CN108370369B - 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 - Google Patents
使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 Download PDFInfo
- Publication number
- CN108370369B CN108370369B CN201580082974.1A CN201580082974A CN108370369B CN 108370369 B CN108370369 B CN 108370369B CN 201580082974 A CN201580082974 A CN 201580082974A CN 108370369 B CN108370369 B CN 108370369B
- Authority
- CN
- China
- Prior art keywords
- client
- request
- gateway
- client device
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种在网关中执行的方法,包括以下步骤:从客户端设备接收第一客户端请求,第一客户端请求包括第一全限定域名FQDN;向应用服务器发送网关请求;从应用服务器接收应用服务器响应,应用服务器响应指示需要提供认证;基于第一FQDN和客户端设备的标识符生成第二FQDN;基于第二FQDN和共享密钥生成客户端特定的共享密钥;生成包括第二FQDN、认证请求、上下文标识符和客户端特定的共享密钥在内的重定向消息;向客户端设备发送重定向消息;从客户端设备接收第二客户端请求;以及在第二客户端请求不包括认证响应的情况下生成认证响应。
Description
技术领域
本技术涉及使用重定向消息促进客户端设备和应用服务器之间的安全通信。
背景技术
毛细网络允许资源受限的客户端设备使用例如通过移动通信网络连接的中间网关与应用服务器通信。但是,应用服务器可能会规定使用认证凭证来允许访问。
通常,当客户端设备通过移动通信网络连接到应用服务器时,可以在认证服务器的帮助下使用与移动通信网络有关的凭证(例如,第三代合作伙伴计划(3GPP)凭证)进行认证,其中当使用通用引导架构(GBA)时,认证服务器可以例如实现引导服务器功能(BSF)。
但是,在毛细网络中,客户端设备通常是资源受限的设备,其可能无法处理或甚至无法安全地存储3GPP凭证。
发明内容
目的是提供一种毛细网络的客户端设备可以安全地连接到应用服务器的方式。
根据第一方面,提供了一种用于促进客户端设备和应用服务器之间的安全通信的方法。所述方法在网关中执行并且包括以下步骤:从客户端设备接收第一客户端请求,所述第一客户端请求包括用于应用服务器的第一全限定域名FQDN;向应用服务器发送网关请求,其中所述网关请求基于第一客户端请求;从应用服务器接收应用服务器响应,应用服务器响应指示需要提供认证;基于第一FQDN和客户端设备的标识符生成第二FQDN;基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥;生成包括第二FQDN、认证请求、上下文标识符和客户端特定的共享密钥在内的重定向消息;向客户端设备发送所述重定向消息;从客户端设备接收第二客户端请求;以及在第二客户端请求不包括认证响应的情况下生成认证响应。
生成第二FQDN的步骤可以在发送网关请求之前执行;在这种情况下,网关请求包括所述第二FQDN,并且所述重定向消息包括所述第二FQDN作为重定向目的地。
所述重定向消息可以包括作为单独参数的第二FQDN。
所述方法还包括步骤:当所述第二客户端请求包括认证响应时,禁止生成认证响应。
发送所述网关请求的步骤可以是具有get方法的超文本传输协议HTTP请求,与所述第一客户端请求的方法无关。
所述方法还包括步骤:当所述第二客户端请求不包括认证响应时,针对所述客户端设备与所述应用服务器之间的通信,使用所述上下文标识符和所述客户端特定的共享密钥来建立所述网关与所述应用服务器之间的安全会话。
生成所述客户端特定的共享密钥的步骤可以包括使用通用引导架构GBA。
根据第二方面,提供了一种用于促进客户端设备和应用服务器之间的安全通信的网关。所述网关包括:处理器;以及存储指令的存储器,所述指令在被所述处理器执行时使所述网关:从客户端设备接收第一客户端请求,所述第一客户端请求包括用于应用服务器的第一全限定域名FQDN;向所述应用服务器发送网关请求,其中所述网关请求基于所述第一客户端请求;从所述应用服务器接收应用服务器响应,所述应用服务器响应指示需要提供认证;基于第一FQDN和客户端设备的标识符生成第二FQDN;基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥;生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息;向所述客户端设备发送所述重定向消息;从客户端设备接收第二客户端请求;以及在所述第二客户端请求不包括认证响应的情况下生成认证响应。
用于生成第二FQDN的指令可以在用于发送网关请求的指令之前执行;在这种情况下,网关请求包括所述第二FQDN,并且所述重定向消息包括所述第二FQDN作为重定向目的地。
所述重定向消息可以包括作为单独参数的第二FQDN。
所述网关还可以包括如下指令:当所述指令被所述处理器执行时,使得在所述第二客户端请求包括认证响应时,所述网关不生成认证响应。
用于发送所述网关请求的指令还可以包括在被所述处理器执行时使所述网关发送所述网关请求的指令,所述网关请求是具有get方法的超文本传输协议HTTP请求,而与所述第一客户端请求的方法无关。
所述网关还可以包括如下指令:当所述指令被所述处理器执行时,使得当所述第二客户端请求不包括认证响应时,针对在所述客户端设备与所述应用服务器之间的通信,所述网关建立所述网关与所述应用服务器之间的安全会话。
用于生成所述客户端特定的共享密钥的指令可以包括当被所述处理器执行时使所述网关使用通用引导架构GBA的指令。
根据第三方面,提供了一种网关,包括:用于从客户端设备接收第一客户端请求的装置,所述第一客户端请求包括用于应用服务器的第一全限定域名FQDN;用于向所述应用服务器发送网关请求的装置,其中所述网关请求基于所述第一客户端请求;用于从所述应用服务器接收应用服务器响应的装置,所述应用服务器响应指示需要提供认证;用于基于所述第一FQDN和所述客户端设备的标识符来生成第二FQDN的装置;用于基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥的装置;用于生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息的装置;用于向所述客户端设备发送所述重定向消息的装置;用于从所述客户端设备接收第二客户端请求的装置;以及用于在所述第二客户端请求不包括认证响应的情况下生成认证响应的装置。
根据第四方面,提供了一种用于促进客户端设备和应用服务器之间的安全通信的计算机程序。所述计算机程序包括计算机程序代码,所述计算机程序代码在网关上运行时,使所述网关:从客户端设备接收第一客户端请求,所述第一客户端请求包括用于应用服务器的第一全限定域名FQDN;向所述应用服务器发送网关请求,其中所述网关请求基于所述第一客户端请求;从所述应用服务器接收应用服务器响应,所述应用服务器响应指示需要提供认证;基于第一FQDN和客户端设备的标识符生成第二FQDN,并且基于所述第二FQDN和不特定于客户端设备的共享密钥生成客户端特定的共享密钥;生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息;向所述客户端设备发送所述重定向消息;从客户端设备接收第二客户端请求;以及在所述第二客户端请求不包括认证响应的情况下生成认证响应。
根据第五方面,提供一种计算机程序产品,所述计算机程序产品包括根据第四方面的计算机程序和存储所述计算机程序的计算机可读装置。
根据第六方面,提供了一种用于促进客户端设备和应用服务器之间的安全通信的方法。所述方法在所述客户端设备中执行并且包括以下步骤:向网关发送第一客户端请求,所述第一客户端请求包括用于所述应用服务器的第一全限定域名FQDN;从所述网关接收重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;基于所述上下文标识符和所述客户端特定的共享密钥生成认证响应;以及向网关发送第二客户端请求,所述第二客户端请求包括认证响应和第二FQDN。
根据第七方面,提供了一种用于促进与应用服务器的安全通信的客户端设备。所述客户端设备包括:处理器;以及存储指令的存储器,所述指令在被所述处理器执行时使得所述客户端设备:向网关发送第一客户端请求,所述第一客户端请求包括用于所述应用服务器的第一全限定域名FQDN;从所述网关接收重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;基于所述上下文标识符和所述客户端特定的共享密钥生成认证响应;以及向所述网关发送第二客户端请求,所述第二客户端请求包括所述认证响应和所述第二FQDN。
根据第八方面,提供了一种客户端设备,包括:用于向网关发送第一客户端请求的装置,所述第一客户端请求包括用于所述应用服务器的第一全限定域名FQDN;用于从所述网关接收重定向消息的装置,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;用于基于所述上下文标识符和所述客户端特定的共享密钥生成认证响应的装置;以及用于向所述网关发送第二客户端请求的装置,所述第二客户端请求包括所述认证响应和所述第二FQDN。
根据第九方面,提供了一种用于促进与应用服务器的安全通信的计算机程序,所述计算机程序包括计算机程序代码,所述计算机程序代码当在客户端设备上运行时使所述客户端设备:向网关发送第一客户端请求,所述第一客户端请求包括用于所述应用服务器的第一全限定域名FQDN;从所述网关接收重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;基于所述上下文标识符和所述客户端特定的共享密钥生成认证响应;以及向所述网关发送第二客户端请求,所述第二客户端请求包括所述认证响应和所述第二FQDN。
根据第十方面,提供一种计算机程序产品,所述计算机程序产品包括根据第九方面的计算机程序和存储所述计算机程序的计算机可读装置。
一般地,除非本文另有明确说明,否则权利要求中使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明,否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确声明,否则本文所公开的任何方法的步骤不一定严格按所公开的顺序来执行。
附图说明
现在通过举例的方式参考附图描述本发明,其中:
图1是示出可以应用本文提出的实施例的环境示意图;
图2是示出可以应用于图1所示的环境中的实施例的顺序图;
图3是示出可以应用于图1所示的环境中的实施例的顺序图;
图4A-C是示出用于促进由图1的网关执行的、图1的客户端设备和应用服务器之间的安全通信的方法的流程图;
图5是示出由图1的网关执行的用于促进客户端设备和应用服务器之间的安全通信的方法的流程图;
图6是示出图1的网关的一些组件的示意图;
图7是示出图1的客户端设备的一些组件的示意图;
图8是示出图1和图6的网关的功能模块的示意图;
图9是示出图1和图7的客户端设备的功能模块的示意图;以及
图10示出了包括计算机可读装置的计算机程序产品90的一个示例。
具体实施方式
现在将在下文参考其中示出本发明的特定实施例的附图来更全面地描述本发明。然而,本发明可以按多种不同形式来实现,并且不应当被解释为受到本文阐述的实施例的限制;相反,通过示例的方式给出这些实施例,使得本公开将是透彻和完整的,并且向本领域技术人员充分地传达本发明的范围。在说明书全文中,相似的标记指代相似的要素。
图1是示出可以应用本文提出的实施例的环境示意图。多个客户端设备2经由网络7连接到网关1。每个客户端设备2不定期与一组应用服务器3中的一个或多个进行通信。客户端设备2和网关1之间的连接可以是无线连接(例如,使用ZigBee、Wi-Fi(IEEE 802.11)、蓝牙等)或有线连接(例如,使用以太网、USB、串行或并行连接等)。客户端设备可选地集成在任何适当类型的容纳设备中,例如,使用传感器设备、致动器设备或传感致动器设备的设备。例如,容纳设备可以是家庭自动化设备、车辆或家用电子设备,例如媒体播放器、相机、电视机等。应该注意,客户端设备可以是传感器和/或致动器本身或者容纳设备。
网关1相应地连接到一个或多个应用服务器3以允许客户端设备2和应用服务器3之间进行通信。应用服务器是任何合适的服务器,并且可以例如实现3GPP TS 33.220V12.0.0中定义的网络应用功能(NAF)。
网关1与应用服务器3和认证服务器5之间的连接可以发生在基于IP的网络上,其可以基于有线、无线和/或使用移动通信网络。移动通信网络可以例如符合3GPP(第三代合作伙伴计划)标准(例如,LTE(长期演进)或使用W-CDMA(宽带码分多址)的UMTS)、或其他标准(例如CDMA2000(码分多址2000))中任一个或组合。网关1连同网络7和客户端设备2统称为毛细网络4。网关1与应用服务器3和认证服务器5之间的连接还可以包括通过广域网(诸如互联网)的连接,从而对应用服务器3、认证服务器5和网关1之间的地理分离不提供实际限制。
在一些情况下,应用服务器3可能需要加密与客户端设备2的连接并且对客户端设备进行认证。现在将首先描述包括客户端设备2、但不包括网关的情况。
客户端设备2然后需要能够访问例如USIM(通用订户识别模块)中的3GPP凭证(或等同物)。可以使用物理卡(例如UICC,通用集成电路卡),或者通过可电子传输的订户识别模块(例如MCIM,机器通信识别模块)来提供USIM。然后,客户端设备2可以使用3GPP凭证(或等同的凭证)来获得使用认证服务器5向应用服务器3认证自身的凭证。然后,应用服务器3使用认证服务器5,例如根据通用引导架构(3GPP TS 33.220V12.0.0)来认证客户端设备2。客户端设备2与应用服务器3之间的相互认证基于认证服务器5与设备2之间的相互认证以及认证服务器5与应用服务器3之间的信任关系的组合。因此,如果应用服务器3不具有与认证服务器5的直接或间接的(例如,通过运营商漫游协议)信任关系,则它将不能与认证服务器5通信以获得密钥,并且因此不能被客户端设备2认证。
认证服务器5可以例如实现引导服务器功能(BSF),其中通过使用客户端设备和BSF之间的相互认证,还实现了客户端设备2和应用服务器3的相互认证。客户端设备可以连接到应用服务器3并提供上下文标识符,例如B-TID(引导事务标识符),应用服务器3可以使用该上下文标识符向认证服务器5查询相关联的密钥。其结果是,应用服务器3和客户端设备2二者现在共享可用于安全功能的秘密密钥。
然而,在许多情况下,客户端设备2是受限制的设备,例如传感器设备或致动器设备或其组合,其处理能力低,受限或无法访问安全存储器,并且用户界面很少或没有用户界面。备选地,客户端设备是没有SIM卡或其他3GPP凭证的任何设备,例如,笔记本电脑或台式电脑。
根据本文所呈现的实施例,当需要在毛细网络中从受限设备使用基于3GPP的服务时(例如,通过通用引导架构(GBA)),客户端设备2得到网关1的协助。网关1可以用作客户端设备2和应用服务器3之间的代理,从而与认证服务器5通信,在需要时针对每个客户端设备生成客户端特定的共享密钥,并向相关客户端设备提供客户端特定的共享密钥,使得客户端设备可以在与应用服务器3的通信中认证自身。如下面更详细的解释,这不仅允许该客户端设备2使用网关1的3GPP凭证连接到应用服务器3,而且还允许该连接相对于使用同一网关1连接到同一应用服务器3的其他客户端设备是安全的。根据特定客户端设备2的能力,网关1还可以可选地代表客户端设备2来提供与应用服务器3的安全会话。
网关1可以是HTTP(超文本传输协议)代理和/或COAP(受限应用协议)代理。
图2是示出可以应用于图1所示的环境中的实施例的顺序图。该顺序图示出了当代表客户端设备的网关是安全会话的端点时的情况。
客户端设备2向网关1发送第一客户端请求10。客户端请求10可以例如是HTTP请求或COAP请求。客户端请求10是对应用服务器3的请求。客户端请求10包括作为指向应用服务器3的指针的第一(未修改的)FQDN(全限定域名),例如,“naf.foo.com”。
网关1然后将网关请求11发送到应用服务器3。网关请求11基于第一客户端请求10。在一个实施例中,网关请求11与客户端请求10相同。
应用服务器3利用应用服务器响应12向网关1响应网关请求11。对于应用服务器3,网关请求被解释为客户端请求。应用服务器响应12与网关请求11具有相同的类型,即相应为HTTP或COAP。此外,这里的应用服务器响应12表示需要提供认证。例如,在HTTP的情况下,服务器响应可以包括“未授权”的HTTP状态代码401,以指示需要进行认证。
网关1然后从认证服务器5获得上下文标识符13。而且,网关和认证服务器各自生成34不特定于客户端设备的共享密钥Ks的相应实例。上下文标识符和密钥将用于建立客户端设备2和应用服务器3之间的安全连接。在该实施例中,上下文标识符是根据GBA的B-TID参数,但是可以使用任何合适的上下文标识符。基于第一FQDN和客户端设备的标识符生成第二FQDN。例如,客户端标识符的字符串可以被添加到第一FQDN的合适位置,如下面更详细的解释,例如,产生第二FQDN,“client.naf.foo.com”。网关1然后基于第二FQDN和共享密钥Ks生成34客户端特定的共享密钥。通过使用客户端特定的共享密钥,即使3GPP认证端点可能是相同的网关1,应用服务器3也能够分离不同客户端设备2之间的安全会话。
然后,第二FQDN、(服务器响应12的)认证请求、上下文标识符和客户端特定的共享密钥以重定向响应14的形式被提供给客户端设备2。
在该实施例中,客户端设备不能(或不愿意)成为使用包括在重定向响应14中的凭证与应用服务器进行安全会话的端点。在到网关1的第二客户端请求15中,客户端设备2不提供对认证请求的认证响应。网关基于上下文标识符和客户端特定的共享密钥,代表客户端设备检测到不存在来自客户端设备2的认证响应,并生成诸如HTTP摘要响应的认证响应。然后,将认证响应作为修改后的第二客户端请求15'的一部分发送给应用服务器3。
应用服务器3在修改后的客户端认证请求15'中获得认证响应,并且还使用认证服务器利用认证响应来验证客户端。应用服务器3向认证服务器提供上下文标识符和第二FQDN,该认证服务器生成客户端特定的(由于第二FQDN是客户端特定的)共享密钥。认证服务器然后向应用服务器提供客户端特定的共享密钥,应用服务器使用该共享密钥来验证认证响应的有效性。
然后,针对客户端设备2建立了安全会话17。在这种情况下,安全会话17的端点在网关1中。
图3是示出可以应用于图1所示的环境中的实施例的备选顺序图。与图2所示的实施例有许多相似之处,但是这里示出了客户端设备是与应用服务器进行安全会话的端点的一种情况。与图2相比,这里只提到了修改后的步骤和通信。
在这种情况下,客户端设备2使用重定向消息的凭证创建对重定向消息14的认证请求的认证响应。然后认证响应被包括在第二客户端请求15中。网关1检测到认证响应,由此网关知道不生成认证响应,并且仅将第二客户端请求15转发给应用服务器3而不添加任何(多余的附加)认证响应。
应用服务器3以与图2中相同的方式响应,但是由于认证响应是由客户端设备2生成的,所以建立与作为端点的客户端设备2的安全会话17。
图4A-C是示出用于促进由图1的网关执行的图1的客户端设备和应用服务器之间的安全通信的方法的流程图。该方法对应于图2和图3中的网关1的动作。
在接收第一客户端请求步骤30中,从客户端设备接收第一客户端请求。第一个客户端请求包括用于应用服务器的第一全限定域名FQDN。
在发送请求步骤31中,网关请求被发送到应用服务器,其中网关请求基于第一客户端请求。
可选地,网关请求被生成为具有GET方法的HTTP请求,而不考虑第一客户端请求的HTTP方法。原因是GET命令揭示了与客户端设备和应用服务器的请求资源有关的最少量信息。相比之下,HTTP POST方法将携带一些设备数据,而关于同一资源的GET将仅识别相关资源(如index.html)。这意味着保护这些数据的责任将转移到应用服务器,与资源受限的客户端设备相比,应用服务器更有能力进行适当的访问控制。
在接收响应步骤32中,从应用服务器接收应用服务器响应。应用服务器响应指示需要提供认证,例如,以认证请求的形式。
在生成第二FQDN步骤33中,生成第二FQDN。基于第一FQDN和客户端设备的标识符生成第二FQDN。换句话说,第二FQDN是客户端特定的。例如,如果第一FQDN是“naf.foo.com”并且客户端设备的标识符是“clientx”,则可以通过在第一FQDN前面加上客户端标识符和分隔符(例如“.”)来生成第二FQDN,由此第二FQDN将是“clientx.naf.foo.com”。
在生成密钥步骤34中,基于第二FQDN和不特定于客户端设备的共享密钥生成客户端特定的共享密钥。这用于委托安全解决方案中,并且可以例如包括使用通用引导架构GBA。
在生成重定向步骤35中,生成重定向消息。重定向消息可以是HTTP 30x消息,例如,HTTP 302/303/307。重定向消息包括第二FQDN、认证请求、上下文标识符和客户端特定的共享密钥。上下文标识符和客户端特定的共享密钥可以统称为凭证。
网关向重定向消息添加位置首部,以指示客户端设备应将其请求重定向到的位置。位置首部被设置为客户端设备特定的第二FQDN(例如“clientx.naf.foo.com”)。在一个实施例中,重定向消息是HTTP 303消息,指示客户端设备在下一个请求中使用GET方法,而不管对于第一客户端请求使用何种HTTP方法,从而提高在存在建立好的安全会话之前的隐私性和安全性。需要注意的是,凭证和认证请求可以作为首部或作为有效载荷数据被包括在重定向消息中。
在一个实施例中,重定向消息包括作为单独参数的第二FQDN,例如,作为单独的HTTP首部。
在发送重定向步骤36中,重定向消息被发送到客户端设备。
在接收第二客户端请求步骤37中,从客户端设备接收第二客户端请求。第二客户端请求使用第二FQDN,因为它位于重定向消息的位置首部中。
在条件性的包含认证响应步骤38中,确定第二客户端请求是否包括认证响应。如果第二客户端请求包括认证响应,这表明客户端设备能够与应用服务器安全地通信。在这种情况下,该方法结束并且客户端设备被允许提供与应用服务器的安全会话。另一方面,如果第二客户端请求不包括认证响应,这表示客户端设备不能与应用服务器安全地通信,在这种情况下,该方法进行到生成认证响应步骤39。
在生成认证响应步骤39中,使用客户端特定的共享密钥代表客户端设备生成认证响应。
在该方法中,通过基于应用服务器响应生成重定向消息并且包括凭证,而不是简单地转发应用服务器响应,网关可以区分知道和不知道使用上下文标识符和客户端特定的共享密钥进行安全通信的过程的客户端设备。不知道该过程的客户端设备将在不提供认证响应的情况下遵循重定向,从而隐含地告知网关他们不理解使用重定向消息中提供的凭证。这将告诉网关它应该用作设备的安全代理,即作为安全会话的端点(如图2所示)。知道该过程的设备将注意到重定向消息中的认证请求,提取嵌入的凭证,并生成认证响应,而不是遵循重定向。这样,客户端设备将不需要网关作为安全代理以及客户端设备作为安全会话中的端点(如图3所示)。因此,不能生成认证响应(例如HTTP摘要响应)的客户端设备(例如,如果它们不支持HTTP)根据客户端设备不使用HTTP来联系应用服务器的事实,将自动被网关检测为不知道该过程。
使用这种方法,委托安全解决方案既可以用于知道委托安全的设备,也可以用于不知道委托安全的设备。以这种方式,将向不知道委托安全过程的设备提供针对网关和应用服务器之间的路径的安全会话。这种情况导致了分离的安全解决方案,即从客户端设备到网关以及从网关到应用服务器的分离的安全解决方案。虽然这不如知道该过程的设备那么安全(因为它们最终具有从客户端设备到应用服务器的端到端安全性),但它仍然提供了比在网关和应用服务器之间没有安全性要好得多的情况。
在没有这种区别的情况下,如果网关希望所有客户端设备使用凭证以确保安全性,则不知道该过程的客户端设备将无法获得与应用服务器的任何连接,或至少不安全的连接,因为它们无法响应接收到的认证请求。利用这种区别,所有设备都将在安全会话中得到与应用服务器的连接,无论是从网关还是从客户端设备。而且,不支持HTTP的设备(例如仅支持COAP)可以通过网关获得分离的安全性。
现在看图4B,将仅描述与图4A的流程图所示的方法相比的新的或修改的步骤。
在禁止步骤40中,网关禁止生成认证响应。当第二客户端请求包括认证响应时,执行此步骤。实际上,这一步可以是空的,即无操作。
在G/W(网关)和A.S(应用服务器)之间建立安全会话步骤42,网关使用上下文标识符和客户端特定的共享密钥建立网关和应用服务器之间的安全会话。这可以通过使用HTTPS(HTTP安全)/TLS(传输层安全)来建立。当客户端设备不能作为该通信中的端设备时(这是通过第二客户端请求不包括认证响应来指示),安全会话因此可以用于客户端设备和应用服务器之间的通信。
现在看图4C,将仅描述与图4A的流程图所示的方法相比的新的或修改的步骤。要注意的是,图4B所示的一个或多个特征可以可选地与图4C的实施例组合。
这里,生成第二FQDN步骤33在发送请求步骤31之前执行。这样,第二FQDN可以被包括在网关请求中,例如,作为用于主机的HTTP首部。
而且,在生成重定向步骤35中,重定向消息包括作为重定向目的地的第二FQDN。
使用此方法,向应用服务器提供第二FQDN作为主机字段,并且应用服务器可以使用以进行认证挑战。这样,当生成认证响应时,客户端设备或网关也使用客户端设备特定的FQDN,从而向应用服务器提供对客户端特定的第二FQDN的一致性和透明性。
图5是示出由图1的网关执行的用于促进客户端设备和应用服务器之间的安全通信的方法的流程图。该方法在客户端设备2中执行并且对应于图2和图3中的客户端设备2的动作。
在发送第一客户端请求步骤45中,第一客户端请求被发送到网关。第一客户端请求包括用于应用服务器的FQDN。
在接收重定向步骤46中,从网关接收重定向消息。重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN。
在生成认证响应步骤47中,基于在重定向步骤中提供的上下文标识符和客户端特定的共享密钥,生成认证响应。该步骤对应于图4A-C的生成认证响应步骤39,但这里在客户端设备中执行。
在发送第二客户端请求步骤48中,第二客户端请求被发送到网关。第二客户端请求包括认证响应和第二FQDN。
这里,客户端设备知道客户端设备使用提供的凭证来生成认证响应的过程。因此,当客户端设备在重定向消息中接收到认证请求时,客户端设备注意到该认证请求,提取嵌入的凭证并生成认证响应。当网关接收到第二客户端请求时,网关将看到其中包括了认证响应,因此不会生成认证响应。
图6是示出图1的网关1的一些组件的示意图。使用能够执行存储在存储器54中的软件指令56(因此可以是计算机程序产品)的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路等中的一个或多个的任何组合来提供处理器50。处理器50可以被配置为执行以上参考图4A-C描述的方法。
存储器54可以是读写存储器RAM和只读存储器ROM的任意组合。存储器54还包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。
还提供数据存储器53,用于在处理器50中软件指令的执行期间读取和/或存储数据。数据存储器53可以是读写存储器(RAM)和只读存储器(ROM)的任意组合。存储器53还包括凭证57,例如3GPP凭证(例如存储在USIM中)。可以使用物理卡或通过可电子转移的订户识别模块(例如MCIM)来提供USIM。
网关1还包括例如使用有线网络连接(如以太网)与其他外部实体进行通信的I/O接口52。可选地,I/O接口52还包括用户界面。
网关1还包括一个或多个包括模拟和数字组件的收发器51以及用于与客户端设备和移动通信网络的无线电基站进行无线通信的适当数量的天线55(从而获得对一个或多个应用服务器和一个或多个认证服务器的访问)。可选地,作为替代,可以经由基于有线IP的网络(例如通过以太网连接)或基于无线IP的网络(例如Wi-Fi(任何IEEE802.11x标准))来达到一个或多个应用服务器和一个或多个认证服务器。
网关1的其他部件被省略,以便不会模糊本文提出的构思。
图7是示出图1的客户端设备2的一些组件的示意图。使用能够执行存储在存储器64中的软件指令66(因此可以是计算机程序产品)的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路等中的一个或多个的任何组合来提供处理器60。
存储器64可以是读写存储器RAM和只读存储器ROM的任意组合。存储器64还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。
数据存储器63也被提供用于在处理器60中执行软件指令期间读取和/或存储数据,例如,以执行参考图5所述的方法的任何实施例。数据存储器63可以是读写存储器(RAM)和只读存储器(ROM)的任何组合,例如,具有永久性存储器的形式,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装的存储器中的任何单独一种或组合。
客户端设备2还包括用于与外部实体进行通信的I/O接口62,并且可选地包括用户界面。
客户端设备2还可以包括一个或多个包括模拟和数字组件的收发机61,以及用于与网关或其他无线电通信实体(例如无线电基站)进行无线通信的适当数量的天线65,从而获得对一个或多个应用服务器的访问。
客户端设备2的其他组件被省略,以便不会模糊本文提出的构思。
图8是示出图1和图6的网关的功能模块的示意图。可以使用诸如在网关1中执行的计算机程序的软件指令、和/或使用诸如专用集成电路、现场可编程门阵列、离散逻辑组件、收发器等硬件来实现模块。模块对应于图4A-C所示的方法中的步骤。
接收器70对应于步骤30和37。生成器73对应于步骤33、34和35。发送器74对应于步骤31和36。评估器75对应于步骤38。禁止器76对应于步骤40。建立器77对应于步骤42。
图9是示出图1或图7的客户端设备的功能模块的示意图。可以使用诸如在客户端设备中执行的计算机程序的软件指令、和/或使用诸如专用集成电路、现场可编程门阵列、离散逻辑组件、收发器等硬件来实现模块。模块对应于图5所示的方法中的步骤。
发送器80对应于步骤45和48。接收器对应于步骤46。发生器对应于步骤47。
图10示出了包括计算机可读装置的计算机程序产品90的一个示例。在该计算机可读装置中,可以存储计算机程序91,该计算机程序可以使处理器执行根据此处描述的实施例的方法。在这个示例中,计算机程序产品是诸如CD(压缩盘)或DVD(数字多功能盘)或蓝光盘的光盘。如以上说明的,计算机程序产品还可以被实现为设备的存储器,如图6的计算机程序产品56或图7的计算机程序产品66。虽然计算机程序91此处被示意性地示为光盘上所示的轨道,可以以任意适合于计算机程序产品的方式来存储计算机程序。
已经参考一些实施例在上文中主要地描述了本发明。然而,如本领域技术人员容易理解的,除了上文所公开的实施例之外的其它实施例同样可能在由所附专利权利要求限定的本发明的范围内。
Claims (20)
1.一种用于促进客户端设备(2)和应用服务器(3)之间的安全通信的方法,所述方法在网关(1)中执行并且包括以下步骤:
从客户端设备(2)接收(30)第一客户端请求,所述第一客户端请求包括用于应用服务器(3)的第一全限定域名FQDN;
向所述应用服务器(3)发送(31)网关请求,其中所述网关请求基于所述第一客户端请求;
从所述应用服务器接收(32)应用服务器响应,所述应用服务器响应指示需要提供认证;
基于所述第一FQDN和所述客户端设备的标识符,生成(33)第二FQDN;
基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成(34)客户端特定的共享密钥;
生成(35)包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息;
向所述客户端设备(2)发送(36)所述重定向消息;
从所述客户端设备接收(37)第二客户端请求;以及
在所述第二客户端请求不包括认证响应的情况下生成(39)认证响应。
2.根据权利要求1所述的方法,其中生成(33)所述第二FQDN的步骤在发送(31)所述网关请求之前执行;以及其中所述网关请求包括所述第二FQDN,并且所述重定向消息包括作为重定向目的地的所述第二FQDN。
3.根据权利要求1所述的方法,其中所述重定向消息包括作为单独参数的所述第二FQDN。
4.根据前述权利要求中任一项所述的方法,还包括以下步骤:
当所述第二客户端请求包括认证响应时,禁止(40)生成认证响应。
5.根据权利要求1至3中任一项所述的方法,其中发送(31)所述网关请求的步骤是具有get方法的超文本传输协议HTTP请求,与所述第一客户端请求的方法无关。
6.根据权利要求1至3中任一项所述的方法,还包括以下步骤:
当所述第二客户端请求不包括认证响应时,针对所述客户端设备(2)与所述应用服务器(3)之间的通信,使用所述上下文标识符和所述客户端特定的共享密钥来建立(42)所述网关与所述应用服务器之间的安全会话。
7.根据权利要求1至3中任一项所述的方法,其中,生成(34)所述客户端特定的共享密钥的步骤包括使用通用引导架构GBA。
8.一种用于促进客户端设备(2)和应用服务器(3)之间的安全通信的网关(1),所述网关(1)包括:
处理器(50);以及
存储指令(56)的存储器(54),所述指令(56)在被所述处理器执行时使所述网关(1):
从客户端设备(2)接收第一客户端请求,所述第一客户端请求包括用于应用服务器(3)的第一全限定域名FQDN;
向所述应用服务器(3)发送网关请求,其中所述网关请求基于所述第一客户端请求;
从所述应用服务器接收应用服务器响应,所述应用服务器响应指示需要提供认证;
基于所述第一FQDN和所述客户端设备的标识符,生成第二FQDN;
基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥;
生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息;
向所述客户端设备(2)发送所述重定向消息;
从所述客户端设备接收第二客户端请求;以及
在所述第二客户端请求不包括认证响应的情况下生成认证响应。
9.根据权利要求8所述的网关(1),其中用于生成所述第二FQDN的指令在用于发送所述网关请求的指令之前执行;以及其中所述网关请求包括所述第二FQDN,并且所述重定向消息包括作为重定向目的地的所述第二FQDN。
10.根据权利要求8所述的网关(1),其中所述重定向消息包括作为单独参数的所述第二FQDN。
11.根据权利要求8至10中任一项所述的网关(1),还包括当被所述处理器执行时使所述网关(1)在所述第二客户端请求包括认证响应时不生成认证响应的指令(56)。
12.根据权利要求8至10中任一项所述的网关(1),其中用于发送所述网关请求的指令进一步包括在被所述处理器执行时使所述网关(1)发送所述网关请求的指令(56),所述网关请求是具有get方法的超文本传输协议HTTP请求,而与所述第一客户端请求的方法无关。
13.根据权利要求8至10中任一项所述的网关(1),还包括如下指令(56):当所述指令被所述处理器执行时,使得当所述第二客户端请求不包括认证响应时,针对所述客户端设备(2)与所述应用服务器(3)之间的通信,所述网关(1)建立所述网关与所述应用服务器之间的安全会话。
14.根据权利要求8至10中任一项所述的网关(1),其中用于生成所述客户端特定的共享密钥的指令包括当被所述处理器执行时使所述网关(1)使用通用引导架构GBA的指令(56)。
15.一种网关(1),包括:
用于从客户端设备(2)接收第一客户端请求的装置,所述第一客户端请求包括用于应用服务器(3)的第一全限定域名FQDN;
用于向所述应用服务器(3)发送网关请求的装置,其中所述网关请求基于所述第一客户端请求;
用于从所述应用服务器接收应用服务器响应的装置,所述应用服务器响应指示需要提供认证;
用于基于所述第一FQDN和所述客户端设备的标识符来生成第二FQDN的装置;
用于基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥的装置;
用于生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息的装置;
用于向所述客户端设备(2)发送所述重定向消息的装置;
用于从所述客户端设备接收第二客户端请求的装置;以及
用于在所述第二客户端请求不包括认证响应的情况下生成认证响应的装置。
16.一种存储计算机程序(91)的非暂时性计算机可读存储介质,所述计算机程序(91)用于促进客户端设备(2)和应用服务器(3)之间的安全通信,所述计算机程序包括计算机程序代码,所述计算机程序代码当在网关(1)上运行时使所述网关(1):
从客户端设备(2)接收第一客户端请求,所述第一客户端请求包括用于应用服务器(3)的第一全限定域名FQDN;
向所述应用服务器(3)发送网关请求,其中所述网关请求基于所述第一客户端请求;
从所述应用服务器接收应用服务器响应,所述应用服务器响应指示需要提供认证;
基于所述第一FQDN和所述客户端设备的标识符,生成第二FQDN;
基于所述第二FQDN和不特定于所述客户端设备的共享密钥来生成客户端特定的共享密钥;
生成包括所述第二FQDN、认证请求、上下文标识符和所述客户端特定的共享密钥在内的重定向消息;
向所述客户端设备(2)发送所述重定向消息;
从所述客户端设备接收第二客户端请求;以及
在所述第二客户端请求不包括认证响应的情况下生成认证响应。
17.一种用于促进客户端设备(2)和应用服务器(3)之间的安全通信的方法,所述方法在所述客户端设备(2)中执行并且包括以下步骤:
向网关(1)发送(45)第一客户端请求,所述第一客户端请求包括用于所述应用服务器(3)的第一全限定域名FQDN;
从所述网关接收(46)重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;以及
向所述网关发送(48)第二客户端请求,其中,如果所述客户端设备能够生成认证响应,则所述第二客户端请求包括所述客户端设备基于所述上下文标识符和所述客户端特定的共享密钥生成(47)的认证响应,而如果所述客户端设备不能够生成认证响应,则所述第二客户端请求不包括任何认证响应,由此作为对所述网关代表所述客户端设备生成认证响应的指示。
18.一种用于促进与应用服务器(3)的安全通信的客户端设备(2),所述客户端设备(2)包括:
处理器(60);以及
存储指令(66)的存储器(64),所述指令(66)在被所述处理器执行时使所述客户端设备(2):
向网关(1)发送第一客户端请求,所述第一客户端请求包括用于所述应用服务器(3)的第一全限定域名FQDN;
从所述网关接收重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;以及
向所述网关发送第二客户端请求,其中,如果所述客户端设备能够生成认证响应,则所述第二客户端请求包括所述客户端设备基于所述上下文标识符和所述客户端特定的共享密钥生成(47)的认证响应,而如果所述客户端设备不能够生成认证响应,则所述第二客户端请求不包括任何认证响应,由此作为对所述网关代表所述客户端设备生成认证响应的指示。
19.一种客户端设备,包括:
用于向网关(1)发送第一客户端请求的装置,所述第一客户端请求包括用于应用服务器(3)的第一全限定域名FQDN;
用于从所述网关接收重定向消息的装置,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;
用于向所述网关发送第二客户端请求的装置,其中,如果所述客户端设备能够生成认证响应,则所述第二客户端请求包括所述客户端设备基于所述上下文标识符和所述客户端特定的共享密钥生成(47)的认证响应,而如果所述客户端设备不能够生成认证响应,则所述第二客户端请求不包括任何认证响应,由此作为对所述网关代表所述客户端设备生成认证响应的指示。
20.一种存储计算机程序(91)的非暂时性计算机可读存储介质,计算机程序(91)用于促进与应用服务器(3)的安全通信,所述计算机程序包括计算机程序代码,所述计算机程序代码当在客户端设备(2)上运行时使所述客户端设备(2):
向网关(1)发送第一客户端请求,所述第一客户端请求包括用于所述应用服务器(3)的第一全限定域名FQDN;
从所述网关接收重定向消息,所述重定向消息包括认证请求、上下文标识符、客户端特定的共享密钥和第二FQDN;
向所述网关发送第二客户端请求,其中,如果所述客户端设备能够生成认证响应,则所述第二客户端请求包括所述客户端设备基于所述上下文标识符和所述客户端特定的共享密钥生成(47)的认证响应,而如果所述客户端设备不能够生成认证响应,则所述第二客户端请求不包括任何认证响应,由此作为对所述网关代表所述客户端设备生成认证响应的指示。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2015/070877 WO2017041861A1 (en) | 2015-09-11 | 2015-09-11 | Gateway, client device and methods for facilitating secure communication between a client device and an application server using redirect |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108370369A CN108370369A (zh) | 2018-08-03 |
CN108370369B true CN108370369B (zh) | 2021-02-09 |
Family
ID=54106358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580082974.1A Active CN108370369B (zh) | 2015-09-11 | 2015-09-11 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11063981B2 (zh) |
EP (1) | EP3348031B1 (zh) |
CN (1) | CN108370369B (zh) |
WO (1) | WO2017041861A1 (zh) |
ZA (1) | ZA201800666B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2540354A (en) * | 2015-07-13 | 2017-01-18 | Vodafone Ip Licensing Ltd | Generci bootstrapping architecture protocol |
US11212083B2 (en) * | 2018-09-07 | 2021-12-28 | A10 Networks, Inc. | Slave secure sockets layer proxy system |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
CN1929370A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户接入认证代理时确定认证使用的密钥的方法及系统 |
CN101056263A (zh) * | 2006-03-30 | 2007-10-17 | 株式会社日立制作所 | 数据通信方法和系统 |
CN101902733A (zh) * | 2009-06-01 | 2010-12-01 | 中国移动通信集团公司 | 一种发送gba初始化请求的方法、系统及设备 |
CN101909052A (zh) * | 2010-06-28 | 2010-12-08 | 中兴通讯股份有限公司 | 一种家庭网关认证方法和系统 |
CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
CN103460786A (zh) * | 2011-04-01 | 2013-12-18 | 交互数字专利控股公司 | 用于共享公共pdp上下文的系统和方法 |
WO2014193278A1 (en) * | 2013-05-29 | 2014-12-04 | Telefonaktiebolaget L M Ericsson (Publ) | Gateway, client device and methods for facilitating communcation between a client device and an application server |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4271988B2 (ja) | 2003-05-19 | 2009-06-03 | 株式会社日立コミュニケーションテクノロジー | パケット通信装置 |
US8583827B2 (en) * | 2005-05-26 | 2013-11-12 | Citrix Systems, Inc. | Dynamic data optimization in data network |
JP5325974B2 (ja) | 2008-10-10 | 2013-10-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ゲートウェイ装置、認証サーバ、その制御方法及びコンピュータプログラム |
EP2399376A1 (en) * | 2009-02-18 | 2011-12-28 | Telefonaktiebolaget L M Ericsson (publ) | User authentication |
JP5437785B2 (ja) | 2009-12-21 | 2014-03-12 | 富士通株式会社 | 認証方法、変換装置、中継装置、及び該プログラム |
CN106131081A (zh) * | 2010-12-30 | 2016-11-16 | 交互数字专利控股公司 | 从应用服务器接入服务的方法及移动装置 |
-
2015
- 2015-09-11 US US15/758,793 patent/US11063981B2/en active Active
- 2015-09-11 EP EP15763311.6A patent/EP3348031B1/en active Active
- 2015-09-11 WO PCT/EP2015/070877 patent/WO2017041861A1/en unknown
- 2015-09-11 CN CN201580082974.1A patent/CN108370369B/zh active Active
-
2018
- 2018-01-31 ZA ZA2018/00666A patent/ZA201800666B/en unknown
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
CN1929370A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户接入认证代理时确定认证使用的密钥的方法及系统 |
CN101056263A (zh) * | 2006-03-30 | 2007-10-17 | 株式会社日立制作所 | 数据通信方法和系统 |
CN101902733A (zh) * | 2009-06-01 | 2010-12-01 | 中国移动通信集团公司 | 一种发送gba初始化请求的方法、系统及设备 |
CN101909052A (zh) * | 2010-06-28 | 2010-12-08 | 中兴通讯股份有限公司 | 一种家庭网关认证方法和系统 |
CN103460786A (zh) * | 2011-04-01 | 2013-12-18 | 交互数字专利控股公司 | 用于共享公共pdp上下文的系统和方法 |
CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
WO2014193278A1 (en) * | 2013-05-29 | 2014-12-04 | Telefonaktiebolaget L M Ericsson (Publ) | Gateway, client device and methods for facilitating communcation between a client device and an application server |
Non-Patent Citations (1)
Title |
---|
draft-gerdes-ace-dcaf-authorize-02.txt;S. Gerdes,etc.;《Delegated CoAP Authetication and Authorization Framework(DCAF)》;IETF;20150309;全文 * |
Also Published As
Publication number | Publication date |
---|---|
EP3348031A1 (en) | 2018-07-18 |
ZA201800666B (en) | 2019-05-29 |
EP3348031B1 (en) | 2019-11-06 |
US20190058735A1 (en) | 2019-02-21 |
US11063981B2 (en) | 2021-07-13 |
WO2017041861A1 (en) | 2017-03-16 |
CN108370369A (zh) | 2018-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10986083B2 (en) | Hardware identification-based security authentication service for IoT devices | |
US10885198B2 (en) | Bootstrapping without transferring private key | |
US11354136B2 (en) | Machine-to-machine bootstrapping | |
US10243954B2 (en) | Access network assisted bootstrapping | |
EP3005640B1 (en) | Gateway, client device and methods for facilitating communcation between a client device and an application server | |
GB2558205A (en) | Enabling communications between devices | |
US20210037026A1 (en) | Protection of Traffic between Network Functions | |
JP6775683B2 (ja) | 次世代システムの認証 | |
US10158993B2 (en) | Wireless communications | |
EP3320708B1 (en) | Facilitating secure communcation between a client device and an application server | |
CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
GB2560746A (en) | Secure transfer of data between internet of things devices | |
GB2560896A (en) | Secure transfer of data between internet of things devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |