CN117956455A - 一种漫游认证及权限配置管理方法、系统 - Google Patents

一种漫游认证及权限配置管理方法、系统 Download PDF

Info

Publication number
CN117956455A
CN117956455A CN202211290514.6A CN202211290514A CN117956455A CN 117956455 A CN117956455 A CN 117956455A CN 202211290514 A CN202211290514 A CN 202211290514A CN 117956455 A CN117956455 A CN 117956455A
Authority
CN
China
Prior art keywords
token
user terminal
message
authentication service
unified authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211290514.6A
Other languages
English (en)
Inventor
殷卫海
张田
宋苏民
吴可
张明柱
王超
周雪峰
陈建鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRSC Research and Design Institute Group Co Ltd
Original Assignee
CRSC Research and Design Institute Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRSC Research and Design Institute Group Co Ltd filed Critical CRSC Research and Design Institute Group Co Ltd
Priority to CN202211290514.6A priority Critical patent/CN117956455A/zh
Publication of CN117956455A publication Critical patent/CN117956455A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出一种漫游认证及权限配置管理方法、系统,所述方法包括:用户终端到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。本发明的漫游认证及权限配置管理方法、系统,当用户漫游到拜访地时,让拜访地的CSC到归属地的CSC进行该用户的有效性验证,同时让该用户能使用拜访地的MCX服务资源,增加业务操作的连续性。

Description

一种漫游认证及权限配置管理方法、系统
技术领域
本发明属于铁路通信领域,特别涉及一种漫游认证及权限配置管理方法、系统。
背景技术
5G-R是铁路下一代的宽带无线移动系统,用于解决现有GSM-R(Global Systemfor Mobile Communications – Railway-铁路综合数字移动通信系统)系统的一些带宽、速率、时延以及业务承载能力等不足的问题,是GSM-R系统的后续升级换代产品。
铁路移动通信网,由全路统一规划,按功能特性划分为全路公用设备、路局中心设备、车站及沿线设备等几类。全路共有18个路局,各路局有各自的管辖区,在列车长途运行中,存在着跨局切换的场景。基于铁路业务的高安全、低时延、高可靠、易维护等方面的考虑,新一代的5G-R系统的组网技术,要求:
1)全路公用设备,是全路公共访问、数据全路共享的一级节点设备;
2)铁路各路局,自行管理各自的用户、配置/生产数据和路局中心设备;
3)涉及用户漫游的场景,关键业务要尽量采用拜访地本地疏导的方式。
以上组网,第二点的要求,使得各路局的用户数据、设备配置数据都不相同,并且路局的数据尽量保留在本地,路局间尽量不互通。第三点的要求,使得用户漫游到拜访地后要重新进行拜访地MCX(Mission Critical-X,铁路宽带集群通信)的认证、注册等业务,尽量访问使用拜访地的资源。即,一个用户的配置数据,只是在该用户所归属地的路局进行配置,其他路局应该不能直接管理或访问该用户的配置信息。
当用户漫游到拜访路局,因为拜访路局不负责该用户的管理,所以拜访路局的配置管理CSC没有该用户的配置信息,而这时漫游用户又要在拜访路局MCX进行新的认证注册流程,以进行本地疏导的业务。这种情况下,漫游用户的认证和注册流程会因拜访地MCX系统没有该漫游用户信息而报错。考虑到业务连续性,需要设计一种方式,当用户漫游到拜访地时,让拜访地的CSC到归属地的CSC进行该用户的有效性验证,同时让该用户能使用拜访地的MCX服务资源。
5G-R MCX的公共配置数据库CSC(Common Services Core),是MCX业务用户配置的统一管理服务,包含统一认证服务IDMS(Identity Management Server)、秘钥管理KMS(KeyManagement Server)、位置服务LMS(Location Management Server)、用户配置管理CMS(Configuration Management Server)、群组配置管理GMS(Group Management Server)等网元。CSC中包含的功能网元较多,各网元的特性及跨局交换的方式也都不同,其中的统一认证服务IDMS,是用户登录5G-R MCX业务的入口,是解决MCX跨局漫游场景的语音MCPTT(铁路宽带集群语音通信,Mission Critical of Push To Talk)、数据MCData(铁路宽带集群数据通信,Mission Critical of Data)、视频MCVideo(铁路宽带集群视频通信,MissionCritical of Video)以及KMS、LMS、CMS、GMS等服务资源如何进行访问的关键点。本发明从统一认证IDMS的跨局数据交换处理方式的角度,来逐步展开漫游终端访问拜访地各CSC网元的配置问题的解决方法。
发明内容
针对上述问题,本发明提出一种漫游认证及权限配置管理方法,所述方法包括:
用户终端到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;
用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;
用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
进一步的,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第二统一认证服务;
用户终端接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
进一步的,所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;
所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。
进一步的,所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
进一步的,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;
用户终端接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端携带第二令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
进一步的,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;
用户终端接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端携带第三令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
进一步的,用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
进一步的,用户终端访问和使用铁路宽带集群通信资源后,还包括根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
本发明还提供一种漫游认证及权限配置管理系统,所述系统包括用户终端,
用户终端用于到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;
用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;
用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
进一步的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第二统一认证服务;
用户终端用于接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
进一步的,所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;
所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。
进一步的,所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
进一步的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;
用户终端用于接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端还用于携带第二令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端还用于接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
进一步的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;
用户终端用于接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端还用于携带第三令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端还用于接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
进一步的,用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
进一步的,用户终端用于访问和使用铁路宽带集群通信资源后,还用于根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
本发明的漫游认证及权限配置管理方法、系统,当用户漫游到拜访地时,让拜访地的CSC到归属地的CSC进行该用户的有效性验证,同时让该用户能使用拜访地的MCX服务资源,增加业务操作的连续性。统一认证IDMS的两级部署方式,用户的认证部分全路或归属局配置、授权部分由拜访地路局配置,组网和维护相对简单。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例中的用户漫游到拜访地时,拜访地IDMS、MCX、CSC等业务的服务发现流程示意图;
图2示出了本发明实施例方案一中的5G-R系统总体组网框架示意图;
图3示出了本发明实施例方案二中的5G-R MCX跨路局漫游场景的统一认证IDMS组网框架示意图;
图4示出了本发明实施例中的漫游认证及权限配置管理方法流程示意图;
图5示出了本发明实施例中的全路公用IDMS负责全路的用户认证,路局IDMS负责路局资源的Token签发和权限分配具体流程示意图;
图6示出了本发明实施例中的全路公用IDMS负责全路的用户认证及路局IDMS的Token签发,路局IDMS负责路局资源的Token签发和权限分配具体流程示意图;
图7示出了本发明实施例中的归属地主IDMS下发全路各路局的IDMS-n的Token,漫游时拜访地IDMS-n再分配本地资源具体流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以统一认证服务IDMS为例,当用户漫游到拜访地进行重新认证时,因为各路局自行管理、配置的该路局的用户数据并不相同,所以拜访地的IDMS并不能直接拿归属地的IDMS配置数据。归属地的IDMS配置数据是针对归属地的MCX服务资源的,如归属地的MCPTT、MCData、MCVideo、CSC(除IDMS本身)等,而漫游用户当前所在的拜访地IDMS获取漫游用户的配置,是为了让该用户能够访问当前拜访地的MCX服务资源,如拜访地的MCPTT、MCData、MCVideo、CSC(除IDMS本身)等。针对该问题,本发明通过两种方案,方案一(包括下示方式一、方式二):从系统组网角度,将IDMS分成全路公用、路局部署两部分,CSC其他网元如CMS、GMS等仍为路局设备;方案二(包括下示方式三):从系统组网角度,将IDMS及CSC其他网元,全部部署为路局设备,具体的将IDMS部署为归属地路局设备和其他路局设备。
本发明实施例中对用户漫游到拜访地时,拜访地IDMS、MCX、CSC等业务的服务发现流程进行说明,图1中,5G-R漫游用户发现拜访地资源的流程如下,前提是用户终端UE本地MCX APP在安装初始化时写入固定的启动(Bootstrap)URL地址,用户终端UE的MCX APP启动时,本地没有(第一次登录服务发现)或有比较老的Initial UE Configuration(初始配置)文件(终端已经登录过,一个包含MCX、CSC各资源服务的URL列表的XML文件),具体流程包括:
1)漫游用户终端UE,接入5G网络的会话管理流程中,5G的会话管理SMF(SessionManagement Function,会话管理功能)网元,通过PCO(Protocol Configration Option,协议配置选项)消息下发当前拜访路局的本地DNS(Domain Name System,域名系统)Server的IP地址给用户终端UE;
2)漫游终端UE,将本地保存的Bootstrap URL地址,向步骤1下发的DNS Server获取Bootstrap的映射IP地址;
3)之后,用户终端UE使用该Bootstrap的映射IP,向Bootstrap服务获取MCX、CSC、IDMS、KMS等服务器的网址(URL)列表,即Initial UE Configuration文件(XML文件)。注:该文件,最好全路保持使用一个相同的配置,即各MCX、CSC的服务URL列表全路统一;
步骤3)中,如果用户终端UE本地没有该Initial UE Configuration文件,则将获取的初始配置文件保存;如果UE本地已保存IDMS、CSC、MCX等服务器的URL列表(归属地服务发现时已获取),则UE需判断是否需要更新,只涉及归属地更新,拜访地时不需要获取Initial UE Configration文件;
4)UE读取Initial UE Configration文件中的IDMS、CSC、MCX等服务器的URL域名,向当前所在地(拜访地或归属地)DNS Server发起域和IP地址的映射解析,获取到本地的MCX、CSC等Server的IP地址列表;
步骤4)中,如当前用户在归属地,则由归属地的DNS下发归属地IDMS、CSC、MCX等服务器的IP地址列表;如当前用户在拜访地,则由拜访地的DNS下发拜访地IDMS、CSC、MCX等服务器的IP地址列表;
5)UE使用获取到的MCX、CSC等服务的IP地址,去访问相应的MCX、CSC资源。
本发明实施例中,对方案一中的5G-R系统总体组网框架进行说明,IDMS分成全路公用、路局部署两部分,CSC其他归路局管理,图2中,5G-R网络,包括全路公用设备、路局设备组成,其中:全路公用设备,主要有智能网5G-IN、一级DNS、一级认证中心IDMS、校验5G-EIR等需要进行数据公共管理及维护的设备。路局设备,主要有5G核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX关键业务应用(含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、二级IDMS、公共管理服务CSC(不包括IDMS)等)和终端APP、网路管理维护OMC等可以由路局自行管理维护的设备。其中,根据两级IDMS负责的内容,可分成两种方式:a)一级IDMS负责用户认证,二级IDMS负责路局资源的Token签发和权限分配;b)一级IDMS负责用户认证和路局IDMS的Token签发,二级IDMS负责路局资源的权限分配。
本发明实施例中,还对方案二中的5G-R MCX跨路局漫游场景的统一认证IDMS组网框架进行说明,图3中,IDMS及CSC其他都归路局,跨局IDMS间互相跨域认证,路局1中的设备包括IDMS-1、5G-R-1核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX-1关键业务应用(含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、二级IDMS、公共管理服务CSC-1和终端APP,路局2或路局n中的设备包括IDMS-2、5G-R-2核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX-2关键业务应用(含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、二级IDMS、公共管理服务CSC-2和终端APP。
图4示出了本发明实施例中的漫游认证及权限配置管理方法流程示意图,图4中,所述方法包括:用户终端到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
具体的,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括以下三种方式:
方式一:
用户终端携带第一信息将令牌请求消息发送给第二统一认证服务;用户终端接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
具体的,所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
方式二:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;用户终端接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;用户终端携带第二令牌消息将令牌请求消息发送给第二统一认证服务;用户终端接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
方式三:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;用户终端接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;用户终端携带第三令牌消息将令牌请求消息发送给第二统一认证服务;用户终端接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
具体的,用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
具体的,用户终端访问和使用铁路宽带集群通信资源后,还包括根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
本发明实施例中,还对5G-R二级IDMS认证授权业务流程进行描述,如图5所示,图5示出了本发明实施例中的全路公用IDMS负责全路的用户认证,路局IDMS负责路局资源的Token签发和权限分配具体流程示意图,从系统组网角度,将IDMS分成全路公用、路局部署两部分,CSC其他网元如CMS、GMS等仍为路局设备,一级全路公用IDMS负责全路的用户认证,二级路局IDMS负责路局资源的Token签发和权限分配。用户终端到公用一级IDMS进行认证交局,路局资源的授权通过各路局的二级IDMS进行权限配置和下发本地的资源,可保证用户使用本地疏导模式进行开展业务。公用IDMS认证流程,类似单域内的IDMS认证,需UE、IDMS、MCX之间进行Access Token的获取及校验,以下流程以路局-2为例描述,其他路局-n流程相同,(上示方式一)具体包括:
1)用户终端UE-1分别与全路公用一级IDMS、路局二级IDMS建立TLS(TransportLayer Security)安全链路,以保证后续交互流程的消息安全;
2)用户终端UE-1发送Authentication Request(身份验证请求)消息给全路公用一级IDMS。携带用户名标识Client-ID、需要申请的MCX服务资源Scope(范围)(如MCPTT、MCData、MCVideo、CMS等)以及Client的Redirect_URL(重定向地址)地址(预先在IDMS进行配置)等信息;
其中,步骤2a,全路公用一级IDMS服务器与用户终端UE-1进行用户身份和关联的凭据的验证(如Digest、EAP-AKA等多种形式);
3)全路公用一级IDMS对终端认证通过后,返回Authentication Reponse消息给用户终端UE-1,携带授权码Code;
4)用户终端UE-1发送接入令牌Token Request(请求)消息给路局二级IDMS-2,携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code;
其中,步骤4a,路局二级IDMS-2收到用户终端UE-1的认证请求后,先到全路公共一级IDMS去做授权码Code的校验,如果校验成功,根据预配置的用户资源权限(可以是为漫游用户统一配置的一个默认或相对低级别的组权限),生成当前路局的MCX-2服务资源Token,如:ID Token(如MCPTT-ID的令牌)、Access Token(如MCPTT、MCData、MCVideo等服务的令牌)、expires_in(令牌超时时间等)、Refresh Token(用于超时刷新ID Token、AccessToken等令牌,避免再次重新认证)等;
5)路局二级IDMS-2返回终端Token Response(响应)消息给用户终端UE-1,携带获取到的当前路局各MCX服务Access Token(访问令牌)、ID Token(身份令牌)、RefreshToken(刷新令牌)等;
6)用户终端UE-1携带获取到的当前路局各MCX-2服务的Access Tokens,请求使用路局-2的MCX-2资源(如MCPTT、MCData、MCVideo、CMS、GMS等);
7)MCX-2服务(如MCPTT)收到用户终端UE-1的服务请求消息后,要对用户终端UE-1的接入令牌Access Token进行验证;
其中,步骤7a进行令牌验证时,方式一,MCX-2使用JWT规范进行Access Token的自校验,MCX基本采用这种方式;方式二,MCX-2将Access Token发给路局-2的二级IDMS-2进行Access Token校验;
8)MCX-2服务(如MCPTT)校验Access Token的有效时长、验证码等是否有效后,判断用户终端UE-1的资源申请是否有效。如果成功,返回UE-1可用的响应消息及请求的资源;如果失败,返回用户终端UE-1失败的响应消息。如果用户终端UE-1收到成功的响应消息,则用户终端UE-1访问MCX-2的配置获取、注册、单呼、组呼等业务流程正常进行。如果用户终端UE-1收到失败的响应消息,流程终止;
9)用户终端UE-1正常访问和使用MCX-2资源,如进行MCPTT的注册、单呼、组呼等流程;
10)用户终端UE-1根据Token Response消息下发的Token有效时间,定期到路局-2的二级IDMS-2去Token Refresh刷新,以保持Access Token的有效性。
本发明实施例中还对5G-R二级IDMS认证授权业务另一种方式的流程进行描述,从系统组网角度,将IDMS分成全路公用、路局部署两部分,CSC其他网元如CMS、GMS等仍为路局设备,一级全路公用IDMS负责全路的用户认证及路局IDMS的Token授权,二级路局IDMS负责路局资源的Token签发和权限分配,如图6所示,图6示出了本发明实施例中的全路公用IDMS负责全路的用户认证及路局IDMS的Token签发,路局IDMS负责路局资源的Token签发和权限分配具体流程示意图,公用IDMS认证流程,类似单域内的IDMS认证,需UE、IDMS、MCX之间进行Access Token的获取及校验,以下流程以路局-2为例描述,其他路局-n流程相同,(上示方式二)具体流程包括:
1) 用户终端UE-1分别与全路公用一级IDMS、路局二级IDMS建立TLS(TransportLayer Security)安全链路,以保证后续交互流程的消息安全;
2) 用户终端UE-1发送Authentication Request消息给全路公用一级IDMS。携带用户名标识Client-ID、需要申请的MCX服务资源Scope(如MCPTT、MCData、MCVideo、CMS等)以及Client的Redirect_URL地址(预先在IDMS进行配置)等信息;
具体的,步骤2a中,全路公用一级IDMS服务器与用户终端UE-1进行用户身份和关联的凭据的验证(如Digest、EAP-AKA等多种形式);
3) 全路公用一级IDMS对终端认证通过后,返回Authentication Reponse消息给用户终端UE-1,携带授权码Code;
4) 用户终端UE-1发送IDMS-2的接入令牌请求Token Request消息给全路公用一级IDMS,携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code。全路公用一级IDMS收到用户终端UE-1的认证请求后,根据预配置的用户资源权限(各路局的IDMS-n的权限),生成当前路局的IDMS-2服务资源Access Token、expires_in(令牌超时时间等)、Refresh Token(用于超时刷新Access Token等令牌,避免再次重新认证)等;
5) 全路公用一级IDMS返回终端Token Response消息给用户终端UE-1,携带获取到的当前路局二级IDMS-2服务的Access Token、Refresh Token等;
6) 用户终端UE-1发送Token Request消息给路局二级IDMS-2,携带终端设备Client-ID、需要申请的MCX服务资源Scope(如MCPTT、MCData、MCVideo、CMS等)、Client的Redirect_URL地址和步骤5下发的路局-2的IDMS-2接入Token;
具体的,步骤6a进行令牌校验,路局二级IDMS-2收到用户终端UE-1的认证请求后,要对用户终端UE-1的IDMS-2 Access Token进行验证。方式一,路局二级IDMS-2使用JWT规范进行Access Token的自校验,MCX基本采用这种方式;方式二,路局二级IDMS-2将AccessToken发给全路公用一级IDMS进行Access Token校验。如果校验成功,根据本地预配置的用户资源权限(可以是为漫游用户统一配置的一个默认或相对低级别的组权限),生成当前路局的MCX-2服务资源Token,如:ID Token(如MCPTT-ID的令牌)、Access Token(如MCPTT、MCData、MCVideo等服务的令牌)、expires_in(令牌超时时间等)、Refresh Token(用于超时刷新ID Token、Access Token等令牌,避免再次重新认证)等;
7) 路局二级IDMS-2返回终端Token Response消息给用户终端UE-1,携带终端UE-1携带获取到的当前路局各MCX-2服务Access Token、ID Token、Refresh Token等;
8) 用户终端UE-1携带获取到的当前路局各MCX-2服务的Access Tokens,请求使用路局-2的MCX-2资源(如MCPTT、MCData、MCVideo、CMS、GMS等);
9) MCX-2服务(如MCPTT)收到UE-1的服务请求消息后,要对UE-1的Access Token进行验证;
具体的,步骤9a进行令牌校验包括:方式一,MCX-2使用JWT规范进行Access Token的自校验,MCX基本采用这种方式;方式二,MCX-2将Access Token发给路局-2的IDMS-2进行Access Token校验;
10)MCX-2服务(如MCPTT)校验Access Token的有效时长、验证码等是否有效后,判断用户终端UE-1的资源申请是否有效。如果成功,返回用户终端UE-1可用的响应消息及请求的资源;如果失败,返回用户终端UE-1失败的响应消息。如果用户终端UE-1收到成功的响应消息,则用户终端UE-1访问MCX-2的配置获取、注册、单呼、组呼等业务流程正常进行。如果用户终端UE-1收到失败的响应消息,流程终止;
11)用户终端UE-1正常访问和使用MCX-2资源,如进行MCPTT的注册、单呼、组呼等流程;
12)用户终端UE-1根据全路公用一级IDMS和路局二级IDMS的Token Response消息下发的Token有效时间,定期到全路公用一级IDMS、路局-2的二级IDMS-2去Token Refresh刷新,以保持IDMS-2和MCX-2各资源的Access Token的有效性。
本发明实施例中,还对IDMS及CSC其他都归路局,跨局IDMS间互相认证的过程进行具体的描述,从系统组网角度,将IDMS及CSC其他网元,全部部署为路局设备,归属地主IDMS下发全路各路局的IDMS-n的Token,漫游时拜访地IDMS-n再分配本地资源。用户归属地IDMS下发其他各拜访路局的IDMS认证令牌Token。这种方式,用户在归属地认证注册时,用户归属地IDMS就签发各拜访路局(全路或指定路局)的IDMS的接入令牌Token。之后,当用户漫游到拜访地后,直接使用该拜访地的IDMS接入令牌Token去获取本地的MCX服务资源。图7示出了本发明实施例中的归属地主IDMS下发全路各路局的IDMS-n的Token,漫游时拜访地IDMS-n再分配本地资源具体流程示意图,图7中,(上示方式三)具体包括:
1)用户终端UE-1分别与归属地路局IDMS-1、其他路局IDMS-2(或IDMS-n)建立TLS(Transport Layer Security)安全链路,以保证后续交互流程的消息安全;
2) 用户终端UE-1发送Authentication Request消息给归属地路局IDMS-1。携带用户名标识Client-ID、需要申请的MCX服务资源Scope(如MCPTT、MCData、MCVideo、CMS等)以及Client的Redirect_URL地址(预先在IDMS进行配置)等信息;
具体的,步骤2a中,归属地路局IDMS-1服务器与用户终端UE-1进行用户身份和关联的凭据的验证(如Digest、EAP-AKA等多种形式);
3) 归属地路局IDMS-1对终端认证通过后,返回Authentication Reponse消息给用户终端UE-1,携带授权码Code;
4) 用户终端UE-1发送IDMS-n的接入令牌请求Token Request消息给归属地路局IDMS-1,携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code。归属地路局IDMS-1收到用户终端UE-1的认证请求后,根据该归属地IDMS-1预先配置的用户资源权限(各路局的IDMS-n的权限),生成其他路局的IDMS-n服务资源Access Token、expires_in(令牌超时时间等)、Refresh Token(用于超时刷新Access Token等令牌,避免再次重新认证)等;
5) 归属地路局IDMS-1返回终端Token Response消息给用户终端UE-1,携带获取到的其他路局IDMS-2服务的Access Token、Refresh Token等;
6) 用户终端UE-1发送Token Request消息给其他路局IDMS-2,携带终端设备Client-ID、需要申请的MCX服务资源Scope(如MCPTT、MCData、MCVideo、CMS等)、Client的Redirect_URL地址和步骤5下发的路局-2的IDMS-2接入Token;漫游终端判断当前的拜访所在地,选择已下发的该拜访地的IDMS-2(或IDMS-n)接入Token,去进行拜访地MCX-n资源的权限Token申请;
具体的,步骤6a进行令牌校验,路局IDMS-2收到用户终端UE-1的认证请求后,要对用户终端UE-1的IDMS-2 Access Token进行验证。方式一,路局IDMS-2使用JWT规范进行Access Token的自校验,MCX基本采用这种方式;方式二,路局IDMS-2将Access Token发给归属地路局IDMS-1进行Access Token校验。如果校验成功,根据本地预配置的用户资源权限(可以是为漫游用户统一配置的一个默认或相对低级别的组权限),生成当前路局的MCX-2服务资源Token,如:ID Token(如MCPTT-ID的令牌)、Access Token(如MCPTT、MCData、MCVideo等服务的令牌)、expires_in(令牌超时时间等)、Refresh Token(用于超时刷新IDToken、Access Token等令牌,避免再次重新认证)等;
7) 路局IDMS-2返回终端Token Response消息给用户终端UE-1,携带终端UE-1携带获取到的当前路局各MCX-2服务Access Token、ID Token、Refresh Token等;
8) 用户终端UE-1携带获取到的当前路局各MCX-2服务的Access Tokens,请求使用路局-2的MCX-2资源(如MCPTT、MCData、MCVideo、CMS、GMS等);
9) MCX-2服务(如MCPTT)收到UE-1的服务请求消息后,要对UE-1的Access Token进行验证;
具体的,步骤9a进行令牌校验包括:方式一,MCX-2使用JWT规范进行Access Token的自校验,MCX基本采用这种方式;方式二,MCX-2将Access Token发给路局IDMS-2进行Access Token校验;
10)MCX-2服务(如MCPTT)校验Access Token的有效时长、验证码等是否有效后,判断用户终端UE-1的资源申请是否有效。如果成功,返回用户终端UE-1可用的响应消息及请求的资源;如果失败,返回用户终端UE-1失败的响应消息。如果用户终端UE-1收到成功的响应消息,则用户终端UE-1访问MCX-2的配置获取、注册、单呼、组呼等业务流程正常进行。如果用户终端UE-1收到失败的响应消息,流程终止;
11)用户终端UE-1正常访问和使用MCX-2资源,如进行MCPTT的注册、单呼、组呼等流程;
12)用户终端UE-1根据归属地路局IDMS-1和路局IDMS-2的Token Response消息下发的Token有效时间,定期到归属地路局IDMS-1、路局IDMS-2去Token Refresh刷新,以保持IDMS-2和MCX-2各资源的Access Token的有效性。
5G-R MCX用户从拜访地的IDMS获取到拜访路局的MCX、CSC等各服务资源访问令牌(Access Token)后,可以带着各服务的Access Token访问拜访地的MCX、CMS、GMS、LMS等资源。针对漫游用户,因为各路局用户数据尽量由归属路局管理和负责的原则,所以拜访地路局应该是没有这些漫游用户的配置信息,以及漫游用户在归属的配置信息即使同步到拜访地,也不能使用,本发明实施例中,还通过一种本地特殊配置方式对拜访地MCX各业务资源,针对漫游用户的配置及使用进行说明:
在路局的各用户配置服务如CMS、GMS、KMS等,均增加一个专门针对公共漫游用户的访问权限组(一系列XML配置文件,相关权限可根据路局或国铁要求配置相对低于本局的归属用户)。当漫游用户移动到拜访地时,带着本地资源的Token访问拜访地的CMS、GMS、KMS等CSC服务,公共配置CSC的这些服务根据用户的号码分析识别出该用户是漫游用户,就将该局的公共漫游用户配置权限组下发给该漫游用户,这样既能保证该漫游用户能够正常访问这些拜访地资源,又避免了漫游用户在拜访地没有配置或如对每个漫游用户进行配置过于复杂的状况。注:路局的公共配置CSC中的智能网5G-IN位置寻址部分,相对特殊,其配置与具体的用户没有关系,所以不用单独配置该漫游用户的权限组。
路局CSC各服务的用户配置情况及处理原则:
1)Boostrap(初始配置服务),用于服务发现时,获取该路局的MCX、CSC等服务的资源列表Initial UE Configuration文件。该文件的资源URL列表的配置,最好全路统一,不受跨局漫游切换的影响。
2)CMS,本地专门配置一个针对漫游用户的公共权限列表或Profile文件或公共模板,包括:MCPTT、MCData、MCVideo等业务的UE Configuration Data、User ProfileConfiguration等文件。注:该漫游用户的特定CMS文件必须配置,否则影响本地疏导的业务。
3)GMS,本地专门配置一个针对漫游用户群组的公共权限列表或Profile文件或公共模板,包括:MCPTT、MCData、MCVideo等业务的GMS Configuration Data文件。注:根据路局或国铁的本地配置策略,该特定漫游用户的组配置数据中,可以没有某些漫游用户的群组信息。
4)KMS,本地专门配置一个针对漫游用户的公共Key Materials秘钥文件。注:根据路局或国铁的本地安全策略,KMS可以没有某些漫游用户的Key Material信息。
5)路局5G-IN(5G智能网),用于位置寻址,主要功能是根据移动用户携带的位置信息查询固定FAS调度台,其配置主要是调度台与其管辖区的关联关系,没有专门针对具体移动用户的配置,所以该服务不用针对移动用户配置特定的权限列表,不受跨局漫游切换的影响。
6)路局LMS,就是一个位置数据库,主要用于存储移动用户的位置信息,只要用户能通过MCX的会话鉴权,对于LMS的位置存储来说不区分是漫游用户还是本地用户。并且,该服务的用户位置策略触发放在CMS中来配置,相关策略按CMS的处理原则来实施,所以位置LMS不用针对移动用户配置特定的权限列表,不受跨局漫游切换的影响。当然,位置数据库存储表中在存储用户位置信息时,可以添加一个用户的归属属性(本地 or 漫游)。
本发明实施例中还提供一种漫游认证及权限配置管理系统,所述系统包括用户终端,用户终端用于到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
具体的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:用户终端用于携带第一信息将令牌请求消息发送给第二统一认证服务;用户终端用于接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
具体的,所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
具体的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;用户终端用于接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;用户终端还用于携带第二令牌消息将令牌请求消息发送给第二统一认证服务;用户终端还用于接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
具体的,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;用户终端用于接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;用户终端还用于携带第三令牌消息将令牌请求消息发送给第二统一认证服务;用户终端还用于接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
具体的,用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
具体的,用户终端用于访问和使用铁路宽带集群通信资源后,还用于根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
本发明的漫游认证及权限配置管理方法、系统,当用户漫游到拜访地时,让拜访地的CSC到归属地的CSC进行该用户的有效性验证,同时让该用户能使用拜访地的MCX服务资源,增加业务操作的连续性。统一认证IDMS的两级部署方式,用户的认证部分全路或归属局配置、授权部分由拜访地路局配置,组网和维护相对简单。
尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (16)

1.一种漫游认证及权限配置管理方法,其特征在于,所述方法包括:
用户终端到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;
用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;
用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
2.根据权利要求1所述的漫游认证及权限配置管理方法,其特征在于,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第二统一认证服务;
用户终端接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
3.根据权利要求2所述的漫游认证及权限配置管理方法,其特征在于,
所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;
所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。
4.根据权利要求2或3所述的漫游认证及权限配置管理方法,其特征在于,所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
5.根据权利要求1所述的漫游认证及权限配置管理方法,其特征在于,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;
用户终端接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端携带第二令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
6.根据权利要求1所述的漫游认证及权限配置管理方法,其特征在于,用户终端接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;
用户终端接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端携带第三令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
7.根据权利要求1所述的漫游认证及权限配置管理方法,其特征在于,用户终端根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
8.根据权利要求1或7所述的漫游认证及权限配置管理方法,其特征在于,用户终端访问和使用铁路宽带集群通信资源后,还包括根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
9.一种漫游认证及权限配置管理系统,其特征在于,所述系统包括用户终端,
用户终端用于到第一统一认证服务进行认证,其中,所述第一统一认证服务部署为全路公用设备/归属地路局设备;
用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息,所述第二统一认证服务部署为路局设备;
用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源。
10.根据权利要求9所述的漫游认证及权限配置管理系统,其特征在于,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第二统一认证服务;
用户终端用于接收携带第一令牌消息的令牌响应消息,所述第一令牌消息由第二统一认证服务根据预配置的用户资源权限生成。
11.根据权利要求10所述的漫游认证及权限配置管理系统,其特征在于,
所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码;
所述第二统一认证服务生成所述当前路局的铁路宽带集群通信资源令牌消息前还包括对所述授权码进行校验。
12.根据权利要求10或11所述的漫游认证及权限配置管理系统,其特征在于,所述第一令牌消息包括访问令牌、身份令牌和刷新令牌。
13.根据权利要求9所述的漫游认证及权限配置管理系统,其特征在于,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为全路公用设备;
用户终端用于接收携带第二令牌消息的令牌响应消息,所述第二令牌消息包括当前路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端还用于携带第二令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端还用于接收所述第二统一认证服务对所述第二令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
14.根据权利要求9所述的漫游认证及权限配置管理系统,其特征在于,用户终端用于接收认证通过后第二统一认证服务下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息包括:
用户终端用于携带第一信息将令牌请求消息发送给第一统一认证服务,所述第一统一认证服务部署为归属地路局设备;
用户终端用于接收携带第三令牌消息的令牌响应消息,所述第三令牌消息包括其他路局的第二统一认证服务资源令牌消息,由第一统一认证服务根据预配置的用户资源权限生成;
用户终端还用于携带第三令牌消息将令牌请求消息发送给第二统一认证服务;
用户终端还用于接收所述第二统一认证服务对所述第三令牌消息校验通过后下发的当前所在路局内的铁路宽带集群通信资源的第一令牌消息。
15.根据权利要求9所述的漫游认证及权限配置管理系统,其特征在于,用户终端还用于根据所述第一令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对第一令牌消息的校验。
16.根据权利要求9或15所述的漫游认证及权限配置管理系统,其特征在于,用户终端用于访问和使用铁路宽带集群通信资源后,还用于根据所述令牌响应消息下发的令牌有效时间,定期到所述第二统一认证服务进行令牌刷新,以保持所述第一令牌消息的有效性。
CN202211290514.6A 2022-10-21 2022-10-21 一种漫游认证及权限配置管理方法、系统 Pending CN117956455A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211290514.6A CN117956455A (zh) 2022-10-21 2022-10-21 一种漫游认证及权限配置管理方法、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211290514.6A CN117956455A (zh) 2022-10-21 2022-10-21 一种漫游认证及权限配置管理方法、系统

Publications (1)

Publication Number Publication Date
CN117956455A true CN117956455A (zh) 2024-04-30

Family

ID=90803635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211290514.6A Pending CN117956455A (zh) 2022-10-21 2022-10-21 一种漫游认证及权限配置管理方法、系统

Country Status (1)

Country Link
CN (1) CN117956455A (zh)

Similar Documents

Publication Publication Date Title
US20220345307A1 (en) Method, Device, and System for Updating Anchor Key in a Communication Network for Encrypted Communication with Service Applications
CN101471964B (zh) 一种网络地址的分配方法、网络系统及网络节点
US8914867B2 (en) Method and apparatus for redirecting data traffic
BR102012003114B1 (pt) método para ativar usuário e método para autenticar usuário em uma rede wi-fi de desvio de tráfego 3g
CN101621374A (zh) 一种网络认证的方法、装置、系统及服务器
CN112335274A (zh) 用于通信系统中服务访问的安全管理
US20220368684A1 (en) Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications
WO2012001364A2 (en) Wlan location services
US20220337408A1 (en) Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications
CN115361685B (zh) 一种端到端漫游认证方法、系统
CN114070597B (zh) 一种专网跨网认证方法及装置
US20230396602A1 (en) Service authorization method and system, and communication apparatus
CN109150290A (zh) 一种卫星轻量化数据传输保护方法及地面安全服务系统
JP6153622B2 (ja) インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置
CN117956455A (zh) 一种漫游认证及权限配置管理方法、系统
KR100454687B1 (ko) 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법
CN117956456A (zh) 一种漫游时统一认证及配置管理方法、系统
KR102358371B1 (ko) 이동 통신망의 버티컬 서비스를 제어하는 플랫폼 시스템 및 그 제어 방법
CN105681267A (zh) 数据传送方法及装置
KR20210040776A (ko) 5g 사용자 활성화 방법 및 장치
CN117478431B (zh) 一种基于可信网络的工业物联网控制方法
CN112333784B (zh) 安全上下文的处理方法、第一网元、终端设备及介质
Wei et al. Architecture of ubiquitous mobile Internet
CN113498059B (zh) 一种认证和授权结果通知及其处理方法、设备、装置及介质
US20240107307A1 (en) Systems and methods for multi-cloud cellular service authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination