通信认证方法、系统、装置、电子设备及存储介质与流程

1.本发明涉及消息安全技术领域，尤其涉及一种通信认证方法、系统、装置、电子设备及存储介质。


背景技术：

2.物联网、工业互联网的发展带来了海量的物联网设备、工业控制设备等上位机，这些设备通常需要与网络应用功能建立安全连接。在现有技术中，这些上位机与网络应用服务功能通信时需要通过通用认证机制gba进行通信认证，上位机也会参与其中，获取认证过程中的相关信息。当存在非法的上位机时，则会调用、获知认证过程中相关信息，从而导致通信认证过程的安全性较低。


技术实现要素：

3.本发明实施例提供一种通信认证方法、装置、电子设备及存储介质，以解决现有的通信认证方法中认证过程安全性较低的问题。
4.为了解决上述技术问题，本发明是这样实现的：第一方面，本发明实施例提供了一种通信认证方法，应用于安全通信模组，该方法包括：接收上位机发送的通用认证机制gba认证请求；基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程；在认证成功的情况下，获取共享密钥和会话事务标识；根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。
5.可选地，所述在认证成功的情况下，获取共享密钥和会话事务标识，包括：在认证成功的情况下，生成共享密钥，并接收所述运营服务器发送的认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
6.第二方面，本发明实施例提供了一种通信认证方法，应用于运营商服务器，该方法包括：接收安全通信模组发送的gba认证请求；基于所述gba认证请求，执行所述运营商服务器与所述安全通信模组之间的认证过程；在认证成功的情况下，生成共享密钥和会话事务标识；接收网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标
识；在所述运营商服务器本地查询到所述会话事务标识的情况下，向所述网络应用功能发送衍生密钥，所述衍生密钥根据所述共享密钥生成，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
7.可选地，所述在认证成功的情况下，生成共享密钥和会话事务标识之后，所述方法还包括：向所述安全通信模组发送认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
8.第三方面，本发明实施例提供了一种通信认证方法，应用于网络应用功能，该方法包括：接收安全通信模组发送的连接请求，所述连接请求携带有会话事务标识；认证与所述会话事务标识对应的安全通信模组是否为合法用户；在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从运营商服务器获取衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
9.可选地，所述认证与所述会话事务标识对应的安全通信模组是否为合法用户，包括：向所述运营商服务器发送用户查询请求，所述用户查询请求携带有所述会话事务标识；在确定所述运营商服务器查询到所述会话事务标识的情况下，认证与所述会话事务标识对应的安全通信模组为合法用户。
10.第四方面，本发明实施例还提供一种通信认证系统，所述通信认证系统包括上位机、安全通信模组、运营商服务器、网络应用功能，其中：所述上位机，用于向所述安全通信模组发送gba认证请求，并接收安全通信模组发送的gba认证成功消息；所述安全通信模组，用于接收上位机发送的gba认证请求，并基于所述gba认证请求，执行所述安全通信模组与所述运营商服务器之间的认证过程，在认证成功的情况下，生成共享密钥并接收所述运营商服务器发送认证成功通知消息，向网络应用功能发送连接请求，并在确定所述网络应用功能获取到衍生密钥的情况下，向所述上位机发送gba认证成功消息，所述衍生密钥根据共享密钥生成；所述运营商服务器，用于接收所述安全通信模组发送的gba认证请求，并基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程，在认证成功的情况下，生成共享密钥和会话事务标识并向所述安全通信模组发送认证成功通知消息，并接收所述网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识，并在本地查询到所述会话事务标识的情况下，向所述网络应用功能发送所述衍生密钥；所述网络应用功能，用于接收所述安全通信模组发送的连接请求，其中，所述连接请求携带有所述会话事务标识，向所述运营商服务器发送用户查询请求，所述用户查询请求包括所述会话事务标识，认证与所述会话事务标识对应的安全通信模组是否为合法用户，在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从所述运营商
服务器获取衍生密钥，获取所述衍生密钥之后，向安全模组发送gba认证成功的消息。
11.第五方面，本发明实施例还提供一种通信认证装置，该装置包括：第一接收模块，用于接收上位机发送的通用认证机制gba认证请求；第一执行模块，用于基于所述gba认证请求，执行安全通信模组与运营商服务器之间的认证过程；第一获取模块，用于在认证成功的情况下，获取共享密钥和会话事务标识；第一发送模块，用于根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；第二发送模块，用于在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。
12.可选地，第一获取模块包括：第一接收单元，用于在认证成功的情况下，生成共享密钥，并接收所述运营服务器发送的认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
13.第六方面，本发明实施例还提供一种通信认证装置，该装置包括：第二接收模块，用于接收安全通信模组发送的gba认证请求；第二执行模块，用于基于所述gba认证请求，执行所述运营商服务器与所述安全通信模组之间的认证过程；第一生成模块，用于在认证成功的情况下，生成共享密钥和会话事务标识；第三接收模块，用于接收网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识；第三发送模块，用于在所述运营商服务器本地查询到所述会话事务标识的情况下，向所述网络应用功能发送衍生密钥，所述衍生密钥根据所述共享密钥生成，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
14.可选地，所述装置还包括：第四发送模块，用于向所述安全通信模组发送认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
15.第六方面，本发明实施例还提供一种通信认证装置，该装置包括：第四接收模块，用于接收安全通信模组发送的连接请求，所述连接请求携带有会话事务标识；第一认证模块，用于认证与所述会话事务标识对应的安全通信模组是否为合法用户；第二获取模块，用于在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从运营商服务器获取衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
16.可选地，第一认证模块包括：第一发送单元，用于向所述运营商服务器发送用户查询请求，所述用户查询请求
携带有所述会话事务标识；第一认证单元，用于在确定所述运营商服务器查询到所述会话事务标识的情况下，认证与所述会话事务标识对应的安全通信模组为合法用户。
17.第七方面，本发明还提供一种电子设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的通信认证方法的步骤。
18.第八方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的通信认证方法的步骤。
19.本发明实施例的通信认证方法，通过接收上位机发送的通用认证机制gba认证请求；基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程；在认证成功的情况下，获取共享密钥和会话事务标识；根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述根据共享密钥生成的衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。该方法通过安全通信模组完成与网络应用功能的通信认证过程，上位机仅发送认证请求，不参与具体的认证过程，即使存在非法的上位机，其也无法调用、获知通信认证过程的相关信息，从而提高了通信认证的安全性。
附图说明
20.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
21.图1为根据本发明实施例的通信认证方法的流程图之一；图2为根据本发明实施例的通信认证方法的流程图之二；图3为根据本发明实施例的通信认证方法的流程图之三；图4为根据本发明实施例的通信认证方法的流程图之四；图5为根据本发明实施例的通信认证系统的结构图之一；图6为根据本发明实施例的通信认证系统的结构图之二；图7为根据本发明实施例的通信认证系统的结构图之三；图8为根据本发明实施例的通信认证装置的结构图之一；图9为根据本发明实施例的通信认证装置的结构图之二；图10为根据本发明实施例的通信认证装置的结构图之三；图11为根据本发明实施例的电子设备的结构图。
具体实施方式
22.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
23.下面首先结合附图具体描述根据本发明实施例的通信认证方法。
24.如图1所示，根据本发明实施例的通信认证方法，应用于安全通信模组，包括以下步骤：步骤101，接收上位机发送的通用认证机制gba认证请求；上述上位机可以为手机、物联网设备、工业控制设备等，在实际认证过程中，上位机中的上位机应用通过计划任务（attention，at）命令方式发送通用认证机制（general bootstrapping architecture，gba）认证请求，并选择具体串口协议将at命令传递至上位机硬件接口，上位机硬件接口将所述at命令通过串口通信传输至安全通信模组中的模组硬件接口，模组硬件接口通过对应的串口协议接收at命令，并将at命令安全通信模组的安全中间件，安全中间件将at命令转给安全通信模组的安全模块执行gba认证请求。
25.步骤102，基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程；安全通信模组在收到gba认证请求之后，安全通信模组通过自身的通信模块向运营商服务器的引导服务功能（bootstrapping service function，bsf）发送gba认证请求，bsf基于第三代移动通讯网络的认证与密钥协商协议（hype text transfer protocol digest authentication and key agreement，http digest aka）协议与安全通信模组进行认证。具体地，bsf基于http digest aka协议与安全通信模组进行认证的过程如下：（1）安全通信模组通过自身的通信模块向运营商服务器中的bsf发送gba认证请求，gba认证请求包括安全通信模组的私有用户标识（ip multimedia private identity，impi）。（2）bsf向运营商服务器的用户归属服务发送多媒体认证请求（multimedia authorization，mar），请求消息中携带impi。（3）用户归属服务发送多媒体认证响应消息给bsf，响应消息中携带安全通信模组的鉴权信息，如aka鉴权的五元组向量rand、autn、xres、ck、ik。（4）bsf构造401unauthorized响应，响应消息中包含了随机数（random challenge，rand）和鉴权令牌（authentication token，autn），不携带ik、ck、xres。（5）安全通信模组通过检查autn来认证bsf，包括检查是否失序，同时安全通信模组根据自身密钥信息计算出ck、ik和res，从而安全通信模组生成共享密钥（shared key，ks），其中，上述共享秘钥可以由ck、ik推导而来。（6）安全通信模组发送http请求到引导服务功能bsf，http请求中包含着安全通信模组计算的aka响应值res。（7）引导服务功能bsf通过自身密钥信息，计算aka响应值res完成对安全通信模组的认证。
26.步骤103，在认证成功的情况下，获取共享密钥和会话事务标识；若引导服务功能与安全通信模组认证成功，则生成共享密钥和会话事务标识（b-tid）；从而引导服务功能和安全通信模组各自拥有共享密钥。
27.步骤104，根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；
安全通信模组根据共享密钥生成衍生密钥（shared key-network access function，ks_naf），同时，安全通信模组通过自身的通信模块向网络应用功能（network access function，naf）发送连接请求，连接请求中携带有会话事务标识，上述会话事务标识用于网络应用功能从运营商服务器获取根据共享密钥生成的衍生密钥，而衍生密钥则用于安全通信模组与网络应用功能之间进行加密通信。
28.步骤105，在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。
29.在网络应用功能获取到衍生密钥的情况下，网络应用功能基于该衍生密钥与安全通信模组进行通信交流，并把认证成功的消息发送给安全通信模组，安全通信模组再向上位机返回认证成功的消息。
30.本技术实施例通过安全通信模组完成与网络应用功能的通信认证过程，上位机仅发送认证请求，不参与具体的认证过程，即使存在非法的上位机，其也无法调用、获知通信认证过程的相关信息，从而提高了通信认证的安全性。同时，采用上位机仅向安全通信模组发送gba认证请求，由安全通信模组负责gba认证的全过程的方式，可以节省改造上位机的成本，同时上位机应用的数据指令采用at指令方式传递至安全通信模组，增加了上位机与安全通信模组之间通信的适配性。
31.可选地，所述在认证成功的情况下，获取共享密钥和会话事务标识，包括：在认证成功的情况下，生成共享密钥，并接收所述运营服务器发送的认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
32.在实际的认证过程中，当安全通信模组与运营商服务器认证成功的情况下运营商服务器的引导服务功能会发送认证成功通知消息到安全通信模组通知认证成功，该消息中包含会话事务标识和共享密钥的有效期，需要说明的是，引导服务功能生成会话事务标识后，将会话事务标识与共享密钥相关联；安全通信模组收到认证成功通知消息后，也将会话事务标识与共享密钥相关联，建立事务与密钥之间的对应关系。
33.在本技术实施例中，在安全通信模组与运营商服务器认证成功的情况下，获取共享密钥和会话事务标识有利于后续安全通信模组与网络应用功能之间进行认证鉴权。
34.如图2所示，根据本发明实施例的通信认证方法，应用于运营商服务器，包括以下步骤：步骤201，接收安全通信模组发送的gba认证请求；步骤202，基于所述gba认证请求，执行所述运营商服务器与所述安全通信模组之间的认证过程；步骤203，在认证成功的情况下，生成共享密钥和会话事务标识；步骤204，接收网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识；步骤205，在所述运营商服务器本地查询到所述会话事务标识的情况下，向所述网络应用功能发送衍生密钥，所述衍生密钥根据所述共享密钥生成，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
35.在本技术实施例中，运营商服务器接收安全通信模组发送的gba认证请求，基于这个gba认证请求，运营商服务器与安全通信模组基于http digest aka协议进行认证鉴权，
具体的认证过程上文已经阐述，在这里不在赘述。
36.在认证成功的情况下，运营商服务器生成共享密钥和会话事务标识。之后，运营商服务器接收网络应用功能发送的用户查询请求，请求查询安全通信模组的用户信息，且用户查询请求中携带有会话事务标识。运营商服务器的引导服务功能在运营商本地查询会话事务标识，若引导服务功不能在本地查询到该会话事务标识，则通知网络应用功能没有该会话事务标识对应的安全通信模组用户信息；若引导服务功能在本地查询到该会话事务标识，则根据共享密钥计算出衍生密钥，并将安全通信模组的用户信息发送至网络应用功能，安全通信模组的用户信息包括衍生密钥、衍生密钥的有效期、安全通信模组相关的其他信息。
37.在本技术实施例中，运营商服务器基于安全通信模组发送的gba认证请求，执行与安全通信模组的认证过程，并通过接收网络应用功能发送的用户查询请求，将根据共享密钥生成的衍生密钥随着安全通信模组的用户信息一起发送至网络应用功能，该查询过程以会话事务标识为关键桥梁，进行安全通信模组的用户认证，有利于快速查询出相应的用户信息，方便后续网络应用功能与对应的安全通信模组进行通信交流。
38.可选地，所述在认证成功的情况下，生成共享密钥和会话事务标识之后，所述方法还包括：向所述安全通信模组发送认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
39.在实际的认证过程中，当安全通信模组与运营商服务器认证成功的情况下运营商服务器的引导服务功能会发送认证成功通知消息到安全通信模组通知认证成功，该消息中包含会话事务标识和共享密钥的有效期，需要说明的是，引导服务功能生成会话事务标识后，将会话事务标识与共享密钥相关联；安全通信模组收到认证成功通知消息后，也将会话事务标识与共享密钥相关联，建立事务与密钥之间的对应关系。
40.在本技术实施例中，在安全通信模组与运营商服务器认证成功的情况下，获取共享密钥和会话事务标识有利于后续安全通信模组与网络应用功能之间进行认证鉴权。
41.如图3所示，根据本发明实施例提供了一种通信认证方法，应用于网络应用功能，包括以下步骤：步骤301，接收安全通信模组发送的连接请求，所述连接请求携带有会话事务标识；步骤302，认证与所述会话事务标识对应的安全通信模组是否为合法用户；步骤303，在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从运营商服务器获取衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
42.在本技术实施例中，网络应用功能接收安全通信模组发送的连接请求，该连接请求中就携带有会话事务标识，通过该会话事务标识，网络应用功能去认证与该会话事务标识对应的安全通信模组是否为合法的用户。
43.在确定与该会话事务标识对应的安全通信模组为合法的用户之后，运营商服务器根据共享密钥计算出衍生密钥，网络应用功能从运营商服务器处获取该衍生密钥，该衍生密钥用于之后安全通信模组与网络应用功能之间进行加密通信。本技术实施例的通信认证
方法，应用于网络应用功能，通过确定与会话事务标识对应的安全通信模组为合法用户，再基于衍生密钥与该合法用户之间进行加密通信，有利于保障通信过程之中的安全性。
44.可选地，所述认证与所述会话事务标识对应的安全通信模组是否为合法用户，包括：向所述运营商服务器发送用户查询请求，所述用户查询请求携带有所述会话事务标识；在确定所述运营商服务器查询到所述会话事务标识的情况下，认证与所述会话事务标识对应的安全通信模组为合法用户。
45.在实际的认证过程中，网络应用功能如果要进行用户认证，需要先向运营商服务器发送用户查询请求，用户查询请求中就携带有会话事务标识，根据该会话事务标识，运营商服务器的引导服务功能在运营商本地查询会话事务标识，若引导服务功不能在本地查询到该会话事务标识，则通知网络应用功能没有该会话事务标识对应的安全通信模组用户信息。
46.若引导服务功能在本地查询到该会话事务标识，则认证与所述会话事务标识对应的安全通信模组为合法用户。本技术实施例的通信认证方法以会话事务标识为关键桥梁，进行安全通信模组的用户认证，有利于快速查询出相应的用户信息，方便后续网络应用功能与对应的安全通信模组进行通信交流。
47.参见图4，在本技术实施例的通信认证方法中，上位机向安全通信模组发送gba认证请求，安全通信模组接收所述上位机发送的gba认证请求，并将该gba认证请求发送给运营商服务器，图中移动运营商为所述运营商服务器的一种类型。运营商服务的引导服务功能向用户归属服务获取安全通信模组的鉴权信息，运营商服务器与安全通信模组进行双向认证鉴权与密钥协商之后，分别生成共享密钥，运营商服务器并向安全通信模组发送2000k消息，所述2000k消息即为通知认证成功消息。
48.之后，安全通信模组向网络应用功能发送连接请求，同时，安全通信模组根据共享密钥生出衍生密钥。网络应用功能向运营商服务器发送用户查询请求，运营商服务器根据用户查询请求返回用户信息，网络应用功能基于用户信息获得前述衍生密钥，网络应用功能再通过该衍生密钥与安全通信模组进行加密通信，即为图中所述的双向认证鉴权。同时，安全通信模组向上位机返回gba认证成功的消息。
49.需要说明的是，在认证成功之后上位机通过at命令方式处理数据，并通过串口通信技术向安全通信模组发送数据；安全通信模组通过自身的安全芯片对数据进行加密和/或解密处理，并将处理后的数据通过自身的通信模块与网络应用功能进行数据交互。即安全通信模组与网络应用功能进行双向认证后，安全通信模组通过自身的安全芯片对待发送数据进行加密处理后，再将加密处理后的数据通过自身的通信模块发送至网络应用功能；若网络应用功能向安全通信模组返回数据，则安全通信模组通过自身的安全芯片对接收的数据进行解密处理后，再将解密处理后的数据通过自身的微控单元(microcontroller unit，mcu)进行串口通信，返回至上位机，以实现上位机与网络应用功能之间的安全数据交互。
50.如图5所示，本发明实施例还提供一种通信认证系统，所述通信认证系统500包括上位机501、安全通信模组502、运营商服务器503、网络应用功能504，其中：
所述上位机，用于向所述安全通信模组发送gba认证请求；所述安全通信模组，用于接收上位机发送的gba认证请求，并基于所述gba认证请求，执行所述安全通信模组与所述运营商服务器之间的认证过程，在认证成功的情况下，生成共享密钥并接收所述运营商服务器发送认证成功通知消息，在确定所述网络应用功能获取到衍生密钥的情况下，向所述上位机发送gba认证成功消息，所述衍生密钥根据共享密钥生成；所述运营商服务器，用于接收所述安全通信模组发送的gba认证请求，并基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程，在认证成功的情况下，生成共享密钥和会话事务标识并向所述安全通信模组发送认证成功通知消息，并接收所述网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识，并在本地查询到所述会话事务标识的情况下，向所述网络应用功能发送所述衍生密钥；所述网络应用功能，用于接收所述安全通信模组发送的连接请求，其中，所述连接请求携带有所述会话事务标识，向所述运营商服务器发送用户查询请求，所述用户查询请求包括所述会话事务标识，并认证与所述会话事务标识对应的安全通信模组是否为合法用户，在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从所述运营商服务器获取衍生密钥，获取所述衍生密钥之后，向安全模组发送gba认证成功的消息。
51.需要说明的是，上位机用于与安全通信模组中的mcu之间进行数据交互；mcu，用于与上位机之间进行数据交互，解析数据和负责安全通信模组进行gba认证的过程；通信模块，用于与运营商服务器和/或网络应用功能之间进行数据交互；运营商服务器，用于与安全通信模组、网络应用功能进行gba认证过程；网络应用功能，用于与安全通信模组、运营商服务器进行gba认证过程；安全通信模组通过mcu与上位机进行串口通信，用于上位机向安全通信模组发送gba认证请求或数据，以及安全通信模组向上位机返回gba认证成功消息或数据；安全通信模组通过通信模块与运营商服务器进行通信，用于安全通信模组与运营商服务器进行双向认证鉴权与密钥协商，并生成共享密钥；安全通信模组通过通信模块与网络应用功能进行通信，用于安全通信模组向网络应用功能发送连接请求，安全通信模组与网络应用功能之间进行双向认证鉴权，以及用于安全通信模组与网络应用功能进行数据交互；运营商服务器与网络应用功能之间相互通信，用于网络应用功能通过运营商服务器获取安全通信模组的用户信息。
52.需要说明的是，安全通信模组向上位机返回的gba认证成功消息与数据中皆不包含gba认证的相关信息，gba认证的相关信息包括共享密钥和衍生密钥，因此上位机无法获知gba认证的相关信息。
53.本发明实施例的一种通信认证系统中，gba认证的全过程主要由安全通信模组、运营商服务器和网络应用功能之间进行，用户终端侧由安全通信模组这一集成模组负责进行gba认证的全过程，无需上位机这一设备参与gba认证过程，避免非法的或者攻击者定制上位机参与用户终端侧gba认证的状况发生，能够提高gba过程的安全性。
54.可选地，通信模块为4g模块；
可选地，通信模块为窄带物联网（narrow band internet of things, nb-iot）模块。
55.结合图6与图7，在一些实施例中，上位机包括上位机应用和上位机硬件接口，安全通信模组还包括模组硬件接口和安全芯片，安全芯片包括安全模块，mcu包括安全中间件；上位机应用，用于发起gba鉴权请求，以及发送数据指令或接收安全通信模组返回的数据；上位机硬件接口，用于与模组硬件接口进行数据交互；模组硬件接口，用于与上位机硬件接口进行数据交互；安全模块，用于将上位机传来的gba认证请求或数据进行加密处理；和/或，用于将安全通信模组接收的数据进行解密处理；安全中间件，用于与上位机之间进行数据交互，封装打包数据；上位机与安全通信模组通过上位机应用、上位机硬件接口、模组硬件接口、安全中间件进行串口通信。
56.需要说明的是，上位机应用接收的安全通信模组返回的数据中不包含gba认证的相关信息，gba认证的相关信息包括共享密钥和衍生密钥，因此上位机应用无法获知gba认证的相关信息；上位机硬件接口还将配置参数（如端口号）和符合国际标准的其他参数等传递到模组硬件接口，以使上位机与安全通信模组之间通信顺畅；上位机与安全通信模组之间约定通信消息的数据格式，保证双方之间通信稳定性及安全性；发送方指定消息id，若回复处理结果对应的消息id与发送方指定的消息id不一致，则丢弃数据，防止在上位机中导入非法数据。
57.上位机与安全通信模组通过上位机应用、上位机硬件接口、模组硬件接口、安全中间件进行串口通信，以保障上位机与安全通信模组之间通信顺畅。
58.如图6所示，在一些实施例中，运营商服务器包括引导服务功能和用户归属服务；引导服务功能，用于与安全通信模组、网络应用功能进行gba认证过程；用户归属服务，用于存储安全通信模组的鉴权信息，以及向引导服务功能传递安全通信模组的鉴权信息；引导服务功能与用户归属服务之间相互通信，用于引导服务功能向用户归属服务获取安全通信模组的鉴权信息。
59.如图6所示，在一些实施例中，用户归属服务为归属用户服务器（home subscriber server，hss）和/或归属位置寄存器（home location register，hlr）。
60.需要说明的是，归属用户服务器通常用于4g网络中，以保存安全通信模组的鉴权信息及4g位置信息，而归属位置寄存器通常用于2g/3g网络中，以保存安全通信模组的鉴权信息及2g/3g位置信息；归属用户服务器hss支持4元组和5元组鉴权，而归属位置寄存器支持3元组和5元组鉴权；实际部署时，由于归属用户服务器与归属位置寄存器在网络中功能类似，所存储数据有较多重复，故多合设，对外呈现为归属用户服务器与归属位置寄存器融合设备。
61.如图8所述，本发明实施例还提供一种通信认证装置800，该装置包括：
第一接收模块801，用于接收上位机发送的通用认证机制gba认证请求；第一执行模块802，用于基于所述gba认证请求，执行安全通信模组与运营商服务器之间的认证过程；第一获取模块803，用于在认证成功的情况下，获取共享密钥和会话事务标识；第一发送模块804，用于根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述根据共享密钥生成的衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；第二发送模块805，用于在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。
62.可选地，第一获取模块包括：第一接收单元，用于在认证成功的情况下，生成共享密钥，并接收所述运营服务器发送的认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
63.如图所述，本发明实施例还提供一种通信认证装置900，该装置包括：第二接收模块901，用于接收安全通信模组发送的gba认证请求；第二执行模块902，用于基于所述gba认证请求，执行所述运营商服务器与所述安全通信模组之间的认证过程；第一生成模块903，用于在认证成功的情况下，生成共享密钥和会话事务标识；第三接收模块904，用于接收网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识；第三发送模块905 ，用于在所述运营商服务器本地查询到所述会话事务标识的情况下，向所述网络应用功能发送衍生密钥，所述衍生密钥根据所述共享密钥生成，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
64.可选地，所述装置还包括：第四发送模块，用于向所述安全通信模组发送认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
65.如图10所述，本发明实施例还提供一种通信认证装置1000，该装置包括：第四接收模块1001，用于接收安全通信模组发送的连接请求，所述连接请求携带有会话事务标识；第一认证模块1002，用于认证与所述会话事务标识对应的安全通信模组是否为合法用户；第二获取模块1003，用于在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从运营商服务器获取衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
66.可选地，第一认证模块包括：第一发送单元，用于向所述运营商服务器发送用户查询请求，所述用户查询请求携带有所述会话事务标识；第一认证单元，用于在确定所述运营商服务器查询到所述会话事务标识的情况
下，认证与所述会话事务标识对应的安全通信模组为合法用户。
67.参见图11，图11是本发明又一实施提供的电子设备的结构图，如图11所示，电子设备包括：处理器1101、通信接口1102、通信总线1104和存储器1103，其中，处理器1101、通信接口1102和存储器1103通过通信总线1104完成相互间的交互。其中，存储器1103用于存放计算机程序；处理器1101，用于执行存储器1103上所存放的程序，所述计算器程序被处理器1101执行时：用于接收上位机发送的通用认证机制gba认证请求；基于所述gba认证请求，执行所述安全通信模组与运营商服务器之间的认证过程；在认证成功的情况下，获取共享密钥和会话事务标识；根据所述共享密钥生成衍生密钥，并向网络应用功能发送连接请求，其中，所述连接请求携带有所述会话事务标识，所述会话事务标识用于所述网络应用功能从所述运营商服务器获取所述根据共享密钥生成的衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信；在确定所述网络应用功能获取到所述衍生密钥的情况下，向所述上位机发送gba认证成功消息。
68.可选地，处理器1101执行时，用于所述在认证成功的情况下，获取共享密钥和会话事务标识，包括：在认证成功的情况下，生成共享密钥，并接收所述运营服务器发送的认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
69.处理器1101执行时，用于接收安全通信模组发送的gba认证请求；基于所述gba认证请求，执行所述运营商服务器与所述安全通信模组之间的认证过程；在认证成功的情况下，生成共享密钥和会话事务标识；接收网络应用功能发送的用户查询请求，所述用户查询请求包括所述会话事务标识；在所述运营商服务器本地查询到所述会话事务标识的情况下，向所述网络应用功能发送衍生密钥，所述衍生密钥根据所述共享密钥生成，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
70.可选地，处理器1101执行时，用于所述在认证成功的情况下，生成共享密钥和会话事务标识之后，所述方法还包括：向所述安全通信模组发送认证成功通知消息，其中，所述认证成功通知消息携带有会话事务标识和所述共享密钥的有效期。
71.处理器1101执行时，用于接收安全通信模组发送的连接请求，所述连接请求携带有会话事务标识；认证与所述会话事务标识对应的安全通信模组是否为合法用户；在确定与所述会话事务标识对应的安全通信模组为合法用户的情况下，从运营商服务器获取衍生密钥，所述衍生密钥用于所述安全通信模组与所述网络应用功能之间进行加密通信。
72.可选地，处理器1101执行时，用于所述认证与所述会话事务标识对应的安全通信模组是否为合法用户，包括：向所述运营商服务器发送用户查询请求，所述用户查询请求携带有所述会话事务标识；在确定所述运营商服务器查询到所述会话事务标识的情况下，认证与所述会话事务标识对应的安全通信模组为合法用户。
73.上述电子设备提到的通信总线1104可以是外部设备互连标准(peripheral component interconnect，pct)总线或宽展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线1104可以分为地
址总线、数据总线、控制总线等。为了便于标识，图中仅用一条粗线表示，但并不表示仅有一根总线或一种数据类型。
74.通信接口1102用于上述终端与其他设备之间的通信。
75.存储器1103可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器1103还可以是至少一个位于远离前述处理器1101的存储装置。
76.上述的处理器1101可以是通用处理器，包括中央处理器 (central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
77.本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述通信认证方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器（read-only memory，rom）、随机存取存储器（random access memory，ram）、磁碟或者光盘等。
78.除非另作定义，本发明中使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常的意义。本发明中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是起到一个区分作用。
79.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如rom/ram、磁碟、光盘）中，包括若干指令用以使得一台终端（可以是手机，计算机，服务器，空调器，或者网络设备等）执行本发明各个实施例所述的方法。
80.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。