提供了一種在網關中執行的方法，包括以下步驟：從客戶端設備接收第一客戶端請求，第一客戶端請求包括第一全限定域名FQDN；向應用服務器發送網關請求；從應用服務器接收應用服務器響應，應用服務器響應指示需要提供認證；基于第一FQDN和客戶端設備的標識符生成第二FQDN；基于第二FQDN和共享密鑰生成客戶端特定的共享密鑰；生成包括第二FQDN、認證請求、上下文標識符和客戶端特定的共享密鑰在內的重定向消息；向客戶端設備發送重定向消息；從客戶端設備接收第二客戶端請求；以及在第二客戶端請求不包括認證響應的情況下生成認證響應。

技術領域

本技術涉及使用重定向消息促進客戶端設備和應用服務器之間的安全通信。

背景技術

毛細網絡允許資源受限的客戶端設備使用例如通過移動通信網絡連接的中間網關與應用服務器通信。但是，應用服務器可能會規定使用認證憑證來允許訪問。

通常，當客戶端設備通過移動通信網絡連接到應用服務器時，可以在認證服務器的幫助下使用與移動通信網絡有關的憑證(例如，第三代合作伙伴計劃(3GPP)憑證)進行認證，其中當使用通用引導架構(GBA)時，認證服務器可以例如實現引導服務器功能(BSF)。

但是，在毛細網絡中，客戶端設備通常是資源受限的設備，其可能無法處理或甚至無法安全地存儲3GPP憑證。

發明內容

目的是提供一種毛細網絡的客戶端設備可以安全地連接到應用服務器的方式。

根據第一方面，提供了一種用于促進客戶端設備和應用服務器之間的安全通信的方法。所述方法在網關中執行并且包括以下步驟：從客戶端設備接收第一客戶端請求，所述第一客戶端請求包括用于應用服務器的第一全限定域名FQDN；向應用服務器發送網關請求，其中所述網關請求基于第一客戶端請求；從應用服務器接收應用服務器響應，應用服務器響應指示需要提供認證；基于第一FQDN和客戶端設備的標識符生成第二FQDN；基于所述第二FQDN和不特定于所述客戶端設備的共享密鑰來生成客戶端特定的共享密鑰；生成包括第二FQDN、認證請求、上下文標識符和客戶端特定的共享密鑰在內的重定向消息；向客戶端設備發送所述重定向消息；從客戶端設備接收第二客戶端請求；以及在第二客戶端請求不包括認證響應的情況下生成認證響應。

生成第二FQDN的步驟可以在發送網關請求之前執行；在這種情況下，網關請求包括所述第二FQDN，并且所述重定向消息包括所述第二FQDN作為重定向目的地。

所述重定向消息可以包括作為單獨參數的第二FQDN。

所述方法還包括步驟：當所述第二客戶端請求包括認證響應時，禁止生成認證響應。

發送所述網關請求的步驟可以是具有get方法的超文本傳輸協議HTTP請求，與所述第一客戶端請求的方法無關。

所述方法還包括步驟：當所述第二客戶端請求不包括認證響應時，針對所述客戶端設備與所述應用服務器之間的通信，使用所述上下文標識符和所述客戶端特定的共享密鑰來建立所述網關與所述應用服務器之間的安全會話。

生成所述客戶端特定的共享密鑰的步驟可以包括使用通用引導架構GBA。