一种集群通信系统中非接入层摘要鉴权方法与流程

本发明涉及通信技术领域，具体涉及一种集群通信系统中非接入层摘要鉴权方法。

背景技术：

集群通信系统是为了满足行业用户指挥调度的需求而开发、面向特定行业应用的专用无线通信系统。集群通信系统中大量无线用户共享少量无线信道，以指挥调度业务为主体应用，是一种多用途、高效能利用频率资源的无线通信系统。集群通信系统在政府部门、公共安全、应急通信、电力、民航、石油化工和军队等领域有着广泛的应用市场。lte(longtermevolution，长期演进)的宽带多媒体集群通信系统是以第四代移动通信技术lte为核心技术，将lte的高速率、大带宽与数字集群技术中的资源共享、快速呼叫建立、指挥调度等特点进行融合的集语音、数据、视频为一体的新一代宽带数字多媒体集群通信系统。

随着宽带多媒体集群业务需求的涌现，对于公共安全、政务等行业用户，希望在一个集群终端上允许多个用户登录使用，每个用户根据用户名和密码登录集群终端并进行集群调度业务。这就要求网络侧对不同用户进行鉴权，鉴权通过的用户才允许登录集群通信系统。

中国工业和信息化部2013年发布的《基于lte技术的宽带集群通信(b-trunc)系统总体技术要求(第一阶段)》未定义集群通信系统用户登录并进行鉴权的功能。理论上任意用户都可以使用合法集群终端登录集群通信系统进行集群业务。

可见，现有技术中，非法用户如果使用合法集群终端而仿冒、伪造集群用户登录集群通信系统，就可以进行集群业务，集群通信系统安全隐患很大。

技术实现要素：

鉴于上述问题，本发明提出了克服上述问题或者至少部分地解决上述问题的一种集群通信系统中非接入层摘要鉴权方法，用于对多用户登录集群通信系统进行鉴权，实现用户和集群通信系统之间的双向鉴权。

第一方面，本发明提出一种集群通信系统中非接入层摘要鉴权方法，包括：

用户设备ue向目标集群核心网t-cn发送集群注册请求消息，该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值，以使所述目标t-cn基于所述登录鉴权指示信息，向所述ue反馈集群注册接受消息；

所述ue基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值，鉴权所述目标t-cn；其中，所述第一响应参数值为所述目标t-cn基于所述第一质询参数值得到的参数值；

若鉴权成功，则所述ue基于所述集群注册接受消息中携带的用于质询ue的第二质询参数值，得到用于鉴权ue的第二响应参数值；

所述ue向所述目标t-cn发送集群注册完成消息，该消息中携带有所述第二响应参数值，以使所述目标t-cn基于所述第二响应参数值鉴权所述ue，实现非接入层摘要鉴权。

第二方面，本发明还提出一种集群通信系统中非接入层摘要鉴权方法，包括：

t-cn在接收到目标ue发送的携带有登录鉴权指示信息以及用于质询网络的第一质询参数值的集群注册请求消息后，基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值；

所述t-cn基于所述登录鉴权指示信息，向所述目标ue反馈集群注册接受消息，该消息中携带有所述第一响应参数值以及用于质询ue的第二质询参数值，以使所述目标ue基于所述第一响应参数值鉴权所述t-cn；

所述t-cn接收所述目标ue在鉴权所述t-cn成功后发送的携带有用于鉴权ue的第二响应参数值的集群注册完成消息，基于所述第二响应参数值鉴权所述目标ue，实现非接入层摘要鉴权；其中，第二响应参数值为目标ue基于所述第二质询参数值得到的参数值。

相比于现有技术，针对lte宽带集群通信系统，本发明提出的集群通信系统中非接入层摘要鉴权方法，是基于质询－响应(challenge－response)的共享密钥体制的非接入层摘要(nasdigest)的用户接入鉴权方法，通过复用宽带集群通信(b-trunc)第一阶段的三条注册相关消息，实现终端对网络和网络对终端的双向鉴权。

进一步地，本发明提出的集群通信系统中非接入层摘要鉴权方法，是基于质询－响应(challenge－response)的共享密钥体制的非接入层摘要(nasdigest)的用户接入鉴权方法，在非接入层(nas)终端和lte集群核心网(t-cn)间不传递密钥，只传递经过散列函数计算的响应值，有效避免伪造和仿冒用户的攻击。安全、可靠性高。

进一步地，针对多用户登录时的鉴权，本发明复用宽带集群通信(broadbandtrunkingcommunication，b-trunc)第一阶段《2014-1131t-yd_b-trunc系统_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程。无需新增或修改b-trunc第一阶段注册和周期性注册流程。并且本方法保证多用户登录和鉴权过程不影响符合b-trunc第一阶段要求的芯片非接入层(nas)状态机的状态。即在应用层维护注册、鉴权状态，不影响芯片nas状态机状态。降低了实现成本。

进一步地，本发明提出的集群通信系统中非接入层摘要鉴权方法，以应用容器(也称为鉴权参数容器)的方式扩展非接入层nas注册相关消息(即集群注册请求消息、集群注册接受消息及集群注册完成消息)，并能支持其他鉴权机制，而不影响已有鉴权方法。

进一步地，本发明提出的集群通信系统中非接入层摘要鉴权方法，适用于多集群核心网组网场景。消息流程复用sip注册digest鉴权流程，通过携带扩展ptt-extension携带鉴权参数支持漫游集群终端在拜访域tcf的注册和鉴权。

附图说明

图1为本发明第一实施例提供的一种集群通信系统中非接入层摘要鉴权方法流程图；

图2为本发明第二实施例提供的一种集群通信系统中非接入层摘要鉴权方法流程图；

图3为本发明第三实施例提供的多集群系统组网时漫游用户注册流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

需要说明的是，在本文中，“第一”、“第二”、“第三”、“第四”字样仅仅用来将相同的名称区分开来，而不是暗示这些名称之间的关系或者顺序。

本发明各实施例遵循下列前提和说明1～4：

1、非接入层(non-accessstratum，nas)信令在用户设备(userequipment，ue)(也称为用户终端)附着lte接入网络后，全部按照加密方式在空口传递。鉴权过程包含在注册过程，并受nas信令加密的保护。

2、下文中注册注销流程和消息定义引用：

《2014-1131t-yd_b-trunc系统_接口测试方法(第一阶段)_终端到集群核心网接口》。扩展部分单独标出。

3、周期性注册和初始注册相同处理。

4、鉴权方法的描述形式采用下面散列函数，引用自[rfc2617]：

h(data)表示以data作为输入参数，用单向散列函数h计算得到结果值。比如使用md5散列函数时，h(data)＝md5(data)。散列函数包括md5，sha-1，sha-2(包括sha-256，sha-512等)。

下式描述了下文中所用的kd函数：即提供输入要加密的密文secret和数据data，使用散列函数得到计算结果。

kd(secret,data)＝h(concat(secret,":",data))

其中，concat表示将密文secret、字符冒号":"对应的ascii编码值0x3a、数据data依次连接组成一个连续完整的数据块，此数据块作为散列函数的输入参数。比如concat(0x12,0x3a,0x56)的结果为0x123a56的数据块。

data是多个参数连接组成的数据块，以冒号":"对应的ascii编码值0x3a分割不同参数。

本文中采用字符冒号":"来分割组成数据块的各参数，本领域技术人员可用其他字符来实现冒号":"的功能。

如图1所示，本实施例公开一种集群通信系统中非接入层(non-accessstratum，nas)摘要(digest)鉴权方法，用于对用户登录集群通信系统进行鉴权，本实施例的执行主体为ue，该方法可包括如下步骤101～104：

101、用户设备(userequipment，ue)(也称为用户终端)向目标集群核心网(trunking-corenetwork，t-cn)发送集群注册请求(trunkingregisterrequest)消息，该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值，以使所述目标t-cn基于所述登录鉴权指示信息，向所述ue反馈集群注册接受(trunkingregisteraccept)消息。

102、所述ue基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值，鉴权所述目标t-cn；其中，所述第一响应参数值为所述目标t-cn基于所述第一质询参数值得到的参数值。

103、若鉴权成功，则所述ue基于所述集群注册接受消息中携带的用于质询ue的第二质询参数值，得到用于鉴权ue的第二响应参数值。

104、所述ue向所述目标t-cn发送集群注册完成(trunkingregistercomplete)消息，该消息中携带有所述第二响应参数值，以使所述目标t-cn基于所述第二响应参数值鉴权所述ue，实现非接入层摘要鉴权。

可见，本实施例公开的集群通信系统中非接入层摘要鉴权方法针对lte宽带集群系统，提出了一种基于质询－响应(challenge-response)的共享密钥体制的非接入层摘要(nasdigest)鉴权用户访问接入(accessauthentication)的方法。本方法可以确保使用非接入层nas协议的b-trunc集群终端用户，通过nasdigest鉴权方法双向鉴权终端和网络。

进一步地，本实施例公开的集群通信系统中非接入层摘要鉴权方法，通过复用宽带集群通信(b-trunc)第一阶段的三条注册相关消息(即集群注册请求消息、集群注册接受消息及集群注册完成消息)，实现终端对网络和网络对终端的双向鉴权。

进一步地，本实施例公开的集群通信系统中非接入层摘要鉴权方法，在非接入层(nas)终端和lte集群核心网(t-cn)间不传递密钥，只传递经过散列函数计算的响应值，有效避免伪造和仿冒用户的攻击。安全、可靠性高。

进一步地，针对多用户登录时的鉴权，本实施例复用b-trunc第一阶段《2014-1131t-yd_b-trunc系统_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程。无需新增或修改b-trunc第一阶段注册和周期性注册流程。并且本方法保证多用户登录和鉴权过程不影响符合b-trunc第一阶段要求的芯片非接入层(nas)状态机的状态。即在应用层维护注册、鉴权状态，不影响芯片nas状态机状态。降低了实现成本。

步骤101中所述用于质询网络的第一质询参数值通过下式得到：

cnonce＝kd(time-stampue，tpiue":"private-keyue)

其中，cnonce为所述第一质询参数，time-stampue为所述ue本地的时间戳，tpiue为所述集群注册请求消息中携带的集群过程事务标识，private-keyue为所述ue的私有标识，tpiue与private-keyue的组合tpiue":"private-keyue作为kd函数的第二参数，kd函数有两个参数：第一参数和第二参数，所述第一参数为所述time-stampue，kd函数表示对第一参数和第二参数构成的数据进行散列。

步骤101中所述集群注册请求消息的应用容器字段中携带有所述登录鉴权指示信息以及所述第一质询参数值；步骤104中所述集群注册完成消息的应用容器字段中携带有所述第二响应参数值。

可见，本实施例公开的集群通信系统中非接入层摘要鉴权方法，以应用容器(也称为参数容器)的方式扩展集群注册请求消息、集群注册完成消息，并能支持其他鉴权机制，而不影响已有鉴权方法。

步骤102中所述ue基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值，鉴权所述目标t-cn，包括图1中未示出的步骤1021和1022：

1021、所述ue通过下式计算用于鉴权网络的第三响应参数值：

response3＝kd(h(aue)，cnonce":"nonce-count":"subscriberbcdnumber)

其中，response3为所述第三响应参数值，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue的用户号码的二进制编码的十进制码；

其中，h(aue)＝h(username":"pwdue":"realm)，h函数为散列函数，username为所述ue登录集群通信系统的用户名，pwdue为所述ue登录集群通信系统的密码，realm为所述集群注册请求消息中域字段携带的信息；

1022、所述ue通过比较所述第三响应参数值与所述第一响应参数值来鉴权所述目标t-cn；

相应地，步骤103中所述鉴权成功，包括：所述ue比较所述第三响应参数值与所述第一响应参数值，若相等，则鉴权所述目标t-cn成功。

步骤103中所述ue基于所述集群注册接受消息中携带的用于质询ue的第二质询参数值，得到用于鉴权ue的第二响应参数值，包括：

所述ue基于所述集群注册接受消息中携带的用于质询ue的第二质询参数值，通过下式得到用于鉴权ue的第二响应参数值；

response2＝kd(h(aue)，nonce":"cnonce":"nonce-count":"subscriberbcdnumber)

其中，response2为所述第二响应参数值，nonce为所述第二质询参数，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue的用户号码的二进制编码的十进制码；

其中，h(aue)＝h(username":"pwdue":"realm)，h函数为散列函数，username为所述ue登录集群通信系统的用户名，pwdue为所述ue登录集群通信系统的密码，realm为所述集群注册请求消息中域字段携带的信息。

如图2所示，本实施例公开一种集群通信系统中非接入层摘要鉴权方法，与图1相比，本实施例的执行主体为t-cn，该方法可包括以下步骤201～203：

201、t-cn在接收到目标ue发送的携带有登录鉴权指示信息以及用于质询网络的第一质询参数值的集群注册请求消息后，基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值；

202、所述t-cn基于所述登录鉴权指示信息，向所述目标ue反馈集群注册接受消息，该消息中携带有所述第一响应参数值以及用于质询ue的第二质询参数值，以使所述目标ue基于所述第一响应参数值鉴权所述t-cn；

203、所述t-cn接收所述目标ue在鉴权所述t-cn成功后发送的携带有用于鉴权ue的第二响应参数值的集群注册完成消息，基于所述第二响应参数值鉴权所述目标ue，实现非接入层摘要鉴权；其中，第二响应参数值为目标ue基于所述第二质询参数值得到的参数值。

本实施例的效果及说明可参见图1所示的实施例，在此不再赘述。

步骤201中所述基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值，包括：

基于所述第一质询参数值，通过下式得到所述第一响应参数值：response1＝kd(h(at-cn)，cnonce":"nonce-count":"subscriberbcdnumber)

其中，response1为所述第一响应参数值，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue的用户号码的二进制编码的十进制码；

其中，h(at-cn)＝h(username":"pwdt-cn":"realm)，username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username，pwdt-cn为所述t-cn中记录的与该username对应的密码，realm为所述集群注册请求消息中域字段携带的信息。

步骤202中所述用于质询ue的第二质询参数值通过下式得到：

nonce＝kd(time-stampt-cn,tpit-cn":"private-keyt-cn":"username)

其中，nonce为所述第二质询参数，time-stampt-cn为所述t-cn的绝对时间，tpit-cn为所述集群注册接受消息中携带的集群过程事务标识，private-keyt-cn为所述t-cn的私有标识，username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username。

步骤202中所述集群注册接受消息的应用容器字段中携带有所述第一响应参数值以及用于质询ue的第二质询参数值。

步骤203中所述基于所述第二响应参数值鉴权所述目标ue，包括以下图2中未示出的步骤2031和2032：

2031、所述t-cn通过下式计算用于鉴权所述目标ue的第四响应参数值：

response4＝kd(h(at-cn)，nonce":"cnonce":"nonce-count":"subscriberbcdnumber)

其中，response4为所述第四响应参数值，nonce为所述第二质询参数，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述目标ue的用户号码的二进制编码的十进制码；

其中，h(at-cn)＝h(username":"pwdt-cn":"realm)，h函数为散列函数，username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username，pwdt-cn为所述t-cn中记录的与该username对应的密码，realm为所述集群注册请求消息中域字段携带的信息；

2032、所述t-cn比较所述第四响应参数值与所述第二响应参数值，若相等，则鉴权所述目标ue成功。

基于上述图1和图2公开的集群通信系统中非接入层摘要鉴权方法，下面给出具体的例子进行进一步解释说明，非接入层摘要鉴权包括以下三个过程(一)至(三)。

(一)ue向t-cn发送集群注册请求(trunkingregisterrequest)消息，该消息中的应用容器(applicationcontainer)字段携带有登录鉴权指示信息，用于指示集群用户登录鉴权，应用容器字段携带初始鉴权参数，包括用于质询网络的第一质询参数值cnonce，具体的，还包括:authenticationschema、username、nonce-count、realm以及algorithm。

其中，authenticationschema表示鉴权方案，默认是nasdigest鉴权。username为ue登录集群通信系统的用户名。nonce-count为cnonce的计数值。realm为鉴权所保护的域，作用同rfc2617中的realm。algorithm为散列函数方法，包括md5，sha-1，sha-2。cnonce由ue生成且每次集群注册请求消息中携带的cnonce值都不同。第一质询参数值cnonce通过下式得到：

cnonce＝kd(time-stampue，tpiue":"private-keyue)

其中，cnonce为所述第一质询参数；time-stampue为所述ue本地的时间戳；tpiue为所述集群注册请求消息中携带的集群过程事务标识；private-keyue为所述ue的私有标识，private-keyue使用终端国际移动用户识别码imsi+随机值；tpiue与private-keyue的组合tpiue":"private-keyue作为kd函数的第二参数，kd函数有两个参数：第一参数和第二参数，所述第一参数为所述time-stampue，kd函数表示对第一参数和第二参数构成的数据进行散列。

表1示出了集群注册请求(trunkingregisterrequest)消息内容。

表1trunkingregisterrequest消息内容

消息中已知信息元素(informationelement，ie)(也称为信元)的列表，并给出各ie在消息中的顺序。所有的必选字段必须定义在可选字段的前面。表中每个ie的定义包括：

信息元素的标识符(iei)，十六进制表示法，如果ie有格式t，tv，tlv或tlv-e，长度为字节的整数倍。如果iei是半字节的长度，它是指定的符号代表的参数作为一个十六进制数字后面加上一个“-”。

ie的名字，信息元素的名称后面加上“ie”或“informationelement”在本文是用于消息的信息元素引用。

表2为应用容器(applicationcontainer)的定义。表3为应用容器内容(applicationcontainercontents)的定义。

表2applicationcontainer定义

表3applicationcontainercontents定义

applicationtype取值1时，携带应用参数集合(applicationparameters)见表4。

表4初始鉴权携带的应用参数集合(applicationparameters)

m必选字段仅针对鉴权方案是nasdigest时必选携带。后续不再单独说明。

(二)t-cn向ue返回集群注册接受(trunkingregisteraccept)消息，该消息中的应用容器(applicationcontainer)字段携带有扩展携带有用于鉴权网络的第一响应参数值response1以及用于质询ue的第二质询参数值nonce。

其中，第一响应参数值通过下式得到：

response1＝kd(h(at-cn)，cnonce":"nonce-count":"subscriberbcdnumber)

其中，response1为所述第一响应参数值，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue的用户二进制编码的十进制码；

其中，h(at-cn)＝h(username":"pwdt-cn":"realm)，username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username，pwdt-cn为所述t-cn中记录的与该username对应的密码，realm为所述集群注册请求消息中域字段携带的信息。

nonce由t-cn生成，保证每个ue、每次集群注册接受消息中的nonce值都不同。第二质询参数值nonce通过下式得到：

nonce＝kd(time-stampt-cn,tpit-cn":"private-keyt-cn":"username)

其中，nonce为所述第二质询参数；time-stampt-cn为所述t-cn的绝对时间；tpit-cn为所述集群注册接受消息中携带的集群过程事务标识；private-keyt-cn为所述t-cn的私有标识，采用tcf域名或id号+随机值；username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username。

集群注册接受消息的应用容器字段还携带如下参数：authenticationschema、expire以及algorithm。

其中，authenticationschema表示鉴权方案，默认是nasdigest鉴权。expire为注册生命周期，单位秒。algorithm为散列函数方法，包括md5，sha-1，sha-2。

ue收到trunkingregisteraccept消息的response1值后，通过下式计算用于鉴权网络的第三响应参数值：

response3＝kd(h(aue)，cnonce":"nonce-count":"subscriberbcdnumber)

其中，response3为所述第三响应参数值，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue用户号码的二进制编码的十进制码；

其中，h(aue)＝h(username":"pwdue":"realm)，h函数为散列函数，username为所述ue登录集群通信系统的用户名，pwdue为所述ue登录集群通信系统的密码，realm为所述集群注册请求消息中域字段携带的信息；

ue通过比较所述第三响应参数值与所述第一响应参数值来鉴权t-cn；若相等，则鉴权t-cn成功，ue将发送集群注册完成(trunkingregistercomplete)消息。如果鉴权t-cn失败，ue可以继续注册过程，但不携带鉴权参数。如果注册完成后，终端必须立即发起注销工作。

表5为集群注册接受(trunkingregisteraccept)消息内容，该消息用于指示接受ue集群注册请求，但不表示ue集群注册鉴权通过。

表5trunkingregisteraccept消息内容

应用容器内容定义参见表3，applicationtype取值2时，携带应用参数集合(applicationparameters)见表6

表6鉴权质询携带的应用参数集合(applicationparameters)

(三)ue如果鉴权t-cn成功，则向t-cn发送集群注册完成(trunkingregistercomplete)消息中，该消息中携带用于鉴权ue的第二响应参数值response2。

response2通过下式得到；

response2＝kd(h(aue)，nonce":"cnonce":"nonce-count":"subscriberbcdnumber)

其中，response2为所述第二响应参数值，nonce为所述第二质询参数，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述ue用户号码的二进制编码的十进制码；

其中，h(aue)＝h(username":"pwdue":"realm)，h函数为散列函数，username为所述ue登录集群通信系统的用户名，pwdue为所述ue登录集群通信系统的密码，realm为所述集群注册请求消息中域字段携带的信息。

集群注册完成消息的应用容器字段还携带如下参数：authenticationschema、realm。

其中，authenticationschema:鉴权方案，默认是nasdigest鉴权方案。realm为鉴权所保护的域，作用同rfc2617中realm定义。

t-cn收到集群注册完成消息携带的response2值后，通过下式计算用于鉴权ue的第四响应参数值：

response4＝kd(h(at-cn)，nonce":"cnonce":"nonce-count":"subscriberbcdnumber)

其中，response4为所述第四响应参数值，nonce为所述第二质询参数，cnonce为所述第一质询参数，nonce-count为所述第一质询参数的计数值，所述集群注册请求消息中携带有nonce-count，subscriberbcdnumber为所述集群注册请求消息中携带的所述目标ue用户号码的二进制编码的十进制码；

其中，h(at-cn)＝h(username":"pwdt-cn":"realm)，h函数为散列函数，username为所述目标ue登录集群通信系统的用户名，所述集群注册请求消息中携带有所述username，pwdt-cn为所述t-cn中记录的与该username对应的密码，realm为所述集群注册请求消息中域字段携带的信息。

t-cn比较所述第四响应参数值与所述第二响应参数值，若相等，则鉴权ue成功。t-cn记录注册并鉴权成功状态。如果鉴权ue失败，t-cn必须立即发起注销用户流程，并拒绝ue除注册请求的其他任何nas集群业务请求。

表7为集群注册完成(trunkingregistercomplete)消息内容。

表7trunkingregistercomplete消息内容

应用容器内容定义参见表3，applicationtype取值3时，携带应用参数集合(applicationparameters)见表8。

表8鉴权响应携带的应用参数集合(applicationparameters)

对于多集群系统组网时漫游用户注册，漫游集群终端成功注册过程，如图3所示，处理流程如下1～7：

1、集群终端漫游到拜访地进行集群注册。ue发送nas(trunkingregisterrequest)消息，即非接入层的集群注册请求消息到拜访地集群控制功能体(trunkingcontrolfunction-visited，tcf-v)。携带初始鉴权请求信息。

2、tcf-v向终端归属地集群控制功能体(trunkingcontrolfunction-home，tcf-h)发送sip(register)消息，sip为sessioninitiationprotocol，即会话初始协议。sip(register)消息，即会话初始协议的注册消息，携带扩展头ptt-extension头，携带鉴权方案，用户名，cnonce，nonce-count，algorithm，realm。

3、tcf-h向tcf-v返回会话初始协议注册响应消息，即sip(401unauthorized)消息，携带扩展头ptt-extension头，携带鉴权方案，nonce，response1，algorithm，realm，expire。

4、tcf-v向终端发送nas(trunkingregisteraccept)，即非接入层的集群注册接受消息，携带网络鉴权质询响应信息。

5、终端鉴权网络成功后，终端向tcf-v发送nas(trunkingregistercomplete)消息，即非接入层的集群注册完成消息，携带终端鉴权响应信息。

6、tcf-v向tcf-h发送sip(register)消息，携带扩展头ptt-extension头，携带鉴权方案，用户名，response2，realm。

7、tcf-h鉴权匹配终端响应信息，如果成功则向tcf-v发送成功响应，即sip(200ok)响应。否则发送错误响应，即403forbidden错误响应。tcf-v向终端发起集群注销流程。

消息扩展头示例:

ptt-extension:pttroamingreg；auth-schema＝1,username＝”xxx”,cnonce＝“a1a2a3a4a5a6a7a8”,nonce-count＝1,algorithm＝3,realm＝”test.com”,nonce＝“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”,expire＝3600,response1＝“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”,response2＝“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”

扩展参数说明：

基于上述图1～图2公开的实施例，本发明有如下有益效果：

一是复用b-trunc第一阶段《2014-1131t-yd_b-trunc系统_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程，底层nas芯片无需新增或修改b-trunc第一阶段注册和周期性注册流程。本方法保证多用户登录和鉴权过程在应用层维护鉴权状态，不影响终端芯片nas状态机注册状态。

二是提出的nasdigest鉴权方法通过3条注册消息实现了终端对网络和网络对终端的双向鉴权。

三是nasdigest鉴权方法是基于质询－响应(challenge-response)的共享密钥体制的鉴权方法，终端和网络间不传递密钥，只传递经过散列函数计算的响应值，有效避免伪造和仿冒用户的攻击。针对宽带集群通信系统提出了cnonce,nonce和response1，response2的专门计算方法，方法简便且安全程度高。

四是鉴权方法以参数容器的方式扩展nas注册消息，可以扩展支持其他的鉴权机制，扩展性好。

五是该鉴权方法同样适用于多集群核心网组网场景。消息流程复用sip注册digest鉴权流程，通过携带扩展ptt-extension携带鉴权参数支持漫游集群终端在拜访域tcf的注册和鉴权。

本领域技术人员可以理解，可以把实施例中的各步骤组合成一个步骤，以及此外可以把它们分成多个子步骤。除了这样的特征和/或过程或者步骤中的至少一些是互相排斥之处，可以采用任何组合对本说明书中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。

本领域技术人员可以理解，实施例中的各步骤可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。

虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。