KR20140084126A - 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치 - Google Patents

크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR20140084126A
KR20140084126A KR1020147012094A KR20147012094A KR20140084126A KR 20140084126 A KR20140084126 A KR 20140084126A KR 1020147012094 A KR1020147012094 A KR 1020147012094A KR 20147012094 A KR20147012094 A KR 20147012094A KR 20140084126 A KR20140084126 A KR 20140084126A
Authority
KR
South Korea
Prior art keywords
cookie
authentication
domain
restricted
single sign
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020147012094A
Other languages
English (en)
Other versions
KR101579801B1 (ko
Inventor
제시카 엠. 플라나간
크레이그 엠. 브라운
마이클 더블유. 패든
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20140084126A publication Critical patent/KR20140084126A/ko
Application granted granted Critical
Publication of KR101579801B1 publication Critical patent/KR101579801B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/32Multimode operation in a single same satellite system, e.g. GPS L1/L2
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/24Acquisition or tracking or demodulation of signals transmitted by the system
    • G01S19/246Acquisition or tracking or demodulation of signals transmitted by the system involving long acquisition integration times, extended snapshots of signals or methods specifically directed towards weak signal acquisition
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/38Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system
    • G01S19/39Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system the satellite radio beacon positioning system transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/42Determining position
    • G01S19/421Determining position by combining or switching between position solutions or signals derived from different satellite radio beacon positioning systems; by combining or switching between position solutions or signals derived from different modes of operation in a single system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Landscapes

  • Engineering & Computer Science (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법이 개시된다. 이 방법에서, 인증 서버(210)는 브라우저 클라이언트(220)에 인증 쿠키(102)를 제공한다. 이 쿠키는, 도메인에 대한 인증 크리덴셜을 갖고, 도메인의 인증 서브도메인과 관련된다. 서버(210)는 브라우저 클라이언트(114)로부터 쿠키를 수신한다. 수신된 쿠키에서의 사용자 인증 크리덴셜의 인증시에, 서버(210)는 도메인(132)에 대한 사용-제한된 쿠키를 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답한다. 서버(210)는 브라우저 클라이언트로부터 수신된 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청(134)을 컨텐츠 서버(230)로부터 수신한다. 유효화 시에, 서버(210)는, 요청된 컨텐츠(184)를 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지(182)를 컨텐츠 서버(230)에 제공한다.

Description

크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치{METHOD AND APPARATUS FOR PROTECTING A SINGLE SIGN-ON DOMAIN FROM CREDENTIAL LEAKAGE}
본 발명은 일반적으로 크리덴셜 노출(credential leakage)로부터 단일 사인-온 도메인(single sign-on domain)을 보호하는 것에 관한 것이다.
단일 사인-온 기법들은, 인증된 사용자(authorized user)가, 보호된 서브도메인 웹사이트들 중 하나와의 하나의 사인-온 거래에 기초하여 공유 도메인 하에 있는 보호된 서브도메인 웹사이트들에 액세스하도록 허용한다. 통상적인 단일 사인-온 기법에서, 보호된 서브도메인 웹사이트에 액세스하는 사용자는 인증되어, 사용자의 브라우저에 세션 쿠키를 제공하는 웹사이트에 접속된다. 세션 쿠키는, 사용자가, 도메인 하에 있는 모든 웹사이트들뿐만 아니라 서브도메인 웹사이트로의 액세스를 갖도록 허용한다.
그러나, 서브도메인 웹사이트의 모든 각각의 호스트, 및 모든 각각의 호스트 상에서 구동하는 모든 각각의 스크립트는, 사용자 인증이 보안을 유지하는 것으로 신뢰되어야만 한다. 보호된 도메인 하에 있는 다른 서브도메인에서 동작하고, 사용자에 의해 방문된 불량 웹사이트(rogue website)는, 사용자의 브라우저로부터 사용자의 세션 쿠키를 수집할 수 있다. 세션 쿠키에서의 노출된 사용자의 크리덴셜은 재사용되어 도메인 하에 있는 서브도메인들의 다른 보호된 내부 웹사이트들에 대한 불법 액세스를 획득할 수 있다.
이에 따라, 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 기법에 대한 필요성이 존재한다.
본 발명의 일 양상은 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법에 속할 수 있다. 이 방법에서, 인증 서버는 인증 쿠키를 사용자 브라우저 클라이언트에 제공한다. 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련된다. 인증 서버는 브라우저 클라이언트로부터의 액세스 요청 내에 인증 쿠키를 수신한다. 액세스 요청은, 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 단일 사인-온 도메인 내에서의 컨텐츠 서버로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시(redirection)에 기초한다. 수신된 인증 쿠키에서의 사용자 인증 크리덴셜의 인증시에, 인증 서버는 단일 사인-온 도메인에 대한 사용-제한된 쿠키를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답한다. 인증 서버는 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 컨텐츠 서버로부터 수신한다. 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 쿠키를 수신했다. 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 인증 서버는, 요청된 컨텐츠를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 컨텐츠 서버에 제공한다.
본 발명의 더욱 세부화된 양상들에서, 사용-제한된 쿠키는 일회(one-time) 사용 쿠키일 수 있다. 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 인증 서버는 사용-제한된 쿠키의 추가적인 사용을 금지하기 위해 사용-제한된 쿠키를 무효화할 수 있다. 사용-제한된 쿠키는 짧은 만료 시간을 가질 수 있다. 짧은 만료 시간은 약 1 분을 포함할 수 있다. 컨텐츠 서버는 단일 사인-온 도메인의 서브도메인을 포함할 수 있다. 사용-제한된 쿠키는 오직 컨텐츠 서버의 서브도메인에 대해서만 유효할 수 있다. 세션 식별자는 일회 세션 키를 포함할 수 있다.
본 발명의 다른 양상은, 사용자 브라우저 클라이언트에 인증 쿠키를 제공하기 위한 수단 ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 브라우저 클라이언트로부터의 액세스 요청 내에 인증 쿠키를 수신하기 위한 수단 ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 단일 사인-온 도메인 내에서의 컨텐츠 서버로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시에 기초함 ―; 수신된 인증 쿠키에서 사용자 인증 크리덴셜의 인증시에, 단일 사인-온 도메인에 대한 사용-제한된 쿠키를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하기 위한 수단; 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 컨텐츠 서버로부터 수신하기 위한 수단 ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 쿠키를 수신했던 ―; 및 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 요청된 컨텐츠를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 컨텐츠 서버에 제공하기 위한 수단을 포함하는 인증 서버에 속할 수 있다.
본 발명의 다른 양상은, 사용자 브라우저 클라이언트에 인증 쿠키를 제공하고 ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 브라우저 클라이언트로부터의 액세스 요청 내에 인증 쿠키를 수신하고 ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 단일 사인-온 도메인 내에서의 컨텐츠 서버로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시에 기초함 ―; 수신된 인증 쿠키에서 사용자 인증 크리덴셜의 인증시에, 단일 사인-온 도메인에 대한 사용-제한된 쿠키를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하고; 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 컨텐츠 서버로부터 수신하고 ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 그리고 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 요청된 컨텐츠를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 컨텐츠 서버에 제공하도록 구성된 프로세서를 포함하는 인증 서버에 속할 수 있다.
본 발명의 다른 양상은, 컴퓨터로 하여금 사용자 브라우저 클라이언트에 인증 쿠키를 제공하게 하기 위한 코드 ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 컴퓨터로 하여금 브라우저 클라이언트로부터의 액세스 요청 내에 인증 쿠키를 수신하게 하기 위한 코드 ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 단일 사인-온 도메인 내에서의 컨텐츠 서버로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시에 기초함 ―; 수신된 인증 쿠키에서 사용자 인증 크리덴셜의 인증시에, 컴퓨터로 하여금 단일 사인-온 도메인에 대한 사용-제한된 쿠키를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하게 하기 위한 코드; 컴퓨터로 하여금 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 컨텐츠 서버로부터 수신하게 하기 위한 코드 ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 및 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 컴퓨터로 하여금 요청된 컨텐츠를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 컨텐츠 서버에 제공하게 하기 위한 코드를 포함하는 컴퓨터-판독가능 매체를 포함하는 컴퓨터 프로그램 물건에 속할 수 있다.
도 1은 본 발명에 따라서 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법의 흐름도이다.
도 2는 인증 서버 및 복수의 컨텐츠 서버들과의 통신들을 가능하게 하는 인터넷에 커플링된 사용자 브라우저 클라이언트를 나타내는 블록도이다.
도 3은 인증 서버를 구현하기 위한 컴퓨터의 일 예시를 나타내는 블록도이다.
도 4는 본 발명에 따라서 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법의 다른 흐름도이다.
단어 "예시적인"은 "예, 예시, 또는 예증으로서 기능하는"을 의미하도록 본원에 이용된다. "예시적인"으로서 본원에 설명된 임의의 실시예는 다른 실시예들에 비해 바람직하거나 또는 유리한 것으로서 구성되는 것이 필수적인 것은 아니다.
도 1 및 도 2를 참조하여, 본 발명의 일 양상은, 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법(100)에 속할 수 있다. 이 방법에서, 인증 서버(210)는 인증 쿠키(102)를 사용자 브라우저 클라이언트(220)에 제공한다(단계110). 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜(112)을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련된다. 인증 서버는 브라우저 클라이언트로부터의 액세스 요청(114) 내에 인증 쿠키를 수신한다(단계 120). 액세스 요청은 사용자 크라우저 클라이언트로부터의 컨텐츠 요청(118)에 응답하여 단일 사인-온 도메인 내에서의 컨텐츠 서버(230)로부터의 사용자 브라우저 클라이언트에 의해 수신된 재지시(116)에 기초한다. 수신된 인증 쿠키에서의 사용자 인증 크리덴셜의 인증(단계 130)시에, 인증 서버는 단일 사인-온 도메인에 대한 사용-제한된 쿠키(132)를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답한다(단계 140). 인증 서버는 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청(134)을 컨텐츠 서버로부터 수신한다(단계 150). 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 쿠키를 수신했다(단계 160). 사용-제한된 쿠키의 세션 사용자의 유효화(단계 170)시에, 인증 서버는 요청된 컨텐츠(184)를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효 세션 메시지(182)를 컨텐츠 서버에 제공한다(단계 190).
본 발명의 더욱 세부화된 양상들에서, 사용-제한된 쿠키(132)는 일회 사용 쿠키일 수 있다. 사용-제한된 쿠키의 세션 식별자의 유효화(단계150)시에, 인증 서버는 사용-제한된 쿠키의 추가적인 사용을 금지하기 위해 사용-제한된 쿠키를 무효화할 수 있다(단계180). 사용-제한된 쿠키는 짧은 만료 시간을 가질 수 있다. 짧은 만료 시간은 약 1 분을 포함할 수 있다. 사용-제한된 쿠키는 특정한 컨텐츠 서버(230)에 특정될 수 있다. 컨텐츠 서버는 단일 사인-온 도메인의 서브도메인을 포함할 수 있다. 사용-제한된 쿠키는 오직 컨텐츠 서버의 서브도메인에 대해서만 유효할 수 있다. 세션 식별자는 일회 세션 키를 포함할 수 있다.
도 3을 추가로 참조하여, 인증 서버(210)를 포함하는 스테이션은, 프로세서(320), 메모리(330)(및/또는 디스크 드라이브들), 디스플레이(340), 및 키패드 또는 키보드(350)를 포함하는 컴퓨터(310)일 수 있다. 유사하게, 사용자 클라이언트(220)를 포함하는 다른 스테이션은, 프로세서, 메모리(및/또는 디스크 드라이브들), 디스플레이, 및 키패드 또는 키보드를 포함하는 컴퓨터일 수 있다. 사용자 클라이언트 컴퓨터는 또한 마이크로폰, 스피커(들), 카메라, 웹 브라우저 소프트웨어 등을 포함할 수 있다. 게다가, 스테이션들은 또한 인터넷(240)과 같은 네트워크를 통해서 통신하기 위한, USB, 이더넷 및 유사한 인터페이스들을 포함할 수 있다.
도 4를 특히 참조하여, 본 발명은 공유 도메인 명칭을 이용하는 불량(rogue) 서버로의 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 다른 방법에서 구현(embody)될 수 있다. 이 방법은, 도메인 레벨(예컨대, domain_name.com) 쿠키를 이용하여 서브도메인 서버들을 인증할 수 있고, 이에 따라 별도의 서브도메인 특정 쿠키들을 생성할 수 있다. 단일 사인-온의 경우, 도메인 내의 서브도메인(예컨대, cs1.domain_name.com)에서의 제 1 컨텐츠 서버(230-1)에 의해 호스팅된 웹사이트로의 액세스를 요청하는(단계 410) 사용자 브라우저 클라이언트(220)는 서브도메인 login.domain_name.com을 이용하는 인증 서버(210)에 재지시될 수 있다(단계 414). 인증 서버는 재지시 요청을 수신할 수 있고, 그후 그 도메인에 대한 사용자의 크리덴셜들을 구한다(procure)(단계 418, 422 및 426).
이상적으로, 인증 서버는 특정 더 낮은 레벨의 서브도메인들(예컨대, cs1.domain-name.com)에 대한 쿠키들을 생성할 수 있다. 그러나, 일치하지 않는 서브도메인 명칭에 대해서는 쿠키가 설정될 수 없다. 대신에, 인증 서버는 도메인: domain_name.com에 대한 사용-제한된 쿠키(예컨대, 일회 사용 쿠키) 내에 일회 세션 키를 생성할 수 있다. 또한, 인증 서버는 서브도메인: login.domain_name.com에 대한 인증-서버-특정 쿠키를 생성할 수 있고, 그 쿠키들을 브라우저 클라이언트에 제공할 수 있다(단계 430). 사용자의 브라우저 클라이언트가, 액세스하기 원하는 웹사이트에 domain_name.com 쿠키를 먼저 부여하는 경우(단계 434), 웹사이트는 인증 서버와의 세션을 체크할 수 있다(단계 438 및 442). 인증은 그 쿠키의 재사용을 방지하기 위해 그 세션을 무효화하고(단계 446), 그후 그 세션이 유효했었음을 웹사이트에 나타낸다(단계 450). 다음으로, 웹사이트는, 자신의 더 낮은 레벨의 서브도메인에 대한 세션 쿠키를 사용자 브라우저 클라이언트에 안전하게 부여했음을 인지한다(단계 454).
사용자 브라우저 클라이언트(220)가 제 2 컨텐츠 서버(230-2)에 의해 호스팅된 다른 서브도메인 내의 웹사이트에 대해(against) 인증하기 희망하면, 인증 서버(210)로 재지시될 수 있다(단계 462). 사용자 브라우저 클라이언트는, 도메인: domain_name.com에 대한 새로운 일회 사용 쿠키를 리턴할 수 있는 인증 서버에 더 일찍 획득된(단계 430) login.domain_name.com 쿠키를 제공할 수 있다(단계들 466 및 470). 제 1 컨텐츠 서버(단계들 434-454)에서와 마찬가지로, 새로운 일회 사용 쿠키는, 인증 서버로의 질의에 의해 사용자 브라우저 클라이언트를 인증하도록 제 2 컨텐츠 서버에 의해 사용될 수 있고 요청된 컨텐츠를 제공한다(단계 474-494). 이제, 사용자 브라우저 클라이언트가 제 2 컨텐츠 서버로부터의 서브도메인 쿠키를 가지는 경우, 세션 동안 그 서브도메인(cs2.domain- name.com) 내에서 재-인증할 필요는 없다.
domain_name.com 쿠키의 사용-제한된 양상은, 보호된 웹사이트로의 액세스를 획득하기 위해 domain_name.com 쿠키를 다른 웹사이트가 재생하는 것을 방지한다. 무효화된 domain_name.com 쿠키가 재사용되면, 제 2 인증 시도는 실패할 것이며, 사용자는 그들의 크리덴셜들에 유도될 것이다.
추가적으로, 무효화된 쿠키를 전송하는 시간을 낭비하는 것을 방지하기 위해, domain_name.com 쿠키들이 짧은 만료 시간들을 통해 생성된다. 본 발명의 방법이 통과된 메시지들의 수를 증가시키지만, 사용자 대신에 임의의 추가적인 액션을 요구하지는 않는다.
오직 1개 보다 많은 접속에 대해 유효한 쿠키들만이 서브도메인 특정 쿠키들이기 때문에, 이 방법은, 이러한 쿠키들이 단일 사인-온 도메인 내에서 다른 서브도메인들의 웹사이트들에 전송되지 않기 때문에 더욱 안전할 수 있다. 따라서, login.domain_name.com 서브도메인에 대한 쿠키가 인증 서버 이외의 임의의 웹사이트들 또는 서버들에 제공되지 않기 때문에, 예를 들어, 불량 웹사이트로의 크리덴셜 노출이 방지될 수 있다.
본 발명의 다른 양상은, 사용자 브라우저 클라이언트(220)에 인증 쿠키(102)를 제공하기 위한 수단(310) ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜(112)을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 브라우저 클라이언트로부터의 액세스 요청(114) 내에 인증 쿠키를 수신하기 위한 수단(310) ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청(118)에 응답하여 단일 사인-온 도메인 내에서 켄텐츠 서버(230)로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시(116)에 기초함 ―; 수신된 인증 쿠키에서의 사용자 인증 크리덴셜의 인증시에, 단일 사인-온 도메인에 대한 사용-제한된 쿠키(132)를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하기 위한 수단(310); 사용-제한된 쿠키의 세션 식별자를 유효화하기 위해 컨텐츠 서버로부터 요청(134)을 수신하기 위한 수단(310) ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 쿠키를 수신했음 ―; 및 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 요청된 컨텐츠(184)를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지(182)를 컨텐츠 서버에 제공하기 위한 수단(310)을 포함하는 인증 서버(210)에 속할 수 있다.
본 발명의 다른 양상은: 사용자 브라우저 클라이언트(220)에 인증 쿠키(102)를 제공하고 ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜(112)을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 브라우저 클라이언트로부터의 액세스 요청(114) 내에 인증 쿠키를 수신하고 ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청(118)에 응답하여 단일 사인-온 도메인 내에서 컨텐츠 서버(230)로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시(116)에 기초함 ―; 수신된 인증 쿠키에서 사용자 인증 크리덴셜의 인증시에, 단일 사인-온 도메인에 대한 사용-제한된 쿠키(132)를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하고; 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청(134)을 컨텐츠 서버로부터 수신하고 ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 그리고 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 요청된 컨텐츠(184)를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지(182)를 컨텐츠 서버에 제공하도록 구성된 프로세서(320)를 포함하는 인증 서버에 속할 수 있다.
본 발명의 다른 양상은: 컴퓨터(310)로 하여금 사용자 브라우저 클라이언트에 인증 쿠키(102)를 제공하게 하기 위한 코드 ― 인증 쿠키는, 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜(112)을 갖고, 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―; 컴퓨터(310)로 하여금 브라우저 클라이언트로부터의 액세스 요청(114) 내에 인증 쿠키를 수신하게 하기 위한 코드 ― 액세스 요청은 사용자 브라우저 클라이언트로부터의 컨텐츠 요청(118)에 응답하여 단일 사인-온 도메인 내에서 컨텐츠 서버(230)로부터 사용자 브라우저 클라이언트에 의해 수신된 재지시(116)에 기초함 ―; 수신된 인증 쿠키에서 사용자 인증 크리덴셜의 인증시에, 컴퓨터(310)로 하여금 단일 사인-온 도메인에 대한 사용-제한된 쿠키(132)를 사용자 브라우저 클라이언트에 포워딩함으로써 액세스 요청에 응답하게 하기 위한 코드; 컴퓨터(310)로 하여금 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청(134)을 컨텐츠 서버로부터 수신하게 하기 위한 코드 ― 컨텐츠 서버는 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 및 사용-제한된 쿠키의 세션 식별자의 유효화 시에, 컴퓨터(310)로 하여금 요청된 컨텐츠(184)를 사용자 브라우저 클라이언트에 포워딩하도록 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지(182)를 컨텐츠 서버에 제공하게 하기 위한 코드를 포함하는 컴퓨터-판독가능 매체(330)를 포함하는 컴퓨터 프로그램 물건에 속할 수 있다.
당업자들은 정보 및 신호들이 다양한 상이한 기술들 및 기법들 중 임의의 것을 이용하여 표현될 수 있다는 것을 이해할 것이다. 예를 들어, 전술한 설명 전반에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심볼들 및 칩들은 전압들, 전류들, 전자기파들, 자기장들 또는 자기 입자들, 광 필드들 또는 광 입자들, 또는 이들의 임의의 조합에 의해 표현될 수 있다.
당업자들은 본원에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 회로들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어 또는 이들의 조합으로서 구현될 수 있다는 것을 또한 이해할 것이다. 하드웨어 및 소프트웨어의 이러한 상호 교환성을 명확하게 설명하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 단계들이 이들의 기능과 관련하여 위에서 일반적으로 설명되었다. 이러한 기능이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정한 애플리케이션 및 전체 시스템에 대하여 부과되는 설계 제약들에 따라 좌우된다. 당업자들은 각각의 특정한 애플리케이션에 대하여 다양한 방식들로 설명된 기능을 구현할 수 있으나, 이러한 구현 결정들은 본 발명의 범위를 벗어나는 것으로 해석되어서는 안된다.
본원에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들 및 회로들은 범용 프로세서, 디지털 신호 프로세서(DSP), 주문형 집적 회로(ASIC), 필드 프로그래머블 게이트 어레이(FPGA) 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들 또는 본원에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합을 통해 구현되거나 또는 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 대안적으로 이 프로세서는 임의의 기존의 프로세서, 컨트롤러, 마이크로컨트롤러 또는 상태 머신일 수 있다. 프로세서는 또한 컴퓨팅 디바이스들의 조합, 예를 들어, DSP와 마이크로프로세서의 조합, 복수의 마이크로프로세서들, DSP 코어와 연결된 하나 또는 그 초과의 마이크로프로세서들 또는 임의의 다른 이러한 구성으로서 구현될 수 있다.
본원의 개시물과 관련하여 설명된 방법 또는 알고리즘의 단계들은 직접 하드웨어로 구현되거나, 프로세서에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이 둘의 조합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 탈착식 디스크, CD-ROM, 또는 당업계에 공지된 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적인 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기록할 수 있도록, 프로세서에 커플링된다. 대안적으로, 저장 매체는 프로세서에 통합될 수 있다. 프로세서 및 저장 매체는 ASIC 내에 상주할 수 있다. ASIC는 사용자 단말 내에 상주할 수 있다. 대안적으로, 프로세서 및 저장 매체는 사용자 단말 내에 이산 컴포넌트들로서 상주할 수 있다.
하나 또는 그 초과의 예시적인 설계들에서, 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어 또는 이들의 임의의 조합에서 구현될 수 있다. 컴퓨터 프로그램 물건으로서 소프트웨어에서 구현되는 경우, 상기 기능들은 컴퓨터-판독가능 매체 상의 하나 또는 그 초과의 명령들 또는 코드로서 저장될 수 있다. 컴퓨터-판독가능 매체는 한 장소에서 다른 장소로 컴퓨터 프로그램의 전달을 용이하게 하는 컴퓨터 저장 매체를 포함한다. 저장 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있다. 한정이 아닌 예시에 의해, 이러한 컴퓨터-판독가능 매체는 RAM, ROM, EEPROM, CD-ROM 또는 다른 광학 디스크 저장부, 자기 디스크 저장부 또는 다른 자기 저장 디바이스들, 또는 명령들 또는 데이터 구조들의 형태로 원하는 프로그램 코드를 저장하기 위해 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 본원에 사용되는 디스크(disk) 및 디스크(disc)는 콤팩트 디스크(CD: compact disc), 레이저 디스크(laser disc), 광학 디스크(optical disc), 디지털 다기능 디스크(DVD: digital versatile disc), 플로피 디스크(floppy disk) 및 블루-레이 디스크(blu-ray disc)를 포함하며, 여기서 디스크(disk)들은 통상적으로 자기적으로 데이터를 재생하는 반면에 디스크(disc)들은 레이저들을 통해 데이터를 광학적으로 재생한다. 전술한 것들의 조합들이 또한 컴퓨터-판독가능 매체의 범위 내에 포함되어야 한다. 컴퓨터-판독가능 매체는, 일시적, 전파 신호를 포함하지 않도록, 비-일시적일 수 있다.
개시된 실시예들의 이전의 설명은 임의의 당업자가 본 발명을 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 당업자들에게 용이하게 명백할 것이며, 본원에 정의된 포괄적 원리들은 본 발명의 범위 또는 사상을 벗어나지 않고 다른 실시예들에 적용될 수 있다. 그리하여, 본 발명은 본원에 나타낸 실시예들로 제한되는 것으로 의도되지 않고, 본원에 개시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에 부합할 것이다.

Claims (32)

  1. 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법으로서,
    인증 서버가 사용자 브라우저 클라이언트에 인증 쿠키(authentication cookie)를 제공하는 단계 ― 상기 인증 쿠키는, 상기 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 상기 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―;
    상기 인증 서버가 상기 브라우저 클라이언트로부터의 액세스 요청 내에 상기 인증 쿠키를 수신하는 단계 ― 상기 액세스 요청은 상기 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 상기 단일 사인-온 도메인 내에서 컨텐츠 서버로부터 상기 사용자 브라우저 클라이언트에 의해 수신된 재지시(redirection)에 기초함 ―;
    수신된 인증 쿠키에서 상기 사용자 인증 크리덴셜의 인증시에, 상기 인증 서버가 상기 단일 사인-온 도메인에 대한 상기 사용-제한된 쿠키를 상기 사용자 브라우저 클라이언트에 포워딩함으로써 상기 액세스 요청에 응답하는 단계;
    상기 인증 서버가 상기 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 상기 컨텐츠 서버로부터 수신하는 단계 ― 상기 컨텐츠 서버는 상기 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 및
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 상기 인증 서버가 요청된 컨텐츠를 상기 사용자 브라우저 클라이언트에 포워딩하도록 상기 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 상기 컨텐츠 서버에 제공하는 단계를 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 사용-제한된 쿠키는 일회(onetime) 사용 쿠키를 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 상기 인증 서버가 상기 사용-제한된 쿠키의 추가적인 이용을 금지하기 위해 상기 사용-제한된 쿠키를 무효화하는 단계를 더 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 사용-제한된 쿠키는 짧은 만료 시간을 갖는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  5. 제 4 항에 있어서,
    상기 짧은 만료 시간은 약 1 분을 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 컨텐츠 서버는 상기 단일 사인-온 도메인의 서브도메인을 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  7. 제 6 항에 있어서,
    상기 사용-제한된 쿠키는 오직 상기 컨텐츠 서버의 서브도메인에 대해서만 유효한,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  8. 제 1 항에 있어서,
    상기 세션 식별자는 일회 세션 키를 포함하는,
    크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법.
  9. 인증 서버로서,
    사용자 브라우저 클라이언트에 인증 쿠키를 제공하기 위한 수단 ― 상기 인증 쿠키는, 상기 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 상기 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―;
    상기 브라우저 클라이언트로부터의 액세스 요청 내에 상기 인증 쿠키를 수신하기 위한 수단 ― 상기 액세스 요청은 상기 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 상기 단일 사인-온 도메인 내에서 컨텐츠 서버로부터 상기 사용자 브라우저 클라이언트에 의해 수신된 재지시에 기초함 ―;
    수신된 인증 쿠키에서 상기 사용자 인증 크리덴셜의 인증시에, 상기 단일 사인-온 도메인에 대한 상기 사용-제한된 쿠키를 상기 사용자 브라우저 클라이언트에 포워딩함으로써 상기 액세스 요청에 응답하기 위한 수단;
    상기 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 상기 컨텐츠 서버로부터 수신하기 위한 수단 ― 상기 컨텐츠 서버는 상기 사용자 브라우저 클라이언트로부터 상기 사용-제한된 쿠키를 수신했던 ―; 및
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 요청된 컨텐츠를 상기 사용자 브라우저 클라이언트에 포워딩하도록 상기 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 상기 컨텐츠 서버에 제공하기 위한 수단을 포함하는,
    인증 서버.
  10. 제 9 항에 있어서,
    상기 사용-제한된 쿠키는 일회 사용 쿠키를 포함하는,
    인증 서버.
  11. 제 9 항에 있어서,
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 상기 사용-제한된 쿠키의 추가적인 이용을 금지하기 위해 상기 사용-제한된 쿠키를 무효화하기 위한 수단을 더 포함하는,
    인증 서버.
  12. 제 9 항에 있어서,
    상기 사용-제한된 쿠키는 짧은 만료 시간을 갖는,
    인증 서버.
  13. 제 12 항에 있어서,
    상기 짧은 만료 시간은 약 1 분을 포함하는,
    인증 서버.
  14. 제 9 항에 있어서,
    상기 컨텐츠 서버는 상기 단일 사인-온 도메인의 서브도메인을 포함하는,
    인증 서버.
  15. 제 14 항에 있어서,
    상기 사용-제한된 쿠키는 오직 상기 컨텐츠 서버의 서브도메인에 대해서만 유효한,
    인증 서버.
  16. 제 9 항에 있어서,
    상기 세션 식별자는 일회 세션 키를 포함하는,
    인증 서버.
  17. 인증 서버로서,
    사용자 브라우저 클라이언트에 인증 쿠키를 제공하고 ― 상기 인증 쿠키는, 상기 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 상기 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―;
    상기 브라우저 클라이언트로부터의 액세스 요청 내에 상기 인증 쿠키를 수신하고 ― 상기 액세스 요청은 상기 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 상기 단일 사인-온 도메인 내에서 컨텐츠 서버로부터 상기 사용자 브라우저 클라이언트에 의해 수신된 재지시에 기초함 ―;
    수신된 인증 쿠키에서 상기 사용자 인증 크리덴셜의 인증시에, 상기 단일 사인-온 도메인에 대한 상기 사용-제한된 쿠키를 상기 사용자 브라우저 클라이언트에 포워딩함으로써 상기 액세스 요청에 응답하고;
    상기 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 상기 컨텐츠 서버로부터 수신하고 ― 상기 컨텐츠 서버는 상기 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 그리고
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 요청된 컨텐츠를 상기 사용자 브라우저 클라이언트에 포워딩하도록 상기 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 상기 컨텐츠 서버에 제공하도록 구성된
    프로세서를 포함하는,
    인증 서버.
  18. 제 17 항에 있어서,
    상기 사용-제한된 쿠키는 일회 사용 쿠키를 포함하는,
    인증 서버.
  19. 제 17 항에 있어서,
    상기 프로세서는:
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 상기 사용-제한된 쿠키의 추가적인 이용을 금지하기 위해 상기 사용-제한된 쿠키를 무효화하도록 더 구성된,
    인증 서버.
  20. 제 17 항에 있어서,
    상기 사용-제한된 쿠키는 짧은 만료 시간을 갖는,
    인증 서버.
  21. 제 20 항에 있어서,
    상기 짧은 만료 시간은 약 1 분을 포함하는,
    인증 서버.
  22. 제 17 항에 있어서,
    상기 컨텐츠 서버는 상기 단일 사인-온 도메인의 서브도메인을 포함하는,
    인증 서버.
  23. 제 22 항에 있어서,
    상기 사용-제한된 쿠키는 오직 상기 컨텐츠 서버의 서브도메인에 대해서만 유효한,
    인증 서버.
  24. 제 17 항에 있어서,
    상기 세션 식별자는 일회 세션 키를 포함하는,
    인증 서버.
  25. 컴퓨터 프로그램 물건으로서,
    컴퓨터로 하여금 사용자 브라우저 클라이언트에 인증 쿠키(authentication cookie)를 제공하게 하기 위한 코드 ― 상기 인증 쿠키는, 상기 단일 사인-온 도메인에 대한 적어도 하나의 사용자 인증 크리덴셜을 갖고, 상기 단일 사인-온 도메인의 인증 서브도메인과 관련됨 ―;
    컴퓨터로 하여금 상기 브라우저 클라이언트로부터의 액세스 요청 내에 상기 인증 쿠키를 수신하게 하기 위한 코드 ― 상기 액세스 요청은 상기 사용자 브라우저 클라이언트로부터의 컨텐츠 요청에 응답하여 상기 단일 사인-온 도메인 내에서 컨텐츠 서버로부터 상기 사용자 브라우저 클라이언트에 의해 수신된 재지시(redirection)에 기초함 ―;
    수신된 인증 쿠키에서 상기 사용자 인증 크리덴셜의 인증시에, 컴퓨터로 하여금 상기 단일 사인-온 도메인에 대한 상기 사용-제한된 쿠키를 상기 사용자 브라우저 클라이언트에 포워딩함으로써 상기 액세스 요청에 응답하게 하기 위한 코드;
    컴퓨터로 하여금 상기 사용-제한된 쿠키의 세션 식별자를 유효화하기 위한 요청을 상기 컨텐츠 서버로부터 수신하게 하기 위한 코드 ― 상기 컨텐츠 서버는 상기 사용자 브라우저 클라이언트로부터 사용-제한된 사용 쿠키를 수신했던 ―; 및
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 컴퓨터로 하여금 요청된 컨텐츠를 상기 사용자 브라우저 클라이언트에 포워딩하도록 상기 컨텐츠 서버를 인에이블하기 위한 유효화 세션 메시지를 상기 컨텐츠 서버에 제공하게 하기 위한 코드를 포함하는
    컴퓨터-판독가능 매체를 포함하는,
    컴퓨터 프로그램 물건.
  26. 제 25 항에 있어서,
    상기 사용-제한된 쿠키는 일회 사용 쿠키를 포함하는,
    컴퓨터 프로그램 물건.
  27. 제 25 항에 있어서,
    상기 사용-제한된 쿠키의 상기 세션 식별자의 유효화 시에, 컴퓨터로 하여금 상기 사용-제한된 쿠키의 추가적인 이용을 금지하기 위해 상기 사용-제한된 쿠키를 무효화하게 하기 위한 코드를 더 포함하는,
    컴퓨터 프로그램 물건.
  28. 제 25 항에 있어서,
    상기 사용-제한된 쿠키는 짧은 만료 시간을 갖는,
    컴퓨터 프로그램 물건.
  29. 제 28 항에 있어서,
    상기 짧은 만료 시간은 약 1 분을 포함하는,
    컴퓨터 프로그램 물건.
  30. 제 25 항에 있어서,
    상기 컨텐츠 서버는 상기 단일 사인-온 도메인의 서브도메인을 포함하는,
    컴퓨터 프로그램 물건.
  31. 제 30 항에 있어서,
    상기 사용-제한된 쿠키는 오직 상기 컨텐츠 서버의 서브도메인에 대해서만 유효한,
    컴퓨터 프로그램 물건.
  32. 제 25 항에 있어서,
    상기 세션 식별자는 일회 세션 키를 포함하는,
    컴퓨터 프로그램 물건.
KR1020147012094A 2011-10-04 2012-10-04 크리덴셜 유출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치 Expired - Fee Related KR101579801B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/252,931 US8943571B2 (en) 2011-10-04 2011-10-04 Method and apparatus for protecting a single sign-on domain from credential leakage
US13/252,931 2011-10-04
PCT/US2012/058789 WO2013052693A1 (en) 2011-10-04 2012-10-04 Method and apparatus for protecting a single sign-on domain from credential leakage

Publications (2)

Publication Number Publication Date
KR20140084126A true KR20140084126A (ko) 2014-07-04
KR101579801B1 KR101579801B1 (ko) 2015-12-24

Family

ID=47993958

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147012094A Expired - Fee Related KR101579801B1 (ko) 2011-10-04 2012-10-04 크리덴셜 유출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치

Country Status (8)

Country Link
US (1) US8943571B2 (ko)
EP (1) EP2764673B1 (ko)
JP (1) JP5791814B2 (ko)
KR (1) KR101579801B1 (ko)
CN (1) CN103843300B (ko)
IN (1) IN2014CN02076A (ko)
TW (1) TW201334482A (ko)
WO (1) WO2013052693A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113190828A (zh) * 2021-05-25 2021-07-30 网宿科技股份有限公司 一种请求代理方法、客户端设备及代理服务设备
KR20220099194A (ko) * 2021-01-05 2022-07-13 고승곤 블록체인 기반 선불형 콘텐츠 과금 서비스 방법 및 시스템
WO2023286985A1 (ko) * 2021-07-16 2023-01-19 (주)모니터랩 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10498734B2 (en) * 2012-05-31 2019-12-03 Netsweeper (Barbados) Inc. Policy service authorization and authentication
US8977560B2 (en) * 2012-08-08 2015-03-10 Ebay Inc. Cross-browser, cross-machine recoverable user identifiers
US9419963B2 (en) * 2013-07-02 2016-08-16 Open Text S.A. System and method for controlling access
US9521146B2 (en) 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US9106642B1 (en) 2013-09-11 2015-08-11 Amazon Technologies, Inc. Synchronizing authentication sessions between applications
US20150244704A1 (en) * 2014-02-27 2015-08-27 Netapp, Inc. Techniques to authenticate user requests involving multiple applications
US10154082B2 (en) 2014-08-12 2018-12-11 Danal Inc. Providing customer information obtained from a carrier system to a client device
US9454773B2 (en) 2014-08-12 2016-09-27 Danal Inc. Aggregator system having a platform for engaging mobile device users
US9461983B2 (en) * 2014-08-12 2016-10-04 Danal Inc. Multi-dimensional framework for defining criteria that indicate when authentication should be revoked
CN107077403B (zh) 2014-08-21 2020-10-09 卫盟软件股份公司 用于用户授权的备份服务器、方法及计算机程序产品
KR102309744B1 (ko) * 2014-11-21 2021-10-07 삼성전자 주식회사 세션 기반 웹 서비스를 제공하는 방법 및 장치
CN104410650A (zh) * 2014-12-24 2015-03-11 四川金网通电子科技有限公司 基于Session和Cookie验证用户的方法
US20160241536A1 (en) * 2015-02-13 2016-08-18 Wepay, Inc. System and methods for user authentication across multiple domains
US10243957B1 (en) * 2015-08-27 2019-03-26 Amazon Technologies, Inc. Preventing leakage of cookie data
JP6719875B2 (ja) * 2015-09-01 2020-07-08 キヤノン株式会社 認証サーバ、認証方法およびプログラム
US10798096B2 (en) * 2015-10-12 2020-10-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods to authorizing secondary user devices for network services and related user devices and back-end systems
US10348712B2 (en) * 2016-02-26 2019-07-09 Ricoh Company, Ltd. Apparatus, authentication system, and authentication method
US10715513B2 (en) * 2017-06-30 2020-07-14 Microsoft Technology Licensing, Llc Single sign-on mechanism on a rich client
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login
US11212101B2 (en) * 2018-10-09 2021-12-28 Ca, Inc. Token exchange with client generated token
CN111404921B (zh) * 2020-03-12 2022-05-17 广州市百果园信息技术有限公司 网页应用访问方法、装置、设备、系统及存储介质
WO2021232347A1 (en) * 2020-05-21 2021-11-25 Citrix Systems, Inc. Cross device single sign-on
US11076002B1 (en) * 2020-06-22 2021-07-27 Amazon Technologies, Inc. Application streaming with specialized subdomains
GB2619518A (en) 2022-06-07 2023-12-13 Id Ward Ltd Privacy-preserving cross-domain user tracking

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040111621A1 (en) * 2002-12-05 2004-06-10 Microsoft Corporation Methods and systems for authentication of a user for sub-locations of a network location
US20070044146A1 (en) * 2003-08-11 2007-02-22 Sony Corporation Authentication method, authentication system, and authentication server
US7188181B1 (en) * 1999-06-30 2007-03-06 Sun Microsystems, Inc. Universal session sharing

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US7174383B1 (en) 2001-08-31 2007-02-06 Oracle International Corp. Method and apparatus to facilitate single sign-on services in a hosting environment
US7221935B2 (en) 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
JP4303130B2 (ja) * 2002-02-28 2009-07-29 テレフオンアクチーボラゲット エル エム エリクソン(パブル) シングルサインオンサービスのためのシステム、方法、および装置
US7496953B2 (en) * 2003-04-29 2009-02-24 International Business Machines Corporation Single sign-on method for web-based applications
US7503031B2 (en) * 2004-02-19 2009-03-10 International Business Machines Corporation Method of transforming an application into an on-demand service
US20060085345A1 (en) * 2004-10-19 2006-04-20 Khandelwal Rajesh B Right to receive data
EP2518637A1 (en) 2005-12-22 2012-10-31 Catalog.Com, Inc. System and method for cross-domain social networking
JP2008181427A (ja) 2007-01-25 2008-08-07 Fuji Xerox Co Ltd シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
US20090259851A1 (en) 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7188181B1 (en) * 1999-06-30 2007-03-06 Sun Microsystems, Inc. Universal session sharing
US20040111621A1 (en) * 2002-12-05 2004-06-10 Microsoft Corporation Methods and systems for authentication of a user for sub-locations of a network location
US20070044146A1 (en) * 2003-08-11 2007-02-22 Sony Corporation Authentication method, authentication system, and authentication server

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220099194A (ko) * 2021-01-05 2022-07-13 고승곤 블록체인 기반 선불형 콘텐츠 과금 서비스 방법 및 시스템
WO2022149722A1 (ko) * 2021-01-05 2022-07-14 (주) 오스리움 블록체인 기반 선불형 콘텐츠 과금 서비스 방법 및 시스템
CN113190828A (zh) * 2021-05-25 2021-07-30 网宿科技股份有限公司 一种请求代理方法、客户端设备及代理服务设备
WO2023286985A1 (ko) * 2021-07-16 2023-01-19 (주)모니터랩 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Also Published As

Publication number Publication date
US8943571B2 (en) 2015-01-27
TW201334482A (zh) 2013-08-16
EP2764673A1 (en) 2014-08-13
US20130086656A1 (en) 2013-04-04
CN103843300A (zh) 2014-06-04
CN103843300B (zh) 2017-05-24
EP2764673B1 (en) 2018-03-07
IN2014CN02076A (ko) 2015-05-29
WO2013052693A1 (en) 2013-04-11
JP2014529156A (ja) 2014-10-30
KR101579801B1 (ko) 2015-12-24
JP5791814B2 (ja) 2015-10-07

Similar Documents

Publication Publication Date Title
KR101579801B1 (ko) 크리덴셜 유출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치
EP4162647B1 (en) Anonymous authentication with token redemption
US9584547B2 (en) Statistical security for anonymous mesh-up oriented online services
US9648008B2 (en) Terminal identification method, and method, system and apparatus of registering machine identification code
US8220032B2 (en) Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US10225260B2 (en) Enhanced authentication security
CN102112991B (zh) 用于管理用户认证的装置
CN106953831B (zh) 一种用户资源的授权方法、装置及系统
NL2017032B1 (en) Password generation device and password verification device
US20160381001A1 (en) Method and apparatus for identity authentication between systems
CN104065616A (zh) 单点登录方法和系统
CN103716292A (zh) 一种跨域的单点登录的方法和设备
US12348636B2 (en) Managing composite tokens for content access requests
US8504824B1 (en) One-time rotating key for third-party authentication
Schwarz et al. Feido: Recoverable fido2 tokens using electronic ids
CN104426861B (zh) 网页检测方法及系统
Li et al. Mitigating csrf attacks on oauth 2.0 systems
CN116208376A (zh) 一种单点登录方法、装置、电子设备及存储介质
KR20150117045A (ko) 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법
KR102048534B1 (ko) 인증 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
PA0105 International application

St.27 status event code: A-0-1-A10-A15-nap-PA0105

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U12-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20201218

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20201218