用于握手期间中间节点发现的方法和装置制造方法及图纸

描述了一种由在客户端和服务器之间布置的中间节点执行的方法，用于参与客户端和服务器之间的连接建立，其中，响应于截取从客户端发送的以服务器为目的地并请求在所述客户端和所述服务器之间建立连接的第一消息；以及基于接收到的第一消息的内容，识别中间节点期望在请求的连接上执行至少一个功能。中间节点向客户端发送第二消息，所述第二消息包括中间节点的标识，从而使客户端能够接受或拒绝中间节点作为参与请求的连接建立的节点。

【技术实现步骤摘要】
【国外来华专利技术】用于握手期间中间节点发现的方法和装置
本公开涉及当中间节点布置在客户端和服务器之间时用于执行服务器和客户端之间的呼叫建立的方法、中间节点、服务器和客户端。
技术介绍
中间节点或代理在例如超文本传输协议(HTTP)、超文本传输协议安全(HTTPS)、消息会话中继协议(MSRP)、会话发起协议(SIP)、约束应用协议(COAP)等的各种应用层协议的许多部署中是重要和必要的。最重要的使用情况之一是在例如企业、运营商网络、酒店和机场中普遍部署的HTTP代理。另一示例是在MSRP部署中大量的MSRP代理。中间节点，其可以备选地被称为中介节点，执行例如以下服务：在业务优化、缓存、防病毒保护、例如学校中的下行链路内容筛选和过滤、企业中的上行链路内容筛选和过滤、以及在例如MSRP的消息传输协议的情况下的消息存储。例如在WO2010/003713A1中存在针对安全实时传输协议(SRTP)的解决方案。然而，这些已知解决方案不适用于上述场景，原因在于这些解决方案针对其中根本不信任代理访问任何内容的另一信任模型。因此，在这些解决方案中代理将不获得对所需内容的任何访问。其次，上述SRTP解决方案使用具有附加(在我们的情况下是不希望的)开销的隧道中隧道和复用机制。第三，这些类型的解决方案是SRTP专用的并且不与TLS一起工作。如3GPPTS33.828中公开的已知3GPPIMS相关机制(通过其IMS网络可以针对“逐跳”安全添加/替换用于e2e安全的客户端提供)不提供来自端点的任何控制或许可。此外，它们与IMS协议(SIP，STRP)紧密结合并且针对TLS不工作。用传输层安全(TLS)或数据报传输层安全(DTLS)保护许多这些应用层协议，原因在于它们提供强安全性并代表用于保护在大多数客户端和服务器中实现的TCP或UDP业务的“标准”方式。在大多数情况下，在使用应用协议之前建立TLS或DTLS。使用TLS，我们这里表示TLS的全部版本和如DTLS的TLS的衍生物。当不用TLS保护通信时，中间节点可以在大多数情况下将其自身插入通信路径中，即通过插入它本身可以潜在地监听、注入或修改发送方和接收方之间的业务，导致所谓“业务干预”。当使用TLS时，每个中间节点仅具有三种选择，让客户端与服务器端到端建立TLS，破坏TLS安全模型或尝试阻止业务。这三种选项的共同点在于：在大多数情况下，客户端和服务器未知晓通信路径中存在任何中间节点。如果中间节点已经“静默地”破坏了TLS(端到端)安全模型，TLS客户端/服务器如何知晓它们的业务没有经受未授权的访问？此外，通信路径中的一个或更多个“友好的”中间节点仍不能使得TLS客户端或TLS服务器知晓它们的存在，即使TLS客户端或TLS服务器想知晓。由于客户端和服务器均不能知晓中间节点和它们的标识，客户端和服务器均不能在它的通信中包括中间节点和它们的标识，意味着中间节点必须或者求助于阻止业务，即禁用客户端/服务器通信，或者它可以使业务通过，但是然后它不按预期履行服务。尽管以上我们已经参照了TLS客户端和TLS服务器，从下文中将显而易见在不使用或至少初始地不使用TLS的场景中还可以涉及相应的、中间相关的问题。
技术实现思路
简要描述，提供了客户端、服务器和中间节点，它们被配置为使上述端点当执行客户端和服务器之间的连接建立时能够控制中间节点的参与。根据第一方面，提出了一种由在客户端和服务器之间布置时的中间节点执行的方法，用于参与客户端和服务器之间的连接建立。提出的方法由中间节点截取从客户端发送的以服务器为目的地的第一消息发起，其中所述第一消息请求在所述客户端和所述服务器之间建立连接。在中间节点基于接收到的第一消息的内容识别中间节点期望在请求的连接上执行至少一个功能时，或换言之，中间节点想要参与呼叫建立时，所述中间节点向客户端发送第二消息，其中第二消息包括中间节点的标识，从而使客户端能够接受或拒绝中间节点作为参与请求的连接建立的节点。提出的方法的优点在于：呼叫建立中涉及的端点将能够控制呼叫建立。根据一个实施例，第二消息还可以包括认证信息，从而使客户端能够授权中间节点。认证信息可以包括根据第一消息中包含的至少一个参数计算的签名。可以由中间节点执行的功能可以包括是以下各项中的至少一个：防病毒保护；内容筛选；入侵检测或防护；内容适配或转码；业务优化；计费；缓存或策略执行。根据一个实施例，识别步骤是与以下相关联地执行的：判定需要中间节点执行与请求的连接相关联的至少一个功能以使得能够建立连接，即，而不是指示执行请求的呼叫建立的期望，其中，作为结果，可以在中间节点参与或不参与的情况下执行呼叫建立，这种中间节点的参与对于执行成功的呼叫建立是必须的。此外，第二消息还可以包括：中间节点与在客户端和服务器之间建立请求的连接相关联地执行所述至少一个功能的要求。中间节点的要求可以指多个各种主题，例如以下的一个或更多个：请求能够在上行链路或下行链路业务中读取请求的连接的至少部分接收分组；请求能够在上行链路或下行链路业务中修改请求的连接的至少部分接收分组；请求能够应用特定类型的协议；或请求能够应用特定密码要求。根据一个实施例，所述要求包括关于与请求的连接相关联的所述至少一个功能的信息，即，端点将能够考虑，并接受或拒绝中间节点在连接上执行一个或更多个特定功能。此外，可以在中间节点处存储从客户端向中间节点提供的信息的至少一部分，以在将来的连接建立尝试期间访问。根据另一方面，公开了一种由客户端执行的方法，所述客户端需要在客户端和服务器之间建立连接，其中在客户端和服务器之间布置中间节点。客户端发送以服务器为目的地的第一消息，请求在客户端和服务器之间建立连接。一旦从中间节点接收包括标识的第二消息，所述标识标识中间节点，所述客户端确定接受还是拒绝中间节点作为参与请求的连接建立的节点。在这种确定之后，客户端发送以服务器为目的地的第三消息，请求在确定步骤中确定中间节点参与或不参与的情况下，在客户端和服务器之间建立连接。根据一个实施例，第二消息还包括中间节点参与连接建立的要求，其中所述确定步骤还包括确定接受哪些要求和拒绝哪些要求，并且发送步骤还包括将关于客户端接受哪些要求和客户端拒绝哪些要求的信息包含到第三消息中。根据另一方面，公开了一种由服务器执行的方法，客户端请求与所述服务器建立连接，其中在客户端和服务器之间布置中间节点。初始地，从中间节点接收请求在客户端和服务器之间建立连接的消息，所述消息包括中间节点的标识和中间节点针对参与建立请求的连接的要求。接下来，确定接受还是拒绝中间节点参与连接建立，以及在这种确定之后，在接受中间节点参与的情况下，过程继续经由中间节点在客户端和服务器之间发起的建立，或在服务器拒绝中间节点参与的情况下，结束所述建立。根据一个实施例，建立还包括：向中间节点提供至少一个加密和/或认证密钥，从而使所述中间节点能够访问所述连接。根据一个实施例，建立连接可以启用传输层安全(T本文档来自技高网...

【技术保护点】
一种由在客户端和服务器之间布置的中间节点执行的方法，用于参与客户端和服务器之间的连接的建立，所述方法包括：‑截取从客户端发送的以服务器为目的地的第一消息，所述第一消息请求在所述客户端和所述服务器之间建立连接；‑基于接收到的第一消息的内容，识别中间节点期望在请求的连接上执行至少一个功能；‑向客户端发送第二消息，所述第二消息包括中间节点的标识，从而使客户端能够接受或拒绝中间节点作为参与请求的连接建立的节点。

【技术特征摘要】
【国外来华专利技术】2013.11.28 SE 1300739-81.一种由在客户端和服务器之间布置的中间节点执行的方法，用于参与客户端和服务器之间的连接的建立，所述方法包括：
-截取从客户端发送的以服务器为目的地的第一消息，所述第一消息请求在所述客户端和所述服务器之间建立连接；
-基于所截取的第一消息的内容，识别中间节点期望在请求的连接上执行至少一个功能，所述至少一个功能包括修改在请求的连接期间在客户端和服务器之间传输的内容；
-向客户端发送第二消息，所述第二消息包括中间节点的标识，从而使客户端能够接受或拒绝中间节点作为参与请求的连接建立的节点。


2.根据权利要求1所述的方法，其中，第二消息还包括认证信息，使客户端能够授权中间节点。


3.根据权利要求2所述的方法，其中，认证信息包括根据第一消息中包含的至少一个参数计算的签名。


4.根据权利要求1，2或3中任一项所述的方法，其中，所述功能是以下各项中的至少一个：
-防病毒保护，
-内容筛选，
-入侵检测或防护，
-内容适配或转码，
-业务优化，
-计费，
-缓存，或
-策略执行。


5.根据权利要求1，2或3中任一项所述的方法，其中，识别步骤是与以下相关联地执行的：判定需要中间节点执行与请求的连接相关联的至少一个功能以使得能够建立连接。


6.根据权利要求1，2或3中任一项所述的方法，其中，第二消息还包括：中间节点与在客户端和服务器之间建立请求的连接相关联地执行所述至少一个功能的要求。


7.根据权利要求6所述的方法，其中，所述要求包括以下至少一个：
-请求能够在上行链路或下行链路业务中读取请求的连接的至少部分接收分组，
-请求能够在上行链路或下行链路业务中修改请求的连接的至少部分接收分组，
-请求能够应用特定类型的协议，或
-请求能够应用特定密码要求。


8.根据权利要求6所述的方法，其中，所述要求包括关于与请求的连接相关联的所述至少一个功能的信息。


9.根据权利要求1，2或3中任一项所述的方法，其中，在中间节点处存储从客户端向中间节点提供的信息的至少一部分，以在将来的连接建立尝试期间访问。


10.一种由客户端执行的方法，所述客户端需要在客户端和服务器之间建立连接，其中在客户端和服务器之间布置中间节点，所述方法包括：
-发送以服务器为目的地的第一消息，请求在客户端和服务器之间建立连接；
-从中间节点接收包括标识的第二消息，所述标识标识中间节点，所述第二消息还包括中间节点在请求的连接上执行至少一个功能的要求，所述至少一个功能包括修改在请求的连接期间在客户端和服务器之间传输的内容；
-确定接受还是拒绝所标识的中间节点作为参与请求的连接建立的节点，以及
-发送以服务器为目的地的第三消息，请求在确定步骤中确定中间节点参与或不参与的情况下，在客户端和服务器之间建立连接。


11.根据权利要求10所述的方法，其中，第二消息还包括中间节点参与连接建立的要求；所述确定步骤还包括确定接受哪些要求和拒绝哪些要求，并且发送步骤还包括将关于客户端接受哪些要求和客户端拒绝哪些要求的信息包含到第三消息中。


12.一种由服务器执行的方法，客户端请求与所述服务器建立连接，其中在客户端和服务器之间布置中间节点，所述方法包括：
-从中间节点接收请求在客户端和服务器之间建立连接的消息，所述消息包括中间节点的标识和中间节点参与建立请求的连接以在请求的连接上执行至少一个功能的要求，所述至少一个功能包括修改在请求的连接期间在客户端和服务器之间传输的内容；
-确定接受还是拒绝所标识的中间节点参与连接建立，以及
-在接受中间节点参与的情况下，继续经由中间节点在客户端和服务器之间发起的建立，或在服务器拒绝中间节点参与的情况下，结束所述建立。


13.根据权利要求12所述的方法，其中，继续步骤包括：在服务器拒绝中间节点参与的情况下，结束建立或在所述中间节点不参与的情况下继续发起的建立。


14.根据权利要求13所述的方法，其中，继续建立包括：向中间节点提供至少一个加密和/或认证密钥，从而使所述中间节点能够访问所述连接。


15.根据权利要求13或14所述的方法，其中，建立连接启用传输层安全TLS或数据报传输层安全DTLS通信。


16.一种能够参与在客户端和服务器之间建立连接的中间节点，所述中间节点包括处理器和存储器，所述存储器能够存储指令，所述指令当由处理器执行时使所述中间节点：
-截取从客户端发送的以服务器为目的地的第一消息，所述第一消息请求在所述客户端和所述服务器之间建立连接；
-基于所截取的第一消息的内容，识别中间节点期望在请求的连接上执行至少一个功能，所述至少一个功能包括修改在请求的连接期间在客户端和服务器之间传输的内容；以及
-向客户端发送第二消息，所述第二消息包括中间节点的标识，从而使客户端能够接受或拒绝中间节点作为参与请求的连接建立的节点。


17.根据权利要求16所述的中间节点，其中，所述存储器还存储指令，所述指令当由处理器执行时使所述中间节点：将认证信息插入第二消息中，从而使...

【专利技术属性】
技术研发人员：约翰·马特森，罗伯特·斯科格，萨尔瓦多·洛雷托，汉斯·斯巴克，马茨·内斯隆德，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE