一种通信鉴权处理方法及装置与流程

1.本发明涉及通信领域，特别涉及一种通信鉴权处理方法及装置。


背景技术：

2.目前，随着通信技术的发展，提出了卫星网络和移动通信网络混合覆盖的办法，以提高通信的覆盖范围。特别的，卫星网络可以为北斗三代卫星网络，移动终端接入北斗三代卫星网络，通过北斗三代卫星网络链接到移动网络。
3.其中，北斗三代卫星网络具有短报文收发能力，使得移动终端通过北斗卫星与其他移动终端用户收发短信，而为保证通信的安全性，需要对移动终端的身份进行鉴权。目前的移动通信中，广泛使用aka用户鉴权，但该种鉴权方法中需要多次信令交互，而卫星通信受能力限制，采用该种鉴权方法会对有限的卫星空口资源造成冲击。


技术实现要素：

4.本发明提供了一种通信鉴权处理方法及装置，以实现对移动用户的身份鉴权，保证了北斗卫星网络通信的安全性。
5.为了达到上述目的，本发明提供了一种通信鉴权处理方法，应用于北斗融合网关，包括：接收待解密报文和第一终端的主叫号码信息；基于所述主叫号码信息，获取第一密钥；采用所述第一密钥对所述待解密报文进行解密，得到第一鉴权码；基于与所述第一终端对应的第一信息和所述第一密钥，生成第二鉴权码；基于所述第一鉴权码和所述第二鉴权码，确定所述第一终端是否鉴权成功，并向所述第一终端发送响应报文。
6.可选的，采用所述第一密钥对所述待解密报文进行解密后，还得到第二信息。
7.可选的，所述第一密钥是所述北斗融合网关根据接收到的第一请求消息，通过认证服务器bsf对所述第一终端进行认证，并在认证成功的情况下，存储的认证过程中从bsf获取到的密钥；其中，所述第一请求消息是所述第一终端发送的，且所述第一请求消息包括认证标识和认证信息。
8.可选的，所述响应报文包括：所述第一终端鉴权认证成功和/或第三信息发送成功，或者，所述第一终端鉴权认证失败和/或第三信息发送失败，其中，所述第三信息为用户输入的待发送至被叫用户的信息。
9.可选的，所述第一信息包括第四信息和/或辅助信息。
10.可选的，还包括：接收运控设备发送的所述辅助信息，所述辅助信息是所述运控设备在接收所述第一终端的第一传输电文时确定的。
11.可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
12.可选的，还包括：接收被叫号码信息；在确定所述第一终端鉴权认证成功后，将所述目标信息发送给所述被叫号码信息对应的第二终端。
13.本发明的另一实施例提供了一种通信鉴权处理方法，应用于第一终端，包括：基于第一信息和第二密钥，生成第三鉴权码；采用所述第二密钥对第三信息和所述第三鉴权码进行加密，生成加密报文；基于所述加密报文、与所述第一终端对应的主叫号码信息、被叫号码信息，生成第一传输电文；发送所述第一传输电文。
14.可选的，所述第二密钥是所述第一终端在发起与bsf的相互认证得到认证标识和密钥后，向所述北斗融合网关发送第一请求消息，并接收到所述北斗融合网关反馈的第一响应消息，且所述第一响应消息指示认证成功的情况下存储的、所得到的所述密钥；其中，所述第一请求消息包括所述认证标识和认证信息。
15.可选的，所述第一信息包括：第四信息和/或辅助信息。
16.可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
17.本发明的再一实施例提供了一种通信鉴权处理装置，应用于北斗融合网关，包括：接收模块，用于接收待解密报文和第一终端的主叫号码信息；获取模块，用于基于所述主叫号码信息，获取第一密钥；第一处理模块，用于采用所述第一密钥对所述待解密报文进行解密，得到第一鉴权码；第一处理模块，还用于基于与所述第一终端对应的第一信息和所述第一密钥，生成第二鉴权码；第一处理模块，还用于基于所述第一鉴权码和所述第二鉴权码，确定所述第一终端是否鉴权成功，并向所述第一终端发送响应报文。
18.可选的，采用所述第一密钥对所述待解密报文进行解密后，还得到第二信息。
19.可选的，所述第一密钥是所述北斗融合网关根据接收到的第一请求消息，通过认证服务器bsf对所述第一终端进行认证，并在认证成功的情况下，存储的认证过程中从bsf获取到的密钥；其中，所述第一请求消息是所述第一终端发送的，且所述第一请求消息包括认证标识和认证信息。
20.可选的，所述响应报文包括：所述第一终端鉴权认证成功和/或第三信息发送成功，或者，所述第一终端鉴权认证失败和/或第三信息发送失败，其中，所述第三信息为用户输入的待发送至被叫用户的信息。
21.可选的，所述第一信息包括第四信息和/或辅助信息。
22.可选的，所述接收模块还用于：接收运控设备发送的所述辅助信息，所述辅助信息是所述运控设备在接收所述第一终端的第一传输电文时确定的。
23.可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
24.可选的，所述第一处理模块还用于：接收被叫号码信息；在确定所述第一终端鉴权认证成功后，将所述第二信息发送给所述被叫号码信息对应的第二终端。
25.本发明的另一实施例提供了一种通信鉴权处理装置，应用于第一终端，包括：第二处理模块，用于基于第一信息和第二密钥，生成第三鉴权码；第二处理模块，还用于采用所述第二密钥对第三信息和所述第三鉴权码进行加密，生成加密报文；第二处理模块，还用于基于所述加密报文、与所述第一终端对应的主叫号码信息、被叫号码信息，生成第一传输电文；发送模块，用于发送所述第一传输电文。
26.可选的，所述第二密钥是所述第一终端在发起与bsf的相互认证得到认证标识和
密钥后，向所述北斗融合网关发送第一请求消息，并接收到所述北斗融合网关反馈的第一响应消息，且所述第一响应消息指示认证成功的情况下存储的、所得到的所述密钥；其中，所述第一请求消息包括所述认证标识和认证信息。
27.可选的，所述第一信息包括：第四信息和/或辅助信息。
28.可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
29.本发明的另一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时，实现如上所述的通信鉴权处理方法的步骤。
30.本发明的上述技术方案至少有如下有益效果：本发明提供的通信鉴权处理方法，在获取到第一密钥之后，基于第一密钥，可以生成第一鉴权码。通过第一信息和第一密钥，可以生成第二鉴权码。通过第一鉴权码和第二鉴权码，可以实现对第一终端（主叫终端）的身份鉴权，保证了北斗卫星网络通信的安全性，而且，一次报文通信上传即完成用户鉴权与信息发送，减少了对卫星空口资源的占用。
附图说明
31.图1为本发明实施例提供的一种通信鉴权处理方法的流程示意图之一；图2为本发明实施例提供的一种通信鉴权处理方法的流程示意图之二；图3为本发明实施例提供的一种通信鉴权处理方法的流程示意图之三；图4为本发明实施例提供的一种通信鉴权处理方法的流程示意图之四；图5为本发明实施例提供的一种通信鉴权处理装置的流程示意图之一；图6为本发明实施例提供的一种通信鉴权处理装置的流程示意图之二。
具体实施方式
32.为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。在下面的描述中，提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此，本领域技术人员应该清楚，可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外，为了清楚和简洁，省略了对已知功能和构造的描述。
33.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
34.在本发明的各种实施例中，应理解，下述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
35.应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a 和/或b，可以表示：单独存在a，同时存在a 和b，单独存在b 这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
36.在本发明所提供的实施例中，应理解，“与a 相应的b”表示b 与a 相关联，根据a可以确定b。但还应理解，根据a 确定b 并不意味着仅仅根据a 确定b，还可以根据a 和/或其它信息确定b。
37.参见图1，本发明的一实施例提供了一种通信鉴权处理方法，应用于北斗融合网关，该北斗融合网关的一种示例为鉴权认证服务器，所述方法包括以下步骤：步骤11：北斗融合网关接收待解密报文和第一终端的主叫号码信息。
38.步骤12：北斗融合网关基于所述主叫号码信息，获取第一密钥。
39.步骤13：北斗融合网关采用所述第一密钥对所述待解密报文进行解密，得到第一鉴权码。
40.步骤14：北斗融合网关基于与所述第一终端对应的第一信息和所述第一密钥，生成第二鉴权码。
41.步骤15：北斗融合网关基于所述第一鉴权码和所述第二鉴权码，确定所述第一终端是否鉴权成功，并向所述第一终端发送响应报文。
42.本发明提供的通信鉴权处理方法，在获取到第一密钥之后，基于第一密钥，可以生成第一鉴权码。通过第一信息和第一密钥，可以生成第二鉴权码。这样，在主叫用户通过卫星网络发送信息时，能够通过第一鉴权码和第二鉴权码，可以实现对第一终端（主叫终端）的身份鉴权，而且，一次报文通信上传即完成用户鉴权与信息发送，减少了对卫星空口资源的占用。
43.其中，第一终端作为通话主叫终端，主叫号码信息是用来表明第一终端的电话号码的信息。相应的，作为通话被叫终端的第二终端，被叫号码信息是用来表明第二终端的电话号码的信息。
44.这里，北斗融合网关也可称为鉴权解析服务器。
45.其中，接收的待解密报文和第一终端的主叫号码信息，是地面运控系统通过电文帧头捕获传输电文，并完成链路层解析，恢复出接收到的传输报文，将其中的待解密报文与主叫号码信息发送给北斗融合网关的。而传输电文是第一终端生成第三鉴权码，通过第二密钥对第三信息和第三鉴权码加密得到加密报文，利用加密报文与电文帧头 （用于信号传输的捕获、消息类型指示等）、主叫号码信息与被叫号码信息以及其他所需要的信息（可选）组装成传输报文，进行相应的通信编码等操作生成的，该传输电文适用于卫星信道传输。
46.在一种示例中，北斗融合网关采用所述第一密钥对所述待解密报文进行解密后，还得到第二信息，该第二信息也可以称之为解析目标信息，即对加密报文解析后得到的目标信息。
47.需要说明的是，第二信息与第一终端发送的第三信息可能相同，也可能不同。第三信息也可以称之为待发送目标信息，即为需要发送的目标信息。
48.在一种示例中，所述第一密钥是所述北斗融合网关根据接收到的第一请求消息，通过认证服务器bsf对所述第一终端进行认证，并在认证成功的情况下，存储的认证过程中从bsf获取到的密钥；其中，所述第一请求消息是所述第一终端发送的，且所述第一请求消息包括认证标识和认证信息。
49.需要说明的是，在第一终端通过北斗卫星网络向第二终端发送第三信息之前，可
以先与北斗融合网关进行认证。在第一终端与北斗融合网关认证成功之后，北斗融合网关中可以保存用于进行认证的第一密钥。如此，在第一终端通过北斗卫星网络向第二终端发送第三信息时，北斗融合网关可以根据第一终端的信息，如主叫号码信息，获取到对应的第一密钥，从而对第一终端设备进行鉴权认证。
50.具体地，第一终端发起与认证服务器bsf的相互认证，得到认证标识和密钥；之后，第一终端通过第一请求消息将认证信息和认证标识发送给北斗融合网关，以使北斗融合网关基于认证信息和认证标识对第一终端进行认证。北斗融合网关会在认证通过后发送第一响应消息指示认证成功，如此，第一终端将会存储所得到的密钥，将其作为第一密钥用于鉴权认证。此时，第一密钥用于第一终端与北斗融合网关进行数据传输的安全保护。
51.在一种示例中，所述响应报文包括：所述第一终端鉴权认证成功和/或第三信息发送成功，或者，所述第一终端鉴权认证失败和/或第三信息发送失败，其中，所述第三信息为用户输入的待发送至被叫用户的信息。需要说明的是，北斗融合网关向第一终端发送响应报文，第一终端在接收到响应报文之后，用户可以根据响应报文得知第一终端是否与北斗融合网关完成鉴权认证或者是否成功发送目标消息。在得知鉴权认证失败或者发送第二信息失败的情况下，用户可以通过第一终端重新发送第二信息或者重新发起与北斗融合网关的鉴权认证，以实现第二信息的发送。
52.地面运控系统捕获传输电文后，还可以知道被叫用户号码传输以及其他所需要的信息（可选），并通过通信卫星转发至北斗融合网关。
53.例如，北斗融合网关在得到被叫用户号码传输的情况下，并且已对第一终端鉴权认证成功，则可以将第二信息发送给被叫用户号码对应的第二终端，从而第一终端与第二终端通过通信卫星实现了通信。
54.在一种示例中，所述第一信息包括第四信息和/或辅助信息。
55.这里，第四信息可以采用第二信息，也可以采用一预设的信息，如认证参数信息，该认证参数信息可以是第一终端与鉴权认证服务器协商的。当然，具体采用的第四信息是与第一终端对应的，若第一终端采用第三信息来生成第三鉴权码，网络侧设备对应的采用第二信息生成第二鉴权码；若第一终端采用预设的信息来生成第三鉴权码，网络侧设备对应的也采用预设的信息生成第二鉴权码。
56.其中，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
57.与sim卡相关的参数信息例如可以是所述第一终端的国际移动用户识别码（international mobile subscriber identity，imsi）、所述第一终端的集成电路卡识别码（integrate circuit card identity，iccid）。
58.可选的，北斗融合网关可以利用第一密钥、解析目标信息以及鉴权码生成算法，生成第二鉴权码。可选的，北斗融合网关还可以利用第一密钥、解析目标信息以及imsi或者iccid，通过鉴权码生成算法，生成第二鉴权码。
59.在一种示例中，北斗融合网关还可以接收运控设备（也可以称之为运控系统）发送的所述辅助信息，所述辅助信息是所述运控设备在接收所述第一终端的第一传输电文时确定的。
60.需要说明的是，运控设备可以通过传输电文的电文帧头捕获传输电文，并解析出传输电文中包含的辅助信息，并将解析出辅助信息发送给北斗融合网关。
61.在一种示例中，北斗融合网关还可以接收被叫号码信息；北斗融合网关在确定所述第一终端鉴权认证成功后，将所述解析目标信息发送给所述被叫号码信息对应的第二终端。
62.需要说明的是，运控设备还可以解析出传输电文中包括的被叫号码信息，并将被叫号码信息发送给北斗融合网关。北斗融合网关通过在确定第一终端鉴权认证成功之后，也就是确定第一终端为合法终端，则将解析目标信息发送给被叫号码信息对应的第二终端，即实现了用户通过第一终端将目标信息发送给第二终端。
63.接下来参见图2，本发明的一实施例提供了一种通信鉴权处理方法，应用于第一终端，第一终端为主叫用户对应的终端，该通信鉴权处理方法可以应用于上述步骤中，此处不再赘述。所述通信鉴权处理方法包括以下步骤：步骤21：第一终端基于第一信息和第二密钥，生成第三鉴权码。
64.步骤22：第一终端采用所述第二密钥对待发送目标信息和所述第三鉴权码进行加密，生成加密报文。
65.步骤23：第一终端基于所述加密报文、与所述第一终端对应的主叫号码信息、被叫号码信息，生成第一传输电文。
66.步骤24：第一终端发送所述第一传输电文。
67.在一种示例中，所述第二密钥是所述第一终端在发起与bsf的相互认证得到认证标识和密钥后，向所述北斗融合网关发送第一请求消息，并接收到所述北斗融合网关反馈的第一响应消息，且所述第一响应消息指示认证成功的情况下存储的、所得到的所述密钥；其中，所述第一请求消息包括所述认证标识和认证信息。
68.这里，在使用第二密钥之前，可以对密钥进行校验。可选的校验方法是北斗融合网关要求的方法，以避免重放攻击。具体地，校验可以从第一终端的sim卡中取imsi信息，与第一终端中保存的第二密钥包含的imsi参数信息进行对比。如果两个imsi信息对比不一致，则不能使用此第二密钥，也就是校验失败。如果两个imsi信息对比一致，则可以使用此第二密钥，也就是校验成功。
69.在一种示例中，所述第一信息包括：第四信息和/或辅助信息。
70.需要说明的是，第四信息可以采用第三信息，也可以采用一预设的信息，如认证参数信息，该认证参数信息可以是第一终端与鉴权认证服务器协商的。利用该认证参数信息、第二密钥以及鉴权码生成算法生成第三鉴权码，从而利用生成的第三鉴权码对第三信息进行拼接。
71.当然，也可以利用第三信息、第二密钥以及鉴权码生成算法生成第三鉴权码，从而利用生成的第三鉴权码对第三信息进行拼接。
72.需要说明的是，第三信息为主叫号码信息对应的第一终端发送给被叫号码信息对应的第二终端的信息。
73.在一种示例中，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
74.其中，与sim卡相关的参数信息例如可以是所述第一终端的国际移动用户识别码imsi、所述第一终端的集成电路卡识别码iccid。
75.在一种示例中，第一终端接收响应报文，所述响应报文包括：所述第一终端鉴权认
证成功和/或目标消息发送成功，或者，所述第一终端鉴权认证失败和/或目标消息发送失败。
76.本发明的另一实施例提供了一种通信鉴权处理方法，应用于运控设备。其中，第一终端与北斗融合网关之间通过运控设备进行通信。
77.在一种示例中，运控设备可以接收第二传输电文，所述第二传输电文基于待解密报文、主叫号码信息、被叫号码信息生成；运控设备解析所述传输电文，得到待解密报文、主叫号码信息、被叫号码信息；运控设备向北斗融合网关发送所述待解密报文、所述主叫号码信息。
78.在一种示例中，运控设备还可以向北斗融合网关发送辅助信息。对于辅助信息可以参见上文介绍，此处不再赘述。
79.在一种示例中，运控设备还可以向北斗融合网关发送被叫号码信息。
80.在一种示例中，运控设备还可以接收北斗融合网关发送的响应报文，并将该响应报文发送给第一终端。
81.接下来如图3和图4所示，介绍一种通信鉴权处理方法，第三信息为第一终端的用户欲发出的消息内容，第二密钥或第一密钥为用户终端预先通过地面移动通信网络运营商完成认证后由用户终端（第一终端）、北斗融合网关双方共同存储维护的密钥，辅助信息为保证用户鉴权及传输过程中安全性所引入的参数，包括但不限于时间信息、sim卡相关信息等。
82.图3包括以下步骤：步骤31：第一终端生成第三鉴权码。
83.例如，第一终端基于待发送目标信息、辅助信息和第二密钥，以及鉴权码生成算法，生成第三鉴权码。
84.待发送目标信息获取过程：用户编辑好短信（文字、字符等），将短信内容转化为二进制码流，即得到待发送目标信息。
85.第二密钥（key2值）获取过程：key2值为预先存储在第一终端处，且经过地面移动通信网络运营商校验。可选的，第一终端在使用key2值时，可以先对key2值的可用性进行验证，可选的校验方法例如，从第一终端的sim卡中取第一imsi信息，与第一终端中保存的key2值包含的第二imsi参数信息对比。如果第一imsi信息与第二imsi信息不一致，则不能使用此key2值，如果第一imsi信息与第二imsi信息一致，则可以使用此key2值。
86.辅助信息（可选的）获取过程：参照北斗融合网关对于辅助信息的要求及应用机制进行实现：例如可选取第一终端发送该待发送目标信息的当前时刻值、从sim卡中获取的imsi、iccid等参数中的一种或多种作为辅助信息。可选的，当北斗融合网关要求辅助信息包含第一终端发送待发送目标信息的当前时刻值时，记录其时刻t0：例如第一终端可选取北斗标准时间，以单位分钟为尺度进行记录。可选的，当北斗融合网关要求辅助信息包含第一终端发送报文时当前使用sim卡的imsi、iccid等值时，第一终端可以调用sim卡相应接口，获取该信息。
87.第三鉴权码生成过程：把原短信内容二进制码流（待发送目标信息）、第二密钥、辅助信息作为输入，调用“鉴权码生成算法”进行哈希运算，生成相应的第三鉴权码。鉴权码生成算法应参照北斗融合网关的要求进行实现。
88.步骤32：第一终端生成加密报文。
89.例如，第一终端采用所述第二密钥对待发送目标信息和所述第三鉴权码进行加密，生成加密报文；第一终端可以将第三鉴权码和待发送目标信息拼接，例如，将第三鉴权码与待发送目标信息码流按照北斗融合网关要求进行拼接，形成“加权短信报文”码流。当然，加密报文的生成不限于第三鉴权码和待发送目标信息的拼接，还可以是两者信息的排列组合。
90.第一终端将预存储的第二密钥（key2值）与“加权短信报文”值作为输入，调用“加密算法”进行加密运算，生成相应的加密报文。加密算法可以参照北斗融合网关的要求进行实现。
91.第一终端在该加密报文的基础上，生成传输电文。
92.具体的，第一终端将加密报文与电文帧头（用于信号传输的捕获、消息类型指示等）、主叫号码信息和被叫号码信息组装成传输报文，然后进行相应的通信编码等操作生成适用于卫星信道传输的传输电文。在组装传输报文时，也可以结合其它所需要的信息。
93.步骤33：发送传输电文。
94.传输电文在卫星网络传输：通过通信卫星转发至地面运控系统（也可以称为运控设备）。
95.地面运控系统通过电文帧头捕获传输电文，并完成链路层解析，恢复出接收到的传输报文，将传输报文（即待解密报文）与主叫号码信息、被叫号码信息、以及其它所需要的信息（可选）传输至北斗融合网关。
96.接收时间的获取（可选）：若北斗融合网关要求第一终端生成第三鉴权码的输入参数包含第一终端发送待发送目标信息的当前时间时，地面运控系统应记录接收到该待解密报文第一个信息帧的时刻t1，并随待解密报文一同传输至北斗融合网关。
97.步骤34：北斗融合网关对传输报文进行解密。
98.此时，北斗融合网关采用第一密钥对传输报文进行解密，得到第一鉴权码和解析目标信息。
99.主叫号码信息获取：传输报文作为待解密报文到达北斗融合网关后，由北斗融合网关在报文的链路层信息中获取主叫号码信息。
100.接收时间的获取（可选）：若北斗融合网关要求第一终端生成第三鉴权码的输入参数包含第一终端发送该待发送目标信息的当前时间时，则北斗融合网关可以接收地面运控系统传输的接收到该加密报文第一个信息帧的时刻信息t1。
101.加权短信报文的恢复：由北斗融合网关根据主叫号码信息，获取对应第一密钥（key1）。将待解密报文与key1作为“解密算法”的输入，对待解密报文进行解密处理，获取对应的“加权短信报文（即待发送目标信息）”。当第一终端为合法终端的情况下，第一密钥和第二密钥是相同的，当第一终端为非法终端的情况下，第一密钥和第二密钥可能是不同的。
102.按照北斗融合网关所要求第一终端采用的与第三鉴权码与待发送目标信息码流拼接方式所对称的方式，对“加权短信报文”进行拆分，获取相应的第一鉴权码与解析目标信息（也就是解析出的目标信息码流）。例如可以采用直接级联与位数分割的方式进行拼接与拆分。当第一终端为合法终端的情况下，待发送目标信息和解析目标信息是相同的，当第一终端为非法终端的情况下，待发送目标信息和解析目标信息可能是不同的。
103.步骤35：北斗融合网关生成第二鉴权码。
104.例如，北斗融合网关基于与所述第一终端对应的辅助信息、解析目标信息和上一步骤确定出的第一密钥，生成第二鉴权码。
105.北斗融合网关根据主叫号码信息，匹配获取对应用户的第一密钥key1；辅助信息获取（可选）：按照北斗融合网关对于辅助信息的要求进行获取，例如北斗融合网关要求将sim卡中获取的imsi、iccid等参数作为第三鉴权码生成参数时，则根据主叫号码信息匹配其相应的sim卡以及相应参数信息；例如北斗融合网关要求第一终端生成三鉴权码的输入参数包含第一终端发送待发送目标信息的当前时间时，则根据前文步骤4）获取接收时间t1。
106.第二鉴权码的生成过程：北斗融合网关将上述第一密钥key1、解析目标信息、辅助信息作为输入，调用北斗融合网关所设定的鉴权码生成算法，获取第二鉴权码；特别的，当其余辅助参数包含终端发送时间时，考虑到用户终端经由卫星与地面运控系统之间的传输时延，t0与t1存在时间差，因此上述步骤中第二鉴权码的生成应为[t1-n,t1]的一个状态空间，n由北斗融合网关设置。在[t1-n,t1]内，第二鉴权码可以生成多个。生成的多个第二鉴权码可以分别对第一鉴权码进行比对，以确认第一终端的合法性。
[0107]
步骤36：北斗融合网关进行第一终端的用户身份鉴权校验。
[0108]
例如，北斗融合网关通过比较第一鉴权码和第二鉴权码，确定所述第一终端是否鉴权成功。
[0109]
若第一鉴权码与第二鉴权码二者值完全相同，则表示接收到的信息是合法用户通过卫星发来的可信报文，则按照被叫号码信息对解析目标信息进行相应转发，转发给被叫号码信息对应的第二终端。还可以生成鉴权通过的响应报文，且使用与第一密钥（或第二密钥）无关的传输方式发送（例如：明文传输）给地面运控系统，由地面运控系统进行报文接收状态电文（包含鉴权认证成功的指示）的生成，完成相应的传输报文的传输编码等操作，注入卫星并由卫星转发至第一终端。
[0110]
若第一鉴权码与第二鉴权码二者值不完全相同，则表示接收到的信息是非法用户通过卫星发送的，则拒绝按照被叫号码信息对解析目标信息进行相应转发。还可以生成鉴权失败、失败原因等消息，且使用与第一密钥（或第二密钥）无关的传输方式发送（例如：明文传输）给地面运控系统，由地面运控系统进行报文接收状态电文（包含鉴权认证失败及失败原因的指示）的生成，并经由卫星转发至第一终端。
[0111]
可选的，当辅助信息包含第一终端的发送时间时，则北斗融合网关对上述步骤中获取的第一鉴权码与上述步骤中获取的第二鉴权码状态空间进行比较，只要存在第一鉴权码与状态空间中的第二鉴权码一致的情况，即可判定接收到的信息是合法用户发送的，后续操作同上，此处不再赘述。若第一鉴权码与状态空间中所有的第二鉴权码均不一致，则判定接收到的信息是非法用户发送的，后续操作步骤同上，此处不再赘述。
[0112]
此外，本发明提供的通信鉴权处理方法，还具有如下好处：1. 利用本发明进行鉴权时的安全等级和原鉴权和密钥协商（authentication and key agreement，aka）鉴权机制的安全性基本保持一致。
[0113]
2. 没有增加卫星空口信道的开销，避免占用卫星的信道资源。
[0114]
3. 对于卫星网络运营商来说，只能知道某个手机用户发送了信息，与地面移动用
户鉴权相关信息全都加密。对移动运营商来来说，所使用的卫星网络仅仅起到链路层加密传输的作用，安全性高。
[0115]
4. 引入时间参数、sim参数等其他辅助信息可以有效避免黑客重放攻击、用户终端存储密钥的安全性被攻破时的保护。
[0116]
5. 针对地面通信运营商的用户认证鉴权体系进行扩展，能够实现通过卫星进行接入的地面移动通信用户进行身份验证，实现对现有地面运营商的业务扩展。
[0117]
6. 当使用密钥对鉴权码以及第一终端希望发送至第二终端的信息进行加密后传输实现鉴权时，仅需一次报文通信上传即同时完成用户身份校验与信息发送功能。
[0118]
本发明针对地面移动通信用户通过卫星接入移动网络的场景，提出了一种用户身份鉴权验证的方法。即通过用户终端预先存储的已经过地面移动通信网络运营商认证通过的密钥，对用户在使用卫星网络接入时的用户身份鉴权认证的方案进行设计，实现了用户通过卫星发送单条上行报文即可同时完成鉴权与目标内容传输的功能。
[0119]
接下来参见图5，基于与上述通信鉴权处理方法相同的技术构思，本发明的另一实施例提供了一种通信鉴权处理装置，应用于北斗融合网关，所述通信鉴权处理装置与所述通信鉴权处理方法所起的效果类似，此处不再赘述。所述通信鉴权处理装置包括：接收模块51，用于接收待解密报文和第一终端的主叫号码信息；获取模块52，用于基于所述主叫号码信息，获取第一密钥；第一处理模块53，用于采用所述第一密钥对所述待解密报文进行解密，得到第一鉴权码；第一处理模块53，还用于基于与所述第一终端对应的第一信息和所述第一密钥，生成第二鉴权码；第一处理模块53，还用于基于所述第一鉴权码和所述第二鉴权码，确定所述第一终端是否鉴权成功，并向所述第一终端发送响应报文。
[0120]
可选的，采用所述第一密钥对所述待解密报文进行解密后，还得到第二信息。
[0121]
可选的，所述第一密钥是所述北斗融合网关根据接收到的第一请求消息，通过认证服务器bsf对所述第一终端进行认证，并在认证成功的情况下，存储的认证过程中从bsf获取到的密钥；其中，所述第一请求消息是所述第一终端发送的，且所述第一请求消息包括认证标识和认证信息。
[0122]
可选的，所述响应报文包括：所述第一终端鉴权认证成功和/或第三信息发送成功，或者，所述第一终端鉴权认证失败和/或第三信息发送失败，其中，所述第三信息为用户输入的待发送至被叫用户的信息。
[0123]
可选的，所述第一信息包括第四信息和/或辅助信息。
[0124]
可选的，所述接收模块51还用于：接收运控设备发送的所述辅助信息，所述辅助信息是所述运控设备在接收所述第一终端的第一传输电文时确定的。
[0125]
可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
[0126]
可选的，第一处理模块53，还用于：接收被叫号码信息；在确定所述第一终端鉴权认证成功后，将所述第二信息发送给所述被叫号码信息对应的第二终端。
[0127]
接下来参见图6，本发明的另一实施例提供了一种通信鉴权处理装置，应用于第一终端，包括：第二处理模块61，用于基于第一信息和第二密钥，生成第三鉴权码；第二处理模块61，还用于采用所述第二密钥对第三信息和所述第三鉴权码进行加密，生成加密报文；第二处理模块61，还用于基于所述加密报文、与所述第一终端对应的主叫号码信息、被叫号码信息，生成第一传输电文；发送模块62，用于发送所述第一传输电文。
[0128]
可选的，所述第二密钥是所述第一终端在发起与bsf的相互认证得到认证标识和密钥后，向所述北斗融合网关发送第一请求消息，并接收到所述北斗融合网关反馈的第一响应消息，且所述第一响应消息指示认证成功的情况下存储的、所得到的所述密钥；其中，所述第一请求消息包括所述认证标识和认证信息。
[0129]
可选的，所述第一信息包括：第四信息和/或辅助信息。
[0130]
可选的，所述辅助信息包括以下至少一项：时间参数信息；与sim卡相关的参数信息。
[0131]
本发明的再一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时，实现如上所述的通信鉴权处理方法的步骤。
[0132]
此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。
[0133]
还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含。
[0134]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。