一种集群业务鉴权接口及集群业务鉴权实现方法.pdf

一种集群业务鉴权接口及集群业务鉴权实现方法
    【技术领域】

    本发明涉及一种集群业务鉴权接口及集权业务鉴权实现方法，尤其涉及一种应用于数字集群系统的集群业务鉴权接口及集群业务鉴权实现方法。

    背景技术

    集群通信系统诞生于20世纪70年代，最早的集群通信是模拟系统，数字集群技术从20世纪90年代中期在全球范围内兴起，90年代末期在中国出现数字集群网络。数字集群技术具有接续快、频谱利用率高、组网灵活的优点，主要应用于生产调度、指挥控制的专用移动通信系统，对于提高生产和工作效率、保证安全等有着极重要的作用。

    目前广泛应用的两种数字集群系统包括iDEN数字集群通信系统和陆上集群无线电TETRA(Terresttial Trunked Radio)通信系统，iDEN是由摩托罗拉公司研制的，工作频段800MHz，采用矢量和激励线性预测语音编码(VSELP)和16QAM调制技术。TETRA通信系统，采用欧洲电信标准协会(ETSI)推荐的数字集群通信标准工作频段为400MHz或800MHz，是一个空中信令接口开放的系统。它采用较先进的ACELP语音编码和/4-DQPSK调制。

    以上两种集群共网实现都是采用的第二代数字通讯技术实现的，它们的鉴权方法也与第二代数字通讯技术中语音业务鉴权方法类似。iDEN中的DAP/D-VLR/D-HLR(Dispatch Application Processor/DAP Visited LocationRegister/DAP Home Location Register)和TETRA中的AC/VDB(AuthenticationCentre/Visitor DataBase)相当于现在的G(GSM)网或C(CDMA2000)网中的MSC/VLR，iDEN中的iHLR(iden HLR)和TETRA中地HDB(Home DataBase)相当于现在的G网或C网中的HLR。这种鉴权方式对于集群业务的鉴权有比较明显的缺陷，首先集群系统中由于增加了群组，组织等概念，一个用户可能同时属于多个群组等因素使用户数据量激增，采用VLR内存数据库的方式会有很大的内存压力，另外由于集群业务的鉴权比常规的语音鉴权更加复杂，这会给业务处理机带来CPU上的压力，直接影响到业务处理的效率。

    【发明内容】

    本发明所要解决的技术问题在于提供一种集群业务鉴权接口及其实现方法，实现业务处理与鉴权逻辑分离，克服现有集群业务鉴权系统中业务处理机不仅处理业务，还处理部分鉴权逻辑导致效率较低的缺陷。

    为了实现上述目的，本发明提供了一种集群业务鉴权接口，应用于数字集群系统，包括通过通信网络连接的一鉴权客户端和一鉴权服务器，其中，

    该鉴权客户端，用于向该鉴权服务器发送鉴权请求报文，接收该鉴权服务器的响应报文，以及用于进行集群业务处理；

    该鉴权服务器，用于对收到的鉴权请求报文进行鉴权处理，并回送鉴权结果的响应报文。

    上述的集群业务鉴权接口，其中，该集群业务鉴权接口基于开放式集群结构GoTa(Global open Trunking Architechture)系统，该开放式集群结构系统的一按即说分发服务器PDS(PTT Dispatcher Server)作为鉴权客户端，一按即说归属寄存器PHR(PTT Home Register)作为鉴权服务器。其中PDS不仅仅是鉴权客户端还有集群业务处理等其它功能。

    上述的集群业务鉴权接口，其中该通信网络为IP网络，该IP网络中数据交换基于UDP协议或TCP协议。

    上述的集群业务鉴权接口，其中该一按即说分发服务器还包括IP包接收分发模块、呼叫鉴权客户端模块、位置更新客户端模块、群组管理客户端模块，其中：

    IP包接收分发模块，用于向该一按即说归属寄存器发送鉴权请求报文，接收所有来自该一按即说归属寄存器的报文，并依据报文的类型将报文分发至该一按即说分发服务器的其他模块；

    呼叫鉴权客户端模块，用于构建呼叫鉴权请求报文发送，以从该一按即说归属寄存器中获取鉴权结果进行相应的集群业务处理；

    位置更新客户端模块，用于构建位置更新鉴权请求报文发送，以从该一按即说归属寄存器中获取鉴权结果进行相应的集群业务处理；

    群组管理客户端模块，用于构建群组管理鉴权请求报文发送，以从该一按即说归属寄存器中获取鉴权结果进行相应的集群业务处理。

    上述的集群业务鉴权接口，其中该一按即说归属寄存器还包括IP包接收分发模块、呼叫鉴权模块、位置更新模块、群组管理模块、数据库访问模块，其中：

    IP包接收分发模块，用于接收所有来自该一按即说分发服务器的报文，并依据报文的类型将报文分发至该一按即说归属寄存器的其他模块进行鉴权，并将鉴权结果响应回送至该一按即说分发服务器；

    呼叫鉴权模块，用于进行呼叫鉴权处理；

    位置更新模块，用于进行位置更新鉴权处理；

    群组管理模块，用于进行群组管理鉴权处理；

    数据库访问模块，用于为该一按即说归属寄存器的其他模块读取数据库。

    本发明还提供了一种集群业务鉴权实现方法，应用于数字集群系统，通过该数字集群系统的集群业务鉴权接口的鉴权客户端发送鉴权请求报文至该集群业务鉴权接口的鉴权服务器，进行鉴权处理，并回送鉴权结果的响应报文至该鉴权客户端以进行后续集群业务处理，实现业务处理与鉴权逻辑分离。

    上述的集群业务鉴权实现方法，其中，该集权业务鉴权接口基于开放式集群结构系统，该开放式集群结构系统的一按即说分发服务器作为鉴权客户端，一按即说归属寄存器作为鉴权服务器。

    上述的集群业务鉴权实现方法，其中，该鉴权处理包括组呼鉴权处理、私密呼鉴权处理、呼叫前转鉴权处理、群组成员鉴权处理、用户鉴权处理、位置更新鉴权处理、群组管理鉴权处理。

    上述的集群业务鉴权实现方法，其中，该组呼鉴权处理包括如下步骤：

    步骤一，该一按即说分发服务器向该一按即说归属寄存器发送组呼鉴权请求报文，该报文中含群组及主叫的信息；

    步骤二，该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，报文中含群组，主叫的授权信息；

    步骤三，该一按即说分发服务器根据步骤二收到的授权信息向该一按即说归属寄存器发送索要其他群组成员信息的鉴权请求报文，报文中含索要的成员个数和相对位置信息；

    步骤四，该一按即说归属寄存器对从步骤三收到的授权请求进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则向该一按即说分发服务器发送鉴权接受报文，报文中含该一按即说分发服务器请求的群组成员的授权信息；

    步骤五，重复步骤三和步骤四，直到该一按即说分发服务器已从该一按即说归属寄存器得到所有群组成员的授权信息；

    步骤六，该一按即说分发服务器向该一按即说归属寄存器发送组呼鉴权结束的鉴权请求；

    步骤七，该一按即说归属寄存器释放相应资源，向该一按即说分发服务器发送应答报文。

    上述的集群业务鉴权实现方法，其中，该私密呼鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送私密呼鉴权请求报文，报文中含被叫及主叫的信息；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，报文中含主叫，被叫的授权信息。

    上述的集群业务鉴权实现方法，其中，该呼叫前转鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送呼叫前转鉴权请求报文，报文中含需前转用户的基本信息和前转类型信息；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送拒绝报文，否则回送鉴权接受报文，报文中含前转到用户的信息。

    上述的集群业务鉴权实现方法，其中，该群组成员鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送群组成员鉴权请求报文，报文中含群组成员的信息；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，报文中含相应群组成员的授权信息。

    上述的集群业务鉴权实现方法，其中，该用户鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送用户鉴权请求报文，报文中含用户的信息；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，报文中含该用户的授权信息。

    上述的集群业务鉴权实现方法，其中，该位置更新鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送位置更新鉴权请求报文，报文中含需位置更新用户的位置信息；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，报文中含用户的位置信息。

    上述的集群业务鉴权实现方法，其中，该群组管理鉴权处理包括如下步骤：

    该一按即说分发服务器向该一按即说归属寄存器发送群组管理鉴权请求报文，报文中含组长和希望被操作者被设置的新的属性值；

    该一按即说归属寄存器对收到的报文进行鉴权，鉴权不通过则回送鉴权拒绝报文，否则回送鉴权接受报文，根据不同情况报文中可含组长信息，被操作者信息。

    通过本发明的实施可以使集群业务处理机不需处理鉴权逻辑，直接从PHR中取鉴权结果，从而提高了集群业务处理机的业务处理能力。

    以下结合附图和具体实施例对本发明进行详细描述，但不作为对本发明的限定。

    【附图说明】

    图1是本发明中鉴权接口所需的鉴权实体关系示意图；

    图2是本发明中所需的鉴权客户端PDS的结构示意图；

    图3是本发明中所需的鉴权服务端PHR的结构示意图；

    图4是本发明的组呼鉴权流程图；

    图5是本发明的私密呼鉴权流程图；

    图6是本发明的呼叫前转鉴权流程图；

    图7是本发明的群组成员鉴权流程图；

    图8是本发明的用户鉴权流程图；

    图9是本发明的位置更新鉴权流程图；

    图10是本发明的群组管理鉴权流程图；

    【具体实施方式】

    下面结合附图，对本发明进行详细描述。

    图1是本发明鉴权接口所需鉴权实体关系示意图，本发明的鉴权接口不仅适用于GoTa系统，也适用于其他数字集群系统。从图中可以看到本发明分别采用GoTa系统的两个功能节点PDS和PHR作为接口的鉴权客户端20和鉴权服务器30，它们通过IP网10相连接。其中：

    PDS 20(详见图2)，用于向该鉴权服务器发送鉴权请求报文，接收该鉴权服务器的响应报文，以及用于进行集群业务处理。在本发明中，该PDS 20包括IP包接收分发模块21、呼叫鉴权客户端模块22、位置更新客户端模块23、群组管理客户端模块24，其中：

    IP包接收分发模块21，用于向PHR发送鉴权请求报文，接收所有来自该PHR的报文，并依据报文的类型将报文分发至该PDS的其他模块；

    呼叫鉴权客户端模块22，用于构建呼叫鉴权请求报文发送，以从该PHR中获取鉴权结果进行相应的集群业务处理；

    位置更新客户端模块23，用于构建位置更新鉴权请求报文发送，以从该PHR中获取鉴权结果进行相应的集群业务处理；

    群组管理客户端模块24，用于构建群组管理鉴权请求报文发送，以从该PHR中获取鉴权结果进行相应的集群业务处理。

    另外，在该PDS 20中，还可根据需要增加其他PDS模块25，用于处理其他集群业务。

    PHR 30(详见图3)，用于对收到的鉴权请求报文进行鉴权处理，并回送鉴权结果的响应报文。在本发明中，该PHR包括IP包接收分发模块31、呼叫鉴权模块32、位置更新模块33、群组管理模块34、数据库访问模块35，其中：

    IP包接收分发模块31，用于接收所有来自该PDS的报文，并依据报文的类型将报文分发至该PHR的其他模块进行鉴权，并将鉴权结果响应回送至该PDS；

    呼叫鉴权模块32，用于进行呼叫鉴权处理；

    位置更新模块33，用于进行位置更新鉴权处理；

    群组管理模块34，用于进行群组管理鉴权处理；

    数据库访问模块35，用于为该PHR的其他模块读取数据库。

    本发明中，一个PHR可处理多个PDS的鉴权请求。

    而且，在本发明中，该集群业务鉴权接口中的IP包交互不仅可采用UDP的方式，也可采用TCP等其它形式。

    本发明还提供了一种集群业务鉴权实现方法，应用于数字集群系统，通过该数字集群系统的集群业务鉴权接口的鉴权客户端发送鉴权请求报文至该集群业务鉴权接口的鉴权服务器，进行鉴权处理，并回送鉴权结果的响应报文至该鉴权客户端以进行后续集群业务处理，实现业务处理与鉴权逻辑分离。

    其中，该鉴权处理可包括组呼鉴权处理、私密呼鉴权处理、呼叫前转鉴权处理、群组成员鉴权处理、用户鉴权处理、位置更新鉴权处理、群组管理鉴权处理。

    下面结合图4～图10，以GoTa系统的PDS和PHR两个功能节点为例，详细说明本发明的鉴权实现方法。

    图4给出了组呼鉴权的流程图，具体步骤如下：

    步骤401，PDS向PHR发送组呼鉴权请求。请求中含GMDN(群组电话号码)、起呼者的IMSI(International Mobile Subscriber Identitity，国际移动用户标识)、ESN(Electronic Serial Number，电子串号)等信息。

    步骤402，PHR对组呼鉴权请求鉴权。

    步骤4021，PHR判断鉴权是否通过？如果成功则转到步骤4022，如果失败则转到步骤4023。

    步骤4022，PHR向PDS发送鉴权接受报文。该报文消息包括回送GID(群组标识)，群组内成员个数，每个鉴权包最多能携带的成员个数等群组信息和起呼者的IMSI、ESN、MDN(Mobile Directory Number，移动电话号码)、前转属性、起呼权限、位置信息等，执行步骤403。

    步骤4023，PHR向PDS发送组呼鉴权拒绝报文，回送失败原因，组呼鉴权流程结束。

    步骤403，PDS向PHR发送索要部分群组成员信息报文。在本步骤中，PDS根据收到的报文信息，自行决定向PHR索要几个群组成员的信息(个数一定要小于等于PHR在上一步中给的每个鉴权包最多能携带的成员个数，一般建议等于)，并且PDS需要提供起始群组成员的编号。这两个必备的信息加上其他信息构成了PDS向PHR发送的中间群组鉴权消息。

    步骤4031，PHR判断鉴权是否通过？如果成功则转到步骤4032，否则转到步骤4033。

    步骤4032，PHR向PDS回送相关群组成员信息报文。其中，包括PDS要求得到的多个群组成员的IMSI、ESN、MDN、前转属性、起呼权限、位置信息等，执行步骤404。

    步骤4033，PHR向PDS回送鉴权拒绝报文，回送失败原因，并转入步骤404。

    步骤404，PDS判断是否所有群组成员信息都得到？若已得到所有成员信息，则转到步骤405，否则重复步骤403，4031、4032、4033，直到PDS已从PHR得到所有群组成员的授权信息。一般一个群组中的群组成员数几十或上百，显然PHR不可能让所有的成员信息在步骤403，4031、4032、4033一个鉴权来回中返回给PDS，所以一般情况下，重复步骤403，4031、4032、4033以获得所有群组成员信息。

    步骤405，PDS得到所有群组成员的授权信息后，向PHR发送群组成员信息接收完毕的消息。

    步骤406，PHR回送PDS确认消息，并释放相应资源。

    图5给出了私密呼(集群系统中一个用户呼叫另一个用户的呼叫)鉴权的流程图，具体步骤如下：

    步骤501，PDS向PHR发送鉴权请求消息。消息中包含主叫的IMSI、ESN、被叫的MDN等信息。

    步骤502，PHR对收到的消息进行鉴权。

    步骤503，判断鉴权是否通过？鉴权通过则转到步骤504，否则转到步骤505。

    步骤504，PHR向PDS回送鉴权接受报文消息，消息中有主被叫的IMSI、ESN、MDN、OID(Organization ID，组织标识)、短号码、前转属性、起呼权限、位置信息等，私密呼鉴权流程结束。

    步骤505，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，私密呼鉴权流程结束。

    图6给出了呼叫前转鉴权的流程图。当集群系统中被叫设置了呼叫前转，且其他条件也满足呼叫前转条件，PDS会向PHR发送前转鉴权请求消息请求前转鉴权，具体步骤如下：

    步骤601，PDS向PHR发送前转鉴权请求消息。消息中含需前转的用户的IMSI、ESN、前转类型等信息。

    步骤602，PHR对收到的消息请求鉴权。

    步骤603，判断鉴权是否通过？鉴权通过则转到步骤604，否则转到步骤605。

    步骤604，PHR向PDS回送鉴权接受报文消息，消息中有前转到用户的IMSI、ESN、MDN、OID、短号码、呼叫权限、位置信息等，呼叫前转鉴权流程结束。

    步骤605，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，呼叫前转鉴权流程结束。

    图7给出了群组成员鉴权的流程图。在集群系统中，一个在组呼已经建立之后才加入的群组成员发起组呼时，PDS会向PHR发送群组成员鉴权请求消息请求群组成员的鉴权，具体步骤如下：

    步骤701，PDS向PHR发送群组成员鉴权请求消息。消息中含用户的IMSI、ESN、GID、GMDN等信息。

    步骤702，PHR对收到的消息请求鉴权。

    步骤703，判断鉴权是否通过？鉴权通过则转到步骤704，否则转到步骤705。

    步骤704，PHR向PDS回送鉴权接受报文消息，消息中有用户的IMSI、ESN、MDN、呼叫权限、前转设置和位置信息等，群组成员鉴权流程结束。

    步骤705，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，群组成员鉴权流程结束。

    图8给出了用户鉴权的流程图。在集群系统中，如把用户强行加入一个正在进行的组呼中，PDS会向PHR发送用户鉴权请求消息请求用户鉴权，具体步骤如下：

    步骤801，PDS向PHR发送用户鉴权请求消息。消息中含需用户的MDN等信息。

    步骤802，PHR对收到的消息请求鉴权。

    步骤803，判断鉴权是否通过？鉴权通过则转到步骤804，否则转到步骤805。

    步骤804，PHR向PDS回送鉴权接受报文消息，消息中有用户的IMSI、ESN、MDN、呼叫权限、前转设置和位置信息等，用户鉴权流程结束。

    步骤805，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，用户鉴权流程结束。

    图9给出了位置登记鉴权的流程图，在集群系统中，终端在起呼，定时登记，切换等多种情况下都会向鉴权系统进行位置登记，位置登记时PDS会向PHR发送位置登记鉴权请求消息请求位置登记鉴权，具体步骤如下：

    步骤901，PDS向PHR发送位置登记鉴权请求消息，消息中含需用户的IMSI、ESN、位置信息等信息。

    步骤902，PHR对收到的消息请求鉴权。

    步骤903，判断鉴权是否通过？鉴权通过则转到步骤904，否则转到步骤905。

    步骤904，PHR向PDS回送鉴权接受报文消息，消息中有用户的IMSI、ESN、MDN和位置信息等信息，位置更新鉴权流程结束。

    步骤905，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，位置更新鉴权流程结束。

    图10给出了群组管理鉴权的流程图。当集群系统中群组组长打算增删改群组成员，PDS会向PHR发送群组管理鉴权请求消息请求群组管理鉴权，具体步骤如下：

    步骤1001，PDS向PHR发送群组管理鉴权请求消息。消息中含组长的IMSI、ESN、GMDN、成员的MDN，如为修改群组成员请求还有修改后的值等信息。

    步骤1002，PHR对收到的消息请求鉴权。

    步骤1003，判断鉴权是否通过？鉴权通过则转到步骤1004，否则转到步骤1005。

    步骤1004，PHR向PDS回送鉴权接受报文消息，消息中有组长的IMSI、ESN、MDN、呼叫权限、位置信息等。如果是添加群组成员，被添加成员的IMSI、ESN、MDN、呼叫权限、位置信息等也应在应答消息中，群组管理鉴权流程结束。

    步骤1005，PHR向PDS回送鉴权拒绝报文消息，消息中含失败码，表明失败原因，群组管理鉴权流程结束。

    综上所述，本发明提出了一种解决集群业务所需鉴权的接口及其实现方法，构成GoTa集群系统中重要的一环。并且，上述集群业务所需鉴权的接口及其实现方法，不仅适用于GoTa系统，对于其他数字集群系统也同样适合；且其中的IP包交互不仅可采用UDP协议，也可采用TCP协议等其他方式。

    当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。