DE60222455T2 - Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät - Google Patents
Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät Download PDFInfo
- Publication number
- DE60222455T2 DE60222455T2 DE60222455T DE60222455T DE60222455T2 DE 60222455 T2 DE60222455 T2 DE 60222455T2 DE 60222455 T DE60222455 T DE 60222455T DE 60222455 T DE60222455 T DE 60222455T DE 60222455 T2 DE60222455 T2 DE 60222455T2
- Authority
- DE
- Germany
- Prior art keywords
- client
- psd
- script
- response
- processing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Description
- GEBIET DER ERFINDUNG
- Die vorliegende Erfindung betrifft ein Datenverarbeitungsverfahren und -system zur Kommunikationsoptimierung durch einen Kommunikationskanal, der über ein Netzwerk zwischen einem persönlichen Sicherheitsgerät (Personal Security Device – PSD) und einem Fernverarbeitungssystem eingesetzt ist.
- ALLGEMEINER STAND DER TECHNIK
- Der Stand der Technik, der die Informations- und Datenverwaltungsvorrichtungen betrifft, die persönliche Sicherheitsgeräte (PSD), z.B. Smart Cards, Teilnehmererkennungsmodule (SIM), Wireless-Erkennungsmodule (WIM), biometrische Geräte, oder Kombinationen derselben, umfassen, erfordert, dass diskrete Low-Level-Befehle, die im Fachgebiet als Application Protocol Data Units (APDUs) bekannt sind, an ein PSD gesendet werden.
- Das PSD ist ein reaktives Gerät, in dem eine Rückmeldung nach dem Beenden jedes ausgeführten Befehls oder wenn ein Fehler während der Ausführung erkannt wird, erzeugt wird. Die Mehrheit der Antworten, die von dem PSD zurückgemeldet werden, sind einfache Meldung der Art „Vorgang abgeschlossen" oder Ähnliches. In einer vernetzten Umgebung belastet das Warten auf die Rückmeldung solcher Antworten unnötigerweise die Netzwerkbandbreite und die Serverressourcen wegen der Vorgangslatenz und der verhältnismäßig langsamen Ausführungsgeschwindigkeit der PSDs.
- Eine zweite Beschränkung ist auf die verhältnismäßig begrenzte Beschaffenheit der Betriebskonfiguration des PSD zurück zu führen, die typischerweise erfordert, dass mehrere sequentielle APDU-Befehle ausgeführt werden, um einen Vorgang in einem PSD vollenden zu können. Dies könnte besonders problematisch werden, wenn eine hohe Anzahl von PSDs von einem zentralen Server aus verwaltet wird.
- Die gleichzeitig anhängige Patentanmeldung Nummer US 2002/0162021 mit dem Titel „Method and System for Establishing a Remote Connection to a PSD" und auf den Abtretungsempfänger der vorliegenden Erfindung übertragen, beschreibt einen Kommunikationskanal, der es einem Fernserver ermöglicht, Kommunikation mit einem oder mehreren PSDs über ein Netzwerk aufrecht zu erhalten, das den vorhergehenden Begrenzungen unterliegen könnte. In dieser Hinsicht ist ein Mittel zum Minimieren der potentiellen Latenzeffekte, die einem Netzwerk auferliegen können, sehr wünschenswert.
- Das Dokument XP002237189 (ETSI Technical Specifications) beschreibt und definiert die Struktur von gesicherten Paketen in einem allgemeinen Format unter Verwendung von SMS-Punkt-zu-Punkt- und SMS-Cell-Broadcast-Verbindungen für ein Universal Mobile Telecommunications System.
- Das System ist in der Lage, eine Anwendungsnachricht von einer Sendeanwendung an eine Empfangsanwendung unter Verwendung von Befehls-/Antwortpaketen zu senden.
- Dieses Dokument veranschaulicht hauptsächlich einen Befehl-/Antwort-Mechanismus basierend auf Paketaustausch und offenbart eine sichere Kommunikation zwischen Fern- und SIM-Anwendung. Nachrichten werden getrennt in einem gesicherten Befehlspaket eingebettet von einem entfernt gelegenen Ort an eine Empfangseinheit gesendet, sie werden dort entpackt und an die SIM-Anwendung weitergeleitet.
- KURZDARSTELLUNG DER ERFINDUNG
- Gemäß der vorliegenden Erfindung lösen das System und das Verfahren, die in Anspruch 1 beziehungsweise 11 angegeben werden, die potentiellen Latenzprobleme, die mit dem Aufrechterhalten von Kommunikationskanälen über ein Netzwerk zusammenhängen.
- Andere Merkmale der Erfindung sind in den Unteransprüchen dargestellt.
- Um diese Erfindung anzuwenden, wird ein Stapel von APDU-Befehlen generiert und in einem Befehlsskript auf dem Fernverarbeitungssystem gespeichert. Das Befehlsskript wird dann über ein Netzwerk an einen Client gesendet, um lokal durch ein Pipe-Client-Programm ausgeführt zu werden. Wie in der anhängigen US-Patentanmeldung Nummer 09/844,246 beschrieben, ist der Pipe-Client ein Programm auf API(Application Program Interface)-Ebene, das APDUs aus eingehenden Nachrichtenpaketen entpackt und APDUs in ausgehende Nachrichtenpakete kapselt.
- Nach Empfang des Befehlsskriptes speichert der Pipe-Client den Befehlsstapel entweder in einem Speicherplatz oder in einer Plattendatei zwischen und sendet die APDU-Befehle nacheinander an das PSD, damit sie verarbeitet werden. Das Sequenzieren der APDU-Befehle erfolgt durch den Empfang einer APDU-Antwort, die dazu führt, dass der nächste APDU-Befehl ausgegeben wird. Die APDU-Antworten werden auf ähnliche Weise entweder in einem Speicherplatz oder in einer Plattendatei für die spätere Übertragung an das Fernverarbeitungssystem zwischengespeichert. Dieser Vorgang wird fortgesetzt bis der letzte APDU-Befehl gesendet und seine komplementäre Antwort empfangen und in einem Antwortskript gespeichert worden ist. Wenn dieser Vorgang vollendet ist, wird das Antwortskript an das Fernverarbeitungssystem zum Verarbeiten gesendet.
- Durch das Speichern der APDU-Befehle in einem Skript und das lokale Erfassen der resultierenden APDU-Antworten wird der Handshake zwischen dem PSD und dem Fernverarbeitungssystem signifikant reduziert, so dass Netzwerk- und Serverressourcen entlastet werden.
- In einer Ausführungsform der Erfindung werden die angesammelten Antworten so gespeichert wie sie vom PSD generiert werden. In einer zweiten Ausführungsform der Erfindung werden die APDUs komprimiert, um den Speicher- und Übertragungsdurchsatz zwischen dem PSD und dem Fernverarbeitungssystem zu optimieren. Das Komprimieren der Datei kann On-The-Fly unter Verwendung der Dateikomprimierungsmöglichkeiten erfolgen, die in Microsoft WindowsTM 2000 oder NT enthalten sind. Ein Vorteil der Verwendung des Betriebssystems, um die Datenkomprimierung durchzuführen, ist die Fähigkeit, den gespeicherten und komprimierten Daten eine kryptographische Verschlüsselung hinzu zu fügen, die für den Endnutzer transparent ist. Zusätzliche Hardware- oder Software-Datenkomprimierungstechniken können während der Netzwerkkommunikation eingesetzt werden, um die Größe und Anzahl der Pakete weiter zu reduzieren, die zwischen dem Fernverarbeitungssystem und dem PSD ausgetauscht werden.
- KURZBESCHREIBUNG DER ZEICHNUNGEN
- Ein vollständigeres Verständnis der vorliegenden Erfindung kann mit Bezug auf die nachfolgende ausführliche Beschreibung und die Patentansprüche zusammen mit den folgenden Zeichnungen ermöglicht werden:
-
1 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der APDU-Befehle in Form eines Befehlsskripts (CMD-Skript) angesammelt werden; -
2 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der das Befehlsskript an einen Client zum Verarbeiten übertragen wird; -
3 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Befehl-APDUs, die sich in einem Befehlsskript befinden, durch ein Pipe-Client-Programm verarbeitet werden und zur Ausführung an ein PSD gesendet werden; -
4 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Antworten-APDUs aus einem PSD zurückgegeben, von einem Pipe-Client-Programm verarbeitet und in einem Antwortskript (RSP-Skript) angesammelt werden; -
5 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der das Antwortskript, das die angesammelten APDUs enthält, zur Verarbeitung an ein Fernverarbeitungssystem zurückgegeben wird; -
6 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Antwort-APDUs von einem Pipe-Server-Programm verarbeitet werden, das in einem Fernverarbeitungssystem installiert ist. - AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
- Diese Erfindung stellt ein Verfahren und ein System zur Kommunikationsoptimierung durch einen Kommunikationskanal über ein Netzwerk bereit. In dieser Erfindung werden APDU-Befehle generiert und in Form eines Befehlsskripts auf einem Fernverarbeitungssystem angesammelt. Sobald das Befehlsskript generiert worden ist, wird es dann an einen lokalen Client übertragen, um durch ein assoziiertes PSD verarbeitet und ausgeführt zu werden. Die daraus resultierenden APDU-Antworten werden auf ähnliche Weise in einem Antwortskript angesammelt und gespeichert, das dann nach Beendigung des Befehlsskripts oder beim Erkennen eines Fehlerzustands an das Fernverarbeitungssystem zurückgesendet wird. Durch das Zusammenlegen der APDU-Befehle und – Antworten in Skripte wird wesentlich weniger Netzwerkverkehr generiert, so dass das Verwenden von Netzwerkressourcen optimiert und das Verwalten einer großen Anzahl von PSDs vereinfacht wird.
- Mit Bezug auf
1 sind ein Blockdiagramm eines lokalen Clients10 und ein Fernverarbeitungssystem50 dargestellt. Das Fernverarbeitungssystem50 umfasst Programme auf API-Ebene100 , um High-Level-Befehle zu generieren und zu interpretieren. High-Level-Befehle werden unter Verwendung eines spezifischen API-Level-Programms, das APDU-Schnittstelle55 genannt wird, in das Low-Level-APDU-Nachrichtenprotokoll übersetzt, das von einem PSD40 benötigt wird. Die APDU-Schnittstelle55 dient auch dazu, eingehende APDU-Nachrichten zur Verwendung durch API-Programme100 in Higher-Level-Nachrichten zu übersetzen. - Ein zweites spezifisches Programm, das die API-Ebene des Fernverarbeitungssystems
50 umfasst und als Pipe-Server70 bezeichnet wird, steht in Wechselwirkung mit dem Kommunikationsprogramm105S , welches die Kommunikationsebene umfasst. Der Pipe-Server70 dient zum Trennen zusammengelegter APDU-Antworten90 von eingehender Nachrichtenpaketen, die aus einem Netzwerk45 empfangen werden, um durch die APDU-Schnittstelle55 verarbeitet zu werden. - Alternativ werden abgehende APDU-Befehle von der APDU-Schnittstelle
55 übersetzt und von dem Pipe-Server70 verarbeitet, um in einem Befehlsskript (CMD-Skript)125 angesammelt135 zu werden. Das Befehlsskript125 wird dann in ein vereinbartes Kommunikationsprotokoll von dem Pipe-Server70 gekapselt und an das Kommunikationsprogramm105S zur Übertragung gesendet. Das Befehlsskript125 kann vor der Übertragung zwischengespeichert werden. Wahlweise können Datenkomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern. Das Kommunikationsprogramm105S kommuniziert durch die I/O-Geräte-Schnittstelle130S der Hardware, die den Kanal75 mit einem Netzwerk40 verbindet, um mit mindestens dem Client10 zu kommunizieren. - Der Client
10 kommuniziert auf ähnliche Weise unter Verwendung des internen Kommunikationsprogramms105C durch die I/O-Geräte-Schnittstelle130C seiner Hardware, die mit dem Netzwerk40 verbunden ist75 , um mit mindestens dem Fernverarbeitungssystem50 zu kommunizieren. Ein drittes spezifisches API-Ebene-Programm, als Pipe-Client15 bezeichnet, steht in Wechselwirkung mit dem Kommunikationsprogramm105C . Der Pipe-Client15 dient zum Trennen der gekapselten Befehlsskripte125 von eingehenden Nachrichtenpaketen, die vom Netzwerk45 empfangen werden. Falls verwendet, werden die Befehlsskripte125 durch das Kommunikationsprogramm105C und Kryptographie-Programm entpackt und/oder dekodiert, bevor sie vom Pipe-Client15 verarbeitet werden. Wenn der Pipe-Client das Verarbeiten beendet hat, werden die Befehlsskripte85 zwischengespeichert. Wie zuvor können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken verwendet werden, um die Nutzung des lokalen Dateispeichers und die Übertragungssicherheit zu verbessern. - Alternativ werden ausgehende APDU-Anwortnachrichten, die von einem lokal angeschlossenen PSD
40 generiert werden, durch den Pipe-Client15 verarbeitet und in einem Antwortenskript (RSP-Skript)90 zwischengespeichert. Die Antwort-APDUs werden von dem PSD40 nach dem sequentiellen Verarbeiten jedes APDU-Befehls, den das Befehlsskript85 umfasst, generiert. Die APDU-Antworten werden durch die Geräteschnittstelle25 der Hardware des PSD, in den Client10 über den I/O-Gerätanschluss5 kommuniziert und danach von einem Softwaretreiber zum Pipe-Client15 geleitet. Die APDU-Anworten werden im Antwortskript90 angesammelt, bis der letzte APDU-Befehl verarbeitet wurde und die letzte APDU-Antwort-Nachricht empfangen und gespeichert wurde. Das fertige Anwortskript90 wird dann in ein vereinbartes Kommunikationsprotokoll von dem Pipe-Client15 gekapselt und von dem Kommunikationsprogramm105C durch den Kanal75 und über das Netzwerk45 übertragen. Wieder können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern. - Mit Bezug auf
2 wird das fertige Befehlsskript125 abgerufen220 und von dem Pipe-Server70 in ein vereinbartes Kommunikationsprotokoll gekapselt, an das Kommunikationsprogramm105C weitergeleitet225 , in eine abgehende Nachricht230 eingebunden, durch das Netzwerk45 durch den Kanal75 gesendet und vom Client10 empfangen. Das Kommunikationsprogramm105C verarbeitet die ankommende Nachricht240 , und die daraus resultierenden Pakete250 werden an den Pipe-Client15 zum Verarbeiten weitergeleitet. Der Pipe-Client15 extrahiert255 das Befehlsskript85 und speichert es zwischen. - Mit Bezug auf
3 ruft der Pipe-Client15 die Befehl-APDUs ab360 , die das Befehlsskript85 umfasst, und verarbeitet sie abwechselnd. Der erste APDU-Befehl (APDU1) wird durch den I/O-Gerätanschluss5 von dem Softwaretreiber geleitet365 und an die PSD-Schnittstelle25 weitergeleitet370 . Die PSD-Schnittstelle25 leitet30 den APDU-Befehl zu dem PSD40 und in den Verarbeitungsbereich35 . - Mit Bezug auf
4 generiert das PSD40 nach Beendigung der Verarbeitung des APDU-Befehls (APDU1) eine Antwort-APDU (APDU1r), die an die PSD-Schnittstelle25 gesendet wird30 , wo sie durch den I/O-Gerätanschluss weitergeleitet wird470 und von dem Software-Treiber zum Pipe-Client15 geleitet wird465 . Die APDU-Antwortnachricht (APDU1r) wird dann von dem Pipe-Client verarbeitet und in einem Antwortskript95 zwischengespeichert460 . Das Empfangen und Speichern der APDU-Antwortnachricht (APDU1r) veranlasst den Pipe-Client15 , den nächsten APDU-Befehl (APDU2) auszugeben. Dieser Vorgang wird fortgesetzt, bis der letzte APDU-Befehl (APDU3) an das PSD40 gesendet wird und eine APDU-Antwortnachricht (APDU3r) empfangen und in dem Antwortskript95 gespeichert wird. Wieder können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern. - Mit Bezug auf
5 wird das fertige Antwortskript95 abgerufen560 und vom Pipe-Client verarbeitet und in ein vereinbartes Kommunikationsprotokoll gekapselt, an das Kommunikationsprogramm105C weitergeleitet550 , in eine abgehende Nachricht540 eingebunden, durch den Kanal75 gesendet, durch das Netzwerk45 , und vom Fernverarbeitungssystem50 empfangen. Das Kommunikationsprogramm105S verarbeitet die ankommende Nachricht530 , und die daraus resultierenden Pakete525 werden an den Pipe-Server70 zum Verarbeiten weitergeleitet510 . Der Pipe-Server70 extrahiert520 das Antwortskript525 und speichert es zwischen. - Mit Bezug auf
6 ruft der Pipe-Server70 die APDU-Antwortnachrichten ab635 , die an die APDU-Schnittstelle55 durch das Kommunikationsprogramm105S und die API-Programme zum Verarbeiten gesendet werden und verarbeitet sie sequentiell. Die verarbeiteten Nachrichten werden dann an die API-Programme100 zurückgesendet, um in Higher-Level-Nachrichten übersetzt zu werden.
Claims (16)
- System zur Kommunikationsoptimierung durch mindestens einen Kommunikationskanal über mindestens ein Netzwerk, (
45 ) umfassend mindestens einen Client (10 ), ein persönliches Sicherheitsgerät (Personal Security Device – PSD) (40 ), mindestens ein Fernverarbeitungssystem (50 ) und mindestens ein Netzwerk (45 ), wobei: das mindestens eine Netzwerk Mittel zum funktionellen Verbinden und Kommunizieren mit dem mindestens einen Client und dem mindestens einen Fernverarbeitungssystem umfasst; der mindestens eine Client (10 ) Mittel zum funktionellen Verbinden mit einer PSD-Schnittstelle (25 ) des PSD (40 ) und mit dem mindestens einen Netzwerk, Mittel zum funktionellen Kommunizieren über das Netzwerk mit dem mindestens einen Fernverarbeitungssystem, Mittel zum Austauschen ordnungsgemäß formatierter Befehle mit dem PSD (40 ), Mittel zum Kommunizieren mit dem Fernverarbeitungssystem unter Verwendung eines paketbasierten Protokolls und Mittel (15 ) zum Aufrechterhalten des mindestens einen Kommunikationskanals zwischen dem mindestens einen Fernverarbeitungssystem und dem PSD umfasst; der mindestens eine Client außerdem Datenspeichermittel umfasst, wobei: die Datenspeichermittel Mittel zum Speichern mindestens eines Befehlsskripts (85 ) umfassen, das von dem mindestens einen Verarbeitungssystem (50 ) unter Verwendung des paketbasierten Protokolls erhalten wird, wobei das mindestens eine Befehlsskript (85 ) mehrere ordnungsgemäß formatierte Befehle zum Ausführen durch das PSD (40 ) umfasst; die Mittel (15 ) zum Aufrechterhalten des mindestens einen Kommunikationskanals Mittel zum Extrahieren der ordnungsgemäß formatierten Befehle aus dem mindestens einen Befehlsskript umfassen; die Austauschmittel Mittel zum sequentiellen Weiterleiten an das PSD (40 ) der ordnungsgemäß formatierten Befehle, die das mindestens eine Befehlsskript (85 ) umfasst, zum sequentiellen Weiterleiten der ordnungsgemäß formatierten Befehle, umfassend das Weiterleiten eines der ordnungsgemäß formatierten Befehle erst nachdem eine Antwort auf einen zuvor weitergeleiteten ordnungsgemäß formatierten Befehl vom Client erhalten wurde, umfasst; das PSD (40 ) außerdem Datenverarbeitungsmittel und Kommunikationsmittel umfasst, wobei das PSD (40 ) funktionell mit dem mindestens einen Client (10 ) verbunden ist und mit dem mindestens einen Fernverarbeitungssystem (50 ) durch den mindestens einen Kommunikationskanal über das mindestens eine Netzwerk (45 ) kommuniziert; das mindestens eine Fernverarbeitungssystem (50 ) Datenverarbeitungsmittel, Datenspeichermittel und Kommunikationsmittel umfasst, wobei: das mindestens eine Fernverarbeitungssystem (50 ) mit dem mindestens einen Client (10 ) über das mindestens eine Netzwerk (45 ) kommuniziert; das mindestens eine Fernverarbeitungssystem (50 ) mit dem PSD (40 ) durch den mindestens einen Kommunikationskanal über das mindestens eine Netzwerk (45 ) kommuniziert; die Datenverarbeitungsmittel Mittel zum Generieren des mindestens einen Befehlsskripts (125 ) umfassen, wobei das mindestens eine Befehlsskript mehrere ordnungsgemäß formatierte Befehle zur Datenverarbeitung durch das PSD (40 ) umfasst; die Datenspeichermittel Mittel zum Speichern des mindestens einen Befehlsskripts (125 ) umfassen; und die Kommunikationsmittel Mittel zum Senden des mindestens einen Befehlsskripts (125 ) an den mindestens einen Client (10 ) über das mindestens eine Netzwerk (45 ) unter Verwendung des paketbasierten Protokolls umfassen. - System nach Anspruch 1, wobei die Datenverarbeitungsmittel des PSD (
40 ) Mittel zum Generieren ordnungsgemäß formatierter Antworten (470 ) auf die ordnungsgemäß formatierten Befehle umfassen, die das mindestens eine Befehlsskript (85 ) umfasst. - System nach Anspruch 2, wobei die Kommunikationsmittel des PSD (
40 ) Mittel zum Senden der ordnungsgemäß formatierten Antworten (470 ) an den mindestens einen Client (10 ) umfassen. - System nach Anspruch 1, wobei das mindestens eine Befehlsskript (
85 ,125 ) während der Übertragung komprimiert wird. - System nach Anspruch 1 oder 4, wobei das mindestens eine Befehlsskript (
85 ,125 ) kryptografisch geschützt ist. - System nach Anspruch 1, wobei die Datenspeichermittel des mindestens einen Clients (
10 ) Mittel zum Speichern der ordnungsgemäß formatierten Antworten (470 ) umfassen, die von dem PSD (40 ) in mindestens einem Antwortskript (90 ,95 ) erhalten werden. - System nach Anspruch 6, wobei das mindestens eine Antwortskript (
90 ,95 ) kryptografisch geschützt ist. - System nach Anspruch 6 oder 7, wobei das mindestens eine Antwortskript (
90 ,95 ) an das mindestens eine Fernverarbeitungssystem (50 ) über das mindestens eine Netzwerk gesendet wird. - System nach Anspruch 8, wobei das mindestens eine Antwortskript (
90 ,95 ) während der Übertragung komprimiert wird. - System nach Anspruch 8, wobei die Datenverarbeitungsmittel des mindestens einen Fernverarbeitungssystems (
50 ) Mittel zur Analyse der ordnungsgemäß formatierten Antworten (470 ) umfassen, die von dem mindestens einen Client (10 ) gesendet werden. - Verfahren zur Kommunikationsoptimierung durch mindestens einen Kommunikationskanal über mindestens ein Netzwerk (
45 ), umfassend: das Generieren mindestens eines Befehlsskripts (125 ) auf mindestens einem Fernverarbeitungssystem (50 ), wobei das mindestens eine Befehlsskript mehrere ordnungsgemäß formatierte Befehle umfasst; das Senden des mindestens einen Befehlsskripts (125 ) an mindestens einen Client (10 ) unter Verwendung eines paketbasierten Protokolls, wobei das mindestens eine Fernverarbeitungssystem (50 ) mit dem mindestens einen Client (10 ) über das mindestens eine Netzwerk (45 ) und mit einem PSD (40 ), das mit dem Client (10 ) funktionell verbunden ist, durch den mindestens einen Kommunikationskanal kommuniziert; das Empfangen des mindestens einen Befehlsskripts (85 ) durch den mindestens einen Client (10 ) unter Verwendung des paketbasierten Protokolls; das Zwischenspeichern des mindestens einen Befehlsskripts (85 ) durch den mindestens einen Client (10 ), das sequentielle Weiterleiten der ordnungsgemäß formatierten Befehle (365 ), die das mindestens eine Befehlsskript (85 ) umfasst, an das PSD (40 ), das Empfangen der ordnungsgemäß formatierten Befehle (365 ) durch das PSD (40 ), das Verarbeiten der ordnungsgemäß formatierten Befehle (365 ) durch das PSD (40 ), das Generieren einer ordnungsgemäß formatierten Antwort (470 ) auf alle ordnungsgemäß formatierten Befehle durch das PSD (40 ), das Senden jeder ordnungsgemäß formatierten Antwort (470 ) an den mindestens einen Client (10 ), das Empfangen jeder ordnungsgemäß formatierten Antwort (470 ) durch den mindestens einen Client (10 ), das Speichern jeder ordnungsgemäß formatierten Antwort (470 ) durch den mindestens einen Client (10 ) in mindestens einem Antwortskript (95 ), das Senden des mindestens einen Antwortskripts (95 ) durch den mindestens einen Client (10 ) über das mindestens eine Netzwerk (45 ) an das mindestens eine Fernverarbeitungssystem (50 ), unter Verwendung des paketbasierten Protokolls, das Speichern des mindestens einen Antwortskripts (525 ) durch das mindestens eine Fernverarbeitungssystem (50 ) und das Verarbeiten des mindestens einen Antwortskripts (525 ) durch das mindestens eine Fernverarbeitungssystem (50 ). - Verfahren nach Anspruch 11, wobei das mindestens eine Befehlsskript (
85 ,125 ) komprimiert gesendet wird. - Verfahren nach Anspruch 11, wobei das mindestens eine Befehlsskript (
85 ,125 ) kryptografisch geschützt gesendet wird. - Verfahren nach Anspruch 11, wobei das mindestens eine Antwortskript (
95 ,525 ) komprimiert gesendet wird. - Verfahren nach Anspruch 11, wobei das mindestens eine Antwortskript (
95 ,525 ) kryptografisch geschützt gesendet wird. - Verfahren nach Anspruch 11, wobei das Erkennen eines Fehlerzustands in einer ordnungsgemäß formatierten Antwort dazu führt, dass das mindestens eine Antwortskript (
95 ) an das mindestens eine Fernverarbeitungssystem (50 ) gesendet wird, auch ohne Beendigung des mindestens einen Befehlsskripts (85 ).
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/985,344 US7162631B2 (en) | 2001-11-02 | 2001-11-02 | Method and system for scripting commands and data for use by a personal security device |
US985344 | 2001-11-02 | ||
PCT/EP2002/011887 WO2003039092A2 (en) | 2001-11-02 | 2002-10-23 | Method and system for scripting commands and data |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60222455D1 DE60222455D1 (de) | 2007-10-25 |
DE60222455T2 true DE60222455T2 (de) | 2008-06-12 |
Family
ID=25531399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60222455T Expired - Lifetime DE60222455T2 (de) | 2001-11-02 | 2002-10-23 | Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät |
Country Status (6)
Country | Link |
---|---|
US (1) | US7162631B2 (de) |
EP (1) | EP1442574B1 (de) |
AT (1) | ATE373377T1 (de) |
AU (1) | AU2002351778A1 (de) |
DE (1) | DE60222455T2 (de) |
WO (1) | WO2003039092A2 (de) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
US20040218762A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
US20100174717A1 (en) * | 2002-02-28 | 2010-07-08 | Olivier Fambon | Interative serialisation procedure for structured software objects |
KR100585095B1 (ko) * | 2003-06-26 | 2006-05-30 | 삼성전자주식회사 | 데이터 전송 시스템에서의 데이터 보호 방법 및 장치 |
EP1928152B1 (de) * | 2006-11-30 | 2013-05-29 | Cassis International PTE Ltd. | Prozess zur Funkkommunikation zwischen einer Vorrichtung mit Java ME und einem Server mit APDU unter SOAP-Nachrichten von/zu einem Operator an einem Host, zugehöriges System |
EP2085888A1 (de) * | 2008-01-29 | 2009-08-05 | Research In Motion Limited | Optimierte Smart Card-Treiberleistung |
EP2581851B1 (de) * | 2008-12-01 | 2017-03-08 | BlackBerry Limited | Sichere Verwendung von extern gespeicherten Daten |
US7896247B2 (en) | 2008-12-01 | 2011-03-01 | Research In Motion Limited | Secure use of externally stored data |
EP2570924B1 (de) * | 2008-12-01 | 2019-02-20 | BlackBerry Limited | Antizipatorische Reaktionen auf Befehle |
US8274380B2 (en) | 2008-12-01 | 2012-09-25 | Research In Motion Limited | Anticipatory responses to commands |
US20110219096A1 (en) * | 2010-03-05 | 2011-09-08 | Telefonica, S.A. | Method and system for operations management in a telecommunications terminal with a state machine |
CN103258175B (zh) * | 2012-02-20 | 2016-05-11 | 普天信息技术研究院有限公司 | Apdu命令的处理方法、sd控制器及智能存储卡 |
US8813029B2 (en) * | 2012-05-24 | 2014-08-19 | International Business Machines Corporation | Remote card content management using synchronous server-side scripting |
ES2857674T3 (es) * | 2014-11-24 | 2021-09-29 | Idemia France | Creación de archivos implícita en secuencias de comandos APDU |
US10003959B2 (en) * | 2015-07-30 | 2018-06-19 | Qualcomm Incorporated | Subscriber identity module (SIM) access profile (SAP) |
US10068114B1 (en) * | 2017-09-12 | 2018-09-04 | Nxp B.V. | System and method for implementing a host card emulation (HCE) command stack in a mobile phone |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US40936A (en) * | 1863-12-15 | Improved clothes-drier | ||
US5276735A (en) | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5917168A (en) | 1993-06-02 | 1999-06-29 | Hewlett-Packard Company | System and method for revaluation of stored tokens in IC cards |
US5455863A (en) | 1993-06-29 | 1995-10-03 | Motorola, Inc. | Method and apparatus for efficient real-time authentication and encryption in a communication system |
US5434919A (en) | 1994-01-11 | 1995-07-18 | Chaum; David | Compact endorsement signature systems |
US5778071A (en) | 1994-07-12 | 1998-07-07 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
EP0723355A1 (de) | 1995-01-18 | 1996-07-24 | T.R.T. Telecommunications Radioelectriques Et Telephoniques | Datenübertragungssystem mit Datenkompression |
DE19522527A1 (de) | 1995-06-23 | 1997-01-02 | Ibm | Verfahren zur Vereinfachung der Kommunikation mit Chipkarten |
FR2739242B1 (fr) * | 1995-09-25 | 1997-10-24 | Gemplus Card Int | Modem equipe d'un lecteur de carte a puce |
US5991407A (en) | 1995-10-17 | 1999-11-23 | Nokia Telecommunications Oy | Subscriber authentication in a mobile communications system |
US5944821A (en) | 1996-07-11 | 1999-08-31 | Compaq Computer Corporation | Secure software registration and integrity assessment in a computer system |
US6101254A (en) | 1996-10-31 | 2000-08-08 | Schlumberger Systemes | Security method for making secure an authentication method that uses a secret key algorithm |
US6192473B1 (en) | 1996-12-24 | 2001-02-20 | Pitney Bowes Inc. | System and method for mutual authentication and secure communications between a postage security device and a meter server |
US6144671A (en) | 1997-03-04 | 2000-11-07 | Nortel Networks Corporation | Call redirection methods in a packet based communications network |
US6005942A (en) * | 1997-03-24 | 1999-12-21 | Visa International Service Association | System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
US6101255A (en) * | 1997-04-30 | 2000-08-08 | Motorola, Inc. | Programmable cryptographic processing system and method |
US6385723B1 (en) | 1997-05-15 | 2002-05-07 | Mondex International Limited | Key transformation unit for an IC card |
DE19720431A1 (de) | 1997-05-15 | 1998-11-19 | Beta Research Ges Fuer Entwick | Vorrichtung und Verfahren zur Personalisierung von Chipkarten |
DE19724901A1 (de) | 1997-06-12 | 1998-12-17 | Siemens Nixdorf Inf Syst | Mobilfunktelefon sowie solche mit gekoppeltem Rechner für Internet- bzw. Netzanwendungen und Verfahren zum Betreiben einer solchen Gerätekombination |
US6422459B1 (en) | 1997-10-15 | 2002-07-23 | Citicorp Development Center, Inc. | Method and system for off-line loading of stored value cards using a batch-load terminal |
US6105008A (en) | 1997-10-16 | 2000-08-15 | Visa International Service Association | Internet loading system using smart card |
US6711166B1 (en) | 1997-12-10 | 2004-03-23 | Radvision Ltd. | System and method for packet network trunking |
US6018779A (en) | 1997-12-15 | 2000-01-25 | Emc Corporation | System for encapsulating a plurality of selected commands within a single command and transmitting the single command to a remote device over a communication link therewith |
US6101225A (en) | 1998-04-29 | 2000-08-08 | Motorola, Inc. | Method and apparatus for performing a modulation |
US6108789A (en) | 1998-05-05 | 2000-08-22 | Liberate Technologies | Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority |
FR2779018B1 (fr) | 1998-05-22 | 2000-08-18 | Activcard | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees |
US6385729B1 (en) | 1998-05-26 | 2002-05-07 | Sun Microsystems, Inc. | Secure token device access to services provided by an internet service provider (ISP) |
US6131811A (en) | 1998-05-29 | 2000-10-17 | E-Micro Corporation | Wallet consolidator |
FR2782435B1 (fr) | 1998-08-13 | 2000-09-15 | Bull Cp8 | Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre |
US20010039587A1 (en) * | 1998-10-23 | 2001-11-08 | Stephen Uhler | Method and apparatus for accessing devices on a network |
EP1125262A1 (de) | 1998-10-27 | 2001-08-22 | Visa International Service Association | Delegierte verwaltung von chipkartenanwendungen |
US6602469B1 (en) | 1998-11-09 | 2003-08-05 | Lifestream Technologies, Inc. | Health monitoring and diagnostic device and network-based health assessment and medical records maintenance system |
US6195700B1 (en) * | 1998-11-20 | 2001-02-27 | International Business Machines Corporation | Application protocol data unit management facility |
TW449991B (en) | 1999-01-12 | 2001-08-11 | Ibm | Method and system for securely handling information between two information processing devices |
FR2791159B1 (fr) | 1999-03-15 | 2001-05-04 | Bull Cp8 | Procede d'acces a un objet a l'aide d'un navigateur de type "web" cooperant avec une carte a puce et architecture pour la mise en oeuvre du procede |
CA2753375C (en) | 1999-08-31 | 2015-09-22 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
AU3844900A (en) | 1999-09-22 | 2001-04-24 | Ba Cards And Security B.V. (Bacs) | Method and system for performing a transaction between a client and a server over a network |
AUPQ549200A0 (en) | 2000-02-08 | 2000-03-02 | Keycorp Limited | A method of operating a remote terminal |
US20020025046A1 (en) | 2000-05-12 | 2002-02-28 | Hung-Yu Lin | Controlled proxy secure end to end communication |
US6807561B2 (en) * | 2000-12-21 | 2004-10-19 | Gemplus | Generic communication filters for distributed applications |
-
2001
- 2001-11-02 US US09/985,344 patent/US7162631B2/en not_active Expired - Lifetime
-
2002
- 2002-10-23 EP EP02787501A patent/EP1442574B1/de not_active Expired - Lifetime
- 2002-10-23 AT AT02787501T patent/ATE373377T1/de not_active IP Right Cessation
- 2002-10-23 WO PCT/EP2002/011887 patent/WO2003039092A2/en active IP Right Grant
- 2002-10-23 DE DE60222455T patent/DE60222455T2/de not_active Expired - Lifetime
- 2002-10-23 AU AU2002351778A patent/AU2002351778A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP1442574A2 (de) | 2004-08-04 |
DE60222455D1 (de) | 2007-10-25 |
WO2003039092A3 (en) | 2003-09-18 |
US7162631B2 (en) | 2007-01-09 |
ATE373377T1 (de) | 2007-09-15 |
AU2002351778A1 (en) | 2003-05-12 |
WO2003039092A2 (en) | 2003-05-08 |
US20030088691A1 (en) | 2003-05-08 |
EP1442574B1 (de) | 2007-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60222455T2 (de) | Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät | |
DE60220665T3 (de) | Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem | |
EP1566069B1 (de) | Testsystem zur prüfung von übertragungsvorgängen innerhalb eines mobilfunknetzes sowie verfahren zur authentisierung eines mobiltelefons unter verwendung eines derartigen testsystems | |
US7448071B2 (en) | Dynamic downloading of keyboard keycode data to a networked client | |
DE60221113T3 (de) | Verfahren und system für die fernaktivierung und -verwaltung von personal security devices | |
DE112005003217B4 (de) | Routing von Mitteilungen | |
DE60203277T2 (de) | Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem | |
CN103812829B (zh) | 一种提高远程桌面安全性的方法、远程桌面服务器及系统 | |
US20230080588A1 (en) | Mqtt protocol simulation method and simulation device | |
CN101741846B (zh) | 文件下载的方法、装置及系统 | |
CN109756501A (zh) | 一种基于http协议的高隐匿网络代理方法及系统 | |
CN105491169A (zh) | 一种数据代理方法与系统 | |
DE10142959A1 (de) | Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht | |
CN110166450A (zh) | 基于工业以太网的数据传输方法、装置以及通信设备 | |
WO2005024543A2 (de) | Verfahren und vorrichtung für den aufbau von verbindungen zwischen kommunikationsendgeräten und drahtlose übertragungsstrecken aufweisenden kommunikationsnetzen | |
CN108512889B (zh) | 一种基于http的应用响应推送方法及代理服务器 | |
JP2021511737A (ja) | トラステッドサービスマネージメントのための方法および装置 | |
US7039952B2 (en) | Using patterns to perform personal identification data substitution | |
DE10024347A1 (de) | Sicherheitsservice-Schicht | |
US7003797B2 (en) | Secure personal identification number entry in a distributed network | |
CN108279855A (zh) | 一种读写存储设备的方法 | |
EP2815558B1 (de) | Übertragen von datenströmen zwischen einem endgerät und einem sicherheitsmodul | |
EP2595420A1 (de) | Verfahren zum Senden einer Nachricht an ein sicheres Element | |
CN115280725A (zh) | 一种数据帧安全传输方法、装置、电子设备及存储介质 | |
CN114615082A (zh) | 一种使用正反向网闸模拟tcp双工安全通讯系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1442574 Country of ref document: EP Representative=s name: HAUCK PATENT- UND RECHTSANWAELTE, DE |