用于保護單點登錄域以防憑證泄漏的方法和設備的制作方法
【專利摘要】本發(fā)明揭示一種用于保護單點登錄域以防憑證泄漏的方法。在所述方法中��,驗證服務器210將驗證小數(shù)據(jù)文件102提供到瀏覽器客戶端220���。所述小數(shù)據(jù)文件具有用于所述域的驗證憑證���,且與所述域的驗證子域相關聯(lián)。服務器10從所述瀏覽器客戶端接收所述小數(shù)據(jù)文件114�����。在驗證所述所接收小數(shù)據(jù)文件中的所述用戶驗證憑證后,所述服務器210即刻通過向所述瀏覽器客戶端轉發(fā)用于所述域的受限使用小數(shù)據(jù)文件132來對接入請求作出響應��。所述服務器210從內容服務器230接收使從所述瀏覽器客戶端接收的所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求134�。在生效后,所述服務器210即刻將有效會話消息182提供到所述內容服務器230以使得所述內容服務器能夠將所請求內容184轉發(fā)到所述客戶端�����。
【專利說明】用于保護單點登錄域以防憑證泄漏的方法和設備
【技術領域】
[0001 ] 本發(fā)明大體上涉及保護單點登錄域以防憑證泄漏���。
【背景技術】
[0002]單點登錄技術允許經(jīng)授權用戶基于與受保護子域網(wǎng)站中的一者的一個登錄事務而接入在共享域下的受保護子域網(wǎng)站���。在典型的單點登錄技術中,接入受保護子域網(wǎng)站的用戶經(jīng)驗證且連接到網(wǎng)站����,所述網(wǎng)站對用戶的瀏覽器提供會話小數(shù)據(jù)文件(cookie)��。會話小數(shù)據(jù)文件允許用戶除了能夠接入子域網(wǎng)站之外還能夠接入域下的所有網(wǎng)站����。
[0003]然而,子域網(wǎng)站的每個主機以及在每個主機上運行的每個腳本必須受信任�����,以便使用戶驗證保持安全。在受保護域下的另一子域中操作且被用戶訪問的惡意網(wǎng)站可從用戶的瀏覽器收集用戶的會話小數(shù)據(jù)文件��。在會話小數(shù)據(jù)文件中泄漏的用戶憑證可被再使用以獲得對所述域下的子域的其它受保護內部網(wǎng)站的非法接入���。
[0004]因此需要用于保護單點登錄域以防憑證泄漏的技術�。
【發(fā)明內容】
[0005]本發(fā)明的一方面可駐存于一種用于保護單點登錄域以防憑證泄漏的方法中��。在所述方法中���,驗證服務器將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端���。驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證,且與單點登錄域的驗證子域相關聯(lián)�。驗證服務器接收來自瀏覽器客戶端的接入請求中的驗證小數(shù)據(jù)文件。接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求�����,在單點登錄域內由用戶瀏覽器客戶端從內容服務器接收的重定向�����。在驗證所述所接收驗證小數(shù)據(jù)文件中的所述用戶驗證憑證后,所述驗證服務器即刻通過向所述用戶瀏覽器客戶端轉發(fā)用于所述單點登錄域的受限使用小數(shù)據(jù)文件來對所述接入請求作出響應�。驗證服務器從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求。內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件�����。在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后���,所述驗證服務器即刻將有效會話消息提供到所述內容服務器以使得所述內容服務器能夠將所請求內容轉發(fā)到所述用戶瀏覽器客戶端����。
[0006]在本發(fā)明的更詳細方面中��,受限使用小數(shù)據(jù)文件可為單次使用小數(shù)據(jù)文件��。在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后��,所述驗證服務器可即刻使所述受限使用小數(shù)據(jù)文件失效以禁止所述受限使用小數(shù)據(jù)文件的進一步使用���。受限使用小數(shù)據(jù)文件可具有短的期滿時間�����。所述短的期滿時間可包括大約一分鐘�����。內容服務器可包括單點登錄域的子域����。受限使用小數(shù)據(jù)文件可僅對內容服務器的子域有效����。會話識別符可包括單次會話密鑰。
[0007]本發(fā)明的另一方面可駐存于驗證服務器中�,包括:用于將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端的裝置,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證����,且與單點登錄域的驗證子域相關聯(lián);用于接收來自瀏覽器客戶端的接入請求中的驗證小數(shù)據(jù)文件的裝置�,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求,在單點登錄域內由用戶瀏覽器客戶端從內容服務器接收的重定向���;用于在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件來對接入請求作出響應的裝置���;用于從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求的裝置,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件�����;以及用于在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息提供到內容服務器以使得內容服務器能夠將所請求內容轉發(fā)到用戶瀏覽器客戶端的裝置。
[0008]本發(fā)明的另一方面可駐存于驗證服務器中����,包括:處理器,其經(jīng)配置以:將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端����,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證,且與單點登錄域的驗證子域相關聯(lián)���;接收來自瀏覽器客戶端的接入請求中的驗證小數(shù)據(jù)文件��,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求�,在單點登錄域內由用戶瀏覽器客戶端從內容服務器接收的重定向���;在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件來對接入請求作出響應�;從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求�����,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件;以及在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息提供到內容服務器以使得內容服務器能夠將所請求內容轉發(fā)到用戶瀏覽器客戶端���。
[0009]本發(fā)明的另一方面可駐存于包括計算機可讀媒體的計算機程序產(chǎn)品中,包括:用于致使計算機將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端的代碼����,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證,且與單點登錄域的驗證子域相關聯(lián)�;用于致使計算機接收來自瀏覽器客戶端的接入請求中的驗證小數(shù)據(jù)文件的代碼,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求�,在單點登錄域內由用戶瀏覽器客戶端從內容服務器接收的重定向;用于致使計算機在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件來對接入請求作出響應的代碼�;用于致使計算機從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求的代碼,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件����;以及用于致使計算機在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息提供到內容服務器以使得內容服務器能夠將所請求內容轉發(fā)到用戶瀏覽器客戶端的代碼。
【專利附圖】
【附圖說明】
[0010]圖1是根據(jù)本發(fā)明的用于保護單點登錄域以防憑證泄漏的方法的流程圖����。
[0011]圖2是展示啟用與驗證服務器和多個內容服務器的通信的耦合到因特網(wǎng)的用戶瀏覽器客戶端的框圖。
[0012]圖3是展示用于實施驗證服務器的計算機的實例的框圖����。
[0013]圖4是根據(jù)本發(fā)明的用于保護單點登錄域以防憑證泄漏的方法的另一流程圖。
【具體實施方式】
[0014]詞語“示范性”本文用以表示“充當實例、例子或說明”����。本文描述為“示范性”的任何實施例不一定解釋為比其它實施例優(yōu)選或有利。
[0015]參見圖1和2����,本發(fā)明的一方面可駐存于用于保護單點登錄域以防憑證泄漏的方法100中。在所述方法中�����,驗證服務器210將驗證小數(shù)據(jù)文件102提供到用戶瀏覽器客戶端220 (步驟110)�。驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證112,且與單點登錄域的驗證子域相關聯(lián)�。驗證服務器接收來自瀏覽器客戶端的接入請求114中的驗證小數(shù)據(jù)文件(步驟120)。接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求118�,在單點登錄域內由用戶瀏覽器客戶端從內容服務器230接收的重定向116。在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后(步驟130)����,驗證服務器即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件132來對接入請求作出響應(步驟140)。驗證服務器從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求134(步驟150)����。內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件(步驟160)���。在受限使用小數(shù)據(jù)文件的會話識別符生效后(步驟170),驗證服務器將有效會話消息182提供到內容服務器以使得內容服務器能夠將所請求內容184轉發(fā)到用戶瀏覽器客戶端(步驟190)���。
[0016]在本發(fā)明的更詳細方面中���,受限使用小數(shù)據(jù)文件132可為單次使用小數(shù)據(jù)文件�。在受限使用小數(shù)據(jù)文件的會話識別符生效后(步驟150),驗證服務器可即刻使受限使用小數(shù)據(jù)文件失效以禁止受限使用小數(shù)據(jù)文件的進一步使用(步驟180)�����。受限使用小數(shù)據(jù)文件可具有短的期滿時間���。所述短的期滿時間可包括大約一分鐘����。受限使用小數(shù)據(jù)文件可專用于特定內容服務器230���。內容服務器可包括單點登錄域的子域����。受限使用小數(shù)據(jù)文件可僅對內容服務器的子域有效。會話識別符可包括單次會話密鑰�。
[0017]另外參見圖3,包括驗證服務器210的站可為包含處理器320�����、存儲器330 (和/或磁盤驅動器)�、顯示器340以及小鍵盤或鍵盤350的計算機310。類似地����,包括用戶客戶端220的另一個站可為包含處理器、存儲器(和/或磁盤驅動器)��、顯示器以及小鍵盤或鍵盤的計算機����。用戶客戶端計算機還可包含麥克風、揚聲器�����、相機����、網(wǎng)絡瀏覽器軟件和類似物����。此夕卜��,所述站還可包含USB�����、以太網(wǎng)和類似接口����,以用于經(jīng)由例如因特網(wǎng)240等網(wǎng)絡進行通信���。
[0018]特定參見圖4���,本發(fā)明可具體實施于用于保護單點登錄域以防憑證泄漏到使用共享域名的惡意服務器的另一方法中。所述方法可使用域等級(例如,domain_name.com)小數(shù)據(jù)文件來驗證子域服務器�,且隨后可產(chǎn)生單獨子域特定的小數(shù)據(jù)文件。對于單點登錄����,在域內的子域(例如,csl.domain_name.com)處請求接入由第一內容服務器230-1托管的網(wǎng)站的(步驟410)的用戶瀏覽器客戶端220可被重定向到使用子域login.domain_name.com的驗證服務器210(步驟414)���。驗證服務器可接收重定向請求且隨后取得針對所述域的用戶憑證(步驟418,422和426)��。
[0019]理想上��,驗證服務器可產(chǎn)生針對特定較低等級子域(例如���,csl.domain-name.com)的小數(shù)據(jù)文件����。然而��,小數(shù)據(jù)文件無法針對不匹配的子域名來設定�����。而是����,驗證服務器可在針對域domain_name.com的受限使用小數(shù)據(jù)文件(例如單次使用小數(shù)據(jù)文件)中產(chǎn)生單次會話密鑰。另外�����,驗證服務器可產(chǎn)生針對子域login.domain_name.com的驗證服務器特定的小數(shù)據(jù)文件����,且將所述小數(shù)據(jù)文件提供到瀏覽器客戶端(步驟430)���。當用戶的瀏覽器客戶端首先將domain_name.com小數(shù)據(jù)文件給予其希望接入的網(wǎng)站時(步驟434),所述網(wǎng)站可檢查與驗證服務器的所述會話(步驟438和442)。驗證使所述會話失效以防止小數(shù)據(jù)文件的再使用(步驟446)�����,且隨后向網(wǎng)站指示所述會話曾有效(步驟450)��。網(wǎng)站隨后知道對用戶瀏覽器客戶端給予針對其較低等級子域的會話小數(shù)據(jù)文件是安全的(步驟454)�。
[0020]如果用戶瀏覽器客戶端220希望驗證由第二內容服務器230-2托管的另一子域中的網(wǎng)站(步驟458),那么其可經(jīng)重定向到驗證服務器210(步驟462)�����。用戶瀏覽器客戶端可將較早獲得的login.domain_name.com小數(shù)據(jù)文件提供到驗證服務器(步驟430),所述驗證服務器可返回針對域domain_name.com的新的單次使用小數(shù)據(jù)文件(步驟466和470)�。如同第一內容服務器(步驟434到454)�,新的單次使用小數(shù)據(jù)文件可由第二內容服務器使用以通過向驗證服務器的詢問來驗證用戶瀏覽器客戶端且提供所請求內容(步驟474到494)。既然用戶瀏覽器客戶端具有來自第二內容服務器的子域小數(shù)據(jù)文件�,其并不需要在會話期間在所述子域(cs2.domain-name, com)內重新驗證。
[0021]domain_name.com小數(shù)據(jù)文件的受限使用方面防止另一網(wǎng)站重放domain_name.com小數(shù)據(jù)文件以獲得對受保護網(wǎng)站的接入��。如果再使用失效的domain_name.com小數(shù)據(jù)文件���,那么第二驗證嘗試將失敗且將提示所述用戶需要其憑證�。
[0022]另外,為了防止浪費時間發(fā)送失效的小數(shù)據(jù)文件����,domain_name.com小數(shù)據(jù)文件是以短的期滿時間來產(chǎn)生。雖然本發(fā)明的方法增加了傳遞的消息數(shù)目����,但其不需要代表用戶的任何額外動作。
[0023]由于針對一個以上連接有效的僅有小數(shù)據(jù)文件是子域特定的小數(shù)據(jù)文件���,因此在這些小數(shù)據(jù)文件不發(fā)送到單點登錄域內的其它子域的網(wǎng)站時�����,所述方法可更安全���。因此,可防止例如向惡意網(wǎng)站的憑證泄漏���,因為針對login.domain_name.com子域的小數(shù)據(jù)文件未提供到除了驗證服務器之外的任何網(wǎng)站或服務器����。
[0024]本發(fā)明的另一方面可駐存于驗證服務器210中,包括:用于將驗證小數(shù)據(jù)文件102提供到用戶瀏覽器客戶端220的裝置310����,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證112,且與單點登錄域的驗證子域相關聯(lián)��;用于接收來自瀏覽器客戶端的接入請求114中的驗證小數(shù)據(jù)文件的裝置310�����,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求118�,在單點登錄域內由用戶瀏覽器客戶端從內容服務器230接收的重定向116 ;用于在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件132來對接入請求作出響應的裝置310 ;用于從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求134的裝置310����,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件;以及用于在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息182提供到內容服務器以使得內容服務器能夠將所請求內容184轉發(fā)到用戶瀏覽器客戶端的裝置310�。
[0025]本發(fā)明的另一方面可駐存于驗證服務器中,包括:處理器320����,其經(jīng)配置以:將驗證小數(shù)據(jù)文件102提供到用戶瀏覽器客戶端220�����,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證112,且與單點登錄域的驗證子域相關聯(lián)���;接收來自瀏覽器客戶端的接入請求114中的驗證小數(shù)據(jù)文件�����,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求118���,在單點登錄域內由用戶瀏覽器客戶端從內容服務器230接收的重定向116 ;在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件132來對接入請求作出響應;從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求134�,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件����;以及在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息182提供到內容服務器以使得內容服務器能夠將所請求內容184轉發(fā)到用戶瀏覽器客戶端��。
[0026]本發(fā)明的另一方面可駐存于包括計算機可讀媒體330的計算機程序產(chǎn)品中�����,包括:用于致使計算機310將驗證小數(shù)據(jù)文件102提供到用戶瀏覽器客戶端的代碼,其中驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證112,且與單點登錄域的驗證子域相關聯(lián)����;用于致使計算機310接收來自瀏覽器客戶端的接入請求114中的驗證小數(shù)據(jù)文件的代碼�,其中所述接入請求是基于響應于來自用戶瀏覽器客戶端的內容請求118在單點登錄域內由用戶瀏覽器客戶端從內容服務器230接收的重定向116 ;用于致使計算機310在驗證所接收驗證小數(shù)據(jù)文件中的用戶驗證憑證后即刻通過向用戶瀏覽器客戶端轉發(fā)用于單點登錄域的受限使用小數(shù)據(jù)文件132來對接入請求作出響應的代碼�����;用于致使計算機310從內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求134的代碼�,其中內容服務器從用戶瀏覽器客戶端接收受限使用小數(shù)據(jù)文件;以及用于致使計算機310在受限使用小數(shù)據(jù)文件的會話識別符生效后即刻將有效會話消息182提供到內容服務器以使得內容服務器能夠將所請求內容184轉發(fā)到用戶瀏覽器客戶端的代碼��。
[0027]所屬領域的技術人員將了解���,可使用多種不同技藝和技術中的任一種來表示信息和信號�����。舉例來說����,可通過電壓�����、電流����、電磁波、磁場或磁性粒子���、光場或光學粒子或者其任何組合來表示整個以上描述中可能參考的數(shù)據(jù)、指令�、命令、信息���、信號�、位�����、符號和碼片�����。
[0028]所屬領域的技術人員將進一步了解�����,結合本文所揭示的實施例描述的各種說明性邏輯塊、模塊�����、電路和算法步驟可實施為電子硬件�����、計算機軟件或所述兩者的組合�����。為了清楚地說明硬件與軟件的這種可交換性�����,上文已大體上在其功能性方面描述了各種說明性組件����、塊、模塊����、電路和步驟���。將此類功能性實施為硬件還是軟件取決于特定應用和對整個系統(tǒng)施加的設計約束�。熟練的技術人員針對每一特定應用可以不同方式實施所描述的功能性,但不應將此類實施方案決策解釋為造成與本發(fā)明的范圍的脫離���。
[0029]結合本文所揭示的實施例描述的各種說明性邏輯塊�����、模塊和電路可用經(jīng)設計以執(zhí)行本文描述的功能的通用處理器�、數(shù)字信號處理器(DSP)�����、專用集成電路(ASIC)���、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯裝置���、離散門或晶體管邏輯、離散硬件組件或其任何組合來實施或執(zhí)行�����。通用處理器可為微處理器,但在替代例中�,處理器可為任何常規(guī)的處理器、控制器�、微控制器或狀態(tài)機。處理器還可實施為計算裝置的組合����,例如DSP與微處理器的組合、多個微處理器�、結合DSP核心的一個或一個以上微處理器或任何其它此類配置。
[0030]結合本文所揭示的實施例描述的方法或算法的步驟可直接以硬件�、以由處理器執(zhí)行的軟件模塊或以所述兩者的組合來實施。軟件模塊可駐留在RAM存儲器��、快閃存儲器��、ROM存儲器�����、EPROM存儲器���、EEPROM存儲器����、寄存器、硬盤��、可裝卸式盤�、CD-ROM或此項技術中已知的任何其它形式的存儲媒體中。示范性存儲媒體耦合到處理器���,使得處理器可從存儲媒體讀取信息和向存儲媒體寫入信息。在替代方案中�,存儲媒體可與處理器成一體式。處理器和存儲媒體可駐留在ASIC中����。ASIC可駐留在用戶終端中。在替代方案中����,處理器和存儲媒體可作為離散組件駐留在用戶終端中。
[0031]在一個或一個以上示范性實例中�����,所描述的功能可以硬件����、軟件��、固件或其任一組合來實施��。如果以軟件實施為計算機程序產(chǎn)品�����,那么功能可作為一個或一個以上指令或代碼存儲在計算機可讀媒體上�����。計算機可讀媒體包含促進計算機程序從一處傳送到另一處的計算機存儲媒體�����。存儲媒體可為可由計算機存取的任何可用媒體�。舉例來說且并非限制�����,此類計算機可讀媒體可包括RAM�����、ROM、EEPROM�、CD-ROM或其它光盤存儲裝置、磁盤存儲裝置或其它磁性存儲裝置��、或可用來以指令或數(shù)據(jù)結構的形式存儲所要程序代碼且可由計算機存取的任何其它媒體��。如本文中所使用��,磁盤及光盤包含壓縮光盤(CD)���、激光光盤��、光學光盤、數(shù)字多功能光盤(DVD)��、軟磁盤及藍光光盤�,其中磁盤通常以磁性方式再生數(shù)據(jù),而光盤使用激光以光學方式再生數(shù)據(jù)����。上文的組合也應包含在計算機可讀媒體的范圍內。計算機可讀媒體可為非暫時性的�,使得其不包含暫時性的傳播信號。
[0032]提供對所揭示實施例的先前描述是為了使得所屬領域的技術人員能夠制作或使用本發(fā)明���。所屬領域的技術人員將容易了解對這些實施例的各種修改���,且在不脫離本發(fā)明精神或范圍的情況下�����,本文所界定的一般原理可適用于其它實施例���。因此,本發(fā)明不希望限于本文展示的實施例��,而是應被賦予與本文所揭示的原理和新穎特征一致的最廣范圍����。
【權利要求】
1.一種用于保護單點登錄域以防憑證泄漏的方法,其包括: 驗證服務器將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端����,其中所述驗證小數(shù)據(jù)文件具有用于所述單點登錄域的至少一個用戶驗證憑證,且與所述單點登錄域的驗證子域相關聯(lián)�; 所述驗證服務器接收來自所述瀏覽器客戶端的接入請求中的所述驗證小數(shù)據(jù)文件,其中所述接入請求是基于響應于來自所述用戶瀏覽器客戶端的內容請求在所述單點登錄域內由所述用戶瀏覽器客戶端從內容服務器接收的重定向���; 在驗證所述所接收驗證小數(shù)據(jù)文件中的所述用戶驗證憑證后����,所述驗證服務器即刻通過向所述用戶瀏覽器客戶端轉發(fā)用于所述單點登錄域的受限使用小數(shù)據(jù)文件來對所述接入請求作出響應; 所述驗證服務器從所述內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求����,其中所述內容服務器從所述用戶瀏覽器客戶端接收所述受限使用小數(shù)據(jù)文件;以及 在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后����,所述驗證服務器即刻將有效會話消息提供到所述內容服務器以使得所述內容服務器能夠將所請求內容轉發(fā)到所述用戶瀏覽器客戶端。
2.根據(jù)權利要求1所述的方法�����,其中所述受限使用小數(shù)據(jù)文件包括單次使用小數(shù)據(jù)文件��。
3.根據(jù)權利要求1所述的方法�����,其進一步包括: 在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后���,所述驗證服務器即刻使所述受限使用小數(shù)據(jù)文件失效以禁止所述受限使用小數(shù)據(jù)文件的進一步使用。
4.根據(jù)權利要求1所述的方法��,其中所述受限使用小數(shù)據(jù)文件具有短的期滿時間。
5.根據(jù)權利要求4所述的方法���,其中所述短的期滿時間包括大約一分鐘��。
6.根據(jù)權利要求1所述的方法�,其中所述內容服務器包括所述單點登錄域的子域�。
7.根據(jù)權利要求6所述的方法,其中所述受限使用小數(shù)據(jù)文件僅針對所述內容服務器的子域有效�����。
8.根據(jù)權利要求1所述的方法�����,其中所述會話識別符包括單次會話密鑰�。
9.一種驗證服務器,其包括: 用于將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端的裝置�,其中所述驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證,且與所述單點登錄域的驗證子域相關聯(lián)���; 用于接收來自所述瀏覽器客戶端的接入請求中的所述驗證小數(shù)據(jù)文件的裝置����,其中所述接入請求是基于響應于來自所述用戶瀏覽器客戶端的內容請求在所述單點登錄域內由所述用戶瀏覽器客戶端從內容服務器接收的重定向; 用于在驗證所述所接收驗證小數(shù)據(jù)文件中的所述用戶驗證憑證后即刻通過向所述用戶瀏覽器客戶端轉發(fā)用于所述單點登錄域的受限使用小數(shù)據(jù)文件來對所述接入請求作出響應的裝置��; 用于從所述內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求的裝置���,其中所述內容服務器從所述用戶瀏覽器客戶端接收所述受限使用小數(shù)據(jù)文件�����;以及 用于在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后即刻將有效會話消息提供到所述內容服務器以使得所述內容服務器能夠將所請求內容轉發(fā)到所述用戶瀏覽器客戶端的裝置�。
10.根據(jù)權利要求9所述的驗證服務器����,其中所述受限使用小數(shù)據(jù)文件包括單次使用小數(shù)據(jù)文件。
11.根據(jù)權利要求9所述的驗證服務器�,其進一步包括: 用于在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后即刻使所述受限使用小數(shù)據(jù)文件失效以禁止所述受限使用小數(shù)據(jù)文件的進一步使用的裝置。
12.根據(jù)權利要求9所述的驗證服務器�,其中所述受限使用小數(shù)據(jù)文件具有短的期滿時間。
13.根據(jù)權利要求12所述的驗證服務器���,其中所述短的期滿時間包括大約一分鐘。
14.根據(jù)權利要求9所述的驗證服務器�,其中所述內容服務器包括所述單點登錄域的子域。
15.根據(jù)權利要求14所述的驗證服務器����,其中所述受限使用小數(shù)據(jù)文件僅針對所述內容服務器的子域有效���。
16.根據(jù)權利要求9所述的驗證服務器,其中所述會話識別符包括單次會話密鑰�。
17.—種驗證服務器,其包括: 處理器�����,其經(jīng)配置以: 將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端�,其中所述驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證,且與所述單點登錄域的驗證子域相關聯(lián)���; 接收來自所述瀏覽器客戶端的接入請求中的所述驗證小數(shù)據(jù)文件����,其中所述接入請求是基于響應于來自所述用戶瀏覽器客戶端的內容請求在所述單點登錄域內由所述用戶瀏覽器客戶端從內容服務器接收的重定向��; 在驗證所述所接收驗證小數(shù)據(jù)文件中的所述用戶驗證憑證后�����,即刻通過向所述用戶瀏覽器客戶端轉發(fā)用于所述單點登錄域的受限使用小數(shù)據(jù)文件來對所述接入請求作出響應��; 從所述內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求,其中所述內容服務器從所述用戶瀏覽器客戶端接收所述受限使用小數(shù)據(jù)文件���;以及 在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后���,即刻將有效會話消息提供到所述內容服務器以使得所述內容服務器能夠將所請求內容轉發(fā)到所述用戶瀏覽器客戶端。
18.根據(jù)權利要求17所述的驗證服務器���,其中所述受限使用小數(shù)據(jù)文件包括單次使用小數(shù)據(jù)文件�。
19.根據(jù)權利要求17所述的驗證服務器�����,其中所述處理器進一步經(jīng)配置以: 在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后�����,即刻使所述受限使用小數(shù)據(jù)文件失效以禁止所述受限使用小數(shù)據(jù)文件的進一步使用��。
20.根據(jù)權利要求17所述的驗證服務器���,其中所述受限使用小數(shù)據(jù)文件具有短的期滿時間��。
21.根據(jù)權利要求20所述的驗證服務器����,其中所述短的期滿時間包括大約一分鐘����。
22.根據(jù)權利要求17所述的驗證服務器,其中所述內容服務器包括所述單點登錄域的子域�。
23.根據(jù)權利要求22所述的驗證服務器,其中所述受限使用小數(shù)據(jù)文件僅針對所述內容服務器的子域有效����。
24.根據(jù)權利要求17所述的驗證服務器,其中所述會話識別符包括單次會話密鑰�。
25.一種計算機程序產(chǎn)品,其包括: 計算機可讀媒體��,其包括: 用于致使計算機將驗證小數(shù)據(jù)文件提供到用戶瀏覽器客戶端的代碼��,其中所述驗證小數(shù)據(jù)文件具有用于單點登錄域的至少一個用戶驗證憑證��,且與所述單點登錄域的驗證子域相關聯(lián)�; 用于致使計算機接收來自所述瀏覽器客戶端的接入請求中的所述驗證小數(shù)據(jù)文件的代碼,其中所述接入請求是基于響應于來自所述用戶瀏覽器客戶端的內容請求在所述單點登錄域內由所述用戶瀏覽器客戶端從內容服務器接收的重定向����; 用于致使計算機在驗證所述所接收驗證小數(shù)據(jù)文件中的所述用戶驗證憑證后即刻通過向所述用戶瀏覽器客戶端轉發(fā)用于所述單點登錄域的受限使用小數(shù)據(jù)文件來對所述接入請求作出響應的代碼����; 用于致使計算機從所述內容服務器接收使所述受限使用小數(shù)據(jù)文件的會話識別符有效的請求的代碼���,其中所述內容服務器從所述用戶瀏覽器客戶端接收所述受限使用小數(shù)據(jù)文件���;以及 用于致使計算機 在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后即刻將有效會話消息提供到所述內容服務器以使得所述內容服務器能夠將所請求內容轉發(fā)到所述用戶瀏覽器客戶端的代碼。
26.根據(jù)權利要求25所述的計算機程序產(chǎn)品�,其中所述受限使用小數(shù)據(jù)文件包括單次使用小數(shù)據(jù)文件。
27.根據(jù)權利要求25所述的計算機程序產(chǎn)品�����,其進一步包括: 用于致使計算機在所述受限使用小數(shù)據(jù)文件的所述會話識別符生效后即刻使所述受限使用小數(shù)據(jù)文件失效以禁止所述受限使用小數(shù)據(jù)文件的進一步使用的代碼�。
28.根據(jù)權利要求25所述的計算機程序產(chǎn)品,其中所述受限使用小數(shù)據(jù)文件具有短的期滿時間����。
29.根據(jù)權利要求28所述的計算機程序產(chǎn)品,其中所述短的期滿時間包括大約一分鐘�。
30.根據(jù)權利要求25所述的計算機程序產(chǎn)品,其中所述內容服務器包括所述單點登錄域的子域��。
31.根據(jù)權利要求30所述的計算機程序產(chǎn)品,其中所述受限使用小數(shù)據(jù)文件僅針對所述內容服務器的子域有效����。
32.根據(jù)權利要求25所述的計算機程序產(chǎn)品,所述會話識別符包括單次會話密鑰�。
【文檔編號】H04L29/06GK103843300SQ201280048720
【公開日】2014年6月4日 申請日期:2012年10月4日 優(yōu)先權日:2011年10月4日
【發(fā)明者】杰西卡·M·弗拉納根, 克雷格·M·布朗, 邁克爾·W·帕登 申請人:高通股份有限公司