在例如根据GSM(更一般地被称为2G)或UMTS(更一般地被称为3G)标准的移动通信中，安全已成了最重要的方面。这很大程度上与移动通信在商业和私人通信中的使用增加有关。相应地，安全有关的要求包括网络及移动用户鉴权、通过移动链路发射的信息完整性、信息加密及防止重放攻击。例如，已知GSM受到安全问题的困扰，并且例如通过破解A5/2密码算法得到加密密钥是可能的。参考文献[1]中描述了一种欺诈行为的技术说明。GSM鉴权和密钥同意过程AKA只取决于随机数RAND，并且密钥因而同样独立于所使用的实际密码算法。电路交换数据有三种算法选择，即，A5/1、A5/2、A5/3，而分组数据有三种算法，即GEA1、GEA2和GEA3。终端以信号方式将其性能、具体而言它支持的密码算法集合发送到网络。网络随后选择要使用的密码算法。注意到此信令不受保护。因此，终端无法检测是否及何时攻击者在发送信号，指出它应使用A5/2，也无法检测此信息是否源于合法运营商。
通常，有三种类型的攻击。第一种类型包括在系统使用如参考文献[1]中所述已被破解的A5/2时攻击者截取业务并将业务解密。
第二种类型包括截取与AKA过程相关联的业务，以记录业务数据和使用的RAND值。稍后，假基站可让移动终端使用以前记录的RAND执行AKA过程并使用A5/2算法将业务加密，这使攻击者能够取回密码密钥Kc。由于只是依赖RAND，因此，此密钥Kc将与用于保护记录的业务的密钥相同。
第三种类型的攻击涉及强制终端使用A5/2算法的活动中间人，从而能够计算密码密钥。
UMTS标准建议了克服大部分这些问题的方法。然而，预见的情况是在大部分用户拥有UMTS终端之前相当长的一段时期内将使用GSM终端。实际上，许多高级服务将在GSM电话上提供，并且用户不到最后可能不愿更换其电话。例如，如参考文献[2，3]中所述，当前在3GPP中提议了这些问题的一些解决方案。参考文献[2]公开了一种还被称为密钥隔离的解决方案，它通过导出变换相关的密钥而增强GSM AKA提供的安全。虽然此解决方案解决了GSM的一些问题，但仍存在缺陷。例如，此解决方案不提供适用于UMTS AKA的信令接口，而为获得重放保护、网络鉴权和安全算法选择，优选是提供此接口。此解决方案还在一些情况下变得复杂。参考文献[3]中公开的解决方案具有相同的缺陷，并且还具有一些其它的安全问题，表现在有效密钥空间大小由于降低的随机性而可能被减少。还有的其它缺陷与RAND的降低的随机性有关，而且不提供互鉴权。
参考文献[4]中描述了还有的另一种提高GSM AKA安全的方法，并且该方法被称为EAP-SIM(可扩展鉴权协议)。EAP-SIM的主要部分包括互鉴权和会话密钥同意协议。根据此方法，在安全操作中生成和包括最多三个GSM AKA的三元组以实现更长的会话密钥，例如128比特。改进的安全要求满足有关RAND值选择的某些条件。此方法的一个缺陷在于会话不是独立的。如果其中一个会话的会话密钥泄露，则敌对者可使用它与客户进行欺诈性会话。另一个缺陷是提供有EAP SIM功能的移动终端对于网络表现得不像普通GSM终端，而是需要特别的通信协议。EAP SIM因而对GSM/UMTS接入网络无法变得透明。
参考文献[6]描述了诸如SIM卡的一种防篡改安全装置，该装置除AKA模块外，还具有与AKA模块协作的软件应用，以提供诸如EAP-SIM提议的安全和/或私有增强功能。

本发明的一般目的是在移动通信系统中提供改进的安全方法和系统。一个具体的目的是提供一种支持其的管理系统和移动终端。
本发明的一个目的是提供一种方法和布置，以改进当前支持基本安全标准的通信系统中的安全。
一个特别目的是通过为终端提供与身份模块交互的可执行软件，以在其中再用只支持基本安全标准的可执行安全例程，从而实施对改进的安全的支持。
本发明还有的一个目的是提供移动终端和网络的互鉴权。
本发明的另一目的是提供重放保护。
本发明还有的另一目的是为终端与网络之间交换的与安全算法的选择有关的信息提供一定的完整性保护。
本发明的一个主要目的是在为至少一些具有只支持第一安全标准的身份模块的移动终端服务的移动通信系统中，根据第一和第二安全标准为网络侧与终端侧之间的安全同意提供支持。
具体地说，在移动终端具有根据诸如GSM标准的2G标准的SIM时，希望为至少部分对应于诸如UMTS标准的3G标准的安全标准和/或至少部分对应于IP多媒体子系统的安全标准提供支持。
因此，一个特别目的是在GSM系统中实施是UMTS系统的特征的某些安全特性。
对于GSM的特殊示例，需要一种方法和布置改进GSM安全并提供UMTS系统的至少一些特征，在向网络鉴权时无需在GSM终端中有诸如USIM卡的特别身份模块。
通过根据随附权利要求书的本发明达到这些和其它目的。
简要地说，本发明涉及移动通信系统中的安全，移动通信系统具有为第一安全标准和第二安全标准提供支持的归属网络，并且其中移动通信系统为一个或多个具有根据第一安全标准操作的身份模块的移动终端服务。当移动终端启动服务接入时，归属网络确定移动终端是否具有配置为与移动终端的身份模块交互以模拟根据第二安全标准的身份模块的可执行程序。如果断定移动终端具有此类可执行程序，则在归属网络执行安全算法以提供根据第二安全标准的安全数据。随后以对受访网络透明的方式将第二安全标准的这些安全数据的至少一部分传送到移动终端。在移动终端侧，执行配置为与移动终端的身份模块交互以通过将所传送的安全数据的至少一部分用作输入来模拟根据第二安全标准的身份模块的可执行程序。
优选是第一安全标准对应于基本上为GSM标准的2G标准，而第二安全标准至少部分对应于诸如UMTS标准的3G标准和/或IP多媒体子系统(IMS)标准。
当UMTS安全标准为目标时，本发明的程序一般配置用于由GSMSIM模拟USIM(UMTS用户身份模块)以能够接入基本的网络服务。
另一方面，在IP多媒体子系统的情况中，程序优选是配置用于由GSMSIM模拟ISIM(IP多媒体SIM)以能够接入IP多媒体子系统服务。可注意到，ISIM一般为应用层上的接入提供支持。还应理解的是，不禁止同一个SIM再用于模拟USIM和ISIM。
通常，在初始阶段期间移动终端供应有新的软件程序，并且在所谓的装置性能寄存器中登记该供应。当归属网络确定请求移动终端是否通过新的软件升级时，归属网络优选是询问装置性能寄存器以决定要用于安全计算的安全算法。该供应例如可通过空中或在转售站(resale station)执行。然而，该供应优选是由移动通信系统的装置管理系统执行，特别是在IP多媒体子系统中实施本发明时。
优选是模拟的身份模块可操作用于计算互鉴权的安全数据和至少一个对应于Milenage算法或类似的标准化安全算法的安全密钥。有利的是，模拟的身份模块还配置用于基于所传送的安全数据的至少一部分提供重放保护。
为在终端侧获得改进的安全，一般但不必仅在验证使能代码之后才启用模拟。如果使用此任选特性，则在供应期间在移动终端的身份模块中存储使能代码会有利。可执行程序例如可随后配置用于在允许提供的软件与现有的身份模块之间的交互之前验证使能代码。

优选是参照附图进行以下说明，图中：
图1是根据本发明的示范实施例概括本发明特性的示意图。
图2以示意图方式示出现有技术的移动通信系统。
图3示出用于在现有技术的系统中建立安全连接的典型的信号交换。
图4分别在原理上示出现有技术的GSM和UMTS安全算法的输入和输出。
图5更详细地示出现有技术的UMTS安全算法。
图6示出现有技术的GSM系统中的鉴权和密钥同意(AKA)协议。
图7示出现有技术的UMTS系统中的鉴权和密钥同意(AKA)协议。
图8以示意图方式示出本发明的优选实施例和典型的信号交换。
图9是根据本发明示范实施例的示意系统概观。
图10更详细地示出根据本发明的示范移动终端。
图11是示出在移动终端中实施本发明的流程图。
图12示出根据本发明的示范实施例在软件程序与身份模块之间的交互。
图13以示意图方式示出本发明的另一优选实施例。

现在将通过示例更详细地描述本发明，这些示例不应被认为是限制本发明的范围，并且本领域的技术人员应能够从中导出替代的有利实施例。
图1是根据本发明的示范实施例概括本发明特性的示意图。为至少一个移动终端10服务的整个移动通信系统基本上包括受访网络20与归属网络30的组合。受访网络20通常包括一个或多个适用于考虑的通信系统和应用的接入与安全支撑节点。基本上，受访网络20必须为用户鉴权提供支持，其中，移动终端向网络鉴权以便能接入请求的服务。此鉴权还可用作对用户计费的基础。现代通信系统的基本安全协议通常涉及询问响应鉴权和密钥同意(AKA)过程。AKA过程最常是基于使用在移动终端10与归属网络30之间共享的秘密密钥的对称密码学。在归属网络中，一个或多个安全节点32(还被称为用户处理网络节点)经与一个或多个寄存器和数据库34的交互，处理用户和有关的安全信息。归属网络的用户处理节点与受访网络中的接入与安全支撑节点进行通信，通常将与AKA有关的信息并任选地还有安全策略信息从归属网络30传送到受访网络20。
受访网络中的安全支撑网络节点和归属网络中的用户处理节点例如可与基本的网络接入服务有关，并因而在受访网络中包括诸如BSS节点和MSC/VLR/SGSN的节点且在归属网络中包括HLR/AuC。然而，在“应用层”可能也存在对应的网络节点，例如，如图1中虚框所示，受访网络中的代理CSCF(呼叫状态控制功能)节点和归属网络中用于IP多媒体服务的对应的CSCF节点及HSS(归属用户系统)节点。
移动终端10具有根据第一安全标准操作的身份模块(IM)12，并且还供应有可执行AKA软件程序14形式的软件升级，该程序配置为与移动终端的身份模块12交互以模拟根据第二安全标准的身份模块。一般情况下，在初始阶段期间为移动终端10供应有新的软件程序，并且在所谓的装置性能寄存器中登记该供应。此寄存器优选是与归属网络结合实施，并且通常与所谓的装置管理系统(DMS)36相关联。该供应例如可通过空中或在转售站执行。然而，该供应优选是由移动通信系统的装置管理系统36执行，特别是当在IP多媒体子系统中实施本发明时。
当移动终端启动诸如基本的网络接入和/或应用服务接入的服务接入时，它将请求发送到受访网络，该网络将请求传递到归属网络。归属网络先确定是否确实已使用新的软件程序14升级了移动终端。这优选是通过询问包括装置性能寄存器的一个或多个寄存器34来完成。或者，可更新归属网络安全节点32以维护用户的装置性能的本地信息。如果归属网络30确定移动终端10具有所需的软件程序，则在归属网络执行安全算法以提供根据第二安全标准的安全数据。计算可由归属网络中提供的自定义硬件模块执行。或者，通过软件程序升级归属网络中的相关网络节点，该程序与现有的安全模块交互以模拟根据第二标准的安全算法，特别是当存在根据第一安全标准的AKA功能的硬件支持时。随后，以实质上对受访网络透明的方式将这些计算的安全数据的至少一部分传送到移动终端，使得信令接口不必更改。在移动终端侧，执行配置为与移动终端的身份模块交互的可执行程序，以通过将传送的安全数据的至少一部分作为输入，模拟根据第二安全标准的身份模块。
优选是第一安全标准对应于基本上为GSM标准的2G标准，而第二安全标准至少部分对应于诸如UMTS标准的3G标准和/或IP多媒体子系统(IMS)标准。有关2G和3G的更详细的定义，请参考[5]。这通常暗示(互)鉴权及用于通过一个或多个会话密钥保护诸如数据(有效负荷)或控制信令的信息的密钥同意。
当UMTS安全标准为目标时，本发明程序一般配置用于通过GSMSIM模拟USIM(UMTS用户身份模块)以能够接入基本的网络服务。
另一方面，在IP多媒体子系统的情况中，该程序优选是配置用于通过GSM SIM模拟ISIM(IP多媒体SIM)以能够接入IP多媒体子系统服务。应理解，并不禁止同一个SIM再用于模拟USIM和ISIM。本发明因而允许模拟USIM、ISIM或两者的组合及优选是增强型的其它身份模块。
在下述内容中，将先主要参照GSM和UMTS通信系统对本发明进行描述，并在稍后还参照IP多媒体子系统对本发明进行描述，但应理解，如上所述，本发明以其最常见形式涉及第一安全标准和第二安全标准，并且作为一个重要的特别情况涉及基本的安全标准和改进的安全标准。
为更好地理解，从了解诸如GSM和UMTS的现有技术的移动通信系统的安全标准概况开始会有益。
图2以示意图方式示出现有技术的移动通信系统。例如移动电话的移动台MS可通过例如2G(GSM)或3G(UMTS)网络的接入网络连接到网络。接入节点可以是GSM系统中的基站收发信机BTS或UMTS系统中的无线电基站RBS。接入网络连接到位于例如受访网络的交换网络中的移动交换中心MSC。MSC节点还包括用于在MSC与ME之间设立无线电连接的功能，例如，下面将解释的安全功能建立。MSC链接到受访位置寄存器VLR，该寄存器经常与MSC处在同一位置，其存储与用户有关的数据并执行安全功能。图中还示出位于归属网络中的归属位置寄存器HLR，在该网络中，用户通常与网络运营商有签约。HLR存储与用户有关的数据，例如与签约有关的数据，并与MSC/VLR协作以记录MS的位置。HLR链接到鉴权中心AUC，该中心经常与HLR处在同一位置，包括用于计算安全数据的算法。AUC节点存储密钥k，该密钥还被存储在MS的身份模块中。例如，身份模块可以是SIM卡或具有USIM应用的UICC卡。
因此，可理解，网络节点可以是例如与GSM系统或UMTS系统有关的至少两种类型。这些类型的组合可出现在网络中，但有某些限制。然而，为便于互通，任何两个系统的规范应允许这两种类型中任一类型的移动台在任何两个此类网络之间漫游。在本发明的第一方面，假设GSM移动台在GSM基站环境中漫游。
现在参照图3，所示信号流程图通过示例示出建立网络接入的常规过程。未在图3中示出接入节点，例如BTS，然而，由于它只是转发往来于MSC的消息，因而对于此示图可将其忽略。在步骤1，移动台MS通过发射包括要求的MS身份ID的第一附着请求信号，请求接入网络。在步骤2，请求MSC节点确定鉴权和密钥同意参数AKA。这与HLR合作完成，和/或在位置更新时，与以前的MSC(图中未示出)合作完成。在步骤3，MSC在包括至少一些AKA参数的信号中请求鉴权数据。在步骤4，移动台MS处理接收的AKA参数，并确定在步骤5传送到MSC的鉴权响应。在步骤6，MSC验证响应，并视结果而定，接受或拒绝接入请求。在步骤7，根据在鉴权进程中判定的安全例程开始数据交换。例如，使用密钥K’(例如GSM系统的密码密钥KC)对数据进行加密。GSM系统通常在基站收发信机节点BTS终止加密，之后，将数据以明文形式转发到MSC作进一步交换。如例如在UMTS系统中的情况一样，处理步骤4可包括网络鉴权。
易于理解，移动台与网络之间建立的安全将取决于移动台MS的安全性能和涉及的网络节点的安全性能。情况是复杂的，因为网络在很大程度上是独立于用户团体开发的。因此，运营商根据某个计划更新网络节点，而用户团体根据诸如价格和服务可用性的市场因素获取或替换用户设备。从例如GSM到UMTS的转换体现了将需要大量时间完成的重大步骤。有利的是发现对例如GSM的基本平台进行改进的、涉及例如UMTS的最终目标的至少一些特性的中间步骤。在下述内容中，根据本发明的第一方面陈述此问题的详细解决方案。
虽然将主要参照GSM和UMTS的安全标准对本发明进行描述，但应理解，本发明的基本原理一般适用于具有第一(基本的)安全标准和第二(改进的)安全标准的任何通信标准对，其中使用“身份模块”。
参照图4，以示意图方式分别示出根据GSM标准和UMTS标准的密钥生成的基本功能。因此，在GSM中，将随机种子RAND输入到实施被称为A3和A8的两种算法的SIM身份模块。这些算法分别生成响应RES和密码密钥KC。这些值的长度在图中指示，并且RES因此具有32比特，而KC具有64比特。UMTS情况更复杂，并且从UMTS系统中对应的USIM身份模块输出七个不同的值。因此，f2算法生成响应RES，而f3算法生成一般被标记为CK的密码密钥。f1算法用于向移动台的网络鉴权。剩余的参数用于完整性保护IK和匿名保护AK。除随机种子RAND外，将序列号SQN和被称为鉴权管理字段的AMF数据输入到实施UMTS AKA算法的USIM身份模块。AMF字段是16比特长的字段，提供可以以各种方式使用的一般机制，即，由运营商指定此字段的使用。
图5更详细地示出被称为Milenage算法的UMTS AKA算法的实施，请参阅参考文献[7]。在此图中，两个串的级联通过符号“||”表示。此外，符号“”表示XOR运算，而“＞＞”表示旋转，即，通过参数r(例如r1)所示的多个步骤的转换。标记Lx指所示输出的最低“x”个有效位，而My指其最高“y”个有效位。此外，参数c1-c5包括在计算中。参数r1-r5和c1-c5被存储在移动台(在USIM中)，并在配置阶段由运营商确定。标记为EK的框表示某一加密算法，例如，AES算法。简言之，USIM卡的输出解释如下。MAC值用于验证网络的可靠性。RES值是允许网络对身份模块鉴权的响应。参数AK被称为匿名密钥，而CK是密码密钥。最后，IK是用于保护某些信号消息的完整性密钥。
图6更详细地示出根据GSM标准的鉴权进程。MSC响应接收附着请求，启动对HLR/AuC的鉴权数据请求。在HLR/AuC的随机数生成器生成值RAND，将该值输入A3/A8算法，由此生成预期的响应XRES和密码密钥KC。将RAND、XRES和KC三元组返回MSC节点，该节点将RAND值转发到移动台SIM卡。对应的计算在移动台执行，该移动台将计算的响应RES返回到MSC。所有计算使用移动台和网络共用的秘密密钥Ki。通过比较值RES和XRES，MSC可对移动台鉴权。
基本上，在如图7所示的UMTS系统中执行相同的步骤。然而，在网络与移动台之间交换附加的参数以便提高安全性。因此，HLR/AuC包括用于生成号码SQN的序列号生成器，计算包括值XRES、CK、IK、AK和MAC的五元组。这些实体在前面已解释，但消息鉴权码MAC一般在SQN||RAND||AMF上计算并由移动台用于对网络鉴权。序列号SQN可用于防止重放攻击。正如从图7可以看到的一样，MSC在这种情况下返回值RAND、AMF、SQN和MAC。
基于共用的共享秘密密钥K和接收的RAND，移动台或更具体地说USIM使用算法f2到f4计算RES、CK和IK。如前面的GSM情况中一样，值RES被返回并用于对移动台鉴权。USIM还使用算法f5来基于RAND计算AK，并通过使用计算的匿名密钥取回SQN。AK是用于隐藏序列号的匿名密钥，这是因为序列号会暴露用户的身份和位置。隐藏只是为了防止被动攻击，并且如果不需要隐藏，则不必使用f5。移动终端使用f1验证MAC。移动终端通常还通过与身份模块USIM中存储的当前SQN号进行比较，验证接收的SQN号是否在正确的范围。
在本发明的第一方面，诸如GSM终端的2G终端或等同的基本安全标准的终端提供有根据本发明的改进的安全功能，并位于3GVLR/SGSN和2G或3GBSS网络中，并且其中HLR/AuC根据本发明被修改为支持改进的安全。
图8根据示范优选实施例示出本发明。除其它步骤外，图8中的步骤3和6是新步骤，并且根据本发明对步骤2进行了修改。例如，步骤6示出根据本发明在2G身份模块(一般为GSM SIM)与软件模块AKA SW之间的交互。在初始供应阶段期间载入移动台的软件模块AKA SW包括实施功能以实现改进的安全、具体地说用于模拟根据第二安全标准的身份模块的可执行软件，第二安全标准在此处例示为至少部分对应于3G(UMTS)移动通信标准的改进的安全标准。AKA SW模块可根据例如OTA标准通过空中载入，或者使用例如电缆、红外或BluetoothTM的任何合适接口，在移动台转售处载入。在可以是修改的2G或3G HLR/AuC的归属网络中，步骤2一般包括合适寄存器的询问以确定是否已使用基本上模拟USIM的软件模块升级了2G终端。HLR/AuC升级为执行安全算法以在步骤3中提供根据第二安全标准的安全数据，包括RAND、XRES、AUTN和会话密钥。
如步骤10所示，作为任选但经常是优选的特性，在启动模拟USIM性能之前验证使能代码KL。使能代码KL例如被存储在SIM卡中以实现SIM卡与本发明的AKA SW模块之间的交互。作为第一步骤，AKA SW可检查使能代码，并且如果使能代码不可用，则停止执行。使能代码KL可例如通过使用SIM工具包环境而提供以存储在SIM模块中，或者在其它情况下只被存储在移动终端中而在身份模块外。使能代码一般是设为指示终端具有所需软件升级的简单标志。
根据图8，国际移动用户号IMSI一般包括在步骤1的附着请求信号中，并由VLR/SGSN转发到HLR/AuC，HLR/AuC可使用此信息在步骤2中确定在移动台实施的安全支持类型。
例如，图9示出根据本发明示范实施例的系统概观，其中，HLR/AuC询问寄存器EI/IMSI以确定对应于IMSI值的设备类型EI，假设IMSI可用作移动终端的标识符，暗示用户不太经常将其SIM移到另一移动装置。实际上，这是合理的假设。EI值随后用于为移动终端安全支持询问装置性能寄存器DC。通过使用例如装置管理系统，可保持更新EI/IMSI寄存器，该装置管理系统例如在附着请求中询问终端有关终端性能。例如，HLR/AuC确定移动台实施了如图8所示的本发明的安全改进AKA SW。HLR/AuC随后执行对应于改进的AKA SW算法的安全计算，并将计算的值返回VLR/SGSN以透明转发到移动台。
优选是如图8的步骤4中所示，改进的安全包括与普通的RAND、XRES和Kc一起返回VLR/SGSN的网络鉴权数据AUTN。如步骤5所示，将RAND和AUTN一直传送到移动终端。在优选实施例中，以对受访网络透明的方式将值RAND和AUTN传送到移动终端。对于3G VLR/SGSN和2G BSS的情况，这实际上由参考文献[5]中所述的3GPP标准化支持。在3G VLR/SGSN和3G BSS的情况下，通过将移动装置登记为具UMTS AKA能力的2G终端，支持是隐含的。
移动台能够识别RAND和AUTN值，并将它们用作到AKA软件模块的输入，该模块在步骤6中与2G SIM交互以模拟3G USIM。优选是模拟的USIM的性能包括对互鉴权和会话密钥计算的支持。一般通过在步骤7中将RES传送到VLR/SGSN以在步骤8中验证而执行对终端的鉴权。随后在步骤9中可使用一个或多个计算的会话密钥执行受保护的通信。
还可能的是，将本发明(包括如上所述在归属网络侧和移动终端侧的本发明的修改)与诸如2G MSC/VLR和BSS的受访网络的其它配置一起使用。
实际上，如果在某个时间通过在无线电接口上的完整性保护会增强GSM，则本发明产生可供此用途使用的密钥IK。
即使移动终端在2G受访网络中将自己登记为2G终端，HLR/AuC也可根据本发明的示范实施例，将以根据基本的2G(GSM)标准的信令格式嵌入的、根据改进的安全标准的AUTN和类似的安全数据传送到移动终端。例如，可将AUTN和类似的安全数据编码或嵌入诸如RAND的普通的AKA信息中。这样，经受访网络透明地传送嵌入在常规的鉴权询问RAND中的改进的安全参数。移动终端随后配置为从传送的RAND值抽取AUTN和类似的安全数据，并随后可将RAND和AUTN均应用到本发明的AKA软件模块。
图10示出示范的修改的移动台。优选是以组合的硬件和软件实施的网络单元包括用于修改的处理的单元。值RAND和AUTN在RAND’中被识别并被转发到本发明的AKA SW模块。AKA SW模块与例如SIM身份模块的身份模块进行交互，以实施改进的安全算法。秘密密钥K是AKA算法的基础。在图8中还提及的使能代码KL用于实现身份模块IM与AKA SW软件程序之间的交互。图10中还示出存储器，用于存储安全计算所需的某些参数值，如Milenage算法中定义的r和c参数。这些参数集合优选至少是移动终端的特征，或者当它们被存储在SIM工具包中时是SIM的特征。移动终端通常供应有与本发明的软件升级载入有关的这些参数，并且HLR/AuC可自由选择到供应有软件的每个移动终端的独特参数集合。
存储器可部分作为移动台硬件包括在内，或部分包括在身份模块IM中，例如，使用SIM工具包将值插入SIM模块。
图11所示流程图示出在根据本发明的示范优选实施例执行改进的安全算法时的步骤。在110，检查使能代码KL是否可用于实现SIM-AKA SW交互。如果密钥无效，则执行停止。或者，可回退到基本的GSM-AKA。在120，从存储位置取回参数。可将参数存储在移动台上可用的存储位置，或者例如在交付SIM卡时通过工具SIM工具包或者通过空中传送将参数插入卡中。在130，将RAND输入使用至少一个参数的第一操作。在140，执行第二安全操作预设的N次。第二操作的每次循环涉及使用选定的参数子集和执行例程RK。在150，检查第二操作是否已完成。在160，输出计算的安全值。示范的计算输出包括用于执行网络鉴权的密钥、响应RES、密码密钥CK和完整性密钥IK。
在本发明的一个实施例中，使用所述用于执行鉴权的密钥，例如使用从UMTS标准了解的f1功能，在AMF上计算消息鉴权码MAC。AUTN在这种情况下包括AMF||MAC。
根据一个实施例，AUTN数据还包括在HLR/AuC生成的序列号SQN。引入SQN可防止重放攻击。因此，这种情况下，AUTN＝(SQNXOR AK)||AMF||MAC(其中，在匿名不是问题时可省略匿名密钥AK)。可将SQN号例如作为SIM AKA软件的静态变量存储在移动台的如图10所示的存储器中。显然，如果将身份模块移到需要重新同步的另一装置，则丢失同步。这意味着每个新的终端中的第一次鉴权会受到重放攻击，但来自同一个终端的连续鉴权受到保护。或者，为在将身份模块移到另一装置时保持同步，身份模块中例如SIM应用工具包的应用环境可用于让身份模块登记序列号。
在特殊的实施例中，第一操作涉及GSM SIM模块调用，以计算临时密钥KC和对应于基本的GSM AKA鉴权中普通响应的临时RES。根据此实施例，RK的第一选择是AKA算法，并且每次例程的执行因而涉及SIM模块调用。至少一些SIM模块调用使用所述临时密钥或其导出物。注意到GSM SIM要求长度为128比特的输入。第一GSM SIM调用使用满足此要求的RAND。然而，为满足所有第二(迭代)操作中的要求，先处理第一调用中SIM的输出以形成长度为96比特(64+32)的k＝KC||RES。剩余的32比特可包括例如附加到k的最低有效部分的多个零。明显的是，有许多其它方式生成缺少的32比特，包括重复比特模式、应用散列函数等等。注意到从不示出临时RES，并且因此k具有96比特熵，这虽然稍稍少于在真正的UMTSAKA系统中可用的128比特，但大大优于KC中可用的64比特。
图12示出此特殊的实施例。框架内的所有实体形成根据本发明的软件的一部分。此布置类似于图5，并且结构因而基本上对应于Milenage算法或对应的UMTS算法f集合(UMTS f-set of algorithms)。
根据所述特殊的实施例，RK的第二选择是由临时密钥KC或其导出物(例如k’＝KC||RES或某个其它密钥)鉴别的AES算法。观察到，在后一实施例中，只有一次SIM模块调用，由此，由于SIM模块的过程调用所需时间多于执行例如以软件实施的AES算法的时间，因而节省了宝贵的时间。
根据现有技术的标准，众所周知，网络通知移动台有关可使用的优选加密算法，例如，在GSM中选择A5算法。在本发明的一个实施例中，此信息有利地包括在从移动用户的归属网络提供的AMF字段中。因此，根据此实施例，此数据通过基于AMF字段的MAC代码而得到一定的完整性保护。假设以某一方式列举可能的算法，例如，A5/1＝1，A5/2＝2，...；GEA1＝x，GEA2＝x+1，...。归属网络HLR/AuC可发送信号，指出当前仅当AMF的比特编号“j”设为1时才允许使用算法编号“i”。注意到，如果某个攻击者修改AMF，则这将导致移动终端计算错误的响应RES，并且接入网络将检测到这种情况。因此，根据GSM标准，以明文发射所述数据，而此实施例对GSM标准作出了改进。此解决方案的另一优点在于RAND保持128比特的随机性，而一些解决方案已被提议，例如参考文献[3]，其中RAND的一些比特已用于此信令，因而降低了随机性。
移动台可安排为按如下所述使用AMF数据。根据现有技术的GSM标准，众所周知，选择要使用的算法是由接入网络通过密码模式命令来完成的。此信号在GSM中未受到完整性保护。然而，通过与可允许算法的“隐含”完整性保护列表相比，移动台可轻松检测到未在列表上的算法选择，该列表通过AMF提供。攻击者所能做的全部是将一个允许的(安全的)算法更改为另一允许的(且安全的)选择。虽然在此实施例中，AMF已用于与算法选择有关的信息，但易于理解，其它类型的数据也可包括在内并获得相同的保护。
再参照图12，另一实施例包括使用屏蔽函数获得屏蔽形式的SIM算法A3/A8。因此，如果f是单向函数，则GSM AKA的输出计算为f(GSM_AKA)，其中，GSM_AKA例如表示输出值RES或KC。
可以预料的是，接入网络和归属网络中的网络节点分别具有不同的形式，一些支持GSM，而一些支持UMTS。例如，当UMTS移动台在GSM接入网络中时，如果HLR/AuC输送UMTS参数，则某些参数变换是需要的。例如，GSM加密密钥Kc在此情况下计算为Kc＝CK1XOR CK2XOR IK1XOR IK2，其中，CK1、CK2、IK1、IK2分别是CK密钥和IK密钥的64个低/高阶比特。然而，本发明可在考虑了可使用完全相同的变换函数的此类环境中实施。在参考文献[5]中可找到各种情况下执行的一般互操作性变换。
在另一实施例中，本发明可用于提供附加的服务，这些服务一般会需要附加类型的身份模块，可供用户使用而无需插入这些附加的身份模块。例如，3GPP IP多媒体子系统(IMS)是基于所谓的ISIM。ISIM可例如在UICC(在USIM旁)上实施，或者使用完全不同的硬件模块。根据本发明，在终端中使用软件升级而模拟ISIM，其配置为与诸如SIM的普通身份模块进行通信。
参照图13，可以看到，以示意图方式示出在IP多媒体子系统(IMS)的情况中的本发明。对于IP多媒体子系统，代理CSCF(呼叫状态控制功能)节点对应于受访网络中的安全支撑节点。HSS(归属用户系统)节点提供所需的鉴权和密钥同意参数，并且归属网络中的服务CSCF通常对IMS用户鉴权。有关IMS AKA信令和实施的详情，请参阅[8]。在IMS的情况中，移动终端中的本发明的AKA软件帮助模拟ISIM以提供到IMS服务的接入，并且尤其支持对移动装置与受访网络中的代理CSCF之间的随后的IMS信令的鉴权和保护。
在每个ISIM上有用作用户鉴权进程中识别基础的IMPI(IMS私有身份)。当用户登记时，用户还提供所谓的IMPU(IMS公共标识符)以通知其它用户可采用哪个标识符来联系该用户。IMPU保护IMPI不被公开。每个IMPI可具有一个或多个相关联的IMPU，并且HSS检查IMPU是否与IMPI匹配。移动终端中新的软件优选是配置用于管理IMPI和IMPU标识符。
如果运营商有几个HSS节点，则根据输入请求在服务CSCF中存在映射，其中确定哪个HSS处理某个IMS私有身份(IMPI)。这通常通过服务位置功能(SLF)完成。优选是运营商将特别IMPI指配给通过使用“软ISIM”升级而获得了IP多媒体服务接入的那些用户，并通过专用HSS处理所有此类用户。运营商可例如使用不同的命名方案，一个用于普通ISIM，而另一个用于软ISIM。例如，可使用以下类型的IMPI：
user@soft isim.operator.com
来指示终端已通过本发明的AKA软件升级，并因而需要在HSS节点中特别处理。这意味着从IMS名称/身份可确定终端具有所需的软ISIM升级。
上述实施例只是作为示例提供，并且应理解，本发明并不限于此。保留本文公开的和要求保护的基本基础原理的其它修改、更改和改进是在本发明的范围内。
参考文献
“GSM加密通信仅限加密文本的即时加密分析”(Barkan，Biham，and Keller，“Instant ciphertext-only cryptanalysis of GSM encryptedcommunication”，In proceedings of Crypto 2003，Lecture notes incomputer science，Springer-Verlag)。
“GSM/UMTS AKA的增强功能”(“Enhancements to GSM/UMTSAKA”，3GPP contribution S3-030542，3GPP TSG SA WG3Security，October，2003)。
“特别Rand”(“Special Rand”3GPP contribution S3-030588，3GPPTSG SA WG3Security，October，2003)。
“GSM用户身份模块的可扩展鉴权协议方法(EAP-SIM)”(H.Haverinen and J.Salowey：“Extensible Authentication ProtocolMethod for GSM Subscriber Identity Modules(EAP-SIM)”，draft-haverinen-pppext-eap-sim-13.txt，IETF(work in progress))。
“SIM/USIM内连和外连方面”(3GPP TR 31.900V3.2.0(2002-03)Technical Report，Technical Specification Group Terminals，“SIM/USIM Internal and External Interworking Aspects”(Release1999))。
WO 2004/032557，2004年4月15日。
3GPP TS 35.206V4.0.0(2001-04)技术规范组服务和系统方面。
“使用鉴权和密钥同意的超文本传送协议(HTTP)摘要鉴权”(RFC3310，“Hypertext Transfer Protocol(HTTP)Digest AuthenticationUsing Authentication and Key Agreement”)。