描述了一種由在客戶端和服務器之間布置的中間節點執行的方法，用于參與客戶端和服務器之間的連接建立，其中，響應于截取從客戶端發送的以服務器為目的地并請求在所述客戶端和所述服務器之間建立連接的第一消息；以及基于接收到的第一消息的內容，識別中間節點期望在請求的連接上執行至少一個功能。中間節點向客戶端發送第二消息，所述第二消息包括中間節點的標識，從而使客戶端能夠接受或拒絕中間節點作為參與請求的連接建立的節點。

技術領域

本公開涉及當中間節點布置在客戶端和服務器之間時用于執行服務器和客戶端之間的呼叫建立的方法、中間節點、服務器和客戶端。

背景技術

中間節點或代理在例如超文本傳輸協議(HTTP)、超文本傳輸協議安全(HTTPS)、消息會話中繼協議(MSRP)、會話發起協議(SIP)、約束應用協議(COAP)等的各種應用層協議的許多部署中是重要和必要的。最重要的使用情況之一是在例如企業、運營商網絡、酒店和機場中普遍部署的HTTP代理。另一示例是在MSRP部署中大量的MSRP代理。

中間節點，其可以備選地被稱為中介節點，執行例如以下服務：在業務優化、緩存、防病毒保護、例如學校中的下行鏈路內容篩選和過濾、企業中的上行鏈路內容篩選和過濾、以及在例如MSRP的消息傳輸協議的情況下的消息存儲。

例如在WO2010/003713 A1中存在針對安全實時傳輸協議(SRTP)的解決方案。然而，這些已知解決方案不適用于上述場景，原因在于這些解決方案針對其中根本不信任代理訪問任何內容的另一信任模型。因此，在這些解決方案中代理將不獲得對所需內容的任何訪問。其次，上述SRTP解決方案使用具有附加(在我們的情況下是不希望的)開銷的隧道中隧道和復用機制。第三，這些類型的解決方案是SRTP專用的并且不與TLS一起工作。

如3GPP TS 33.828中公開的已知3GPP IMS相關機制(通過其IMS網絡可以針對“逐跳”安全添加/替換用于e2e安全的客戶端提供)不提供來自端點的任何控制或許可。此外，它們與IMS協議(SIP，STRP)緊密結合并且針對TLS不工作。

用傳輸層安全(TLS)或數據報傳輸層安全(DTLS)保護許多這些應用層協議，原因在于它們提供強安全性并代表用于保護在大多數客戶端和服務器中實現的TCP或UDP業務的“標準”方式。在大多數情況下，在使用應用協議之前建立TLS或DTLS。使用TLS，我們這里表示TLS的全部版本和如DTLS的TLS的衍生物。

當不用TLS保護通信時，中間節點可以在大多數情況下將其自身插入通信路徑中，即通過插入它本身可以潛在地監聽、注入或修改發送方和接收方之間的業務，導致所謂“業務干預”。當使用TLS時，每個中間節點僅具有三種選擇，讓客戶端與服務器端到端建立TLS，破壞TLS安全模型或嘗試阻止業務。

這三種選項的共同點在于：在大多數情況下，客戶端和服務器未知曉通信路徑中存在任何中間節點。如果中間節點已經“靜默地”破壞了TLS(端到端)安全模型，TLS客戶端/服務器如何知曉它們的業務沒有經受未授權的訪問？

此外，通信路徑中的一個或更多個“友好的”中間節點仍不能使得TLS客戶端或TLS服務器知曉它們的存在，即使TLS客戶端或TLS服務器想知曉。由于客戶端和服務器均不能知曉中間節點和它們的標識，客戶端和服務器均不能在它的通信中包括中間節點和它們的標識，意味著中間節點必須或者求助于阻止業務，即禁用客戶端/服務器通信，或者它可以使業務通過，但是然后它不按預期履行服務。

盡管以上我們已經參照了TLS客戶端和TLS服務器，從下文中將顯而易見在不使用或至少初始地不使用TLS的場景中還可以涉及相應的、中間相關的問題。

發明內容

簡要描述，提供了客戶端、服務器和中間節點，它們被配置為使上述端點當執行客戶端和服務器之間的連接建立時能夠控制中間節點的參與。