CN115361685B - 一种端到端漫游认证方法、*** - Google Patents

Abstract

本发明提出一种端到端漫游认证方法、***，所述方法包括：用户终端到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。在用户及其相关签约配置数据都由归属地路局管理的情况下，拜访地路局统一认证服务既能动态的认证漫游用户的合法性，又能将拜访地的本地MCX资源访问令牌下发给终端，保证了漫游用户能够有效地使用当前所在拜访地路局的服务资源，可大幅地减少列调业务的传输时延。

Description

一种端到端漫游认证方法、***

技术领域

本发明属于铁路通信领域，特别涉及一种端到端漫游认证方法、***。

背景技术

5G-R是铁路下一代的宽带无线移动***，用于解决现有GSM-R（Global Systemfor Mobile Communications – Railway-铁路综合数字移动通信***）***的一些带宽、速率、时延以及业务承载能力等不足的问题，是GSM-R***的后续升级换代产品。

铁路移动通信网，由全路统一规划，按功能特性划分为全路公用设备、路局中心设备、车站及沿线设备等几类。全路共有18个路局，各路局有各自的管辖区，在列车长途运行中，存在着跨局切换的场景。基于铁路业务的高安全、低时延、高可靠、易维护等方面的考虑，新一代的5G-R***的组网技术，要求：

1）全路公用设备，是全路公共访问、数据全路共享的一级节点设备；

2）铁路各路局，自行管理各自的用户、配置/生产数据和路局中心设备；

3）涉及用户漫游的场景，关键业务要尽量采用拜访地本地疏导的方式。

以上组网，第二点的要求，使得各路局的用户数据、设备配置数据都不相同，并且路局的数据尽量保留在本地，路局间尽量不互通。第三点的要求，使得用户漫游到拜访地后要重新进行拜访地MCX（Mission Critical-X，铁路宽带集群通信）的认证、注册等业务，尽量访问使用拜访地的资源。即，一个用户的配置数据，只是在该用户所归属地的路局进行配置，其他路局应该不能直接管理或访问该用户的配置信息。

当用户漫游到拜访路局，因为拜访路局不负责该用户的管理，所以拜访路局的配置管理CSC没有该用户的配置信息，而这时漫游用户又要在拜访路局MCX进行新的认证注册流程，以进行本地疏导的业务。这种情况下，漫游用户的认证和注册流程会因拜访地MCX***没有该漫游用户信息而报错。考虑到业务连续性，需要设计一种方式，当用户漫游到拜访地时，让拜访地的CSC到归属地的CSC进行该用户的有效性验证，同时让该用户能使用拜访地的MCX服务资源。

5G-R MCX的公共配置数据库CSC（Common Services Core），是MCX业务用户配置的统一管理服务，包含统一认证服务IDMS（Identity Management Server）、秘钥管理KMS（KeyManagement Server）、位置服务LMS（Location Management Server）、用户配置管理CMS（Configuration Management Server）、群组配置管理GMS（Group Management Server）等网元。CSC中包含的功能网元较多，各网元的特性及跨局交换的方式也都不同，其中的统一认证服务IDMS，是用户登录5G-R MCX业务的入口，是解决MCX跨局漫游场景的语音MCPTT（铁路宽带集群语音通信，Mission Critical of Push To Talk）、数据MCData（铁路宽带集群数据通信，Mission Critical of Data）、视频MCVideo（铁路宽带集群视频通信，MissionCritical of Video）以及KMS、LMS、CMS、GMS等服务资源如何进行访问的关键点。本发明从统一认证IDMS的跨局数据交换处理方式的角度，来逐步展开漫游终端访问拜访地各CSC网元的配置问题的解决方法。

发明内容

针对上述问题，本发明提出一种端到端漫游认证方法，所述方法包括：

用户终端到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。

进一步的，用户终端到路局统一认证服务进行认证包括：

用户终端发送身份验证请求消息给拜访地路局设备；

用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；

用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；

用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息。

进一步的，用户终端到路局统一认证服务进行认证包括：

用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；

归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；

拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据所述用户标识令牌发送的拜访地路局设备的令牌消息。

进一步的，用户终端与归属地路局设备进行交互认证包括：

用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；

用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

进一步的，用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括：

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。

进一步的，所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。

进一步的，用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。

进一步的，用户终端访问和使用铁路宽带集群通信资源后，还包括根据所述第一令牌消息下发的令牌有效时间，定期到所述拜访地路局设备和归属地路局设备进行令牌刷新，以保持所述第一令牌消息的有效性。

本发明还提供一种端到端漫游认证***，所述***包括用户终端，

用户终端用于到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。

进一步的，用户终端用于到路局统一认证服务进行认证包括：

用户终端发送身份验证请求消息给拜访地路局设备；

用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；

用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；

用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息。

进一步的，用户终端用于到路局统一认证服务进行认证包括：

用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；

归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；

拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据所述用户标识令牌发送的拜访地路局设备的令牌消息。

进一步的，用户终端用于与归属地路局设备进行交互认证包括：

用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；

用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

进一步的，用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括：

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。

进一步的，所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。

进一步的，用户终端用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。

进一步的，用户终端访问和使用铁路宽带集群通信资源后，还用于根据所述第一令牌消息下发的令牌有效时间，定期到所述拜访地路局设备和归属地路局设备进行令牌刷新，以保持所述第一令牌消息的有效性。

本发明的端到端漫游认证方法、***，在用户及其相关签约配置数据都由归属地路局管理的情况下，拜访地路局统一认证服务既能动态的认证（本地无该用户配置信息）漫游用户的合法性（到归属地路局统一认证服务验证），又能将拜访地的本地MCX资源访问令牌下发给终端，保证了漫游用户能够有效地使用当前所在拜访地路局的服务资源，可大幅地减少列调业务的传输时延。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例中的用户漫游到拜访地时，拜访地IDMS、MCX、CSC等业务的服务发现流程示意图；

图2示出了本发明实施例中的5G-R MCX跨路局漫游场景的统一认证IDMS组网框架示意图；

图3示出了本发明实施例中的端到端漫游认证方法流程示意图；

图4示出了本发明实施例中的归属地路局IDMS-1与拜访地路局IDMS-2通过终端重定向机制，交换认证数据令牌的具体流程示意图；

图5示出了本发明实施例中的漫游用户到拜访地直接携带ID Token，经拜访地路局IDMS-2透传认证具体流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例中从***组网角度，将IDMS及CSC其他网元，全部部署为路局设备，用户归属地IDMS与拜访路局的IDMS进行交互认证，归属地IDMS签发拜访地IDMS的令牌Token。其中又可分为漫游用户重定向、拜访地IDMS透传等几种模式。这种方式，当用户漫游到拜访地时，通过归属地的IDMS进行该漫游用户的合法性认证，并获取该用户拜访地IDMS的接入Token，拜访地的IDMS验证接入Token成功后，结合本地的MCX资源情况，生成能使用本地MCX资源的Access Token（令牌）下发给该漫游用户。这样，拜访地IDMS既能动态的认证（本地无该用户配置信息）漫游用户的合法性（到归属地IDMS验证），又能将拜访地的本地MCX资源Access Token（令牌）下发给终端。

本发明实施例中对用户漫游到拜访地时，拜访地IDMS、MCX、CSC等业务的服务发现流程进行说明，图1中，5G-R漫游用户发现拜访地资源的流程如下，前提是用户终端UE本地MCX APP在安装初始化时写入固定的启动（Bootstrap）URL地址，用户终端UE的MCX APP启动时，本地没有（第一次登录服务发现）或有比较老的Initial UE Configuration（初始配置）文件（终端已经登录过，一个包含MCX、CSC各资源服务的URL列表的XML文件），具体流程包括：

1）漫游用户终端UE，接入5G网络的会话管理流程中，5G的会话管理SMF（SessionManagement Function，会话管理功能）网元，通过PCO（Protocol Configration Option，协议配置选项）消息下发当前拜访路局的本地DNS（Domain Name System，域名***）Server的IP地址给用户终端UE；

2）漫游终端UE，将本地保存的Bootstrap URL地址，向步骤1下发的DNS Server获取Bootstrap的映射IP地址；

3）之后，用户终端UE使用该Bootstrap的映射IP，向Bootstrap服务获取MCX、CSC、IDMS、KMS等服务器的网址（URL）列表，即Initial UE Configuration文件（XML文件）。注：该文件，最好全路保持使用一个相同的配置，即各MCX、CSC的服务URL列表全路统一；

步骤3）中，如果用户终端UE本地没有该Initial UE Configuration文件，则将获取的初始配置文件保存；如果UE本地已保存IDMS、CSC、MCX等服务器的URL列表（归属地服务发现时已获取），则UE需判断是否需要更新，只涉及归属地更新，拜访地时不需要获取Initial UE Configration文件；

4）UE读取Initial UE Configration文件中的IDMS、CSC、MCX等服务器的URL域名，向当前所在地（拜访地或归属地）DNS Server发起域和IP地址的映射解析，获取到本地的MCX、CSC等Server的IP地址列表；

步骤4）中，如当前用户在归属地，则由归属地的DNS下发归属地IDMS、CSC、MCX等服务器的IP地址列表；如当前用户在拜访地，则由拜访地的DNS下发拜访地IDMS、CSC、MCX等服务器的IP地址列表；

5）UE使用获取到的MCX、CSC等服务的IP地址，去访问相应的MCX、CSC资源。

本发明实施例中，还对5G-R MCX跨路局漫游场景的统一认证IDMS组网框架进行说明，图2中，IDMS及CSC其他都归路局，跨局IDMS间互相跨域认证，路局1中的设备包括IDMS-1、5G-R-1核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX-1关键业务应用（含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、二级IDMS、公共管理服务CSC-1和终端APP，路局2或路局n中的设备包括IDMS-2、5G-R-2核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX-2关键业务应用（含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、二级IDMS、公共管理服务CSC-2和终端APP。

图3示出了本发明实施例中的端到端漫游认证方法流程示意图，图3中，所述方法包括用户终端到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。

具体的，用户终端到路局统一认证服务进行认证包括以下两种方式：

方式一：

用户终端发送身份验证请求消息给拜访地路局设备；

用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；

用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；

用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息。

方式二：

用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；

归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；

拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据所述用户标识令牌发送的拜访地路局设备的令牌消息。

具体的，用户终端与归属地路局设备进行交互认证，流程包括：用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

具体的，用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，流程包括：用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。

具体的，用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。用户终端访问和使用铁路宽带集群通信资源后，还包括根据所述第一令牌消息下发的令牌有效时间，定期到所述拜访地路局设备和归属地路局设备进行令牌刷新，以保持所述第一令牌消息的有效性。

本发明实施例中还对IDMS-1与IDMS-2通过终端重定向机制、交换认证数据令牌的具体流程进行具体的说明，如图4所示，归属路局漫游用户终端先到拜访地路局IDMS-2进行认证，拜访地路局IDMS-2号码分析，让用户终端UE重定向归属地路局IDMS-1去认证，用户终端UE与归属地路局IDMS-1认证完成后，归属地路局IDMS-1下发拜访地路局IDMS-2的Token，然后用户终端UE再拿该Token去访问拜访地路局IDMS-2。本发明实施例中，路局-2为拜访地路局-2，路局-1为归属地路局-1，5G-R漫游场景下，漫游终端UE-1的统一认证业务流程，如下，前提：用户终端UE-1与归属地路局IDMS-1、拜访地路局IDMS-2等建立TLS（TransportLayer Security）安全链路，以保证后续交互流程的消息安全，具体包括：

1）漫游用户终端UE-1经服务发现流程获取到拜访地路局IDMS-2的PSI（服务器URL）及IP等信息，发送Authentication Request（身份验证请求）消息给路局-2的IDMS-2。携带用户名标识Client-ID、需要申请的MCX服务资源范围Scope（如MCPTT、MCData、MCVideo、CMS等）以及Client的Redirect_URL地址（预先在IDMS进行配置）等信息。其中的用户标识Client-ID和Redirect_URL，因为拜访地路局IDMS-2没有配置，拜访地路局IDMS-2通过号码分析（各路局的用户号段有区分，通过号段能区分出用户的归属，可以是本地配置），感知到该用户不是该域（或该路局）的用户，以及判断出其归属的IDMS-1，拜访地路局IDMS-2发送重定向漫游用户终端UE-1的认证消息，要求用户终端UE-1到归属地路局IDMS-1进行认证，携带要访问的归属地路局IDMS-1的URL地址，并指示终端该流程为跨局漫游场景。注：各路局间需要相互配置IDMS的号码信息，便于漫游切换时的号码分析，获取漫游用户的归属地；

2）漫游用户终端UE-1收到拜访地路局IDMS-2的重定向消息后，向归属地路局IDMS-1发起认证请求；

3）漫游用户终端UE-1与归属地路局IDMS-1进行Authentication认证流程。如果终端UE-1已经在归属地进行过IDMS-1的认证流程，该步骤可以省略。否则，重复单路局内的认证流程；

单路局内的认证流程：用户终端UE-1发送Authentication Request（身份验证请求）消息给归属地路局IDMS-1。携带用户名标识Client-ID、需要申请的MCX服务资源Scope（范围）（如MCPTT、MCData、MCVideo、CMS等）以及Client的Redirect_URL（重定向地址）地址（预先在IDMS进行配置）等信息。归属地路局IDMS-1服务器与用户终端UE-1进行用户身份和关联的凭据的验证（如Digest、EAP-AKA等多种形式）；归属地路局IDMS-1对用户终端认证通过后，返回Authentication Reponse认证响应消息给用户终端UE-1，携带授权码Code；

4）漫游用户终端UE-1，根据步骤1中拜访地路局IDMS-2的跨局漫游指示，判断该流程为跨局漫游的IDMS切换场景。漫游终端UE-1发送Token Exchange Request（令牌交换请求）消息给归属地路局IDMS-1，携带要访问的拜访地路局IDMS-2的URL地址、用户终端UE-1的认证令牌如ID Token等信息；

5）归属地路局IDMS-1返回终端Token Exchange Response（令牌交换响应）消息给用户终端UE-1，携带用户终端UE-1要访问的拜访地（路局2）IDMS-2的Access Token（访问令牌）、Token过期时间等信息。

6）漫游用户终端UE-1发送令牌请求Token Request消息给拜访地路局IDMS-2，携带终端设备Client-ID、拜访地路局IDMS-2的Access Token、需要申请的拜访地MCX-2的服务资源范围Scope（如MCPTT、MCData、MCVideo、CMS等）。拜访地路局IDMS-2收到用户终端UE-1的认证请求后，根据预配置的用户资源权限（可以是为漫游用户统一配置的一个默认或相对低级别的组权限），生成拜访地MCX-2的服务资源Token，如：ID Token（如MCPTT-ID的令牌）、Access Token（如MCPTT、MCData、MCVideo等服务的令牌）、expires_in（令牌超时时间等）、Refresh Token（用于超时刷新ID Token、Access Token等令牌，避免再次重新认证）等。注：可选流程，Token Check（令牌校验）；

7）拜访地路局IDMS-2返回终端令牌响应Token Response消息给用户终端UE-1，携带用户终端UE-1获取到的拜访地各MCX服务访问令牌Access Token、身份令牌ID Token、刷新令牌Refresh Token等；

8）用户终端UE-1携带获取到的各拜访地MCX-2服务的Tokens，请求使用拜访地的MCX-2资源（如MCPTT、MCData、MCVideo、CMS、GMS等）；

9）MCX-2服务（如MCPTT）收到用户终端UE-1的服务请求消息后，要对UE-1的访问令牌Access Token进行验证。方式一，MCX-2使用JWT规范进行Access Token的自校验，MCX基本采用这种方式；方式二，MCX-2将Access Token发给拜访地路局IDMS-2进行Access Token校验。

10）MCX-2服务（如MCPTT）校验Access Token的有效时长、验证码等是否有效后，判断用户终端UE-1的资源申请是否有效。如果成功，返回UE-1可用的响应消息及请求的资源；如果失败，返回UE-1失败的响应消息。如果UE-1收到成功的响应消息，则UE-1访问MCX的配置获取、注册、单呼、组呼等业务流程正常进行。如果UE-1收到失败的响应消息，流程终止；

11）用户终端UE-1正常访问和使用MCX-2资源，如进行MCPTT的注册、单呼、组呼等流程；

12）用户终端UE-1根据令牌请求Token Response消息下发的Token有效时间，定期到归属地路局IDMS-1、拜访地路局IDMS-2去Token Refresh刷新，以保持Access Token的有效性。

本发明实施例中还对漫游用户经拜访地路局IDMS-2透传认证具体流程进行说明，如图5所示，用户先到拜访地路局IDMS-2进行认证，拜访地路局IDMS-2经号码分析判断该用户为漫游用户，转发或重定向该认证消息到该用户的归属地路局IDMS-1去认证，归属地路局IDMS-1与该用户进行交互认证。归属地路局IDMS-1验证成功后，直接下发拜访地路局IDMS-2的访问令牌Access Token给用户终端UE。前提：漫游用户终端UE-1与归属地路局IDMS-1、拜访地路局IDMS-2建立TLS （Transport Layer Security）安全链路，以保证后续交互流程的消息安全，具体流程包括：

1）用户终端漫游到拜访路局-2，向拜访地路局IDMS-2发起AuthenticationRequest（身份验证请求）认证请求；携带用户名标识Client-ID、需要申请的MCX服务资源Scope（范围）（如MCPTT、MCData、MCVideo、CMS等）以及Client的Redirect_URL（重定向地址）地址（预先在IDMS进行配置）等信息。

2）拜访地路局IDMS-2根据用户号码分析，判断该用户为漫游用户，转发或重定向认证消息Authentication External Req（外部身份验证请求）到该用户的归属地路局IDMS-1去认证，转发消息中携带拜访地路局IDMS-2的URL地址及请求IDMS-1为IDMS-2签发Access Token的标识。

3）归属地路局IDMS-1服务器与用户终端UE-1进行用户身份和关联的凭据的验证（如Digest、EAP-AKA等多种形式）；如果校验成功，归属地IDMS-1生成UE-1的认证授权码Code，同时根据拜访地IDMS-2的Access Token请求标识及本地IDMS-2的签约信息，生成IDMS-2的Access Token。如果校验失败，构造失败消息；

4）归属地路局IDMS-1返回用户终端UE-1认证消息Authentication External Rsp（外部身份验证响应）给拜访地路局IDMS-2，其中携带成功或失败标识，以及UE-1的认证授权码Code、IDMS-2的Access Token；

5）拜访地路局IDMS-2中转身份验证响应Authentication Rsp消息给用户终端UE-1。如果成功，其中携带UE-1的认证授权码Code、拜访地路局IDMS-2的Access Token。如果失败，流程结束；

6）漫游用户终端UE-1发送MCX-2资源令牌请求Token Request消息给拜访地路局IDMS-2，携带终端设备Client-ID、拜访地路局IDMS-2的Access Token、需要申请的拜访地MCX-2的服务资源范围Scope（如MCPTT、MCData、MCVideo、CMS等）。拜访地路局IDMS-2收到用户终端UE-1的认证请求后，根据预配置的用户资源权限（可以是为漫游用户统一配置的一个默认或相对低级别的组权限），生成拜访地MCX-2的服务资源Token，如：ID Token（如MCPTT-ID的令牌）、Access Token（如MCPTT、MCData、MCVideo等服务的令牌）、expires_in（令牌超时时间等）、Refresh Token（用于超时刷新ID Token、Access Token等令牌，避免再次重新认证）等。注：可选流程，Token Check（令牌校验）；

7）拜访地路局IDMS-2返回终端令牌响应Token Response消息给用户终端UE-1，携带用户终端UE-1获取到的拜访地各MCX服务访问令牌Access Token、身份令牌ID Token、刷新令牌Refresh Token等；

8）用户终端UE-1携带获取到的各拜访地MCX-2服务的Tokens，请求使用拜访地的MCX-2资源（如MCPTT、MCData、MCVideo、CMS、GMS等）；

9）MCX-2服务（如MCPTT）收到用户终端UE-1的服务请求消息后，要对UE-1的访问令牌Access Token进行验证。方式一，MCX-2使用JWT规范进行Access Token的自校验，MCX基本采用这种方式；方式二，MCX-2将Access Token发给拜访地路局IDMS-2进行Access Token校验。

10）MCX-2服务（如MCPTT）校验Access Token的有效时长、验证码等是否有效后，判断用户终端UE-1的资源申请是否有效。如果成功，返回UE-1可用的响应消息及请求的资源；如果失败，返回UE-1失败的响应消息。如果UE-1收到成功的响应消息，则UE-1访问MCX的配置获取、注册、单呼、组呼等业务流程正常进行。如果UE-1收到失败的响应消息，流程终止；

11）用户终端UE-1正常访问和使用MCX-2资源，如进行MCPTT的注册、单呼、组呼等流程；

12）用户终端UE-1定期到归属地路局IDMS-1、拜访地路局IDMS-2去Token Refresh刷新，以保持IDMS-2或MCX-2资源Access Token的有效性。

5G-R MCX用户从拜访地的IDMS获取到拜访路局的MCX、CSC等各服务资源访问令牌（Access Token）后，可以带着各服务的Access Token访问拜访地的MCX、CMS、GMS、LMS等资源。针对漫游用户，因为各路局用户数据尽量由归属路局管理和负责的原则，所以拜访地路局应该是没有这些漫游用户的配置信息，以及漫游用户在归属的配置信息即使同步到拜访地，也不能使用，本发明实施例中，还通过一种本地特殊配置方式对拜访地MCX各业务资源，针对漫游用户的配置及使用进行说明：

在路局的各用户配置服务如CMS、GMS、KMS等，均增加一个专门针对公共漫游用户的访问权限组（一系列XML配置文件，相关权限可根据路局或国铁要求配置相对低于本局的归属用户）。当漫游用户移动到拜访地时，带着本地资源的Token访问拜访地的CMS、GMS、KMS等CSC服务，公共配置CSC的这些服务根据用户的号码分析识别出该用户是漫游用户，就将该局的公共漫游用户配置权限组下发给该漫游用户，这样既能保证该漫游用户能够正常访问这些拜访地资源，又避免了漫游用户在拜访地没有配置或如对每个漫游用户进行配置过于复杂的状况。注：路局的公共配置CSC中的智能网5G-IN位置寻址部分，相对特殊，其配置与具体的用户没有关系，所以不用单独配置该漫游用户的权限组。

路局CSC各服务的用户配置情况及处理原则：

1）Boostrap（初始配置服务），用于服务发现时，获取该路局的MCX、CSC等服务的资源列表Initial UE Configuration文件。该文件的资源URL列表的配置，最好全路统一，不受跨局漫游切换的影响。

2）CMS，本地专门配置一个针对漫游用户的公共权限列表或Profile文件或公共模板，包括：MCPTT、MCData、MCVideo等业务的UE Configuration Data、User ProfileConfiguration等文件。注：该漫游用户的特定CMS文件必须配置，否则影响本地疏导的业务。

3）GMS，本地专门配置一个针对漫游用户群组的公共权限列表或Profile文件或公共模板，包括：MCPTT、MCData、MCVideo等业务的GMS Configuration Data文件。注：根据路局或国铁的本地配置策略，该特定漫游用户的组配置数据中，可以没有某些漫游用户的群组信息。

4）KMS，本地专门配置一个针对漫游用户的公共Key Materials秘钥文件。注：根据路局或国铁的本地安全策略，KMS可以没有某些漫游用户的Key Material信息。

5）路局5G-IN（5G智能网），用于位置寻址，主要功能是根据移动用户携带的位置信息查询固定FAS调度台，其配置主要是调度台与其管辖区的关联关系，没有专门针对具体移动用户的配置，所以该服务不用针对移动用户配置特定的权限列表，不受跨局漫游切换的影响。

6）路局LMS，就是一个位置数据库，主要用于存储移动用户的位置信息，只要用户能通过MCX的会话鉴权，对于LMS的位置存储来说不区分是漫游用户还是本地用户。并且，该服务的用户位置策略触发放在CMS中来配置，相关策略按CMS的处理原则来实施，所以位置LMS不用针对移动用户配置特定的权限列表，不受跨局漫游切换的影响。当然，位置数据库存储表中在存储用户位置信息时，可以添加一个用户的归属属性（本地 or 漫游）。

本发明实施例中还提供一种端到端漫游认证***，所述***包括用户终端，用户终端用于到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。

具体的，用户终端用于到路局统一认证服务进行认证包括：用户终端发送身份验证请求消息给拜访地路局设备；用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息。

具体的，用户终端用于到路局统一认证服务进行认证包括：用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据所述用户标识令牌发送的拜访地路局设备的令牌消息。

具体的，用户终端用于与归属地路局设备进行交互认证，流程包括：用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

具体的，用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，流程包括：用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。

具体的，用户终端用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。用户终端访问和使用铁路宽带集群通信资源后，还用于根据所述第一令牌消息下发的令牌有效时间，定期到所述拜访地路局设备和归属地路局设备进行令牌刷新，以保持所述第一令牌消息的有效性。

本发明的端到端漫游认证方法、***，拜访地路局统一认证服务既能动态的认证（本地无该用户配置信息）漫游用户的合法性（到归属地路局统一认证服务验证），又能将拜访地的本地MCX资源访问令牌下发给终端。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (12)

1.一种端到端漫游认证方法，其特征在于，所述方法包括：

用户终端到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，包括：

用户终端发送身份验证请求消息给拜访地路局设备；

用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；

用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；

用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息；

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端根据所述第一令牌消息请求所述当前所在路局内的铁路宽带集群通信资源。

2.一种端到端漫游认证方法，其特征在于，所述方法包括：

用户终端到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，包括：

用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；

归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；

拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据用户标识令牌发送的拜访地路局设备的令牌消息；

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端根据所述第一令牌消息请求所述当前所在路局内的铁路宽带集群通信资源。

3.根据权利要求1或2所述的端到端漫游认证方法，其特征在于，用户终端与归属地路局设备进行交互认证包括：

用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；

用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

4.根据权利要求1或2所述的端到端漫游认证方法，其特征在于，

所述第一令牌消息包括访问令牌、身份令牌和刷新令牌；

所述第二令牌消息包括拜访地路局认证服务的访问令牌和令牌过期时间。

5.根据权利要求1或2所述的端到端漫游认证方法，其特征在于，用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验；

用户终端根据所述第二令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第二令牌消息的校验。

6.根据权利要求5所述的端到端漫游认证方法，其特征在于，用户终端访问和使用铁路宽带集群通信资源后，还包括：

根据所述第一令牌下发的令牌有效时间，定期到所述拜访地路局设备进行令牌刷新，以保持所述第一令牌的有效性；

所述第二令牌定期到所述归属地路局设备进行令牌刷新，以保持所述第二令牌的有效性。

7.一种端到端漫游认证***，其特征在于，所述***包括用户终端，

用户终端用于到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，包括：

用户终端发送身份验证请求消息给拜访地路局设备；

用户终端接收所述拜访地路局设备发送携带指示用户终端为跨局漫游场景的重定向消息，与归属地路局设备进行交互认证；

用户终端交互认证通过后根据所述跨局漫游场景发送令牌交换请求消息给归属地路局设备；

用户终端接收携带第二令牌消息的令牌交换响应消息，所述第二令牌消息为归属地路局设备发送的拜访地路局设备的令牌消息；

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端还用于根据所述第一令牌消息请求所述当前所在路局内的铁路宽带集群通信资源。

8.一种端到端漫游认证***，其特征在于，所述***包括用户终端，

用户终端用于到路局统一认证服务进行认证，其中，所述路局统一认证服务包括路局统一认证服务部署为拜访地路局设备和归属地路局设备；

用户终端用于接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息，包括：

用户终端发送身份验证请求消息给拜访地路局设备，拜访地路局设备中转外部身份验证请求消息给归属地路局设备；

归属地路局设备与用户终端进行交互认证，认证通过后发送携带第二令牌消息的外部身份验证响应消息给拜访地路局设备；

拜访地路局设备发送携带第二令牌消息的身份认证请求响应消息给用户终端，所述第二令牌消息为归属地路局设备根据用户标识令牌发送的拜访地路局设备的令牌消息；

用户终端发送携带第二令牌消息的令牌请求消息给拜访地路局设备；

用户终端接收认证通过后的所述拜访地路局设备下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息；

用户终端还用于根据所述第一令牌消息请求所述当前所在路局内的铁路宽带集群通信资源。

9.根据权利要求7或8所述的端到端漫游认证***，其特征在于，用户终端用于与归属地路局设备进行交互认证包括：

用户终端发送携带第一信息的身份验证请求消息给归属地路局设备，所述第一信息包括用户名标识、需要申请的铁路宽带集群通信服务资源范围和用户的重定向地址；

用户终端接收归属地路局设备发送的携带授权码的身份验证响应消息。

10.根据权利要求7或8所述的端到端漫游认证***，其特征在于，

所述第一令牌消息包括访问令牌、身份令牌和刷新令牌；

所述第二令牌消息包括拜访地路局认证服务的访问令牌和令牌过期时间。

11.根据权利要求7或8所述的端到端漫游认证***，其特征在于，用户终端用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验；

用户终端还用于根据所述第二令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第二令牌消息的校验。

12.根据权利要求11所述的端到端漫游认证***，其特征在于，

用户终端访问和使用铁路宽带集群通信资源后，还用于，

根据所述第一令牌下发的令牌有效时间，定期到所述拜访地路局设备进行令牌刷新，以保持所述第一令牌消息的有效性；

所述第二令牌定期到所述归属地路局设备进行令牌刷新，以保持所述第二令牌的有效性。

Images