一种集群终端的集群业务注册方法、系统及核心网系统与流程
本发明涉及宽带集群通信领域,更具体的,涉及一种集群终端的集群业务注册方法、系统及核心网系统。
背景技术:
B-TrunC(Boardband Trunking Communication,宽带集群通信)是由宽带集群(B-TrunC)产业联盟组织制定的基于TD-LTE的“LTE数字传输+集群语音通信”专网宽带集群系统标准。
目前B-TrunC宽带集群终端上只支持单用户登录。终端与集群核心网间的集群业务包括注册、注销通过使用扩展的NAS协议来实现,并未使用传统的SIP协议。终端在通过LTE认证鉴权并成功附着后,开始进行集群注册。终端所发的扩展NAS注册消息中携带了集群能力上报信息,但并未携带用户名、密码等信息。eMME(enhanced Mobility Management Entity,增强型移动管理实体)收到集群注册消息后,从终端上下文信息中获得用户名,代表终端向TCF(Trunking Control Function,集群控制功能模块)进行集群注册。该过程没有进行鉴权,而是基于前面的LTE认证鉴权,TCF认为eMME代表注册的终端是安全的。由于现有技术中eMME不需要向终端进行集群注册鉴权,B-TrunC宽带集群终端上并不支持多用户注册及登录,并且缺乏安全性。
技术实现要素:
有鉴于此,本发明提供了一种集群终端的集群业务注册方法、系统及核心网系统,支持终端与核心网系统之间的集群业务注册的双向鉴权,提高了集群通信的安全性。具体技术方案如下:
一种集群终端的集群业务注册方法,所述方法应用于核心网系统,所述方法包括:
接收终端发送的携带有用户名与摘要算法名称的第一集群注册请求;
根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,并将所述第一鉴权请求发送至所述终端;
接收所述终端发送的携带有鉴权头域信息的第二集群注册请求;
根据所述鉴权头域信息判断对所述终端的鉴权是否成功,若成功,生成携带有用户签约数据与所述头域信息的第二鉴权请求,并将所述第二鉴权请求发送至所述终端,使所述终端根据所述第二鉴权请求对所述核心网系统进行鉴权;
当所述终端对所述核心网系统的鉴权成功后,接收所述终端发送的注册完成信息。
优选的,所述根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,包括:
根据所述第一集群注册请求,获取与所述用户名相对应的鉴权数据;
生成携带有注册失败原因与头域信息的第一鉴权请求,所述头域信息中包括所述鉴权数据。
优选的,所述根据所述鉴权头域信息判断对所述终端的鉴权是否成功包括:
根据所述第二集群注册请求获取所述鉴权头域信息中的认证值与所述终端生成的随机值,并获取与所述用户名相对应的密码;
根据所述用户名、所述密码和所述随机值,通过所述摘要算法名称对应的算法生成对比值;
判断所述认证值与所述对比值是否相同,若相同,鉴权成功。
优选的,所述认证值是由所述用户名、密码和所述随机值通过所述摘要算法名称对应的算法生成的。
优选的,所述方法还包括:
当鉴权失败时,生成携带有注册失败原因的注册响应信息,并将所述注册响应信息发送至所述终端;所述注册失败原因为鉴权失败。
一种核心网系统,所述核心网系统包括:
第一接收单元,用于接收终端发送的携带有用户名与摘要算法名称的第一集群注册请求;
生成单元,用于根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,并将所述第一鉴权请求发送至所述终端;
第二接收单元,用于接收所述终端发送的携带有鉴权头域信息的第二集群注册请求;
判断单元,用于根据所述鉴权头域信息判断对所述终端的鉴权是否成功,若成功,生成携带有用户签约数据与所述头域信息的第二鉴权请求,并将所述第二鉴权请求发送至所述终端,使所述终端根据所述第二鉴权请求对所述核心网系统进行鉴权;
第三接收单元,用于当所述终端对所述核心网系统的鉴权成功后,接收所述终端发送的注册完成信息。
优选的,所述生成单元包括:
第一获取子单元,用于根据所述第一集群注册请求,获取与所述用户名相对应的鉴权数据;
第一生成子单元,用于生成携带有注册失败原因与头域信息的第一鉴权请求,所述头域信息中包括所述鉴权数据。
优选的,所述判断单元包括:
第二获取子单元,用于根据所述第二集群注册请求获取所述鉴权头域信息中的认证值与所述终端生成的随机值,并获取与所述用户名相对应的密码;
第二生成子单元,用于根据所述用户名、所述密码和所述随机值,通过所述摘要算法名称对应的算法生成对比值;
判断子单元,用于判断所述认证值与所述对比值是否相同,若相同,鉴权成功。
优选的,所述核心网系统还包括:
鉴权失败响应单元,用于当鉴权失败时,生成携带有注册失败原因的注册响应信息,并将所述注册响应信息发送至所述终端;所述注册失败原因为鉴权失败。
一种集群终端的集群业务注册方法,所述方法应用于终端,所述方法包括:
生成并向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求;
接收所述核心网系统发送的携带有注册失败原因与头域信息的第一鉴权请求;
当所述注册失败原因为未鉴权时,生成并向所述核心网系统发送携带有鉴权头域信息的第二集群注册请求;
当所述核心网系统对所述终端的鉴权成功时,接收所述核心网系统发送的携带有用户签约数据与所述头域信息的第二鉴权请求;
根据所述头域信息判断对所述核心网系统的鉴权是否成功,若成功,生成并向所述核心网系统发送注册完成信息。
优选的,所述方法还包括:
当所述注册失败原因不是未鉴权时,重新生成并向所述核心网系统发送所述第一集群注册请求。
一种终端,所述终端包括:
第一生成单元,用于生成并向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求;
第一接收单元,用于接收所述核心网系统发送的携带有注册失败原因与头域信息的第一鉴权请求;
第二生成单元,用于当所述注册失败原因为未鉴权时,生成并向所述核心网系统发送携带有鉴权头域信息的第二集群注册请求;
第二接收单元,用于当所述核心网系统对所述终端的鉴权成功时,接收所述核心网系统发送的携带有用户签约数据与所述头域信息的第二鉴权请求;
鉴权单元,用于根据所述头域信息判断对所述核心网系统的鉴权是否成功,若成功,生成并向所述核心网系统发送注册完成信息。
优选的,所述终端还包括:
第三生成单元,用于当所述注册失败原因不是未鉴权时,重新生成并向所述核心网系统发送所述第一集群注册请求。
一种集群终端的集群业务注册系统,所述系统包括:上述核心网系统与上述终端。
相对于现有技术,本发明的有益效果如下:
本发明提供的集群终端的集群业务注册方法,终端向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求,不发送密码,增强了通信的安全性;核心网系统根据第一集群注册请求,生成并向终端发送携带有注册失败原因与头域信息的第一鉴权请求,终端根据第一鉴权请求向核心网系统发送携带有鉴权头域信息的第二集群注册请求,核心网系统判断对终端的鉴权是否成功,若成功,生成并向终端发送携带有用户签约数据与头域信息的第二鉴权请求,使终端根据所述第二鉴权请求对核心网系统进行鉴权;当终端对核心网系统的鉴权成功后,核心网系统接收终端发送的注册完成信息。本发明可以使多个用户使用同一个终端注册及登录,同时实现了终端与核心网系统之间的双向鉴权,提高了终端与核心网系统间通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种集群终端的集群业务注册方法流程图;
图2为本发明实施例公开的一种集群终端的集群业务注册方法的又一方法流程图;
图3为本发明实施例公开的一种集群终端的集群业务注册方法的又一方法流程图;
图4为本发明实施例公开的一种核心网系统的结构示意图;
图5为本发明实施例公开的另一种核心网系统的结构示意图;
图6为本发明另一个实施例公开的一种集群终端的集群业务注册方法流程图;
图7为本发明实施例公开的一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例提供了一种集群终端的集群业务注册方法,所述方法应用于核心网系统,所述方法具体包括以下步骤:
步骤S101:接收终端发送的携带有用户名与摘要算法名称的第一集群注册请求;
具体的,当终端成功附着后开始进行集群业务注册,所述第一集群注册请求中携带了用户名与摘要算法名称,常用的摘要算法为MD5,在这个过程中终端不向核心网系统发送密码,提高了终端与核心网系统之间通信的安全性。
步骤S102:根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,并将所述鉴权请求发送至所述终端;
具体的,本发明实施例提供的方法,终端向核心网系统发送的第一次注册请求是不能实现注册的,核心网系统接收到所述第一集群注册请求时,会生成携带有注册失败原因与头域信息的第一鉴权请求,并将所述鉴权请求发送至所述终端,其中,鉴权请求具体包括注册失败原因cause、头域信息realm、qoq、nonce、algorithm和opaque,realm和algorithm为鉴权数据,此时的cause为Unauthorized(未鉴权),realm为被保护的区域参数;algorithm为算法名称参数,一般为摘要算法MD5,核心网系统将该参数传递给终端,保证核心网与终端使用同样的摘要算法;qoq用于规定服务器支持哪种保护方案,终端可以从参数列表中选择一个具体的qoq参数;nonce为核心网系统随机生成的随机值,每次都不一样,以防止回放攻击;opaque为状态参数,核心网系统将该参数传递给终端,当终端发送第二集群注册请求时,再读取这个状态。
步骤S103:接收所述终端发送的携带有鉴权头域信息的第二集群注册请求;
具体的,所述鉴权头域信息(Authorization)包括realm、qoq、nonce、algorithm和opaque,realm、algorithm、username、cnonce、uri、response和nc,其中,username为用户名;cnonce为终端生成的随机参数值,终端与核心网系统都会使用,以避免用明文文本,使得双方都可以查验对方的身份;uri为统一资源指示符,包含了终端想要访问的URI;nc为一个16进制的数值,表示终端发送出注册请求的数量,这个参数的目的为使核心网系统检测重复请求的数量,如果这个值看到了两次,则这个请求是重复的;这里的nonce值与鉴权请求中包含的nonce值是相同的,response为终端根据username、nonce、cnonce、algorithm、密码等信息使用algorithm指定的算法生成的。
步骤S104:根据所述鉴权头域信息判断对所述终端的鉴权是否成功,若成功,生成携带有用户签约数据与所述头域信息的第二鉴权请求,并将所述第二鉴权请求发送至所述终端,使所述终端根据所述第二鉴权请求对所述核心网系统进行鉴权;
具体的,当核心网系统对终端的鉴权成功后,核心网系统生成并向终端携带有用户签约数据与头域信息的第二鉴权请求,使终端根据第二鉴权请求对核心网系统进行鉴权,实现了终端与核心网之间集群业务注册的双向鉴权。
具体的,核心网对终端的鉴权是否成功直接关系到注册是否成功,当鉴权失败时,生成携带有注册失败原因的注册响应信息,并将所述注册响应信息发送至所述终端;所述注册失败原因为鉴权失败。
所述用户签约信息包括:用户所属组信息与集群业务权限等信息。
本发明提供的集群终端的集群业务注册方法,终端向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求,不发送密码,增强了通信的安全性;核心网系统根据第一集群注册请求,生成并向终端发送携带有注册失败原因与头域信息的第一鉴权请求,终端根据第一鉴权请求向核心网系统发送携带有鉴权头域信息的第二集群注册请求,核心网系统判断对终端的鉴权是否成功,若成功,生成并向终端发送携带有用户签约数据与头域信息的第二鉴权请求,使终端根据所述第二鉴权请求对核心网系统进行鉴权;当终端对核心网系统的鉴权成功后,核心网系统接收终端发送的注册完成信息。本发明可以使多个用户使用同一个终端注册及登录,同时实现了终端与核心网系统之间的双向鉴权,提高了终端与核心网系统间通信的安全性。
请参阅图2,所述根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,包括以下步骤:
步骤S201:根据所述第一集群注册请求,获取与所述用户名相对应的鉴权数据;
具体的,核心网系统包括第一网元与第二网元,第一网元根据所述第一集群注册请求,向第二网元发送获取鉴权数据请求,第二网元接收到所述鉴权数据请求后向第一网元发送携带有与所述用户名相对应的鉴权数据的鉴权数据响应。鉴权数据包括:realm和algorithm,realm为被保护的区域参数;algorithm为算法名称参数,一般为摘要算法MD5。
步骤S202:生成携带有注册失败原因与头域信息的第一鉴权请求,所述头域信息中包括所述鉴权数据。
具体的,第一网元获取鉴权数据后,生成携带有注册失败原因与头域信息的鉴权请求,所述头域信息中包括所述鉴权数据,并将所述鉴权请求发送至终端。注册失败原因cause为Unauthorized(未鉴权);头域信息包括:realm、qoq、nonce、algorithm和opaque,realm为被保护的区域参数;algorithm为算法名称参数,一般为摘要算法MD5,核心网系统将该参数传递给终端,保证核心网与终端使用同样的摘要算法;qoq用于规定服务器支持哪种保护方案,终端可以从参数列表中选择一个具体的qoq参数;nonce为核心网系统随机生成的随机值,每次都不一样,以防止回放攻击;opaque为状态参数,核心网系统将该参数传递给终端,当终端发送第二集群注册请求时,再读取这个状态。
请参阅图3,所述根据所述鉴权头域信息判断对所述终端的鉴权是否成功包括以下步骤:
步骤S301:根据所述第二集群注册请求获取所述鉴权头域信息中的认证值与所述终端生成的随机值,并获取与所述用户名相对应的密码;
具体的,所述第二网元获取所述鉴权头域信息中的认证值response与所述终端生成的随机值cnonce,并向第三网元获取存储在第三网元上与用户名相对应的密码。
步骤S302:根据所述用户名、所述密码和所述随机值,通过所述摘要算法名称对应的算法生成对比值;
具体的,所述第二网元根据之前获取第一集群注册请求中的用户名和摘要算法名称,从鉴权头域信息中获取的随机值,以及向第三网元获取存储在第三网元上与用户名相对应的密码,通过所述摘要算法名称对应的算法生成对比值。
步骤S303:判断所述认证值与所述对比值是否相同,若相同,鉴权成功。
可以理解的是,若第一集群注册请求与第二集群注册请求是由同一终端发送时,在正常情况下,由于使用同样的username、nonce、cnonce、algorithm、密码等信息并根据algorithm指定的算法生成的认证值response与对比值相同,鉴权成功。
需要说明的是,终端对核心网的鉴权,核心网向终端发送的第二鉴权请求中头域信息中的realm、qoq、nonce、algorithm和opaque值与上述第一鉴权请求中的头域信息中的realm、qoq、nonce、algorithm和opaque值相同。
核心网系统对终端的鉴权,与终端对核心网系统的鉴权的不同之处在于:request-digest用于核心网系统对终端鉴权,response-digest用于终端对核心网鉴权。无论是头域信息中的request-digest,还是头域信息中的response-digest,都是采用MD5摘要算法对secret和data串接成的数据生成摘要,即:
H(data)=MD5(data)
KD(secret,data)=H(concat(secret,":",data))
具体来说,公式如下:
基于上述实施例提供的一种集群终端的集群业务注册方法,请参阅图4,本发明实施例对应公开了一种核心网系统,具体包括:
第一接收单元101,用于接收终端发送的携带有用户名与摘要算法名称的第一集群注册请求;
生成单元102,用于根据所述第一集群注册请求,生成携带有注册失败原因与头域信息的第一鉴权请求,并将所述第一鉴权请求发送至所述终端;
第二接收单元103,用于接收所述终端发送的携带有鉴权头域信息的第二集群注册请求;
判断单元104,用于根据所述鉴权头域信息判断对所述终端的鉴权是否成功,若成功,生成携带有用户签约数据与所述头域信息的第二鉴权请求,并将所述第二鉴权请求发送至所述终端,使所述终端根据所述第二鉴权请求对所述核心网系统进行鉴权;
第三接收单元105,用于当所述终端对所述核心网系统的鉴权成功后,接收所述终端发送的注册完成信息。
本发明提供的核心网系统,终端向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求,不发送密码,增强了通信的安全性;核心网系统根据第一集群注册请求,生成并向终端发送第一鉴权请求,终端向核心网系统发送第二集群注册请求,核心网系统根据第二集群注册请求判断对终端的鉴权是否成功,若成功,生成并向终端发送第二鉴权请求,使所述终端根据第二鉴权请求对核心网系统进行鉴权;当终端对核心网系统的鉴权成功后,核心网系统接收终端发送的注册完成信息。本发明可以使多个用户使用同一个终端注册及登录,同时实现了终端与核心网系统之间的双向鉴权,提高了终端与核心网系统间通信的安全性。
请参阅图5,所述生成单元102包括:
第一获取子单元107,用于根据所述第一集群注册请求,获取与所述用户名相对应的鉴权数据;
第一生成子单元108,用于生成携带有注册失败原因与头域信息的第一鉴权请求,所述头域信息中包括所述鉴权数据。
所述判断单元104包括:
第二获取子单元109,用于根据所述第二集群注册请求获取所述鉴权头域信息中的认证值与所述终端生成的随机值,并获取与所述用户名相对应的密码;
第二生成子单元110,用于根据所述用户名、所述密码和所述随机值,通过所述摘要算法名称对应的算法生成对比值;
判断子单元111,用于判断所述认证值与所述对比值是否相同,若相同,鉴权成功。
所述核心网系统还包括:
鉴权失败响应单元106,用于当鉴权失败时,生成携带有注册失败原因的注册响应信息,并将所述注册响应信息发送至所述终端;所述注册失败原因为鉴权失败。
请参阅图6,基于上述实施例公开的一种应用于核心网系统的集群终端的集群业务注册方法,本发明实施例对应公开了一种应用于终端的群终端的集群业务注册方法,具体包括以下步骤:
步骤S401:生成并向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求;
步骤S402:接收所述核心网系统发送的携带有注册失败原因与头域信息的第一鉴权请求;
步骤S403:当所述注册失败原因为未鉴权时,生成并向所述核心网系统发送携带有鉴权头域信息的第二集群注册请求;
步骤S404:当所述核心网系统对所述终端的鉴权成功时,接收所述核心网系统发送的携带有用户签约数据与所述头域信息的第二鉴权请求;
步骤S405:根据所述头域信息判断对所述核心网系统的鉴权是否成功,若成功,生成并向所述核心网系统发送注册完成信息。
可以理解的是,本发明实施例公开的方法与上述应用于核心网系统的集群终端的集群业务注册方法相对应,具体执行过程与参数说明请参考上述实施例。
需要说明的是,当所述注册失败原因不是未鉴权时,例如:系统错误等原因时,终端重新生成并向所述核心网系统发送所述第一集群注册请求。
基于上述实施例公开的集群终端的集群业务注册方法,本发明实施例对应公开了一种终端,请参阅图7,所述终端包括:
第一生成单元201,用于生成并向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求;
第一接收单元202,用于接收所述核心网系统发送的携带有注册失败原因与头域信息的第一鉴权请求;
第二生成单元203,用于当所述注册失败原因为未鉴权时,生成并向所述核心网系统发送携带有鉴权头域信息的第二集群注册请求;
第二接收单元204,用于当所述核心网系统对所述终端的鉴权成功时,接收所述核心网系统发送的携带有用户签约数据与所述头域信息的第二鉴权请求;
鉴权单元205,用于根据所述头域信息判断对所述核心网系统的鉴权是否成功,若成功,生成并向所述核心网系统发送注册完成信息。
需要说明的是,所述终端还包括:
第三生成单元,用于当所述注册失败原因不是未鉴权时,重新生成并向所述核心网系统发送所述第一集群注册请求。
基于上述实施例公开的核心网系统,本发明实施例对应公开了一种集群终端的集群业务注册系统,包括上述实施例公开的终端与上述实施例公开的核心网系统。
本发明提供的集群终端的集群业务注册系统,终端向核心网系统发送携带有用户名与摘要算法名称的第一集群注册请求,不发送密码,增强了通信的安全性;核心网系统根据第一集群注册请求,生成并向终端发送第一鉴权请求,终端向核心网系统发送第二集群注册请求,核心网系统根据第二集群注册请求判断对终端的鉴权是否成功,若成功,生成并向终端发送第二鉴权请求,使所述终端根据第二鉴权请求对核心网系统进行鉴权;当终端对核心网系统的鉴权成功后,核心网系统接收终端发送的注册完成信息。本发明可以使多个用户使用同一个终端注册及登录,同时实现了终端与核心网系统之间的双向鉴权,提高了终端与核心网系统间通信的安全性。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!