[发明专利]用于反向代理解决方案中的单点登入认证的随机数处置器

说明书

示出了用于向反向代理系统提供SSO能力的方法、系统和介质，涉及从客户端接收包括认证令牌和专用会话标识符的认证响应消息并且确定标识符是否被存储在代理服务上。如果会话标识符被存储在代理服务上，则向认证响应消息被引导到的服务提供方发送认证响应消息。如果认证响应消息中的会话标识符未被存储在代理服务上：则向认证响应消息被引导到的服务提供方发送登录请求消息，从服务提供方接收认证请求消息，认证请求消息包括另一专用会话标识符并且将认证请求消息重新引导到身份提供方，存储另一会话标识符，并且向客户端发送具有另一标识符的认证请求消息。

背景技术

在网络安全中，恶意行为者或攻击者经常尝试使用合法(易受攻击的)文件进行恶意使用或利用敏感信息访问文件来渗透计算机系统，以利用敏感信息访问或破坏文件或者将恶意文件放在机器的文件系统上。例如，财务或个人信息可能被获取和出售或用于窃取资金。公共和私人实体的重要信息可能会被窃取、破坏或毁坏。

攻击者时常使用的一种方法是被称为回放攻击或重放攻击的网络攻击，其中有效的数据传输(例如来自客户端浏览器)会被攻击者拦截，然后被回放或重播以获得对计算机资源的访问。例如，计算机系统要求用户提供他们的用户凭证，例如用户名和密码，以便获得对计算机系统支持的资源的访问。攻击者在用户与计算机系统交换期间会拦截用户凭证。随后，攻击者重播或回放被拦截的用户凭证，以渗透计算机系统。

为了防止回放攻击，许多系统与每个登录会话一起地利用专用的随机会话标识符值，诸如随机值或会话令牌。例如，计算机系统可以生成对于会话专用的随机数值，并使用如下散列函数对随机数值进行散列，仅计算机系统稍后可以通过从随机数再次生成散列并且将其与接收到的散列值进行匹配来验证该散列函数。

计算机系统向客户端提供随机数值和经散列随机数值，该客户端存储随机数并且在会话期间与计算机系统的后续通信中利用随机数和经散列随机数值。随机数通常由与计算机系统的域相关联的计算机系统存储在被放置在客户端上的cookie中，例如box.com。该计算机系统能够使用由该计算机系统针对该会话存储的随机数值来重新生成经散列随机数值，并且将接收到的经散列随机数值与该重新生成的经散列随机数值进行比较。如果接收到的经散列随机数值与重新生成的经散列随机数值不匹配，那么该通信被视为攻击，并且被计算机系统拒绝。

然而，许多系统利用反向代理作为客户端设备和计算机系统之间的中介。例如，反向代理可以被用于提供对位于防火墙后面的服务器的访问。当利用反向代理服务时，客户端设备和计算机系统之间的通信被重新引导以穿过反向代理服务。然而，由于反向代理服务具有与计算机系统不同的域，例如box.com.proxy.ms，代理服务不具有由计算机系统针对该会话生成的随机数值。结果，反向代理服务无法提供由计算机系统针对会话生成的随机数，因此，来自反向代理服务的通信被计算机系统认为是无效的并且被拒绝，从而使反向代理服务不可用。

相对于这些和其他技术挑战，提出了本文进行的本公开。

发明内容

在认证期间使用专用会话标识符来防止对计算机系统的重播或重放攻击是期望的且是广泛使用的安全性措施。然而，利用反向代理服务以用于用户客户端和服务提供方之间的通信也可能是有利的。然而，常规的反向代理服务利用与服务提供方的域不同的域。差异在于域可能会导致常规的反向代理服务无法访问与服务提供方的域相关联的专用会话标识符，从而防止成功的认证。所公开的技术提供了一种解决方案，该解决方案准许反向代理服务被用于处置用户客户端和服务提供方之间的通信，同时还准许在认证中利用专用会话标识符来防止重播或重放攻击。

为了实现上面简要提及的技术益处，本文公开的技术的某些实施方式可以在具有反向代理服务的系统中执行单点登入认证，这涉及从客户端向服务提供方发送第一登录请求，以发起第一登录会话。响应于第一登录请求，服务提供方生成第一专用会话标识符，存储第一专用会话标识符，并且对第一专用会话标识符进行散列，以创建第一会话标识符散列。服务提供方向客户端发送第一认证请求消息，该第一认证请求消息包含第一会话标识符和第一会话标识符散列并且将第一认证请求消息重新引导到身份提供方。