CN117956456A

CN117956456A - 一种漫游时统一认证及配置管理方法、系统

Info

Publication number: CN117956456A
Application number: CN202211290515.0A
Authority: CN
Inventors: 殷卫海; 张羽白; 张驰; 王啸阳; 欧均富; 丁百一; 孙博伦; 陈建鑫
Original assignee: CRSC Research and Design Institute Group Co Ltd
Current assignee: CRSC Research and Design Institute Group Co Ltd
Priority date: 2022-10-21
Filing date: 2022-10-21
Publication date: 2024-04-30

Abstract

本发明提出一种漫游时统一认证及配置管理方法、系统，所述方法包括：用户终端统一到公用的统一认证服务进行认证；用户终端接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息；用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源。当用户漫游到拜访地时，让拜访地的CSC到归属地的CSC进行该用户的有效性验证，同时让该用户能使用拜访地的MCX服务资源，增加业务操作的连续性。

Description

一种漫游时统一认证及配置管理方法、系统

技术领域

本发明属于铁路通信领域，特别涉及一种漫游时统一认证及配置管理方法、系统。

背景技术

5G-R是铁路下一代的宽带无线移动系统，用于解决现有GSM-R（Global Systemfor Mobile Communications – Railway-铁路综合数字移动通信系统）系统的一些带宽、速率、时延以及业务承载能力等不足的问题，是GSM-R系统的后续升级换代产品。

铁路移动通信网，由全路统一规划，按功能特性划分为全路公用设备、路局中心设备、车站及沿线设备等几类。全路共有18个路局，各路局有各自的管辖区，在列车长途运行中，存在着跨局切换的场景。基于铁路业务的高安全、低时延、高可靠、易维护等方面的考虑，新一代的5G-R系统的组网技术，要求：

1）全路公用设备，是全路公共访问、数据全路共享的一级节点设备；

2）铁路各路局，自行管理各自的用户、配置/生产数据和路局中心设备；

3）涉及用户漫游的场景，关键业务要尽量采用拜访地本地疏导的方式。

以上组网，第二点的要求，使得各路局的用户数据、设备配置数据都不相同，并且路局的数据尽量保留在本地，路局间尽量不互通。第三点的要求，使得用户漫游到拜访地后要重新进行拜访地MCX（Mission Critical-X，铁路宽带集群通信）的认证、注册等业务，尽量访问使用拜访地的资源。即，一个用户的配置数据，只是在该用户所归属地的路局进行配置，其他路局应该不能直接管理或访问该用户的配置信息。

当用户漫游到拜访路局，因为拜访路局不负责该用户的管理，所以拜访路局的配置管理CSC没有该用户的配置信息，而这时漫游用户又要在拜访路局MCX 进行新的认证注册流程，以进行本地疏导的业务。这种情况下，漫游用户的认证和注册流程会因拜访地MCX系统没有该漫游用户信息而报错。考虑到业务连续性，需要设计一种方式，当用户漫游到拜访地时，让拜访地的CSC到归属地的CSC进行该用户的有效性验证，同时让该用户能使用拜访地的MCX服务资源。

5G-R MCX的公共配置数据库CSC（Common Services Core），是MCX业务用户配置的统一管理服务，包含统一认证服务IDMS（Identity Management Server）、秘钥管理KMS（KeyManagement Server）、位置服务LMS（Location Management Server）、用户配置管理CMS（Configuration Management Server）、群组配置管理GMS（Group Management Server）等网元。CSC中包含的功能网元较多，各网元的特性及跨局交换的方式也都不同，其中的统一认证服务IDMS，是用户登录5G-R MCX业务的入口，是解决MCX跨局漫游场景的语音MCPTT（铁路宽带集群语音通信，Mission Critical of Push To Talk）、数据MCData（铁路宽带集群数据通信，Mission Critical of Data）、视频MCVideo（铁路宽带集群视频通信，MissionCritical of Video）以及KMS、LMS、CMS、GMS等服务资源如何进行访问的关键点。本发明从统一认证IDMS的跨局数据交换处理方式的角度，来逐步展开漫游终端访问拜访地各CSC网元的配置问题的解决方法。

发明内容

针对上述问题，本发明提出一种漫游时统一认证及配置管理方法，所述方法包括：

用户终端统一到公用的统一认证服务进行认证，所述统一认证服务部署为全路公用设备；

用户终端接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息；

用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源。

进一步的，所述当前所在路局包括归属地或拜访地。

进一步的，用户终端接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息包括：

用户终端携带第一信息将令牌请求消息发送给统一认证服务；

用户终端接收携带令牌消息的令牌响应消息，所述令牌消息包括当前路局的铁路宽带集群通信资源令牌消息，由统一认证服务根据预配置的用户资源权限生成。

进一步的，所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码。

进一步的，所述令牌消息包括访问令牌、身份令牌和刷新令牌。

进一步的，用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对访问令牌的校验。

进一步的，所述用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端根据所述访问令牌向铁路宽带集群通信单元请求所述当前路局内的铁路宽带集群通信资源；

所述铁路宽带集群通信单元收到用户终端的服务请求消息后，对用户终端的访问令牌进行校验，其中，所述铁路宽带集群通信单元根据访问令牌的有效时长和验证码校验用户终端的资源申请是否有效；

若校验通过，所述铁路宽带集群通信单元返回用户终端成功的响应消息；

用户终端访问和使用铁路宽带集群通信资源。

用户终端根据所述访问令牌向安全网关请求所述当前路局内的铁路宽带集群通信资源；

所述安全网关收到用户终端的服务请求消息后，对用户终端的访问令牌进行校验，其中，所述安全网关根据访问令牌的有效时长和验证码校验用户终端的资源申请是否有效；

若校验通过，所述安全网关透传用户终端的资源访问请求给铁路宽带集群通信单元；

所述铁路宽带集群通信单元判断所述资源访问请求是否能满足，若能满足，则返回响应时间给所述安全网关；

所述安全网关返回用户终端成功的响应消息；

用户终端通过所述安全网关访问和使用铁路宽带集群通信资源。

进一步的，用户终端访问和使用铁路宽带集群通信资源后，还包括根据所述令牌响应消息下发的令牌有效时间，定期到统一认证服务进行令牌刷新，以保持访问令牌的有效性。

本发明还提供一种漫游时统一认证及配置管理系统，所述系统包括用户终端，

所述用户终端，用于统一到公用的统一认证服务进行认证，所述统一认证服务部署为全路公用设备；

用户终端还用于接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息；

用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源。

进一步的，所述当前所在路局包括归属地或拜访地。

进一步的，用户终端还用于接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息包括：

用户终端用于携带第一信息将令牌请求消息发送给统一认证服务；

用户终端还用于接收携带令牌消息的令牌响应消息，所述令牌消息包括当前路局的铁路宽带集群通信资源令牌消息，由统一认证服务根据预配置的用户资源权限生成。

进一步的，所述系统还包括铁路宽带集群通信单元，用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端用于根据所述访问令牌向铁路宽带集群通信单元请求所述当前路局内的铁路宽带集群通信资源；

所述铁路宽带集群通信单元用于收到用户终端的服务请求消息后，对用户终端的访问令牌进行校验，其中，所述铁路宽带集群通信单元根据访问令牌的有效时长和验证码校验用户终端的资源申请是否有效；

用户终端用于访问和使用铁路宽带集群通信资源。

进一步的，所述系统还包括和安全网关铁路宽带集群通信单元，用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端用于根据所述访问令牌向安全网关请求所述当前路局内的铁路宽带集群通信资源；

所述安全网关用于收到用户终端的服务请求消息后，对用户终端的访问令牌进行校验，其中，所述安全网关根据访问令牌的有效时长和验证码校验用户终端的资源申请是否有效；

所述铁路宽带集群通信单元还用于判断所述资源访问请求是否能满足，若能满足，则返回响应时间给所述安全网关；

所述安全网关用于返回用户终端成功的响应消息；

用户终端用于通过所述安全网关访问和使用铁路宽带集群通信资源。

进一步的，用户终端还用于访问和使用铁路宽带集群通信资源后，根据所述令牌响应消息下发的令牌有效时间，定期到统一认证服务进行令牌刷新，以保持访问令牌的有效性。

本发明的漫游时统一认证及配置管理方法、系统，当用户漫游到拜访地时，漫游用户到全路公用统一认证服务进行该用户的有效性验证，用户认证统一全路配置、组网简单、容易维护，认证通过后该用户能使用拜访地的MCX服务资源，增加了业务操作的连续性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例中的用户漫游到拜访地时，拜访地IDMS、MCX、CSC等业务的服务发现流程示意图；

图2示出了本发明实施例中的5G-R系统总体组网框架示意图；

图3示出了本发明实施例中的漫游时统一认证及配置管理方法流程示意图；

图4示出了本发明实施例中的全路公用IDMS进行用户统一认证及各路局MCX资源的Token签发和权限分配具体流程示意图；

图5示出了本发明实施例中的全路公用IDMS负责用户的认证和本地资源授权、路局安全网关根据授权策略判断具体流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

以统一认证服务IDMS为例，当用户漫游到拜访地进行重新认证时，因为各路局自行管理、配置的该路局的用户数据并不相同，所以拜访地的IDMS并不能直接拿归属地的IDMS配置数据。归属地的IDMS配置数据是针对归属地的MCX服务资源的，如归属地的MCPTT、MCData、MCVideo、CSC（除IDMS本身）等，而漫游用户当前所在的拜访地IDMS获取漫游用户的配置，是为了让该用户能够访问当前拜访地的MCX服务资源，如拜访地的MCPTT、MCData、MCVideo、CSC（除IDMS本身）等。针对该问题，本发明从系统组网角度，将IDMS部署为全路公用设备，CSC其他网元如CMS、GMS等仍为路局设备。

本发明实施例中对用户漫游到拜访地时，拜访地IDMS、MCX、CSC等业务的服务发现流程进行说明，图1中，5G-R漫游用户发现拜访地资源的流程如下，前提是用户终端UE本地MCX APP在安装初始化时写入固定的启动（Bootstrap）URL地址，用户终端UE的MCX APP启动时，本地没有（第一次登录服务发现）或有比较老的Initial UE Configuration（初始配置）文件（终端已经登录过，一个包含MCX、CSC各资源服务的URL列表的XML文件），具体流程包括：

1）漫游用户终端UE，接入5G网络的会话管理流程中，5G的会话管理SMF（SessionManagement Function，会话管理功能）网元，通过PCO（Protocol Configration Option，协议配置选项）消息下发当前拜访路局的本地DNS（Domain Name System，域名系统）Server的IP地址给用户终端UE；

2）漫游终端UE，将本地保存的Bootstrap URL地址，向步骤1下发的DNS Server获取Bootstrap的映射IP地址；

3）之后，用户终端UE使用该Bootstrap的映射IP，向Bootstrap服务获取MCX、CSC、IDMS、KMS等服务器的网址（URL）列表，即Initial UE Configuration文件（XML文件）。注：该文件，最好全路保持使用一个相同的配置，即各MCX、CSC的服务URL列表全路统一；

步骤3）中，如果用户终端UE本地没有该Initial UE Configuration文件，则将获取的初始配置文件保存；如果UE本地已保存IDMS、CSC、MCX等服务器的URL列表（归属地服务发现时已获取），则UE需判断是否需要更新，只涉及归属地更新，拜访地时不需要获取Initial UE Configration文件；

4）UE读取Initial UE Configration文件中的IDMS、CSC、MCX等服务器的URL域名，向当前所在地（拜访地或归属地）DNS Server发起域和IP地址的映射解析，获取到本地的MCX、CSC等Server的IP地址列表；

步骤4）中，如当前用户在归属地，则由归属地的DNS下发归属地IDMS、CSC、MCX等服务器的IP地址列表；如当前用户在拜访地，则由拜访地的DNS下发拜访地IDMS、CSC、MCX等服务器的IP地址列表；

5）UE使用获取到的MCX、CSC等服务的IP地址，去访问相应的MCX、CSC资源。

本发明实施例中对5G-R系统总体组网框架进行说明，本发明实施例中，IDMS全路公用，CSC其他归路局管理，图2中，5G-R网络包括全路公用设备、路局设备组成，其中，全路公用设备，主要包括智能网5G-IN、一级DNS、认证中心IDMS、校验5G-EIR等需要进行数据公共管理及维护的设备；路局设备，主要包括5G核心网、5G基站、边缘计算及用户终端等移动网络设备、以及铁路调度MCX关键业务应用（含SIP交换Sipcore、语音MCPTT、视频MCVideo、数据MCData服务器、公共管理服务CSC（不包括IDMS）等）和终端APP、网路管理维护OMC等可以由路局自行管理维护的设备。

图3示出了本发明实施例中的漫游时统一认证及配置管理方法流程示意图，图3中，所述方法包括用户终端统一到公用的统一认证服务进行认证，所述统一认证服务部署为全路公用设备；用户终端接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息；用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源。

具体的，所述当前所在路局包括归属地或拜访地。

具体的，IDMS给认证通过的用户终端下发当前所在路局内的铁路宽带集群通信资源令牌消息包括：

用户终端携带第一信息将令牌请求消息发送给IDMS；所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码；

IDMS根据预配置的用户资源权限，生成当前路局的铁路宽带集群通信资源令牌消息，并携带所述令牌消息将令牌响应消息下发给用户终端；

所述令牌消息包括访问令牌、身份令牌和刷新令牌。

具体的，用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对访问令牌的校验。

用户终端根据令牌消息请求所述当前路局内的铁路宽带集群通信资源包括以下两种方式：

方式一：

用户终端访问和使用铁路宽带集群通信资源。

方式二：

所述安全网关返回用户终端成功的响应消息；

本发明实施例中，用户终端访问和使用铁路宽带集群通信资源后，还包括根据所述令牌响应消息下发的令牌有效时间，定期到IDMS进行令牌刷新，以保持访问令牌的有效性。

本发明实施例中，还对5G-R IDMS公用部署/CSC路局部署的业务流程描述，如图4所示，图4示出了本发明实施例中的全路公用IDMS进行用户统一认证及各路局MCX资源的Token签发和权限分配具体流程示意图，图4中，全路公用IDMS配置各路局用户认证信息及MCX资源权限，用户统一到公用的IDMS进行认证，全路公用IDMS给UE下发用户当前所在路局（归属地或拜访地）内的MCX资源Access Token，终端UE携带这些Access Token（访问令牌），访问当前路局内的MCX资源，公用IDMS认证流程，类似单域内的IDMS认证，需UE、IDMS、MCX之间进行Access Token的获取及校验，以下流程以路局-1为例描述，其他路局-n流程相同，具体包括：

1）用户终端UE-1与全路公用IDMS建立TLS（Transport Layer Security（传输层安全性协议，Transport Layer Security）安全链路，以保证后续交互流程的消息安全；

2) 用户终端UE-1发送Authentication Request（身份验证请求）消息给全路公用IDMS。携带用户名标识（Client-ID）、需要申请的MCX服务资源Scope（范围）（如MCPTT、MCData、MCVideo、CMS等）以及用户（Client）的Redirect_URL（重定向地址）地址（预先在IDMS进行配置）等信息；

其中，步骤2a，全路公用IDMS服务器与UE-1进行用户身份和关联的凭据的验证（如Digest、EAP-AKA等多种形式）；

3) 全路公用IDMS对终端认证通过后，返回Authentication Reponse消息给用户终端UE-1，携带授权码Code；

4) 用户终端UE-1发送Token Request（令牌请求）消息给全路公用IDMS，携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code。全路公用IDMS收到UE-1的认证请求后，根据预配置的用户资源权限，生成当前路局的MCX服务资源Token，如：ID Token（如MCPTT-ID的令牌）、Access Token（如MCPTT、MCData、MCVideo等服务的令牌）、expires_in（令牌超时时间等）、Refresh Token（用于超时刷新ID Token、AccessToken等令牌，避免再次重新认证）等；

5)全路公用IDMS返回终端Token Response（令牌响应）消息给终端UE-1，携带终端UE-1携带获取到的当前路局各MCX服务Access Token（访问令牌）、ID Token（身份令牌）、Refresh Token（刷新令牌）等；

6) 用户终端UE-1携带获取到的当前路局各MCX-1服务的Access Tokens，请求使用路局-1的MCX-1资源（如MCPTT、MCData、MCVideo、CMS、GMS等）；

7) MCX-1服务（如MCPTT）收到UE-1的服务请求消息后，要对UE-1的Access Token进行验证；

方式一，MCX-1使用JWT规范进行Access Token的自校验，MCX基本采用这种方式；方式二，MCX-1将Access Token发给全路公用IDMS进行Access Token校验；

8) MCX-1服务（如MCPTT）校验Access Token的有效时长、验证码等是否有效后，判断终端UE-1的资源申请是否有效。如果成功，返回UE-1可用的响应消息及请求的资源；如果失败，返回UE-1失败的响应消息。如果UE-1收到成功的响应消息，则UE-1访问MCX的配置获取、注册、单呼、组呼等业务流程正常进行。如果UE-1收到失败的响应消息，流程终止；

9) 用户终端UE-1正常访问和使用MCX-1资源，如进行MCPTT的注册、单呼、组呼等流程；

10)用户终端UE-1根据Token Response消息下发的Token有效时间，定期到全路公用IDMS去Token Refresh刷新，以保持Access Token的有效性。

本发明实施例中还提供另一种方式，扩展“零信任”方案，全路公用IDMS负责用户的认证和本地资源授权，路局安全网关根据授权策略判断，可负责一个区域的接入控制，该方式，是图4中描述流程的应用扩展，是在MCX资源前面加个安全网关，可以使得已成熟、已部署或不方便进行安全认证改造的业务MCX资源不用逐个都进行Token校验，既减少了二次开发的工作量，又能满足安全要求，又不影响当前的业务流程，如图5所示，图5示出了本发明实施例中的全路公用IDMS负责用户的认证和本地资源授权、路局安全网关根据授权策略判断具体流程示意图，公用IDMS认证流程，类似单域内的IDMS认证，需UE、IDMS、MCX之间进行Access Token的获取及校验，以下流程以路局-2为例描述，其他路局-n流程相同，具体流程包括：

1) 用户终端UE-1与全路公用IDMS、路局-2的安全网关SGW-2建立TLS （TransportLayer Security）安全链路，以保证后续交互流程的消息安全。路局-2的零信任网关SGW-2，与路局-2的MCX等资源提前做好安全关联的配置；

2) 用户终端UE-1发送Authentication Request消息给全路公用IDMS。携带用户名标识Client-ID、需要申请的MCX服务资源Scope（如MCPTT、MCData、MCVideo、CMS等）以及Client的Redirect_URL地址（预先在IDMS进行配置）等信息；

4) 用户终端UE-1发送Token Request消息给全路公用IDMS，携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code。全路公用IDMS收到UE-1的认证请求后，根据预配置的用户资源权限，生成当前路局的MCX服务资源Token，如：IDToken（如MCPTT-ID的令牌）、Access Token（如MCPTT、MCData、MCVideo等服务的令牌）、expires_in（令牌超时时间等）、Refresh Token（用于超时刷新ID Token、Access Token等令牌，避免再次重新认证）等；

5) 全路公用IDMS返回终端Token Response消息给终端UE-1，携带用户终端UE-1携带获取到的当前路局各MCX服务Access Token、ID Token、Refresh Token等；

6) 用户终端UE-1携带获取到的当前路局各MCX-2服务的Access Tokens，请求使用路局-2的MCX-2资源（如MCPTT、MCData、MCVideo、CMS、GMS等）。资源请求消息，先到路局-2的安全网关SGW-2；

7) 路局-2的安全网关SGW-2，收到UE-1的服务请求消息后，要对UE-1的AccessToken进行验证（7a流程），如校验Access Token的有效时长、验证码等是否有效等。方式一，SGW-2使用JWT规范进行Access Token的自校验，MCX基本采用这种方式；方式二，SGW-2将Access Token发给全路公用IDMS进行Access Token校验。验证通过后，SGW-2透传UE-1的资源访问请求给MCX-2（7b流程），MCX-2不再校验资源服务请求Access Token的有效性，只需判断该请求的访问资源是否能满足，返回响应消息；

8) MCX-2服务的资源响应消息，经安全网关SGW-2转发给UE-1。如果是成功的响应消息，返回UE-1可用的响应消息及请求的资源；如果是失败的响应消息，返回UE-1失败的响应消息。如果UE-1收到成功的响应消息，则UE-1可正常进行MCX-2的配置获取、注册、单呼、组呼等业务流程。如果UE-1收到失败的响应消息，流程终止；

9) 用户终端UE-1通过安全网关SGW-2正常访问和使用MCX-2资源，如进行MCPTT的注册、单呼、组呼等流程，进行上述操作流程时，SGW-2透传UE-1的资源访问请求给MCX-2；

5G-R MCX用户从拜访地的IDMS获取到拜访路局的MCX、CSC等各服务资源访问令牌（Access Token）后，可以带着各服务的Access Token访问拜访地的MCX、CMS、GMS、LMS等资源。针对漫游用户，因为各路局用户数据尽量由归属路局管理和负责的原则，所以拜访地路局应该是没有这些漫游用户的配置信息，以及漫游用户在归属的配置信息即使同步到拜访地，也不能使用，本发明实施例中，还通过一种本地特殊配置方式对拜访地MCX各业务资源，针对漫游用户的配置及使用进行说明：

在路局的各用户配置服务如CMS、GMS、KMS等，均增加一个专门针对公共漫游用户的访问权限组（一系列XML配置文件，相关权限可根据路局或国铁要求配置相对低于本局的归属用户）。当漫游用户移动到拜访地时，带着本地资源的Token访问拜访地的CMS、GMS、KMS等CSC服务，公共配置CSC的这些服务根据用户的号码分析识别出该用户是漫游用户，就将该局的公共漫游用户配置权限组下发给该漫游用户，这样既能保证该漫游用户能够正常访问这些拜访地资源，又避免了漫游用户在拜访地没有配置或如对每个漫游用户进行配置过于复杂的状况。注：路局的公共配置CSC中的智能网5G-IN位置寻址部分，相对特殊，其配置与具体的用户没有关系，所以不用单独配置该漫游用户的权限组。

路局CSC各服务的用户配置情况及处理原则：

1）Boostrap（初始配置服务），用于服务发现时，获取该路局的MCX、CSC等服务的资源列表Initial UE Configuration文件。该文件的资源URL列表的配置，最好全路统一，不受跨局漫游切换的影响。

2）CMS，本地专门配置一个针对漫游用户的公共权限列表或Profile文件或公共模板，包括：MCPTT、MCData、MCVideo等业务的UE Configuration Data、User ProfileConfiguration等文件。注：该漫游用户的特定CMS文件必须配置，否则影响本地疏导的业务。

3）GMS，本地专门配置一个针对漫游用户群组的公共权限列表或Profile文件或公共模板，包括：MCPTT、MCData、MCVideo等业务的GMS Configuration Data文件。注：根据路局或国铁的本地配置策略，该特定漫游用户的组配置数据中，可以没有某些漫游用户的群组信息。

4）KMS，本地专门配置一个针对漫游用户的公共Key Materials秘钥文件。注：根据路局或国铁的本地安全策略，KMS可以没有某些漫游用户的Key Material信息。

5）路局5G-IN（5G智能网），用于位置寻址，主要功能是根据移动用户携带的位置信息查询固定FAS调度台，其配置主要是调度台与其管辖区的关联关系，没有专门针对具体移动用户的配置，所以该服务不用针对移动用户配置特定的权限列表，不受跨局漫游切换的影响。

6）路局LMS，就是一个位置数据库，主要用于存储移动用户的位置信息，只要用户能通过MCX的会话鉴权，对于LMS的位置存储来说不区分是漫游用户还是本地用户。并且，该服务的用户位置策略触发放在CMS中来配置，相关策略按CMS的处理原则来实施，所以位置LMS不用针对移动用户配置特定的权限列表，不受跨局漫游切换的影响。当然，位置数据库存储表中在存储用户位置信息时，可以添加一个用户的归属属性（本地 or 漫游）。

本发明实施例中还提供一种漫游时统一认证及配置管理系统，所述系统包括用户终端，

所述用户终端，用于统一到公用的IDMS进行认证；

用户终端还用于接收认证通过后IDMS下发的当前所在路局内的铁路宽带集群通信资源令牌消息；

具体的，用户终端还用于接收认证通过后IDMS下发的当前所在路局内的铁路宽带集群通信资源令牌消息包括：

用户终端用于携带第一信息将令牌请求消息发送给IDMS；所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码；

用户终端还用于接收携带令牌消息的令牌响应消息，所述令牌消息包括当前路局的铁路宽带集群通信资源令牌消息，由IDMS根据预配置的用户资源权限生成；所述令牌消息包括访问令牌、身份令牌和刷新令牌。

本发明实施例中系统还包括铁路宽带集群通信单元，用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端用于访问和使用铁路宽带集群通信资源。

本发明实施例中所述系统还包括和安全网关铁路宽带集群通信单元，用户终端用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

所述安全网关用于返回用户终端成功的响应消息；

具体的，用户终端还用于访问和使用铁路宽带集群通信资源后，根据所述令牌响应消息下发的令牌有效时间，定期到IDMS进行令牌刷新，以保持访问令牌的有效性。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种漫游时统一认证及配置管理方法，其特征在于，所述方法包括：

2.根据权利要求1所述的漫游时统一认证及配置管理方法，其特征在于，

所述当前所在路局包括归属地或拜访地。

3.根据权利要求1或2所述的漫游时统一认证及配置管理方法，其特征在于，用户终端接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息包括：

4.根据权利要求3所述的漫游时统一认证及配置管理方法，其特征在于，

所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码。

5.根据权利要求3所述的漫游时统一认证及配置管理方法，其特征在于，

所述令牌消息包括访问令牌、身份令牌和刷新令牌。

6.根据权利要求5所述的漫游时统一认证及配置管理方法，其特征在于，

用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源还包括对访问令牌的校验。

7.根据权利要求5所述的漫游时统一认证及配置管理方法，其特征在于，所述用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端访问和使用铁路宽带集群通信资源。

8.根据权利要求5所述的漫游时统一认证及配置管理方法，其特征在于，所述用户终端根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

所述安全网关返回用户终端成功的响应消息；

9.根据权利要求7或8所述的漫游时统一认证及配置管理方法，其特征在于，用户终端访问和使用铁路宽带集群通信资源后，还包括根据所述令牌响应消息下发的令牌有效时间，定期到统一认证服务进行令牌刷新，以保持访问令牌的有效性。

10.一种漫游时统一认证及配置管理系统，其特征在于，所述系统包括用户终端，

11.根据权利要求10所述的漫游时统一认证及配置管理系统，其特征在于，所述当前所在路局包括归属地或拜访地。

12.根据权利要求10或11所述的漫游时统一认证及配置管理系统，其特征在于，用户终端还用于接收认证通过后统一认证服务下发的当前所在路局内的铁路宽带集群通信资源令牌消息包括：

13.根据权利要求12所述的漫游时统一认证及配置管理系统，其特征在于，所述第一信息包括用户名标识、用户的重定向地址和所述用户终端认证通过后的授权码。

14.根据权利要求12所述的漫游时统一认证及配置管理系统，其特征在于，所述令牌消息包括访问令牌、身份令牌和刷新令牌。

15.根据权利要求14所述的漫游时统一认证及配置管理系统，其特征在于，所述系统还包括铁路宽带集群通信单元，用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

用户终端用于访问和使用铁路宽带集群通信资源。

16.根据权利要求14所述的漫游时统一认证及配置管理系统，其特征在于，所述系统还包括和安全网关铁路宽带集群通信单元，用户终端还用于根据所述令牌消息请求所述当前路局内的铁路宽带集群通信资源包括：

所述安全网关用于返回用户终端成功的响应消息；

17.根据权利要求15或16所述的漫游时统一认证及配置管理系统，其特征在于，用户终端还用于访问和使用铁路宽带集群通信资源后，根据所述令牌响应消息下发的令牌有效时间，定期到统一认证服务进行令牌刷新，以保持访问令牌的有效性。