[发明专利]使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法

说明书

提供了一种在网关中执行的方法，包括以下步骤：从客户端设备接收第一客户端请求，第一客户端请求包括第一全限定域名FQDN；向应用服务器发送网关请求；从应用服务器接收应用服务器响应，应用服务器响应指示需要提供认证；基于第一FQDN和客户端设备的标识符生成第二FQDN；基于第二FQDN和共享密钥生成客户端特定的共享密钥；生成包括第二FQDN、认证请求、上下文标识符和客户端特定的共享密钥在内的重定向消息；向客户端设备发送重定向消息；从客户端设备接收第二客户端请求；以及在第二客户端请求不包括认证响应的情况下生成认证响应。

技术领域

本技术涉及使用重定向消息促进客户端设备和应用服务器之间的安全通信。

背景技术

毛细网络允许资源受限的客户端设备使用例如通过移动通信网络连接的中间网关与应用服务器通信。但是，应用服务器可能会规定使用认证凭证来允许访问。

通常，当客户端设备通过移动通信网络连接到应用服务器时，可以在认证服务器的帮助下使用与移动通信网络有关的凭证(例如，第三代合作伙伴计划(3GPP)凭证)进行认证，其中当使用通用引导架构(GBA)时，认证服务器可以例如实现引导服务器功能(BSF)。

但是，在毛细网络中，客户端设备通常是资源受限的设备，其可能无法处理或甚至无法安全地存储3GPP凭证。

发明内容

目的是提供一种毛细网络的客户端设备可以安全地连接到应用服务器的方式。

根据第一方面，提供了一种用于促进客户端设备和应用服务器之间的安全通信的方法。所述方法在网关中执行并且包括以下步骤：从客户端设备接收第一客户端请求，所述第一客户端请求包括用于应用服务器的第一全限定域名FQDN；向应用服务器发送网关请求，其中所述网关请求基于第一客户端请求；从应用服务器接收应用服务器响应，应用服务器响应指示需要提供认证；基于第一FQDN和客户端设备的标识符生成第二FQDN；基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥；生成包括第二FQDN、认证请求、上下文标识符和客户端特定的共享密钥在内的重定向消息；向客户端设备发送所述重定向消息；从客户端设备接收第二客户端请求；以及在第二客户端请求不包括认证响应的情况下生成认证响应。

生成第二FQDN的步骤可以在发送网关请求之前执行；在这种情况下，网关请求包括所述第二FQDN，并且所述重定向消息包括所述第二FQDN作为重定向目的地。

所述重定向消息可以包括作为单独参数的第二FQDN。

所述方法还包括步骤：当所述第二客户端请求包括认证响应时，禁止生成认证响应。

发送所述网关请求的步骤可以是具有get方法的超文本传输协议HTTP请求，与所述第一客户端请求的方法无关。

所述方法还包括步骤：当所述第二客户端请求不包括认证响应时，针对所述客户端设备与所述应用服务器之间的通信，使用所述上下文标识符和所述客户端特定的共享密钥来建立所述网关与所述应用服务器之间的安全会话。

生成所述客户端特定的共享密钥的步骤可以包括使用通用引导架构GBA。