买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:金华高等研究院(金华理工学院筹建工作领导小组办公室)
摘要:本发明涉及一种HTTPS协议下XSS攻击的阻断方法,包括:客户端输入初始凭据进行登录请求,服务器认证初始凭据,获取服务器凭据包括第一cookie参数集和第一凭据;客户端认证服务器凭据,获取加密的会话密钥和数字签名,并构建带有数字签名的第二cookie参数集;服务器认证第二cookie参数集,若无效,则丢弃登录请求;若有效,则对加密的会话密钥进行解密并存储,完成登录;客户端创建包含第三cookie参数集的请求,服务器对第三cookie参数集进行认证,若无效,则丢弃请求;若有效,则将请求进行加密,生成密文发送给客户端,客户端通过会话密钥解密密文。本发明可以阻断恶意用户端发起XSS攻击。
主权项:1.一种HTTPS协议下XSS攻击的阻断方法,其特征在于,包括:客户端输入初始凭据进行登录请求,服务器认证所述初始凭据,获取服务器凭据,其中,所述初始凭据包括登录所用的用户名和用户密码,所述服务器凭据包括第一cookie参数集和第一凭据,其中所述第一凭据包含服务器公钥;服务器认证所述初始凭据,获取服务器凭据包括:服务器基于所述用户名和用户密码对所述初始凭据进行认证,构造第一cookie参数集φ1={cookieid,Fp,a,b,P,n,H·},构造方法包括:选定椭圆曲线EFp,p是一个大于3的素数,a、b是满足4a3+27b3≠0modp且小于p的非负整数,Gx,y是一群在椭圆曲线上的点,x,y∈Fp,P是椭圆曲线上的一个基点,P的阶是质数n,H·是SHA-256哈希函数;获取服务器公钥PKs,基于所述服务器公钥PKs构建所述第一凭据;客户端认证所述服务器凭据,获取加密的会话密钥和数字签名,并基于所述第一cookie参数集构建第二cookie参数集,其中,所述第二cookie参数集带有数字签名;服务器认证所述第二cookie参数集,若所述第二cookie参数集无效,则丢弃所述登录请求;若所述第二cookie参数集有效,则对所述加密的会话密钥进行解密并存储,完成登录;客户端创建包含第三cookie参数集的请求,服务器对所述第三cookie参数集进行认证,若所述第三cookie参数集无效,则丢弃所述请求;若所述第三cookie参数集有效,则将所述请求的数据进行加密,生成密文并发送给所述客户端,所述客户端通过所述会话密钥解密所述密文,其中,所述第三cookie参数集包含所述第二cookie参数集中的信息。
全文数据:
权利要求:
百度查询: 金华高等研究院(金华理工学院筹建工作领导小组办公室) 一种HTTPS协议下XSS攻击的阻断方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。