[发明专利]用于防止域门户上会话固定的系统和方法

说明书

在一个实施例中，方法包括系统从用户的设备接收请求，该请求被定向到第一主机。系统可以生成密钥、验证令牌和加密密钥。系统可以从第一主机向设备传输验证令牌和加密密钥，并且传输指令，指令被配置成使得：(1)验证令牌被存储为与第一主机相关联的cookie，以及(2)设备向第二主机传输加密密钥。系统可以从设备接收包括加密密钥的第二请求，并在确定加密密钥之前未被解密过时对其进行解密以获得密钥。系统可以从第二主机向设备传输密钥，并指示设备将密钥存储为与第二主机相关联的cookie。

技术领域

本公开一般涉及用于提高在线安全性(例如防止会话固定攻击)的系统和方法。

背景

在线应用(如网站)可以使人们能够在可能无法负担经由数据计划的互联网访问的地方访问互联网。在线应用可以像门户一样，允许第三方内容和服务提供者向本来无法访问其网站的人提供内容和服务。通过在线应用提供的任何内容，包括第三方网站内容，都可以在在线应用的域下提供。

移动计算设备(例如智能手机、平板计算机或膝上型计算机)可以包括用于确定它的位置、方向或定向的功能，例如GPS接收器、罗盘、陀螺仪或加速度计。这种设备还可以包括用于无线通信(例如蓝牙通信、近场通信(NFC)、或红外(IR)通信、或与无线局域网(WLAN)或蜂窝电话网络的通信)的功能。这种设备还可以包括一个或更多个摄像机、扫描仪、触摸屏、麦克风或扬声器。移动计算设备还可以执行软件应用，例如游戏、web浏览器或社交网络应用。使用社交网络应用，用户可以与他们的社交网络中的其他用户进行关连、交流和分享信息。

特定实施例的概述

本文公开的特定实施例涉及在线门户(例如，托管在0.fbs.com处)，该门户在可能不太负担得起互联网访问的市场中向人们提供对互联网服务的访问。通过该门户，第三方网站可以免费获得，而不会产生数据费用。这些第三方网站可以被视为0.fbs.com上的子域。例如，托管在www.3rdparty.com处的第三方网站可以通过门户从主机(host)www-3rdparty-com.0.fbs.com获得。因为第三方网站是子域，所以与更高级域(例如，0.fbs.com)相关联的用户cookies可能容易受到来自，例如，第三方网站上托管的客户端侧脚本语言的攻击。

为了解决这个安全问题，本文公开的特定实施例使得验证令牌被存储为与独立于第三方源的安全源相关联的cookie，从而验证令牌cookie无法被第三方源托管的客户端侧脚本(可能是恶意的)访问和/或修改。在特定实施例中，用户可以请求与门户建立会话。门户的主机可以将用户的浏览器重定向到安全源，而不是直接向用户提供所请求的会话密钥。安全源可以响应于用户的请求，向用户提供验证令牌，浏览器可以使用该令牌来验证后续通信中使用的会话密钥的完整性。验证令牌可以被存储为与安全源相关联的cookie。安全源还可以向用户提供会话密钥的加密版本以及一次性随机数(nonce)，并将用户的浏览器重定向到重写源或代理，第三方网站通过重写源或代理在门户上被提供。在特定实施例中，重定向可以使得会话密钥的加密版本和一次性随机数被呈现给重写源。如果一次性随机数指示加密的密钥以前没有被解密过，服务器可以对加密的会话密钥进行解密，并将解密的会话密钥返回给浏览器存储。由于一次性随机数，加密的会话密钥只能被解密一次。由于只有用户或攻击者/黑客(而不是两者)可以从服务器获得解密的会话密钥，因此用户和攻击者/黑客不能都获得同一会话密钥，从而防止会话固定。