现有技术中提供用于对数据数字签名的签名密钥的方法通常依靠长期 签名密钥，由于不能动态地改变所述签名密钥，因此这些签名密钥不是很 安全。
也有些方法提供动态地生成/选择签名密钥，但是这些方法通常使用额 外的软件和/或诸如个性化芯片卡的硬件。
另外，在许多情况下，需要与信任中心的合约。

因此，本发明的目的是提供一种改进的提供签名密钥的方法，以及提 供一种改进的移动终端和一种改进的网关。
对于提供签名密钥的方法，所述目的通过向所述第一方和/或所述第二 方提供所述签名密钥来实现。
虽然在进一步的说明中使用术语“签名密钥”，但是应当明白：所述 签名密钥通常描述数字密钥，并且所述签名密钥可用于对数据(特别是交 易数据)认证或者加密，也可用于对数据签名。因此，本发明的主题不限 于可以对数据签名。
传输和验证标识码以及生成签名密钥的步骤例如在GSM(全球移动通 信系统)通信系统的认证机制中实现，其中，例如国际移动台标识(IMSI) 被用作所述标识码。
此外，GSM认证机制基于所谓的A3和A8算法，后者由于被用于对 在移动GSM终端和GSM基站收发信机(BTS)间交换的语音数据加密， 所以也称为“语音保密算法(voice privacy algorithm)”。
所述A8算法例如产生也被记作加密密钥Kc的64位数。根据本发明， 这个加密密钥被提供给所述第一方，其例如使用诸如蜂窝电话或者PDA (个人数字助理)或者具有无线GSM接口的便携式个人计算机的移动终 端，并且可能需要签名密钥以认证与所述第二方的交易。第一方可使用通 过GSM系统的A8算法获得的加密密钥Kc作为这样的签名密钥。
为了能够验证第一方这样获得的数字签名，所述第二方也各自具有所 述加密密钥或者签名密钥。
通过使用根据本发明的源自GSM系统的加密密钥的签名密钥，第二 方可以验证签名数据的完整性和认证第一方。第二方可以是例如通过互联 网提供商品和/或服务的在线服务提供商，而第一方可以是例如所述第二方 的客户。
特别地，根据本发明的方法，不需要另外的软件或者硬件，或者甚至 与信任中心的合约，因为本发明方法基于已有的GSM标准的认证机制， 这提高了适应性。
根据本发明的一个实施例，根据所述签名密钥生成另外的签名密钥， 但是其不同于A8算法的加密密钥。
为了提高本发明方法的安全性并增加可用的代码空间，可以依据所述 第一方和认证服务器共有的但对公众不可用的另外的数据来生成所述另外 的签名密钥。所述另外的数据可以是例如源自任何形式的第一方的签约数 据，如地址、其它的个人数据或者类似的数据。
生成另外的签名密钥可以例如通过使用现有技术的签名算法来实现， 用于与对称密钥一起使用，对称密钥如信息认证码或者用于信息认证的加 密散列(hashing)，例如参照RFC 2104(互联网征求意见报告)。
根据本发明另一个有利的实施例，提供永久签名密钥，其可用于多个 签名和认证交易。为了能够重复使用这个永久签名密钥，本发明方法的另 一个变形提供存储所述永久签名密钥的步骤。
然而，本发明的另一个实施例的特征在于提供多个签名密钥，优选地， 每一个签名密钥仅对单独的使用有效。
提供多个签名密钥的优点是明显的：仅仅需要一个GSM认证过程， 根据本发明产生多个签名密钥，从而只要有可用的签名密钥，就可避免其 它的GSM认证。
所述签名密钥可存储在第一方的移动终端和所述网关上，稍后第二方 可从中获得这些签名密钥。即使GSM功能由于没有网络覆盖而(暂时) 不可用，签名密钥的存储也加快了将来的签名过程，并确保可以签名。
本发明的另一个有利的实施例的特征在于提供一个额外的密钥或者多 个额外的密钥，该密钥可用于加密所述签名密钥。所述额外的密钥被传输 和存储到第一方的移动终端和所述网关上，即使没有提供GSM功能，这 也能够通过加密所述签名密钥安全通信。
通过用所述额外的密钥加密所述签名密钥，当使用任何类型的基于 DECT(数字增强无绳电话通信)、蓝牙和红外线数据通信(IrDA)系统 的特定网络代替GSM通信时，可以在第一方的移动终端和网关间建立签 名密钥的安全传输。
根据本发明的另一个有利的实施例，所述签名密钥用于加密所述第一 方和所述第二方之间的通信，其也能使用诸如蓝牙的特定网络来传输秘密 的签名数据。
本发明的另一个实施例提出验证所述第一方的信誉，这有利于避免不 必要的GSM认证。所述验证可以例如在启动用于将来的签名过程的GSM 认证之前在所述网关上执行。如果所述第一方的信誉例如没有满足预定的 标准，则所述网关不允许进一步的交易。特别地，用于例如获得签名密钥 的GSM认证是不必要的。
本发明的另一个很有利的实施例的特征在于通过移动通信基础结构的 短消息服务(SMS)和/或通过另一种安全连接向所述第一方和/或所述第 二方传输所述签名密钥和/或所述额外的密钥。这样，签名密钥被非授权方 截取的风险被降到最小。显然，多媒体消息服务(MMS)或者类似的服务 也可以用于安全地传输所述签名密钥和/或所述额外的密钥。
此外，本发明的目的通过能够执行下面步骤的移动终端实现：向第二 方和/或网关传输唯一识别所述移动终端和/或使用所述通信终端的第一方 的标识码；从所述网关接收认证请求；生成认证响应；向所述网关传输所 述认证响应；接收和/或生成和/或存储至少一个签名密钥和网关。移动终端 使用签名密钥来授权交易(特别是付款交易)，和/或接入单点登录服务。
此外，该目标通过能够执行下面步骤的网关实现：接收唯一识别移动 终端和/或使用所述移动终端的第一方的标识码；通过使用认证服务器验证 所述标识码；生成至少一个签名密钥，向所述移动终端和/或所述第一方和 /或所述第二方提供所述签名密钥和/或存储所述签名密钥。
附图说明
本发明进一步的优点和详情将参照附图在下面的详细说明中描述，其 中：
图1a描述根据本发明的方法的第一个实施例；
图1b描述根据本发明的方法的第二个实施例；
图1c描述根据本发明的方法的第三个实施例；
图2描述根据本发明的方法的第四个实施例。

图1a示出第一签约方的移动终端1，该第一签约方与构成第二签约方 的在线服务提供商OSP签约。
从图1a中可以看出，在所述移动终端1和所述在线服务提供商OSP 之间首先通过无线接入网络2(可以是基于例如DECT、蓝牙或红外线数 据通信的特定网络)，其次通过个人计算机PC(通过互联网IP依次连接 到所述在线服务提供商)建立连接。移动终端1和个人计算机PC都有对 应DECT、蓝牙或红外线数据通信的接口。
可以使用诸如WLAN(无线局域网)路由器或类似装置的任何其它类 型的接入点代替所述个人计算机PC。
所述第一方想要使用由所述在线服务提供商OSP提供的在线服务，因 此被要求向所述在线服务提供商OSP认证自己。
为了这个目的，在线服务提供商OSP分别向所述第一方的所述移动终 端1发出认证请求M_01，移动终端1用包含唯一识别所述第一方或它的 移动终端1的标识码的认证响应M_02响应。
从移动终端1向在线服务提供商OSP发送的标识码是所谓的国际移动 用户标识(IMSI)，其存储在包含在移动终端1中的SIM(用户标识模块) 卡中。
所述标识码通过消息M_02a从所述在线服务提供商OSP发往客户管 理和计费系统CCBS，再从客户管理和计费系统CCBS以GSM标准认证 请求M_03a的形式发往认证服务器AuC。
所述客户管理和计费系统CCBS根据其在图1a所示传输结构中的位 置，也可以被理解为管理例如联系所述认证服务器AuC的网关。
所述认证服务器AuC例如可包含在第一方签约的移动网络的网络运 营商的归属位置寄存器(HLR)中。该认证服务器AuC通过信令系统SSN7 连接到所述客户管理和计费系统CCBS。
在从所述客户管理和计费系统CCBS接收到GSM标准认证请求 M_03a后，所述认证服务器AuC执行GSM标准认证，图1a中的步骤111a 包括生成所谓的包括随机数、签名的响应和加密密钥的三元组，该三元组 通过消息M_03b发回所述客户管理和计费系统CCBS。
所述三元组的随机数通过消息M_03c发往移动终端1，其在步骤111b 中继续进行基于已知的GSM标准的A3和A8算法的GSM标准认证(参 见ETSI-GSM技术规范GSM 03.20，3.3.2版本)。这生成所谓的质询响 应，即用与在认证服务器AuC中使用的相同的加密密钥进行数字签名的随 机数。所述质询响应通过消息M_03d返回所述客户管理和计费系统CCBS。
在步骤111c中，所述来自认证服务器AuC的签名响应和所述来自所 述移动终端1的质询响应在所述客户管理和计费系统CCBS中测试同一 性。如果两者相同，则使用所述移动终端1的第一方已经成功地向客户管 理和计费系统CCBS认证了自己。
于是，肯定的认证结果M_02b被传送到在线服务提供商OSP，在线服 务提供商OSP通过消息M_04向客户管理和计费系统CCBS请求签名密 钥，消息M_04还包括所述移动终端1的国际移动用户标识(IMSI)。
所述签名密钥可以是上面所述三元组的加密密钥。在这种情况下，生 成签名密钥是不需要的。否则，签名密钥在图1a的步骤120中生成，并提 供给在线服务提供商OSP和移动终端1，如图1a中箭头130所示。
提供所述签名密钥130通过安全连接来实现，如果向所述在线服务提 供商传输，则可以是互联网IP上的安全会话。关于向所述移动终端1的传 输，则通过使用GSM网络的短消息服务(SMS)实现安全的无线传输。
另外，所述签名密钥可通过使用包括只由所述客户管理和计费系统 CCBS和所述第一方1共享的秘密数据的适当的密钥对自身进行加密来传 输给所述移动终端1，以提高所述签名密钥的传输安全性。
现在，在线服务提供商OSP和具有移动终端1的第一方都拥有能够用 于对数据数字签名的签名密钥。
例如，第一方可以和第二方(即在线服务提供商OSP)交换任何未签 名/未加密的签约参数135，如价格或者其它，另外，这两者都对所述参数 数字签名。接着，第一方还将所述签名的参数传输到第二方，第二方简单 地将自己的签名的参数和从第一方接收到的签名的参数进行比较。如果两 组签名的参数相同，则确保了参数的完整性和所述第一方的标识，可以执 行交易，如合约或付费140和类似的交易。
因此，通过根据消息M_03a、M_03b、M_03c、M_03d使用现有的 GSM认证方法，可以向第一方和第二方提供签名密钥，而无需额外的硬件 或者软件，特别无需任何和(外部的)信任中心的合约。
图1b示出了本发明的第二个实施例，其假定根据图1a的步骤111c的 肯定的GSM认证结果，并且没有示出作为上面所述的GSM标准认证过程 一部分的消息M_03a、M_03b、M_03c和M_03d。
在GSM认证成功完成后，参照图1a的消息M_02b，在线服务提供商 OSP通过消息M_04(图1b，1a)向客户管理和计费系统CCBS请求签名 密钥，消息M_04还包含移动终端1的国际移动用户标识(IMSI)，而后 者已被在线服务提供商OSP以上面描述的方式接收到。
通过向所述客户管理和计费系统CCBS发送移动终端的IMSI，能够为 所述移动终端1生成适当的单独密钥。否则，在所述CCBS中，会不清楚 为哪个移动终端启动密钥生成，这是重要的，因为所述签名密钥对于对应 的移动终端1或者它的IMSI或者类似物是特定的。
客户管理和计费系统CCBS有密钥生成器3，用于基于输入数据(如 移动终端1的国际移动用户标识(IMSI)；已经在GSM标准认证中交换 的会话专用随机数，参照图1a的消息M_03b；加密密钥和/或其它仅由第 一方和认证服务器AuC共享的秘密数据)生成签名密钥。所述输入数据由 数据库4提供，并且该输入在图1b中用箭头4a表示。
签名密钥在所述密钥生成器3中生成，然后通过消息M_04a返回给在 线服务提供商OSP。
同样的密钥生成器3位于所述移动终端1中，特别是在移动终端1内 的SIM(用户标识模块)卡上，上述签名密钥也在所述移动终端1内依据 同样的输入4a生成。
在所述移动终端1中生成所述签名密钥后，对文档5应用标准化签名 算法，诸如信息认证码MAC或者用于信息认证的加密散列HMAC(参照 RFC 2104，互联网征求意见报告)，文档5与这样签名的文档5一起通过 消息M_05发到在线服务提供商OSP。
在接收到所述消息M_05后，在线服务提供商OSP通过对所述文档5 应用如信息认证码MAC或者用于信息认证的加密散列HMAC的标准化签 名算法来验证文档5和签名的文档。很明显，所述移动终端1和所述在线 服务提供商OSP都必须使用相同的标准化签名算法MAC/HMAC。
如果由在线服务提供商OSP生成的文档5的签名版本与由所述移动终 端1生成的文档5的签名版本相同，那么移动终端1的标识和文档5的完 整性被证实。
本发明的另一个实施例如图1c所示。与图1b相比，使用不对称签名 处理。为了这个目的，例如可以包含在所述客户管理和计费系统CCBS中 的公共密钥生成器3a被输入来自已在上面解释过的数据库4的输入数据 4a，以根据请求M_04生成公共签名密钥，并通过消息M_04a发到在线服 务提供商OSP。
移动终端1包括私钥生成器3b，以生成私人签名密钥，不对称加密算 法ac使用该私人签名密钥生成签名，该签名连同文档5一起通过消息M_05 发到在线服务提供商OSP。
在线服务提供商OSP接着在步骤150中通过使用现有技术的不对称加 密和解密算法来验证移动终端1的标识和所述文档5的完整性。
图2示出了根据本发明的方法的另一个实施例，其中首先执行已参照 图1a、1b、1c说明了的GSM标准认证。
当在步骤111c中在所述客户管理和计费系统CCBS中测试来自认证服 务器AuC的所述签名响应和来自所述移动终端的所述质询响应的同一性 后，在所述客户管理和计费系统CCBS中生成多个签名密钥，并在步骤130 中提供给移动终端1。在步骤135中，移动终端1存储所述多个签名密钥， 并且在步骤135a中，所述签名密钥还存储在客户管理和计费系统CCBS 中。
签名密钥的存储加快了将来的签名过程，并且确保可以签名，即使 GSM功能或者其他通常特别用于向所述移动终端1安全传输签名密钥的 通信信道由于例如没有网络覆盖而(暂时)不能用。
然而，本发明的另一个变形提出在成功的GSM标准认证后，生成至 少一个永久标记。
两种变形都降低了用于认证的网络的网络负载，因为只有在永久签名 密钥已经过期或者多个签名密钥中的每个签名密钥都已经被使用时才请求 新的认证。
另外，如果永久签名密钥仍然有效或者如果在移动终端1中有存储的 可用签名密钥，则进行用户透明的认证，因为获取存储的签名密钥不要求 用户参与。在这种情况下，包含存储的签名密钥的移动终端应该被密码保 护。
所述签名密钥通常可通过GSM标准认证过程的加密密钥生成/获得。 另外，仅由所述第一方和认证服务器AuC共享的秘密数据可用于生成另一 个签名密钥。
根据本发明的方法也可以提供用于加密所述签名密钥的一个额外的密 钥或者多个额外的密钥。所述额外的密钥被传输和存储到第一方的移动终 端1和所述网关CCBS，这能实现所述签名密钥的安全传输，即使没有提 供GSM功能。
通过使用所述额外的密钥加密所述签名密钥，当使用任何类型的基于 DECT(数字增强无绳电话通信)、蓝牙和红外线数据通信系统的特定网 络代替GSM通信时，可以在第一方的移动终端1和网关CCBS之间建立 签名密钥的安全传输。
通常，通过本发明可以改进任何类型的需要用户认证或者验证交易数 据的交易。特别是付费交易可方便地简化，同时增加交易的安全性。
也可以使用根据本发明的方法获得的签名密钥来接入所谓的单点登录 服务。单点登录服务通过也称为“标识提供商”的单个认证实体来提供集 中的认证过程，单个认证实体为定义“信任圈”的多个服务提供商执行用 户认证。在这样的认证后，被识别的用户可以与所述信任圈中的任何服务 提供商签约，而无需被要求再次认证。单点登录服务由例如所谓的“自由 联盟计划”(参照网址http://www.projectlibery.org/)提供。
通常，在启动GSM标准认证(M_03a，......，图1a)之前，所述第 一方的信誉可由所述客户管理和计费系统CCBS验证。如果第一方信誉较 差，则这样能消除执行所述GSM标准认证的需要，从而降低网络负载。
在所述签名密钥通过短消息(SMS)从所述客户管理和计费系统CCBS 传输到所述移动终端1的情况下，客户管理和计费系统CCBS不需要向短 消息服务中心(SMSC)传送对应的短消息。相反，客户管理和计费系统 CCBS可以向归属位置寄存器(HLR)请求所述GSM网络的服务移动交 换中心(MSC)的地址，特别是所谓的MSC_ID，并直接向移动终端1传 输短消息。这防止由所述短消息服务中心(SMSC)中的所述短消息的处 理造成的延迟。
而且，根据本发明的方法为网络运营商提供了增值，因为他们可以向 用户提供安全和便利的例如在超市的付费交易，在在线拍卖活动中的投标 者的认证和类似情况。
除了所述设备的通常固件外，还可以提供在所述移动终端1中实现的 付费应用。所述付费应用可用于控制上述的交易过程，并可以直接访问所 述移动终端1的GSM接口。
本发明的另一个优点在于：对应移动终端1的用户可以自然地使用根 据本发明的所述认证来参与例如吸引人们买卖活动的抽彩售货或者拍卖。 由于跟据本发明的认证，因此不需要对这些人的身份进行单独的(即非电 子的)验证。通知投标者和/或所述抽彩售货的获得者也能由例如所述客户 管理和计费系统CCBS以成熟的方式通过短消息(SMS)、电话或者电子 邮件来完成。
如上面已经描述的，本发明的主题不局限于可以对数据签名。
也可以根据各自的应用和提供的交易的类型使用所述签名密钥来(数 字)验证或加密数据。例如，所述签名密钥可用于对合约、价目表、订单、 电子银行所用的交易号和类似事物进行签名和/或加密和/或验证。
根据本发明的另一个实施例，如果所述在线服务提供商OSP和所述客 户管理和计费系统CCBS都在例如由自由联盟管理的信任圈中，则所述在 线服务提供商OSP可以通过所述客户管理和计费系统CCBS启动认证， 而无需向所述第一方请求IMSI，因为在这种情况下，所述客户管理和计费 系统CCBS自己发出认证请求(参照M_01，图1a)。在这种情况下，客 户管理和计费系统CCBS也扮演标识提供商(IDP)的角色。
为了进一步提高安全性，客户管理和计费系统可通过使用如临时移动 基站标识(TMSI)和/或位置区域索引(LAI)的已有参数保护所述第一 方的标识，参见C.Lüders：Mobilfunkssysteme，Vogel Verlag，Würzburg， 2001，140页。
也可以使用单独的匿名服务，其独立于通信网络提供的方法工作。