集群系统中应用统一鉴权方法、服务器与终端与流程

本发明实施例涉及集群系统，尤其涉及一种集群系统中应用统一鉴权方法、服务器与终端。

背景技术：

集群系统是一种为满足行业用户指挥调度等需求而开发的面向特定行业应用的专用无线通信系统。

基于长期演进(Long Term Evolution，LTE)的宽带集群系统逐步向以用户为基础的业务管理演进，用户账号注册时本身存在账号的鉴权认证。另外，集群系统在会话初始协议(Session Initiation Protocol，SIP)层面有SIP认证和鉴权，其使用传统的用户名和密码进行摘要认证，即通过用户名和密码进行401或者407消息进行挑战鉴权，详细可参见标准(Request For Comments，RFC)3261；而且，集群系统中各种应用服务出于安全性考虑，也需要对终端进行鉴权认证。

现有技术中，用户本身存在账号的鉴权认证，集群业务、语音点呼有SIP认证鉴权，其它应用服务也有各自的认证鉴权，各种鉴权认证的用户名和密码各自保存，接口中会存在用户名和密码信息，对安全构成很大威胁。

技术实现要素：

本发明实施例提供一种集群系统中应用统一鉴权方法、服务器与终端，通过使用该User ID作为各个应用业务的统一标识，各应用服务的鉴权和用户登录有效的结合起来，做到了统一鉴权认证，从而提高了集群系统的安全性。

第一个方面，本发明实施例提供一种集群系统中应用统一鉴权方法，包括：

服务器的应用服务网元接收终端发送的注册请求，所述注册请求携带指 示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的；

所述服务器的应用服务网元根据所述身份标识对所述终端进行注册；并向所述服务器的认证鉴权网元发送所述令牌；

所述服务器的认证鉴权网元根据所述令牌，对所述用户进行令牌认证；

若所述令牌认证通过，则所述服务器的应用服务网元与所述终端进行应用服务交互。

在第一个方面的第一种可能的实现方式中，所述服务器的应用服务网元接收终端发送的注册请求之前，还包括：

所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求，所述登录请求携带所述身份标识；

所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述服务器的认证鉴权网元为所述用户分配所述令牌；

所述服务器的认证鉴权网元向所述终端发送登录响应消息，所述登录响应消息携带所述令牌。

在第一个方面的第二种可能的实现方式中，所述服务器的应用服务网元接收终端发送的注册请求之前，还包括：

所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求，所述登录请求携带所述身份标识；

所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述服务器的认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间；

所述服务器的认证鉴权网元向所述终端发送登录响应消息，所述登录响应消息携带所述令牌及所述令牌过期时间。

结合第一个方面的第二种可能的实现方式，在第一个方面的第三种可能的实现方式中，若所述令牌认证通过，则所述服务器的应用服务网元与所述终端进行应用服务交互之前还包括：

所述服务器的认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息；

所述服务器的认证鉴权网元根据所述刷新消息，为所述终端重新分配令牌和令牌过期时间。

结合第一个方面的第二种可能的实现方式，在第一个方面的第四种可能的实现方式中，若所述令牌认证通过，则所述服务器的应用服务网元与所述终端进行应用服务交互之前还包括：

所述服务器的认证鉴权网元向所述终端发送刷新通知，以使所述终端获取新的令牌和令牌过期时间。

第二个方面，本发明实施例提供一种集群系统中应用统一鉴权方法，包括：

终端向服务器的应用服务网元发送注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识，以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册，并将所述令牌发送给所述服务器的认证鉴权网元，进而由所述服务器的认证鉴权网元根据令牌，对所述用户进行令牌认证，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的；

若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互。

在第二个方面的第一种可能的实现方式中，所述终端向服务器的应用服务网元发送注册请求之前，还包括：

所述终端向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证，所述登录请求携带所述身份标识；

所述终端接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌。

在第二个方面的第二种可能的实现方式中，所述终端向服务器的应用服务网元发送注册请求之前，还包括：

所述终端向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证，所述登录请求携带 所述身份标识；

所述终端接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌和令牌过期时间。

结合第二个方面的第二种可能的实现方式，在第二个方面的第三种可能的实现方式中，所述若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前，还包括：

所述终端在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息；

所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

结合第二个方面的第二种可能的实现方式，在第二个方面的第四种可能的实现方式中，所述若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前，还包括：

所述终端接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知；

所述终端向所述服务器的认证鉴权网元发送刷新消息；

所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

第三个方面，本发明实施例提供一种服务器，包括：应用服务网元与认证鉴权网元，所述应用服务网元接收终端发送的注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识，所述令牌为所述用户登录所述终端时所述认证鉴权网元为其分配的；

所述应用服务网元根据所述身份标识对所述终端进行注册；并向所述认证鉴权网元发送所述令牌；

所述认证鉴权网元根据所述令牌，对所述用户进行令牌认证；

若所述令牌认证通过，则所述应用服务网元与所述终端进行应用服务交互。

在第三个方面的第一种可能的实现方式中，所述应用服务网元接收终端发送的注册请求之前，还包括：

所述认证鉴权网元接收所述用户通过所述终端发送的登录请求，所述登 录请求携带所述身份标识；

所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述认证鉴权网元为所述用户分配所述令牌；

所述认证鉴权网元向所述终端发送登录响应消息，所述登录响应消息携带所述令牌。

在第三个方面的第二种可能的实现方式中，所述应用服务网元接收终端发送的注册请求之前，还包括：

所述认证鉴权网元接收所述用户通过所述终端发送的登录请求，所述登录请求携带所述身份标识；

所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间；

所述认证鉴权网元向所述终端发送登录响应消息，所述登录响应消息携带所述令牌及所述令牌过期时间。

结合第三个方面的第二种可能的实现方式，在第三个方面的第三种可能的实现方式中，若所述令牌认证通过，则所述应用服务网元与所述终端进行应用服务交互之前还包括：

所述认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息；

所述认证鉴权网元根据所述刷新消息，为所述终端重新分配令牌和令牌过期时间。

结合第三个方面的第二种可能的实现方式，在第三个方面的第四种可能的实现方式中，若所述令牌认证通过，则所述应用服务网元与所述终端进行应用服务交互之前还包括：

所述认证鉴权网元向所述终端发送刷新通知，以使所述终端获取新的令牌和令牌过期时间。

第四个方面，本发明实施例提供一种终端，包括：

发送模块，用于服务器的应用服务网元发送注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识，以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册，并将所述令牌 发送给所述服务器的认证鉴权网元，进而由所述服务器的认证鉴权网元根据令牌，对所述用户进行令牌认证，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的；

交互模块，用于若所述令牌认证通过，则与所述应用服务器的应用服务网元进行应用服务交互。

在第四个方面的第一种可能的实现方式中，所述终端还包括：第一接收模块，

所述发送模块，用于在向所述服务器的应用服务网元发送注册请求之前，向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证，所述登录请求携带所述身份标识；

所述终端接收，用于接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌。

在第四个方面的第二种可能的实现方式中，所述终端还包括：第二接收模块，

所述发送模块，用于在向服务器的应用服务网元发送注册请求之前，向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证，所述登录请求携带所述身份标识；

所述第二接收模块，用于接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌和令牌过期时间。

结合第四个方面的第二种可能的实现方式，在第四个方面的第三种可能的实现方式中，所述发送模块，还用于若所述令牌认证通过，则在所述交互模块与所述应用服务器的应用服务网元进行应用服务交互之前，在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息；

所述第二接收模块，用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

结合第四个方面的第二种可能的实现方式，在第四个方面的第四种可能的实现方式中，所述若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前，还包括：

所述第二接收模块，还用于若所述令牌认证通过，所述交互模块与所述 应用服务器的应用服务网元进行应用服务交互之前，接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知；

所述发送模块，还用于向所述服务器的认证鉴权网元发送刷新消息；

所述第二接收模块，还用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

本发明实施例提供的集群系统中应用统一鉴权方法、服务器与终端，服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元，注册请求携带指示发起注册请求的用户的唯一身份的令牌，令牌为用户登录终端时服务器的认证鉴权网元为其分配的；然后，服务器的认证鉴权网元根据令牌，对用户进行令牌认证；最后，若令牌认证通过，则服务器的应用服务网元与终端进行应用服务交互。该过程中，对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的，集群通信中使用该User ID作为各个应用业务的统一标识，各应用服务的鉴权和用户登录有效的结合起来，做到了统一鉴权认证，从而提高了集群系统的安全性。

附图说明

图1为本发明集群系统中应用服务统一鉴权方法实施例一的流程图；

图2为本发明集群系统中应用服务统一鉴权方法实施例二的流程图；

图3为本发明集群系统中应用服务统一鉴权方法实施例三的过程示意图；

图4为本发明集群系统中应用统一鉴权方法实施例四的逻辑框架图；

图5为本发明集群系统中应用服务统一鉴权方法实施例五的信令图；

图6为本发明集群系统中应用服务统一鉴权方法实施例六的信令图

图7为本发明服务器实施例一的结构示意图；

图8为本发明终端实施例一的结构示意图；

图9为本发明终端实施例二的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发 明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明集群系统中应用服务统一鉴权方法实施例一的流程图。本实施例是从服务器的角度对本发明进行详细阐述，本实施例适用于LTE宽带集群系统中，需要对各应用统一鉴权的场景。本发明实施例中，服务器的认证鉴权网元例如可以是鉴权认证服务(Authentication Authorization Server，AAS)逻辑网元，服务器的应用服务网元例如可以是用户信息服务(User Information Server，UIS)逻辑网元、会话初始协议核心(Session Initiation Protocol core，SIP core)逻辑网元、短数据服务(Short Data Service，SDS)逻辑网元等，本发明并不以此为限制。具体的，本实施例包括如下步骤：

101、服务器的应用服务网元接收终端发送的注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的。

本发明实施例中，服务器例如可以为单点登录服务器，当用户通过终端提供的登录界面成功登录并获得服务器的认证鉴权网元为其分配的令牌(Token)后，需要进行集群业务时，向服务器的应用服务网元发送注册请求以进行应用服务的鉴权认证，鉴权认证完成后才可以与该服务器的应用服务网元进行应用服务交互，才可以合法使用该应用服务网元提供的业务。其中，令牌为用户登录终端时由服务器的认证鉴权网元为其分配的。

102、所述服务器的应用服务网元根据所述身份标识对所述终端进行注册；并向所述服务器的应用服务网元向服务器的认证鉴权网元发送携带所述令牌的所述注册请求。

服务器的应用服务网元在接收到终端发送的注册请求后，根据身份标识对所端进行注册，并将该注册请求中携带的Token发送到服务器的认证鉴权网元，以使得服务器的认证鉴权网元通过该Token对用户进行令牌认证。

103、所述服务器的认证鉴权网元根据所述令牌，对所述用户进行令牌认证。

在接收到服务器的应用服务网元发送的令牌后，服务器的认证鉴权网元根据该令牌，对用户进行令牌认证。

104、若所述令牌认证通过，则所述服务器的应用服务网元与所述终端进行应用服务交互。

令牌认证完成后，用户才可以与该服务器的应用服务网元进行应用服务交互，才可以合法使用该应用服务网元提供的业务。

本发明实施例提供的集群系统中应用统一鉴权方法，服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元，注册请求携带指示发起注册请求的用户的唯一身份的令牌，令牌为用户登录终端时服务器的认证鉴权网元为其分配的；然后，服务器的认证鉴权网元根据令牌，对用户进行令牌认证；最后，若令牌认证通过，则服务器的应用服务网元与终端进行应用服务交互。该过程中，对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的，集群通信中使用该User ID作为各个应用业务的统一标识，各应用服务的鉴权和用户登录有效的结合起来，做到了统一鉴权认证，从而提高了集群系统的安全性。

可选的，在本发明一实施例中，服务器的应用服务网元接收终端发送的注册请求之前，服务器的认证鉴权网元接收用户通过终端发送的登录请求，登录请求携带身份标识；服务器的认证鉴权网元根据身份标识对用户进行鉴权认证；若鉴权认证通过，则服务器的认证鉴权网元为用户分配令牌；服务器的认证鉴权网元向终端发送登录响应消息，登录响应消息携带令牌。

具体的，服务器的认证鉴权网元接收用户通过终端发送的登录请求，该登录请求携带用户的身份标识，如User ID、登录密码(Pass word)；然后，服务器的认证鉴权网元根据User ID Password等对用户进行鉴权认证；若鉴权认证通过，则为用户分配指示该用户唯一身份的令牌并通过登录响应消息将该令牌发送给终端。

可选的，在本发明一实施例中，服务器的应用服务网元接收终端发送的注册请求之前，服务器的认证鉴权网元接收用户通过终端发送的登录请求，登录请求携带用户的身份标识；服务器的认证鉴权网元根据身份标识对用户进行鉴权认证；若鉴权认证通过，则服务器的认证鉴权网元为用户分配令牌和令牌过期时间，并通过登录响应消息将该令牌和令牌过期时间发送给终端。

图2为本发明集群系统中应用服务统一鉴权方法实施例二的流程图。本实施例是从终端的角度对本发明进行详细阐述，本实施例适用于LTE宽带集群系统中，需要对各应用统一鉴权的场景。具体的，本实施例包括如下步骤：

201、终端向服务器的应用服务网元发送注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识，以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册，并将所述令牌发送给所述服务器的认证鉴权网元，进而由所述服务器的认证鉴权网元根据令牌，对所述用户进行令牌认证，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的。

本实施例中有关服务器的应用服务网元、服务器的认证鉴权网元等的描述可参见图1所示实施例，在此不再赘述。

202、若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互。

令牌认证完成后，用户才可以与该服务器的应用服务网元进行应用服务交互，才可以合法使用该应用服务网元提供的业务。

本发明实施例提供的集群系统中应用统一鉴权方法，终端向服务器的应用服务网元发送注册请求携带令牌的注册请求，使得服务器的应用服务网元将该注册请求发送给服务器的认证鉴权网元，由服务器的认证鉴权网元根据令牌，对用户进行令牌认证，若令牌认证通过，则服务器的应用服务网元与终端进行应用服务交互。该过程中，对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的，集群通信中使用该User ID作为各个应用业务的统一标识，各应用服务的鉴权和用户登录有效的结合起来，做到了统一鉴权认证，从而提高了集群系统的安全性。

可选的，在本发明二实施例中，终端向服务器的应用服务网元发送注册请求之前，还向服务器的认证鉴权网元发送登录请求，以使服务器的认证鉴权网元根据身份标识对用户进行鉴权认证，登录请求携带身份标识；然后，终端接收服务器的认证鉴权网元发送的登录响应消息，登录响应消息携带令牌。

可选的，在本发明二实施例中，终端向服务器的应用服务网元发送注册请求之前，还向服务器的认证鉴权网元发送登录请求，以使服务器的认证鉴 权网元根据身份标识对用户进行鉴权认证，登录请求携带身份标识；然后，终端接收服务器的认证鉴权网元发送的登录响应消息，登录响应消息携带令牌和令牌过期时间。

图3为本发明集群系统中应用服务统一鉴权方法实施例三的过程示意图。本实施例是以用户登录后，服务器的认证鉴权网元对服务器的应用服务网元1～n进行统一鉴权为例对本发明进行详细阐述的。具体包括如下步骤：

301、终端向服务器的认证鉴权网元发送登录请求。

本步骤中，终端提供登录界面，当用户需要登录时，终端进入登录界面，输入用户名和密码后向服务器发送登录(Log on)请求，服务器的认证鉴权网元接收该登录请求。该过程中，可选的，登录请求可携带用户标识(User ID)等，User ID作为集群通信中各个应用服务的统一标识。

302、服务器的认证鉴权网元向终端发送令牌。

服务器的认证鉴权网元在接收到登录请求，对用户鉴权通过后，为用户分配令牌并发送给终端。

303、终端向应用服务网元1发送携带令牌的注册请求。

304、应用服务网元1向认证鉴权网元发送令牌以进行令牌认证。

本步骤中，服务器的应用服务网元1发送令牌到服务器的认证鉴权网元以进行令牌认证。

305、终端向应用服务网元2发送携带令牌的注册请求。

306、应用服务网元2向认证鉴权网元发送令牌以进行令牌认证。

307、终端向应用服务网元3发送携带令牌的注册请求。

308、应用服务网元3向认证鉴权网元发送令牌以进行令牌认证。

由图3可知，服务器的认证鉴权网元提供单点登录服务器，用户到服务器的认证鉴权网元进行登录认证，成功登录后由服务器的认证鉴权网元为其分配token；然后，终端到服务器的各应用服务网元进行注册，携带同一个token，各应用服务网元通过该token到认证鉴权网元进行令牌认证，认证完成后，用户才可以与该服务器的各应用服务网元进行应用服务交互，才可以合法使用各应用服务网元提供的业务。

需要说明的是，本实施例中，步骤303、305、307的执行并无严格的先后顺序，例如，在其他可行的实现方式中，也可以是终端先到应用服务网元 2或应用服务网元n(n≠1)进行注册，然后到应用服务网元1进行注册。

图4为本发明集群系统中应用统一鉴权方法实施例四的逻辑框架图。请参照图4，服务器中的主要逻辑网元有用户数据中心(User Data Center，UDC)、多媒体调度中心(Multimedia Dispatch Center，MDC)、核心分组网演进(Evolved Packet core，EPC)、会话初始协议核心(Session Initiation Protocol core，SIP core)等，后续的流程实现以该框架为基础进行阐述。

其中，UDC具有承担用户、群组等开户数据的配置管理，以及统一登录服务、用户信息服务、策略服务、安全配置服务等功能，其可提供鉴权认证服务(Authentication Authorization Server，AAS)、用户信息服务(User Information Server，UIS)、服务质量控制(Quality Of Service Control，QoS)、安全服务(Security Server)、用户管理(User Management)、群组管理(Group Management)等，其中，AAS为统一鉴权认证中心，提供用户的登录管理服务、用户的应用服务接入地址、各应用的鉴权服务等，可和标准的第三方验证、授权和记账(Authentication、Authorization、Accounting，AAA)服务对接。UIS可提供通讯录服务、用户静态数据配置服务、用户权限Profile下载服务以及提供给群组使用的群组列表下载服务等。

MDC以业务为中心，可提供组呼(Push to Talk，PTT server)、点呼服务、集群服务、蜂窝上的实时集群对讲业务(Push to talk over Cellular，POC)、短数据服务(Short Data Service，SDS)、录音录像服务等。

SIP core为SIP接入路由中心，提供SIP注册和路由服务。

EPC为系统演进结构(System Architecture Evolution，SAE)的主要组成部分。

如图4所示，A1为UDC与终端之间的接口，其采用超文本传输协议(Hyper Text Transfer Protocol，HTTP)/信令适配层(Signaling Atm Adaptation Layer，SAAL)进行通信；A2为UDC与SIP core之间的接口；A3为UDC与MDC之间的接口；B1为终端与SIP core之间的接口，其采用SIP进行通信；B2为SIP core与MDC之间的接口之间的接口，其采用SIP进行通信；B3为MDC与EPC之间的接口，其可为策略和计费规则功能(Policy And Charging Rules Function，PCRF)接口或Rx接口；B4为MDC与EPC之间的接口，其可为MB2-C接口或MB2-U接口；B5为MDC与终端之间的接口， 其可为媒体面接口。下面，结合图3，对本发明集群系统中应用统一鉴权方法进行详细说明。具体可参见图5与图6。

图5为本发明集群系统中应用服务统一鉴权方法实施例五的信令图，本实施例是以服务器的认证鉴权网元为AAS，服务器的应用服务网元分别为UIS、SIP core或SDS为例对本发明进行详细阐述的，其具体包括如下步骤：

501、用户发起登录请求。

终端进入登录界面，输入用户的用户名和密码后发起登录过程，向AAS发送登录(Log on)请求，该Log on请求携带用户标识User ID。可选的，该登录请求还携带用户密码(Pass word)以及终端所属区域的区域位置标识Area ID等。

502、对用户鉴权并分配令牌。

AAS对用户进行认证鉴权，鉴权通过后为用户分配唯一身份令牌。可选的，鉴权通过后，AAS还保存User ID和Area ID的对应关系。

503、AAS向终端发送携带令牌的登录响应消息。

504、终端向UIS发送携带令牌和用户标识的注册请求。

当服务器的应用服务网元为UIS时，终端向UIS发送携带令牌和用户标识(User ID)的注册请求(Register)。

505、UIS向AAS发送令牌以进行令牌认证。

本步骤中，UIS向AAS发送令牌以进行令牌认证。

506、UIS向终端发送注册响应消息。

当AAS对UIS的令牌认证通过后，UIS向终端返回会话标识(Session ID)，并向终端发送注册响应消息以告知终端令牌认证通过。

507、终端到UIS获取用户权限。

508、终端到UIS获取企业通讯录。

509、终端到UIS获取群组信息列表。

步骤507～509中，终端向UIS请求下载用户权限(Profile)信息、企业通讯录(Address Book)内容、群组信息列表(Group List)等，其中，群组信息列表用于终端做群组扫描、群组加入及显示等。

另外，步骤506～509终端与UIS的交互中，协议可采用超文本传输协议(Hyper Text Transport Protocol，HTTP)等，本发明并不以此为限制。

510、终端向SIP core发送携带令牌和用户标识的注册请求。

若终端与UIS交互获取到用户权限、群组列表后，若终端拥有集群权限，则本步骤中，终端向SIP core发起SIP注册，携带User ID和成功登录后获取的唯一身份令牌。

511、SIP core向AAS发送令牌以进行令牌认证。

SIP core接收到终端发送的注册请求后，将注册请求携带的令牌和User ID发送给AAS，以使得AAS对用户进行令牌认证。

512、SIP core向终端发送注册响应消息。

若令牌认证通过，SIP core向终端发送注册响应消息，如SIP core向终端返回注册200OK应答。

513、终端与SIP Core之间建立集群业务信令。

令牌认证通过后，终端与SIP core之间可进行集群业务的信令建立过程。

上述步骤510～513中，终端与SIP Core的交互中，在应用层面不具体区分SIP的点呼、集群、短信等，SIP core应用集中注册。

另外，步骤510～513终端与SIP core的交互中，协议可采用超SIP协议等，本发明并不以此为限制。

514、终端向SDS发送携带令牌和用户标识的注册请求。

若终端与UIS交互获取到用户权限、群组列表后，若终端拥有短数据业务权限，则本步骤中，终端向SDS发起注册，携带User ID和成功登录后获取的唯一身份令牌。

515、SDS向AAS发送令牌以进行令牌认证。

SDS接收到终端发送的注册请求后，将注册请求携带的令牌和User ID发送给AAS，以使得AAS对用户进行令牌认证。

516、SDS向终端发送注册响应消息。

若令牌认证通过，SDS向终端发送注册响应消息，如SIP core向终端返回注册命令正确应答(Acknowledgement Character，ACK)

517、终端与SDS进行短数据业务交互。

令牌认证通过后，终端与SDS之间可进行短数据业务交互。

上述步骤514～517终端与SDS的交互中，协议可采用可扩展通讯和表示协议(Xml based Messaging And Presence Protocol，XMPP)等，本发明并不 以此为限制。

另外，需要说明的是，上述终端与SIP core(即步骤510～513)、终端与SDS的交互并没有严格的顺序，例如，在其他可行的实现方式中，也可以是终端先与SDS交互，然后终端在于SIP core交互；或者，终端仅与SIP core交互；或者，终端仅与SDS交互。

图6为本发明集群系统中应用服务统一鉴权方法实施例六的信令图，相较于图5所示实施例，本实施例中，服务器的认证鉴权网元在接收到终端发送的登录请求后，对终端进行鉴权后，除了为终端分配令牌，还为该令牌分配令牌过期时间，其具体包括如下步骤；

601、用户发起登录请求。

602、AAS对用户鉴权并在T0时刻分配令牌及令牌过期时间。

本步骤中，除了为用户分配令牌外，AAS还分配该令牌对应的令牌过期时间。

603、AAS向终端发送携带令牌及令牌过期时间的登录响应消息。

604、终端在T1时刻保存令牌及令牌过期时间。

在接收到登录响应消息后，终端在当前时刻T1保存令牌及令牌过期时间。例如，假设T0为12:00，T1为12:01，令牌过期时间为20分钟，则该在T0时刻分配的令牌将在12：21分过期。

605、终端与UIS采用T0时刻分配的令牌进行认证鉴权及应用服务交互。

终端执行令牌过期时间之前的应用注册，例如，终端到UIS进行注册并进行后续的用户Profile、通讯录及群组列表的下载等，具体可参见上述步骤507～509，此处不再赘述。

606、终端在T2时刻向AAS发送刷新消息。

终端在令牌过期时间到期之前，终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。例如，在T2时刻，假设T2＝T1+令牌过期时间*90％时，沿用步骤604中的例子，则在T2为12:19分时，终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。

607、AAS向终端发送携带新的令牌及新的令牌过期时间的刷新响应消息。

需要说明的是，除了终端可以主动向AAS发送刷新流程以获取新的令牌 及令牌过期时间外，也可以是AAS主动向终端发送刷新通知，以使得终端在收到AAS在收到刷新通知后向AAS发起令牌刷新流程，具体可参见步骤608～

608、AAS在T3时刻向终端发送刷新通知。

AAS在令牌过期时间到期之前向终端发送刷新通知，以使终端获取新的令牌和令牌过期时间。例如，终端T3时刻发起刷新流程，T3＝T0+令牌过期时间时，沿用步骤604中的例子，则在T3为12:20分时，终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。

609、终端向AAS发送刷新消息。

终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。

610、AAS向终端发送携带新的令牌及新的令牌过期时间的刷新响应消息。

上述步骤608～610可以看成一个异常保护流程，即当终端未在T1时刻发起刷新流程时，即上述步骤606、607未执行时才启动步骤608～610。当然，也可以将终端发起刷新流程与AAS通知终端发起刷新流程看做并列的方案，本发明并不以此为限制。

611、终端与SIP core采用新分配的令牌进行认证鉴权及应用服务交互。

图7为本发明服务器实施例一的结构示意图。本实施例提供的服务器，其可实现本发明任意实施例提供的应用于服务器的方法的各个步骤。具体的，本实施例提供的服务器具体包括：应用服务网元11与认证鉴权网元12。

其中，所述应用服务网元11接收终端发送的注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识，所述令牌为所述用户登录所述终端时所述认证鉴权网元12为其分配的；

所述应用服务网元11根据所述身份标识对所述终端进行注册；并向所述认证鉴权网元12发送所述令牌；

所述认证鉴权网元12根据所述令牌，对所述用户进行令牌认证；

若所述令牌认证通过，则所述应用服务网元11与所述终端进行应用服务交互。

本发明实施例提供的服务器，服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元，注册请求携带指示发起注册请求的用户的唯一身份的令牌，令牌为用户登录终端时服务器的认证鉴权网元为其 分配的；然后，服务器的认证鉴权网元根据令牌，对用户进行令牌认证；最后，若令牌认证通过，则服务器的应用服务网元与终端进行应用服务交互。该过程中，对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的，集群通信中使用该User ID作为各个应用业务的统一标识，各应用服务的鉴权和用户登录有效的结合起来，做到了统一鉴权认证，从而提高了集群系统的安全性。

可选的，在本发明一实施例中，所述应用服务网元11接收终端发送的注册请求之前，还包括：

所述认证鉴权网元12接收所述用户通过所述终端发送的登录请求，所述登录请求携带所述身份标识；

所述认证鉴权网元12根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述认证鉴权网元12为所述用户分配所述令牌；

所述认证鉴权网元12向所述终端发送登录响应消息，所述登录响应消息携带所述令牌。

可选的，在本发明一实施例中，所述应用服务网元11接收终端发送的注册请求之前，还包括：

所述认证鉴权网元12接收所述用户通过所述终端发送的登录请求，所述登录请求携带所述身份标识；

所述认证鉴权网元12根据所述身份标识对所述用户进行鉴权认证；

若鉴权认证通过，则所述认证鉴权网元12为所述用户分配所述令牌并配置令牌过期时间；

所述认证鉴权网元12向所述终端发送登录响应消息，所述登录响应消息携带所述令牌及所述令牌过期时间。

可选的，在本发明一实施例中，若所述令牌认证通过，则所述应用服务网元11与所述终端进行应用服务交互之前还包括：

所述认证鉴权网元12接收所述终端在所述令牌过期时间到期之前发送的刷新消息；

所述认证鉴权网元12根据所述刷新消息，为所述终端重新分配令牌和令牌过期时间。

可选的，在本发明一实施例中，若所述令牌认证通过，则所述应用服务 网元11与所述终端进行应用服务交互之前还包括：

所述认证鉴权网元12向所述终端发送刷新通知，以使所述终端获取新的令牌和令牌过期时间。

图8为本发明终端实施例一的结构示意图。本实施例提供的终端，其可实现本发明任意实施例提供的应用于终端的方法的各个步骤。具体的，本实施例提供的终端具体包括：

发送模块21，用于服务器的应用服务网元发送注册请求，所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识，以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册，并将所述令牌发送给所述服务器的认证鉴权网元，进而由所述服务器的认证鉴权网元根据令牌，对所述用户进行令牌认证，所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的；

交互模块22，用于若所述令牌认证通过，则与所述应用服务器的应用服务网元进行应用服务交互。

图9为本发明终端实施例二的结构示意图。如图9所示，本实施例提供的终端在图8所示终端的基础上，进一步的，还包括：第一接收模块23，

所述发送模块21，用于在向所述服务器的应用服务网元发送注册请求之前，向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证，所述登录请求携带所述身份标识；

所述终端接收，用于接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌。

再请参照图9，终端还包括：第二接收模块24，

所述发送模块21，用于在向服务器的应用服务网元发送注册请求之前，向所述服务器的认证鉴权网元发送登录请求，以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证，所述登录请求携带所述身份标识；

所述第二接收模块24，用于接收所述服务器的认证鉴权网元发送的登录响应消息，所述登录响应消息携带所述令牌和令牌过期时间。

可选的，在本发明一实施例中，所述发送模块21，还用于若所述令牌认证通过，则在所述交互模块22与所述应用服务器的应用服务网元进行应用服 务交互之前，在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息；

所述第二接收模块24，用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

可选的，在本发明一实施例中，所述若所述令牌认证通过，则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前，还包括：

所述第二接收模块24，还用于若所述令牌认证通过，所述交互模块22与所述应用服务器的应用服务网元进行应用服务交互之前，接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知；

所述发送模块21，还用于向所述服务器的认证鉴权网元发送刷新消息；

所述第二接收模块24，还用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。