一个站可为包含处理器、存储器(和/或磁盘驱动器)、显示器以及小键盘或键盘的计算机。用户客户端计算机还可包含麦克风、扬声器、相机、网络浏览器软件和类似物。此外,所述站还可包含USB、以太网和类似接口,以用于经由例如因特网240等网络进行通信。
特定参见图4,本发明可具体实施于用于保护单点登录域以防凭证泄漏到使用共享域名的恶意服务器的另一方法中。所述方法可使用域等级(例如,domain_name.com)小数据文件来验证子域服务器,且随后可产生单独子域特定的小数据文件。对于单点登录,在域内的子域(例如,cs1.domain_name.com)处请求接入由第一内容服务器230-1托管的网站的(步骤410)的用户浏览器客户端220可被重定向到使用子域login.domain_name.com的验证服务器210(步骤414)。验证服务器可接收重定向请求且随后取得针对所述域的用户凭证(步骤418、422和426)。
理想上,验证服务器可产生针对特定较低等级子域(例如,csl.domain-name.com)的小数据文件。然而,小数据文件无法针对不匹配的子域名来设定。而是,验证服务器可在针对域domain_name.com的受限使用小数据文件(例如单次使用小数据文件)中产生单次会话密钥。另外,验证服务器可产生针对子域login.domain_name.com的验证服务器特定的小数据文件,且将所述小数据文件提供到浏览器客户端(步骤430)。当用户的浏览器客户端首先将domain_name.com小数据文件给予其希望接入的网站时(步骤434),所述网站可检查与验证服务器的所述会话(步骤438和442)。验证使所述会话失效以防止小数据文件的再使用(步骤446),且随后向网站指示所述会话曾有效(步骤450)。网站随后知道对用户浏览器客户端给予针对其较低等级子域的会话小数据文件是安全的(步骤454)。
如果用户浏览器客户端220希望验证由第二内容服务器230-2托管的另一子域中的网站(步骤458),那么其可经重定向到验证服务器210(步骤462)。用户浏览器客户端可将较早获得的login.domain_name.com小数据文件提供到验证服务器(步骤430),所述验证服务器可返回针对域domain_name.com的新的单次使用小数据文件(步骤466和470)。如同第一内容服务器(步骤434到454),新的单次使用小数据文件可由第二内容服务器使用以通过向验证服务器的询问来验证用户浏览器客户端且提供所请求内容(步骤474到494)。既然用户浏览器客户端具有来自第二内容服务器的子域小数据文件,其并不需要在会话期间在所述子域(cs2.domain-name.com)内重新验证。
domain_name.com小数据文件的受限使用方面防止另一网站重放domain_name.com小数据文件以获得对受保护网站的接入。如果再使用失效的domain_name.com小数据文件,那么第二验证尝试将失败且将提示所述用户需要其凭证。
另外,为了防止浪费时间发送失效的小数据文件,domain_name.com小数据文件是以短的期满时间来产生。虽然本发明的方法增加了传递的消息数目,但其不需要代表用户的任何额外动作。
由于针对一个以上连接有效的仅有小数据文件是子域特定的小数据文件,因此在这些小数据文件不发送到单点登录域内的其它子域的网站时,所述方法可更安全。因此,可防止例如向恶意网站的凭证泄漏,因为针对login.domain_name.com子域的小数据文件未提供到除了验证服务器之外的任何网站或服务器。
本发明的另一方面可驻存于验证服务器210中,包括:用于将验证小数据文件102提供到用户浏览器客户端220的装置310,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证112,且与单点登录域的验证子域相关联;用于接收来自浏览器客户端的接入请求114中的验证小数据文件的装置310,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求118,在单点登录域内由用户浏览器客户端从内容服务器230接收的重定向116;用于在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件132来对接入请求作出响应的装置310;用于从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求134的装置310,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及用于在受限使用小数据文件的会话识别符生效后即刻将有效会话消息182提供到内容服务器以使得内容服务器能够将所请求内容184转发到用户浏览器客户端的装置310。
本发明的另一方面可驻存于验证服务器中,包括:处理器320,其经配置以:将验证小数据文件102提供到用户浏览器客户端220,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证112,且与单点登录域的验证子域相关联;接收来自浏览器客户端的接入请求114中的验证小数据文件,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求118,在单点登录域内由用户浏览器客户端从内容服务器230接收的重定向116;在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件132来对接入请求作出响应;从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求134,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及在受限使用小数据文件的会话识别符生效后即刻将有效会话消息182提供到内容服务器以使得内容服务器能够将所请求内容184转发到用户浏览器客户端。
本发明的另一方面可驻存于包括计算机可读媒体330的计算机程序产品中,包括:用于致使计算机310将验证小数据文件102提供到用户浏览器客户端的代码,其中验证小数据文件具有用于单点登录域的至少一个用户验证凭证112,且与单点登录域的验证子域相关联;用于致使计算机310接收来自浏览器客户端的接入请求114中的验证小数据文件的代码,其中所述接入请求是基于响应于来自用户浏览器客户端的内容请求118在单点登录域内由用户浏览器客户端从内容服务器230接收的重定向116;用于致使计算机310在验证所接收验证小数据文件中的用户验证凭证后即刻通过向用户浏览器客户端转发用于单点登录域的受限使用小数据文件132来对接入请求作出响应的代码;用于致使计算机310从内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求134的代码,其中内容服务器从用户浏览器客户端接收受限使用小数据文件;以及用于致使计算机310在受限使用小数据文件的会话识别符生效后即刻将有效会话消息182提供到内容服务器以使得内容服务器能够将所请求内容184转发到用户浏览器客户端的代码。
所属领域的技术人员将了解,可使用多种不同技艺和技术中的任一种来表示信息和信号。举例来说,可通过电压、电流、电磁波、磁场或磁性粒子、光场或光学粒子或者其任何组合来表示整个以上描述中可能参考的数据、指令、命令、信息、信号、位、符号和码片。
所属领域的技术人员将进一步了解,结合本文所揭示的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可实施为电子硬件、计算机软件或所述两者的组合。为了清楚地说明硬件与软件的这种可交换性,上文已大体上在其功能性方面描述了各种说明性组件、块、模块、电路和步骤。将此类功能性实施为硬件还是软件取决于特定应用和对整个系统施加的设计约束。熟练的技术人员针对每一特定应用可以不同方式实施所描述的功能性,但不应将此类实施方案决策解释为造成与本发明的范围的脱离。
结合本文所揭示的实施例描述的各种说明性逻辑块、模块和电路可用经设计以执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行。通用处理器可为微处理器,但在替代例中,处理器可为任何常规的处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合,例如DSP与微处理器的组合、多个微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此类配置。
结合本文所揭示的实施例描述的方法或算法的步骤可直接以硬件、以由处理器执行的软件模块或以所述两者的组合来实施。软件模块可驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸式盘、CD-ROM或此项技术中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,使得处理器可从存储媒体读取信息和向存储媒体写入信息。在替代方案中,存储媒体可与处理器成一体式。处理器和存储媒体可驻留在ASIC中。ASIC可驻留在用户终端中。在替代方案中,处理器和存储媒体可作为离散组件驻留在用户终端中。
在一个或一个以上示范性实例中,所描述的功能可以硬件、软件、固件或其任一组合来实施。如果以软件实施为计算机程序产品,那么功能可作为一个或一个以上指令或代码存储在计算机可读媒体上。计算机可读媒体包含促进计算机程序从一处传送到另一处的计算机存储媒体。存储媒体可为可由计算机存取的任何可用媒体。举例来说且并非限制,此类计算机可读媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置、或可用来以指令或数据结构的形式存储所要程序代码且可由计算机存取的任何其它媒体。如本文中所使用,磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软磁盘及蓝光光盘,其中磁盘通常以磁性方式再生数据,而光盘使用激光以光学方式再生数据。上文的组合也应包含在计算机可读媒体的范围内。计算机可读媒体可为非暂时性的,使得其不包含暂时性的传播信号。
提供对所揭示实施例的先前描述是为了使得所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易了解对这些实施例的各种修改,且在不脱离本发明精神或范围的情况下,本文所界定的一般原理可适用于其它实施例。因此,本发明不希望限于本文展示的实施例,而是应被赋予与本文所揭示的原理和新颖特征一致的最广范围。
Claims (21)
1.一种用于保护单点登录域以防凭证泄漏的方法,其包括:
由验证服务器将验证小数据文件提供到用户浏览器客户端,其中所述验证小数据文件具有用于所述单点登录域的至少一个用户验证凭证,且与所述单点登录域的验证子域相关联;
由所述验证服务器接收来自所述用户浏览器客户端的接入请求中的所述验证小数据文件,其中所述接入请求是基于响应于来自所述用户浏览器客户端的内容请求在所述单点登录域内由所述用户浏览器客户端从内容服务器接收的重定向;
在验证所述所接收验证小数据文件中的所述用户验证凭证后,由所述验证服务器即刻通过向所述用户浏览器客户端转发用于所述单点登录域的受限使用小数据文件来对所述接入请求作出响应;
由所述验证服务器从所述内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求,其中所述内容服务器从所述用户浏览器客户端接收所述受限使用小数据文件;
在所述受限使用小数据文件的所述会话识别符生效后,由所述验证服务器即刻将有效会话消息提供到所述内容服务器以使得所述内容服务器能够将所请求内容转发到所述用户浏览器客户端;以及
在所述受限使用小数据文件的所述会话识别符生效后,由所述验证服务器即刻使所述受限使用小数据文件失效以禁止所述受限使用小数据文件的进一步使用。
2.根据权利要求1所述的方法,其中所述受限使用小数据文件包括单次使用小数据文件。
3.根据权利要求1所述的方法,其中所述受限使用小数据文件具有期满时间。
4.根据权利要求3所述的方法,其中所述期满时间包括一分钟。
5.根据权利要求1所述的方法,其中所述内容服务器包括所述单点登录域的子域。
6.根据权利要求5所述的方法,其中所述受限使用小数据文件仅针对所述内容服务器的子域有效。
7.根据权利要求1所述的方法,其中所述会话识别符包括单次会话密钥。
8.一种验证服务器,其包括:
用于将验证小数据文件提供到用户浏览器客户端的装置,其中所述验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与所述单点登录域的验证子域相关联;
用于接收来自所述用户浏览器客户端的接入请求中的所述验证小数据文件的装置,其中所述接入请求是基于响应于来自所述用户浏览器客户端的内容请求在所述单点登录域内由所述用户浏览器客户端从内容服务器接收的重定向;
用于在验证所述所接收验证小数据文件中的所述用户验证凭证后即刻通过向所述用户浏览器客户端转发用于所述单点登录域的受限使用小数据文件来对所述接入请求作出响应的装置;
用于从所述内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求的装置,其中所述内容服务器从所述用户浏览器客户端接收所述受限使用小数据文件;
用于在所述受限使用小数据文件的所述会话识别符生效后即刻将有效会话消息提供到所述内容服务器以使得所述内容服务器能够将所请求内容转发到所述用户浏览器客户端的装置;以及
用于在所述受限使用小数据文件的所述会话识别符生效后即刻使所述受限使用小数据文件失效以禁止所述受限使用小数据文件的进一步使用的装置。
9.根据权利要求8所述的验证服务器,其中所述受限使用小数据文件包括单次使用小数据文件。
10.根据权利要求8所述的验证服务器,其中所述受限使用小数据文件具有期满时间。
11.根据权利要求10所述的验证服务器,其中所述期满时间包括一分钟。
12.根据权利要求8所述的验证服务器,其中所述内容服务器包括所述单点登录域的子域。
13.根据权利要求12所述的验证服务器,其中所述受限使用小数据文件仅针对所述内容服务器的子域有效。
14.根据权利要求8所述的验证服务器,其中所述会话识别符包括单次会话密钥。
15.一种验证服务器,其包括:
处理器,其经配置以:
将验证小数据文件提供到用户浏览器客户端,其中所述验证小数据文件具有用于单点登录域的至少一个用户验证凭证,且与所述单点登录域的验证子域相关联;
接收来自所述用户浏览器客户端的接入请求中的所述验证小数据文件,其中所述接入请求是基于响应于来自所述用户浏览器客户端的内容请求在所述单点登录域内由所述用户浏览器客户端从内容服务器接收的重定向;
在验证所述所接收验证小数据文件中的所述用户验证凭证后,即刻通过向所述用户浏览器客户端转发用于所述单点登录域的受限使用小数据文件来对所述接入请求作出响应;
从所述内容服务器接收使所述受限使用小数据文件的会话识别符有效的请求,其中所述内容服务器从所述用户浏览器客户端接收所述受限使用小数据文件;
在所述受限使用小数据文件的所述会话识别符生效后,即刻将有效会话消息提供到所述内容服务器以使得所述内容服务器能够将所请求内容转发到所述用户浏览器客户端;以及
在所述受限使用小数据文件的所述会话识别符生效后,即刻使所述受限使用小数据文件失效以禁止所述受限使用小数据文件的进一步使用。
16.根据权利要求15所述的验证服务器,其中所述受限使用小数据文件包括单次使用小数据文件。
17.根据权利要求15所述的验证服务器,其中所述受限使用小数据文件具有期满时间。
18.根据权利要求17所述的验证服务器,其中所述期满时间包括一分钟。
19.根据权利要求15所述的验证服务器,其中所述内容服务器包括所述单点登录域的子域。
20.根据权利要求19所述的验证服务器,其中所述受限使用小数据文件仅针对所述内容服务器的子域有效。
21.根据权利要求15所述的验证服务器,其中所述会话识别符包括单次会话密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/252,931 | 2011-10-04 | ||
| US13/252,931 US8943571B2 (en) | 2011-10-04 | 2011-10-04 | Method and apparatus for protecting a single sign-on domain from credential leakage |
| PCT/US2012/058789 WO2013052693A1 (en) | 2011-10-04 | 2012-10-04 | Method and apparatus for protecting a single sign-on domain from credential leakage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103843300A CN103843300A (zh) | 2014-06-04 |
| CN103843300B true CN103843300B (zh) | 2017-05-24 |
Family
ID=47993958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280048720.4A Active CN103843300B (zh) | 2011-10-04 | 2012-10-04 | 用于保护单点登录域以防凭证泄漏的方法和设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8943571B2 (zh) |
| EP (1) | EP2764673B1 (zh) |
| JP (1) | JP5791814B2 (zh) |
| KR (1) | KR101579801B1 (zh) |
| CN (1) | CN103843300B (zh) |
| IN (1) | IN2014CN02076A (zh) |
| TW (1) | TW201334482A (zh) |
| WO (1) | WO2013052693A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013177687A1 (en) * | 2012-05-31 | 2013-12-05 | Netsweeper Inc. | Policy service authorization and authentication |
| US8977560B2 (en) * | 2012-08-08 | 2015-03-10 | Ebay Inc. | Cross-browser, cross-machine recoverable user identifiers |
| US9419963B2 (en) * | 2013-07-02 | 2016-08-16 | Open Text S.A. | System and method for controlling access |
| US9521146B2 (en) | 2013-08-21 | 2016-12-13 | Microsoft Technology Licensing, Llc | Proof of possession for web browser cookie based security tokens |
| US9106642B1 (en) * | 2013-09-11 | 2015-08-11 | Amazon Technologies, Inc. | Synchronizing authentication sessions between applications |
| US20150244704A1 (en) * | 2014-02-27 | 2015-08-27 | Netapp, Inc. | Techniques to authenticate user requests involving multiple applications |
| US9461983B2 (en) * | 2014-08-12 | 2016-10-04 | Danal Inc. | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked |
| US10154082B2 (en) | 2014-08-12 | 2018-12-11 | Danal Inc. | Providing customer information obtained from a carrier system to a client device |
| US9454773B2 (en) | 2014-08-12 | 2016-09-27 | Danal Inc. | Aggregator system having a platform for engaging mobile device users |
| WO2016027250A1 (en) * | 2014-08-21 | 2016-02-25 | Anton Gostev | User authorization for file level restoration from image level backups |
| KR102309744B1 (ko) * | 2014-11-21 | 2021-10-07 | 삼성전자 주식회사 | 세션 기반 웹 서비스를 제공하는 방법 및 장치 |
| CN104410650A (zh) * | 2014-12-24 | 2015-03-11 | 四川金网通电子科技有限公司 | 基于Session和Cookie验证用户的方法 |
| US20160241536A1 (en) * | 2015-02-13 | 2016-08-18 | Wepay, Inc. | System and methods for user authentication across multiple domains |
| US10243957B1 (en) * | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
| JP6719875B2 (ja) * | 2015-09-01 | 2020-07-08 | キヤノン株式会社 | 認証サーバ、認証方法およびプログラム |
| WO2017065668A1 (en) * | 2015-10-12 | 2017-04-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods to authorizing secondary user devices for network services and related user devices and back-end systems |
| US10348712B2 (en) * | 2016-02-26 | 2019-07-09 | Ricoh Company, Ltd. | Apparatus, authentication system, and authentication method |
| US10715513B2 (en) * | 2017-06-30 | 2020-07-14 | Microsoft Technology Licensing, Llc | Single sign-on mechanism on a rich client |
| US11196733B2 (en) * | 2018-02-08 | 2021-12-07 | Dell Products L.P. | System and method for group of groups single sign-on demarcation based on first user login |
| US11212101B2 (en) * | 2018-10-09 | 2021-12-28 | Ca, Inc. | Token exchange with client generated token |
| CN111404921B (zh) * | 2020-03-12 | 2022-05-17 | 广州市百果园信息技术有限公司 | 网页应用访问方法、装置、设备、系统及存储介质 |
| WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
| US11076002B1 (en) * | 2020-06-22 | 2021-07-27 | Amazon Technologies, Inc. | Application streaming with specialized subdomains |
| KR102582904B1 (ko) * | 2021-01-05 | 2023-09-27 | 고승곤 | 블록체인 기반 선불형 콘텐츠 과금 서비스 방법 및 시스템 |
| KR20230012874A (ko) * | 2021-07-16 | 2023-01-26 | (주)모니터랩 | 보안 장치에서 쿠키를 활용한 사용자 인증 방법 |
| GB2619518A (en) * | 2022-06-07 | 2023-12-13 | Id Ward Ltd | Privacy-preserving cross-domain user tracking |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188181B1 (en) * | 1999-06-30 | 2007-03-06 | Sun Microsystems, Inc. | Universal session sharing |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
| US7174383B1 (en) | 2001-08-31 | 2007-02-06 | Oracle International Corp. | Method and apparatus to facilitate single sign-on services in a hosting environment |
| US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| CA2473793C (en) * | 2002-02-28 | 2014-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7237118B2 (en) * | 2002-12-05 | 2007-06-26 | Microsoft Corporation | Methods and systems for authentication of a user for sub-locations of a network location |
| US7496953B2 (en) * | 2003-04-29 | 2009-02-24 | International Business Machines Corporation | Single sign-on method for web-based applications |
| WO2005015422A1 (ja) * | 2003-08-11 | 2005-02-17 | Sony Corporation | 認証方法、認証システム及び認証サーバ |
| US7503031B2 (en) * | 2004-02-19 | 2009-03-10 | International Business Machines Corporation | Method of transforming an application into an on-demand service |
| US20060085345A1 (en) * | 2004-10-19 | 2006-04-20 | Khandelwal Rajesh B | Right to receive data |
| US20070150603A1 (en) | 2005-12-22 | 2007-06-28 | Catalog. Com, Inc. | System and method for cross-domain social networking |
| JP2008181427A (ja) | 2007-01-25 | 2008-08-07 | Fuji Xerox Co Ltd | シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム |
| US20090259851A1 (en) | 2008-04-10 | 2009-10-15 | Igor Faynberg | Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment |
| WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
-
2011
- 2011-10-04 US US13/252,931 patent/US8943571B2/en active Active
-
2012
- 2012-10-04 JP JP2014534730A patent/JP5791814B2/ja not_active Expired - Fee Related
- 2012-10-04 WO PCT/US2012/058789 patent/WO2013052693A1/en active Application Filing
- 2012-10-04 IN IN2076CHN2014 patent/IN2014CN02076A/en unknown
- 2012-10-04 EP EP12778872.7A patent/EP2764673B1/en not_active Not-in-force
- 2012-10-04 CN CN201280048720.4A patent/CN103843300B/zh active Active
- 2012-10-04 TW TW101136700A patent/TW201334482A/zh unknown
- 2012-10-04 KR KR1020147012094A patent/KR101579801B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188181B1 (en) * | 1999-06-30 | 2007-03-06 | Sun Microsystems, Inc. | Universal session sharing |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013052693A1 (en) | 2013-04-11 |
| US8943571B2 (en) | 2015-01-27 |
| IN2014CN02076A (zh) | 2015-05-29 |
| US20130086656A1 (en) | 2013-04-04 |
| JP2014529156A (ja) | 2014-10-30 |
| EP2764673B1 (en) | 2018-03-07 |
| EP2764673A1 (en) | 2014-08-13 |
| JP5791814B2 (ja) | 2015-10-07 |
| KR101579801B1 (ko) | 2015-12-24 |
| TW201334482A (zh) | 2013-08-16 |
| KR20140084126A (ko) | 2014-07-04 |
| CN103843300A (zh) | 2014-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103843300B (zh) | 用于保护单点登录域以防凭证泄漏的方法和设备 | |
| US10949526B2 (en) | User device authentication | |
| JP6170158B2 (ja) | モバイルマルチシングルサインオン認証 | |
| US7827318B2 (en) | User enrollment in an e-community | |
| US10305882B2 (en) | Using a service-provider password to simulate F-SSO functionality | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US20170063836A1 (en) | Method, device, and system for access control of a cloud hosting service | |
| US10778668B2 (en) | HTTP session validation module | |
| US10225260B2 (en) | Enhanced authentication security | |
| CN105917630A (zh) | 使用单点登录自举到检查代理的重定向 | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| JP2015535984A5 (zh) | ||
| US20150149530A1 (en) | Redirecting Access Requests to an Authorized Server System for a Cloud Service | |
| US10397214B2 (en) | Collaborative sign-on | |
| CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
| US20210234850A1 (en) | System and method for accessing encrypted data remotely | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN105812350A (zh) | 一种跨平台单点登录系统 | |
| CN108111518B (zh) | 一种基于安全密码代理服务器的单点登录方法及系统 | |
| US8533783B1 (en) | Method and system for enabling automatic access to an online account | |
| US20220353081A1 (en) | User authentication techniques across applications on a user device | |
| CN115118454A (zh) | 一种基于移动应用的级联认证系统及认证方法 | |
| CN107294920A (zh) | 一种反向信任登录方法和装置 | |
| CN109684818A (zh) | 一种防止机主登录密码泄露的跨终端式的服务器登录方法 | |
| US20230368233A1 (en) | System and methods for universal identification and passport management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |