JP7018455B2 - ドメインポータル上のセッション固定を防ぐためのシステムおよび方法 - Google Patents
ドメインポータル上のセッション固定を防ぐためのシステムおよび方法 Download PDFInfo
- Publication number
- JP7018455B2 JP7018455B2 JP2019563736A JP2019563736A JP7018455B2 JP 7018455 B2 JP7018455 B2 JP 7018455B2 JP 2019563736 A JP2019563736 A JP 2019563736A JP 2019563736 A JP2019563736 A JP 2019563736A JP 7018455 B2 JP7018455 B2 JP 7018455B2
- Authority
- JP
- Japan
- Prior art keywords
- client device
- computing system
- key
- request
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Description
コンピューティングシステムによって、ユーザに関連付けられたクライアントデバイスから、コンピューティングシステムに関連付けられた第1のホストに向けられた第1の要求を受信することと、
コンピューティングシステムによって、第1の要求に応答して鍵を生成することと、
コンピューティングシステムによって、鍵に基づいて検証トークンを生成することと、
コンピューティングシステムによって、鍵に基づいて、暗号化された鍵を生成することと、
コンピューティングシステムによって、コンピューティングシステムに関連付けられた第1のホストからクライアントデバイスに、第1の命令と、検証トークンと、暗号化された鍵とを送信することであって、第1の命令は、
第1のホストに関連付けられた第1のクッキーとして検証トークンをクライアントデバイス上に記憶させることと、
クライアントデバイスに、コンピューティングシステムに関連付けられた第2のホストに暗号化された鍵を送信させることと
を行うように設定されることと、
コンピューティングシステムによって、クライアントデバイスから、暗号化された鍵を含む第2の要求を受信することと、
コンピューティングシステムによって、暗号化された鍵が前に解読されなかったと決定すると、鍵を取得するために、受信した暗号化された鍵を解読することと、
コンピューティングシステムによって、第2のホストからクライアントデバイスに、第2の命令と解読から取得された鍵とを送信することであって、第2の命令が、第2のホストに関連付けられた第2のクッキーとして、解読から取得された鍵をクライアントデバイス上に記憶させるように設定されることと、
を含む。
コンピューティングシステムによって、クライアントデバイスから前の要求を受信することであって、前の要求は、コンピューティングシステムに関連付けられた第3のホストに向けられ、要求が受信される前に受信されることと、
コンピューティングシステムによって、前の要求に応答して、クライアントデバイスにリダイレクション命令を送信することであって、クライアントデバイスに、第1のホストに第1の要求を送らせるように設定されるリダイレクション命令を送信することとを含み得る。
コンピューティングシステムによって、ナンスを生成することと、
コンピューティングシステムによって、クライアントデバイスにナンスを送信することと
をさらに含み得、
第1の命令は、クライアントデバイスに、コンピューティングシステムに関連付けられた第2のホストに暗号化された鍵とともにナンスを送信させるように設定され、
暗号化された鍵が前に解読されなかったと決定することは、ナンスに基づく。
コンピューティングシステムによって、第2のユーザに関連付けられた第2のクライアントデバイスから、暗号化された鍵とナンスとを含む第3の要求を受信することと、
コンピューティングシステムによって、(1)ナンスが前に使用された、または(2)ナンスが、暗号化された鍵に結びつけられていない、と決定することと、
コンピューティングシステムによって、第3の要求を拒否することと
をさらに含み得る。
コンピューティングシステムによって、クライアントデバイスから、第2のクッキーとして記憶された鍵を含む第3の要求を受信することと、
コンピューティングシステムによって、第3の要求とともに受信された鍵に基づいて、第2の検証トークンを生成することと、
コンピューティングシステムによって、第3の要求に応答して、クライアントデバイスにウェブページを送信することであって、ウェブページが、第2の検証トークンと命令とを含み、命令が、クライアントデバイスに、
第2の検証トークンを、第1のクッキーとして記憶された検証トークンと比較することと、
比較に基づいて、ウェブページをレンダリングすべきかどうかを決定することと
を行わせるように設定されることと
をさらに含み得る。
Claims (30)
- コンピューティングシステムによって、ユーザに関連付けられたクライアントデバイスから、前記コンピューティングシステムに関連付けられた第1のホストに向けられた第1の要求を受信することと、
前記コンピューティングシステムによって、前記第1の要求に応答して鍵を生成することと、
前記コンピューティングシステムによって、前記鍵に基づいて検証トークンを生成することと、
前記コンピューティングシステムによって、前記鍵に基づいて、暗号化された鍵を生成することと、
前記コンピューティングシステムによって、前記コンピューティングシステムに関連付けられた前記第1のホストから前記クライアントデバイスに、第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することであって、前記第1の命令は、
前記第1のホストに関連付けられた第1のクッキーとして前記検証トークンを前記クライアントデバイス上に記憶させることと、
前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた第2のホストに前記暗号化された鍵を送信させることと
を行うように設定される、前記第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することと、
前記コンピューティングシステムによって、前記クライアントデバイスから、前記暗号化された鍵を含む第2の要求を受信することと、
前記コンピューティングシステムによって、前記暗号化された鍵が前に解読されなかったと決定すると、前記鍵を取得するために、受信した前記暗号化された鍵を解読することと、
前記コンピューティングシステムによって、前記第2のホストから前記クライアントデバイスに、第2の命令と、前記解読から取得された前記鍵とを送信することであって、前記第2の命令が、前記第2のホストに関連付けられた第2のクッキーとして、前記解読から取得された前記鍵を前記クライアントデバイス上に記憶させるように設定される、前記第2の命令と、前記解読から取得された前記鍵とを送信することと、を含む、方法。 - 前記コンピューティングシステムによって、前記クライアントデバイスから前の要求を受信することであって、前記前の要求は、前記コンピューティングシステムに関連付けられた第3のホストに向けられ、前記第1の要求が受信される前に受信されることと、
前記コンピューティングシステムによって、前記前の要求に応答して、前記クライアントデバイスにリダイレクション命令を送信することであって、前記クライアントデバイスに、前記第1の要求を前記第1のホストに送らせるように設定されるリダイレクション命令を送信することと、をさらに含む、請求項1に記載の方法。 - 前記コンピューティングシステムによって、ナンスを生成することと、
前記コンピューティングシステムによって、前記クライアントデバイスに前記ナンスを送信することと、
をさらに含み、
前記第1の命令が、前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた前記第2のホストに前記暗号化された鍵とともに前記ナンスを送信させるように設定され、
前記暗号化された鍵が前に解読されなかったと前記決定することが、前記ナンスに基づく、
請求項1に記載の方法。 - 前記コンピューティングシステムによって、第2のユーザに関連付けられた第2のクライアントデバイスから、前記暗号化された鍵と前記ナンスとを含む第3の要求を受信することと、
前記コンピューティングシステムによって、(1)前記ナンスが前に使用された、または(2)前記ナンスが、前記暗号化された鍵に結びつけられていない、と決定することと、
前記コンピューティングシステムによって、前記第3の要求を拒否することと
をさらに含む、請求項3に記載の方法。 - 前記第1のクッキーが、クライアント側スクリプトによってアクセス可能であるように設定され、前記第2のクッキーが、クライアント側スクリプトによってアクセス不可能であるように設定された、請求項1に記載の方法。
- 前記第1のホストと前記第2のホストとが異なる、請求項1に記載の方法。
- 前記第2のホストが、サードパーティによってホストされたウェブページへのアクセスを与えるように設定された、請求項1に記載の方法。
- 前記コンピューティングシステムによって、前記クライアントデバイスから、前記第2のクッキーとして記憶された前記鍵を含む第3の要求を受信することと、
前記コンピューティングシステムによって、前記第3の要求とともに受信された前記鍵に基づいて、第2の検証トークンを生成することと、
前記コンピューティングシステムによって、前記第3の要求に応答して、前記クライアントデバイスにウェブページを送信することであって、前記ウェブページが、前記第2の検証トークンと命令とを含み、前記命令が、前記クライアントデバイスに、
前記第2の検証トークンを、前記第1のクッキーとして記憶された前記検証トークンと比較することと、
前記比較に基づいて、前記ウェブページをレンダリングすべきかどうかを決定することと
を行わせるように設定される、前記クライアントデバイスにウェブページを送信することと、をさらに含む、請求項1に記載の方法。 - ソフトウェアを具現化する1つまたは複数のコンピュータ可読非一時的記憶媒体であって、前記ソフトウェアは、実行されたとき、
ユーザに関連付けられたクライアントデバイスから、コンピューティングシステムに関連付けられた第1のホストに向けられた第1の要求を受信することと、
前記第1の要求に応答して鍵を生成することと、
前記鍵に基づいて検証トークンを生成することと、
前記鍵に基づいて、暗号化された鍵を生成することと、
前記コンピューティングシステムに関連付けられた前記第1のホストから前記クライアントデバイスに、第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することであって、前記第1の命令は、
前記クライアントデバイス上に第1のクッキーとして前記検証トークンを記憶させることであって、前記第1のクッキーが前記第1のホストに関連付けられた、前記検証トークンを記憶させることと、
前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた第2のホストに前記暗号化された鍵を送信させることと
を行うように設定される、前記第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することと、
前記クライアントデバイスから、前記暗号化された鍵を含む第2の要求を受信することと、
前記暗号化された鍵が前に解読されなかったと決定すると、前記鍵を取得するために、受信した前記暗号化された鍵を解読することと、
前記第2のホストから前記クライアントデバイスに、第2の命令と、前記解読から取得された前記鍵とを送信することであって、前記第2の命令が、前記第2のホストに関連付けられた第2のクッキーとして、前記解読から取得された前記鍵を前記クライアントデバイス上に記憶させるように設定される、前記第2の命令と、前記解読から取得された前記鍵とを送信することと、
を行うように動作可能である、
記憶媒体。 - 前記ソフトウェアは、実行されたとき、
前記クライアントデバイスから前の要求を受信することであって、前記前の要求は、前記コンピューティングシステムに関連付けられた第3のホストに向けられ、前記第1の要求が受信される前に受信されることと、
前記前の要求に応答して、前記クライアントデバイスにリダイレクション命令を送信することであって、前記クライアントデバイスに、前記第1のホストに前記第1の要求を送らせるように設定されるリダイレクション命令を送信することと、を行うようにさらに動作可能である、請求項9に記載の媒体。 - 前記ソフトウェアが、実行されたとき、
ナンスを生成することと、
前記クライアントデバイスに前記ナンスを送信することと
を行うようにさらに動作可能であり、
前記第1の命令が、前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた前記第2のホストに前記暗号化された鍵とともに前記ナンスを送信させるように設定され、
前記暗号化された鍵が前に解読されなかったと前記決定することが、前記ナンスに基づく、請求項9に記載の媒体。 - 前記ソフトウェアは、実行されたとき、
第2のユーザに関連付けられた第2のクライアントデバイスから、前記暗号化された鍵と前記ナンスとを含む第3の要求を受信することと、
(1)前記ナンスが前に使用された、または(2)前記ナンスが、前記暗号化された鍵に結びつけられていない、と決定することと、
前記第3の要求を拒否することと、
を行うようにさらに動作可能である、請求項11に記載の媒体。 - 前記第2のホストが、サードパーティによってホストされたウェブページへのアクセスを与えるように設定された、請求項9に記載の媒体。
- 前記ソフトウェアは、実行されたとき、
前記クライアントデバイスから、前記第2のクッキーとして記憶された前記鍵を含む第3の要求を受信することと、
前記第3の要求とともに受信された前記鍵に基づいて、第2の検証トークンを生成することと、
前記第3の要求に応答して、前記クライアントデバイスにウェブページを送信することであって、前記ウェブページが、前記第2の検証トークンと命令とを含み、前記命令が、前記クライアントデバイスに、
前記第2の検証トークンを、前記第1のクッキーとして記憶された前記検証トークンと比較することと、
前記比較に基づいて、前記ウェブページをレンダリングすべきかどうかを決定することと
を行わせるように設定される、前記クライアントデバイスにウェブページを送信することと、
を行うようにさらに動作可能である、請求項9に記載の媒体。 - 1つまたは複数のプロセッサと、
前記プロセッサのうちの1つまたは複数に結合され、命令を備える、1つまたは複数のコンピュータ可読非一時的記憶媒体と
を備えるコンピューティングシステムであって、前記命令は、前記プロセッサのうちの1つまたは複数によって実行されたとき、前記システムに、
ユーザに関連付けられたクライアントデバイスから、前記コンピューティングシステムに関連付けられた第1のホストに向けられた第1の要求を受信することと、
前記第1の要求に応答して鍵を生成することと、
前記鍵に基づいて検証トークンを生成することと、
前記鍵に基づいて、暗号化された鍵を生成することと、
前記コンピューティングシステムに関連付けられた前記第1のホストから前記クライアントデバイスに、第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することであって、前記第1の命令は、
前記第1のホストに関連付けられた第1のクッキーとして前記検証トークンを前記クライアントデバイス上に記憶させることと、
前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた第2のホストに前記暗号化された鍵を送信させることと
を行うように設定される、前記第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することと、
前記クライアントデバイスから、前記暗号化された鍵を含む第2の要求を受信することと、
前記暗号化された鍵が前に解読されなかったと決定すると、前記鍵を取得するために、受信した前記暗号化された鍵を解読することと、
前記第2のホストから前記クライアントデバイスに、第2の命令と、前記解読から取得された前記鍵とを送信することであって、前記第2の命令が、前記第2のホストに関連付けられた第2のクッキーとして、前記解読から取得された前記鍵を前記クライアントデバイス上に記憶させるように設定される、前記第2の命令と、前記解読から取得された前記鍵とを送信することと、
を行わせるように動作可能である、
コンピューティングシステム。 - 前記プロセッサは、前記命令を実行したとき、
前記クライアントデバイスから前の要求を受信することであって、前記前の要求は、前記コンピューティングシステムに関連付けられた第3のホストに向けられ、前記第1の要求が受信される前に受信されることと、
前記前の要求に応答して、前記クライアントデバイスにリダイレクション命令を送信することであって、前記クライアントデバイスに、前記第1のホストに前記第1の要求を送らせるように設定される、リダイレクション命令を送信することと、
を行うようにさらに動作可能である、請求項15に記載のシステム。 - 前記プロセッサが、前記命令を実行したとき、
ナンスを生成することと、
前記クライアントデバイスに前記ナンスを送信することと、
を行うようにさらに動作可能であり、
前記第1の命令が、前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた前記第2のホストに前記暗号化された鍵とともに前記ナンスを送信させるように設定され、
前記暗号化された鍵が前に解読されなかったと前記決定することが、前記ナンスに基づく、
請求項15に記載のシステム。 - 前記プロセッサは、前記命令を実行したとき、
第2のユーザに関連付けられた第2のクライアントデバイスから、前記暗号化された鍵と前記ナンスとを含む第3の要求を受信することと、
(1)前記ナンスが前に使用された、または(2)前記ナンスが、前記暗号化された鍵に結びつけられていない、と決定することと、
前記第3の要求を拒否することと、
を行うようにさらに動作可能である、請求項17に記載のシステム。 - 前記第2のホストが、サードパーティによってホストされたウェブページへのアクセスを与えるように設定された、請求項15に記載のシステム。
- 前記プロセッサは、前記命令を実行したとき、
前記クライアントデバイスから、前記第2のクッキーとして記憶された前記鍵を含む第3の要求を受信することと、
前記第3の要求とともに受信された前記鍵に基づいて、第2の検証トークンを生成することと、
前記第3の要求に応答して、前記クライアントデバイスにウェブページを送信することであって、前記ウェブページが、前記第2の検証トークンと命令とを含み、前記命令が、前記クライアントデバイスに、
前記第2の検証トークンを、前記第1のクッキーとして記憶された前記検証トークンと比較することと、
前記比較に基づいて、前記ウェブページをレンダリングすべきかどうかを決定することと
を行わせるように設定される、前記クライアントデバイスにウェブページを送信することと
を行うようにさらに動作可能である、請求項15に記載のシステム。 - コンピューティングシステムによって、ユーザに関連付けられたクライアントデバイスから、前記コンピューティングシステムに関連付けられた第1のホストに向けられた第1の要求を受信することと、
前記コンピューティングシステムによって、前記第1の要求に応答して鍵を生成することと、
前記コンピューティングシステムによって、前記鍵に基づいて検証トークンを生成することと、
前記コンピューティングシステムによって、前記鍵に基づいて、暗号化された鍵を生成することと、
前記コンピューティングシステムによって、前記コンピューティングシステムに関連付けられた前記第1のホストから前記クライアントデバイスに、第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することであって、前記第1の命令は、
前記第1のホストに関連付けられた第1のクッキーとして前記検証トークンを前記クライアントデバイス上に記憶させることと、
前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた第2のホストに前記暗号化された鍵を送信させることと
を行うように設定される、前記第1の命令と、前記検証トークンと、前記暗号化された鍵とを送信することと、
前記コンピューティングシステムによって、前記クライアントデバイスから、前記暗号化された鍵を含む第2の要求を受信することと、
前記コンピューティングシステムによって、前記暗号化された鍵が前に解読されなかったと決定すると、前記鍵を取得するために、受信した前記暗号化された鍵を解読することと、
前記コンピューティングシステムによって、前記第2のホストから前記クライアントデバイスに、第2の命令と、前記解読から取得された前記鍵とを送信することであって、前記第2の命令が、前記第2のホストに関連付けられた第2のクッキーとして、前記解読から取得された前記鍵を前記クライアントデバイス上に記憶させるように設定される、前記第2の命令と、前記解読から取得された前記鍵とを送信することと、を含む、コンピュータ実装方法。 - 前記コンピューティングシステムによって、前記クライアントデバイスから前の要求を受信することであって、前記前の要求は、前記コンピューティングシステムに関連付けられた第3のホストに向けられ、前記第1の要求が受信される前に受信されることと、
前記コンピューティングシステムによって、前記前の要求に応答して、前記クライアントデバイスにリダイレクション命令を送信することであって、前記クライアントデバイスに、前記第1のホストに前記第1の要求を送らせるように設定されるリダイレクション命令を送信することと、をさらに含む、請求項21に記載の方法。 - 前記コンピューティングシステムによって、ナンスを生成することと、
前記コンピューティングシステムによって、前記クライアントデバイスに前記ナンスを送信することと、
をさらに含み、
前記第1の命令が、前記クライアントデバイスに、前記コンピューティングシステムに関連付けられた前記第2のホストに前記暗号化された鍵とともに前記ナンスを送信させるように設定され、
前記暗号化された鍵が前に解読されなかったと前記決定することが、前記ナンスに基づく、
請求項21または22に記載の方法。 - 前記コンピューティングシステムによって、第2のユーザに関連付けられた第2のクライアントデバイスから、前記暗号化された鍵と前記ナンスとを含む第3の要求を受信することと、
前記コンピューティングシステムによって、(1)前記ナンスが前に使用された、または(2)前記ナンスが、前記暗号化された鍵に結びつけられていない、と決定することと、
前記コンピューティングシステムによって、前記第3の要求を拒否することと
をさらに含む、請求項23に記載の方法。 - 前記第1のクッキーが、クライアント側スクリプトによってアクセス可能であるように設定され、前記第2のクッキーが、クライアント側スクリプトによってアクセス不可能であるように設定された、請求項21から24のいずれか一項に記載の方法。
- 前記第1のホストと前記第2のホストとが異なる、請求項21から25のいずれか一項に記載の方法。
- 前記第2のホストが、サードパーティによってホストされたウェブページへのアクセスを与えるように設定された、請求項21から26のいずれか一項に記載の方法。
- 前記コンピューティングシステムによって、前記クライアントデバイスから、前記第2のクッキーとして記憶された前記鍵を含む第3の要求を受信することと、
前記コンピューティングシステムによって、前記第3の要求とともに受信された前記鍵に基づいて、第2の検証トークンを生成することと、
前記コンピューティングシステムによって、前記第3の要求に応答して、前記クライアントデバイスにウェブページを送信することと、をさらに含み、前記ウェブページが、前記第2の検証トークンと命令とを含み、前記命令が、前記クライアントデバイスに、
前記第2の検証トークンを、前記第1のクッキーとして記憶された前記検証トークンと比較することと、
前記比較に基づいて、前記ウェブページをレンダリングすべきかどうかを決定することと
を行わせるように設定される、
請求項21から27のいずれか一項に記載の方法。 - コンピューティングシステムの1つまたは複数のプロセッサによって実行されたとき、前記プロセッサ、特にコンピューティングシステムに、請求項21から28のいずれか一項に記載の方法のすべてのステップを含む方法を行わせるように動作可能であるソフトウェアを具現する、1つまたは複数のコンピュータ可読非一時的記憶媒体。
- 1つまたは複数のプロセッサと、前記プロセッサのうちの1つまたは複数に結合され、命令を備える、1つまたは複数のコンピュータ可読非一時的記憶媒体とを備える、コンピューティングシステムであって、前記命令が、前記プロセッサのうちの1つまたは複数によって実行されたとき、前記システムに、請求項21から28のいずれか一項に記載の方法のすべてのステップを含む方法を行わせるように動作可能である、コンピューティングシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/605,563 US10454672B2 (en) | 2017-05-25 | 2017-05-25 | Systems and methods for preventing session fixation over a domain portal |
US15/605,563 | 2017-05-25 | ||
PCT/US2017/034682 WO2018217212A1 (en) | 2017-05-25 | 2017-05-26 | Systems and methods for preventing session fixation over a domain portal |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020522918A JP2020522918A (ja) | 2020-07-30 |
JP7018455B2 true JP7018455B2 (ja) | 2022-02-10 |
Family
ID=64395781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019563736A Active JP7018455B2 (ja) | 2017-05-25 | 2017-05-26 | ドメインポータル上のセッション固定を防ぐためのシステムおよび方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10454672B2 (ja) |
JP (1) | JP7018455B2 (ja) |
KR (1) | KR102365807B1 (ja) |
CN (1) | CN110771112B (ja) |
WO (1) | WO2018217212A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10715513B2 (en) * | 2017-06-30 | 2020-07-14 | Microsoft Technology Licensing, Llc | Single sign-on mechanism on a rich client |
US10263970B1 (en) * | 2018-10-07 | 2019-04-16 | Capital One Services, Llc | System, method and architecture for secure sharing of customer intelligence |
CN111343191B (zh) * | 2020-03-03 | 2022-08-16 | 浙江大华技术股份有限公司 | 会话校验方法及装置、存储介质、电子装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001075468A (ja) | 1999-09-03 | 2001-03-23 | Yamazaki Kyoiku Kizai Kk | インターネット教育システム、クライアントサーバシステムおよび記録媒体 |
US20050154887A1 (en) | 2004-01-12 | 2005-07-14 | International Business Machines Corporation | System and method for secure network state management and single sign-on |
JP2007058487A (ja) | 2005-08-24 | 2007-03-08 | Mizuho Bank Ltd | ログイン情報管理装置及び方法 |
US20090171982A1 (en) | 1999-12-21 | 2009-07-02 | Thomas Hagan | Privacy and Security Method and System for a World-Wide-Web Site |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6985953B1 (en) * | 1998-11-30 | 2006-01-10 | George Mason University | System and apparatus for storage and transfer of secure data on web |
US6601169B2 (en) | 1999-12-30 | 2003-07-29 | Clyde Riley Wallace, Jr. | Key-based secure network user states |
US7890634B2 (en) * | 2005-03-18 | 2011-02-15 | Microsoft Corporation | Scalable session management |
JP5262941B2 (ja) * | 2009-04-10 | 2013-08-14 | ソニー株式会社 | 認証装置、認証方法、及びプログラム |
CA2791566C (en) * | 2010-03-01 | 2018-09-18 | Andreas Wittenstein | System and method for network security including detection of attacks through partner websites |
US8850219B2 (en) * | 2010-05-13 | 2014-09-30 | Salesforce.Com, Inc. | Secure communications |
US8694784B1 (en) | 2012-10-09 | 2014-04-08 | Sap Ag | Secure client-side key storage for web applications |
US8880885B2 (en) * | 2012-10-09 | 2014-11-04 | Sap Se | Mutual authentication schemes |
KR101358704B1 (ko) | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | 싱글 사인 온을 위한 인증 방법 |
US9521146B2 (en) * | 2013-08-21 | 2016-12-13 | Microsoft Technology Licensing, Llc | Proof of possession for web browser cookie based security tokens |
US9225515B2 (en) | 2013-09-13 | 2015-12-29 | Sap Portals Israel Ltd | Shared portal context session |
KR101744747B1 (ko) * | 2013-11-22 | 2017-06-09 | 한국전자통신연구원 | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 |
IN2013CH05960A (ja) * | 2013-12-20 | 2015-06-26 | Samsung R & D Inst India Bangalore Private Ltd | |
WO2015200256A1 (en) * | 2014-06-27 | 2015-12-30 | Gerard Lin | Method of mutual verification between a client and a server |
CN105429978B (zh) * | 2015-11-13 | 2018-10-30 | 中国建设银行股份有限公司 | 数据访问方法、设备及系统 |
US10587732B2 (en) * | 2017-04-13 | 2020-03-10 | International Business Machines Corporation | Secure client-server communication |
US10778668B2 (en) * | 2017-06-02 | 2020-09-15 | Dell Products L.P. | HTTP session validation module |
-
2017
- 2017-05-25 US US15/605,563 patent/US10454672B2/en active Active
- 2017-05-26 KR KR1020197036275A patent/KR102365807B1/ko active IP Right Grant
- 2017-05-26 JP JP2019563736A patent/JP7018455B2/ja active Active
- 2017-05-26 WO PCT/US2017/034682 patent/WO2018217212A1/en active Application Filing
- 2017-05-26 CN CN201780092028.4A patent/CN110771112B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001075468A (ja) | 1999-09-03 | 2001-03-23 | Yamazaki Kyoiku Kizai Kk | インターネット教育システム、クライアントサーバシステムおよび記録媒体 |
US20090171982A1 (en) | 1999-12-21 | 2009-07-02 | Thomas Hagan | Privacy and Security Method and System for a World-Wide-Web Site |
US20050154887A1 (en) | 2004-01-12 | 2005-07-14 | International Business Machines Corporation | System and method for secure network state management and single sign-on |
JP2007058487A (ja) | 2005-08-24 | 2007-03-08 | Mizuho Bank Ltd | ログイン情報管理装置及び方法 |
Also Published As
Publication number | Publication date |
---|---|
US20180343113A1 (en) | 2018-11-29 |
KR20200012889A (ko) | 2020-02-05 |
US10454672B2 (en) | 2019-10-22 |
JP2020522918A (ja) | 2020-07-30 |
CN110771112A (zh) | 2020-02-07 |
KR102365807B1 (ko) | 2022-02-23 |
WO2018217212A1 (en) | 2018-11-29 |
CN110771112B (zh) | 2022-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11218460B2 (en) | Secure authentication for accessing remote resources | |
US10462135B2 (en) | Systems and methods for providing confidentiality and privacy of user data for web browsers | |
JP7426475B2 (ja) | 分散化されたデータ認証 | |
US10666622B2 (en) | Automatic placeholder finder-filler | |
US8850219B2 (en) | Secure communications | |
JP6109845B2 (ja) | 認証コンテンツのコンテンツ消費者のほうへの移動 | |
US8505106B1 (en) | Cross site request forgery mitigation in multi-domain integrations | |
US20150180857A1 (en) | Simple user management service utilizing an access token | |
US9294479B1 (en) | Client-side authentication | |
US11582229B2 (en) | Systems and methods of application single sign on | |
JP7018455B2 (ja) | ドメインポータル上のセッション固定を防ぐためのシステムおよび方法 | |
US8892647B1 (en) | System and method for associating a cookie with a device identifier | |
US10897458B1 (en) | Enhancing secure client experience through selective encryption of cookies | |
US20240275778A1 (en) | Browser extensionless phish-proof multi-factor authentication (MFA) | |
JP6914436B2 (ja) | 認証のためのシステムおよび方法 | |
US10243992B2 (en) | Secure content delivery over a domain portal | |
US10069829B1 (en) | Multi-party secure global attestation | |
EP3407561B1 (en) | Systems and methods for preventing sessions fixation over a domain portal | |
CN114244607B (zh) | 单点登录方法、系统、设备、介质和程序 | |
CN110546931B (zh) | 域门户上的安全内容传递方法 | |
US11582208B1 (en) | Detecting domain fronting through correlated connections | |
CN112751844B (zh) | 一种Portal认证方法、装置及电子设备 | |
US20230344818A1 (en) | Systems and methods for securely establishing trusted device bonding | |
Sachdeva¹ et al. | Web Operating System Impediments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210406 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210706 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220104 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220131 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7018455 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |