DE60222455T2 - Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät - Google Patents

Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät Download PDF

Info

Publication number
DE60222455T2
DE60222455T2 DE60222455T DE60222455T DE60222455T2 DE 60222455 T2 DE60222455 T2 DE 60222455T2 DE 60222455 T DE60222455 T DE 60222455T DE 60222455 T DE60222455 T DE 60222455T DE 60222455 T2 DE60222455 T2 DE 60222455T2
Authority
DE
Germany
Prior art keywords
client
psd
script
response
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60222455T
Other languages
English (en)
Other versions
DE60222455D1 (de
Inventor
Yves Louis Los Gatos AUDEBERT
Olivier Clemot
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ActivCard Ireland Ltd
Original Assignee
ActivCard Ireland Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ActivCard Ireland Ltd filed Critical ActivCard Ireland Ltd
Publication of DE60222455D1 publication Critical patent/DE60222455D1/de
Application granted granted Critical
Publication of DE60222455T2 publication Critical patent/DE60222455T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft ein Datenverarbeitungsverfahren und -system zur Kommunikationsoptimierung durch einen Kommunikationskanal, der über ein Netzwerk zwischen einem persönlichen Sicherheitsgerät (Personal Security Device – PSD) und einem Fernverarbeitungssystem eingesetzt ist.
  • ALLGEMEINER STAND DER TECHNIK
  • Der Stand der Technik, der die Informations- und Datenverwaltungsvorrichtungen betrifft, die persönliche Sicherheitsgeräte (PSD), z.B. Smart Cards, Teilnehmererkennungsmodule (SIM), Wireless-Erkennungsmodule (WIM), biometrische Geräte, oder Kombinationen derselben, umfassen, erfordert, dass diskrete Low-Level-Befehle, die im Fachgebiet als Application Protocol Data Units (APDUs) bekannt sind, an ein PSD gesendet werden.
  • Das PSD ist ein reaktives Gerät, in dem eine Rückmeldung nach dem Beenden jedes ausgeführten Befehls oder wenn ein Fehler während der Ausführung erkannt wird, erzeugt wird. Die Mehrheit der Antworten, die von dem PSD zurückgemeldet werden, sind einfache Meldung der Art „Vorgang abgeschlossen" oder Ähnliches. In einer vernetzten Umgebung belastet das Warten auf die Rückmeldung solcher Antworten unnötigerweise die Netzwerkbandbreite und die Serverressourcen wegen der Vorgangslatenz und der verhältnismäßig langsamen Ausführungsgeschwindigkeit der PSDs.
  • Eine zweite Beschränkung ist auf die verhältnismäßig begrenzte Beschaffenheit der Betriebskonfiguration des PSD zurück zu führen, die typischerweise erfordert, dass mehrere sequentielle APDU-Befehle ausgeführt werden, um einen Vorgang in einem PSD vollenden zu können. Dies könnte besonders problematisch werden, wenn eine hohe Anzahl von PSDs von einem zentralen Server aus verwaltet wird.
  • Die gleichzeitig anhängige Patentanmeldung Nummer US 2002/0162021 mit dem Titel „Method and System for Establishing a Remote Connection to a PSD" und auf den Abtretungsempfänger der vorliegenden Erfindung übertragen, beschreibt einen Kommunikationskanal, der es einem Fernserver ermöglicht, Kommunikation mit einem oder mehreren PSDs über ein Netzwerk aufrecht zu erhalten, das den vorhergehenden Begrenzungen unterliegen könnte. In dieser Hinsicht ist ein Mittel zum Minimieren der potentiellen Latenzeffekte, die einem Netzwerk auferliegen können, sehr wünschenswert.
  • Das Dokument XP002237189 (ETSI Technical Specifications) beschreibt und definiert die Struktur von gesicherten Paketen in einem allgemeinen Format unter Verwendung von SMS-Punkt-zu-Punkt- und SMS-Cell-Broadcast-Verbindungen für ein Universal Mobile Telecommunications System.
  • Das System ist in der Lage, eine Anwendungsnachricht von einer Sendeanwendung an eine Empfangsanwendung unter Verwendung von Befehls-/Antwortpaketen zu senden.
  • Dieses Dokument veranschaulicht hauptsächlich einen Befehl-/Antwort-Mechanismus basierend auf Paketaustausch und offenbart eine sichere Kommunikation zwischen Fern- und SIM-Anwendung. Nachrichten werden getrennt in einem gesicherten Befehlspaket eingebettet von einem entfernt gelegenen Ort an eine Empfangseinheit gesendet, sie werden dort entpackt und an die SIM-Anwendung weitergeleitet.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Gemäß der vorliegenden Erfindung lösen das System und das Verfahren, die in Anspruch 1 beziehungsweise 11 angegeben werden, die potentiellen Latenzprobleme, die mit dem Aufrechterhalten von Kommunikationskanälen über ein Netzwerk zusammenhängen.
  • Andere Merkmale der Erfindung sind in den Unteransprüchen dargestellt.
  • Um diese Erfindung anzuwenden, wird ein Stapel von APDU-Befehlen generiert und in einem Befehlsskript auf dem Fernverarbeitungssystem gespeichert. Das Befehlsskript wird dann über ein Netzwerk an einen Client gesendet, um lokal durch ein Pipe-Client-Programm ausgeführt zu werden. Wie in der anhängigen US-Patentanmeldung Nummer 09/844,246 beschrieben, ist der Pipe-Client ein Programm auf API(Application Program Interface)-Ebene, das APDUs aus eingehenden Nachrichtenpaketen entpackt und APDUs in ausgehende Nachrichtenpakete kapselt.
  • Nach Empfang des Befehlsskriptes speichert der Pipe-Client den Befehlsstapel entweder in einem Speicherplatz oder in einer Plattendatei zwischen und sendet die APDU-Befehle nacheinander an das PSD, damit sie verarbeitet werden. Das Sequenzieren der APDU-Befehle erfolgt durch den Empfang einer APDU-Antwort, die dazu führt, dass der nächste APDU-Befehl ausgegeben wird. Die APDU-Antworten werden auf ähnliche Weise entweder in einem Speicherplatz oder in einer Plattendatei für die spätere Übertragung an das Fernverarbeitungssystem zwischengespeichert. Dieser Vorgang wird fortgesetzt bis der letzte APDU-Befehl gesendet und seine komplementäre Antwort empfangen und in einem Antwortskript gespeichert worden ist. Wenn dieser Vorgang vollendet ist, wird das Antwortskript an das Fernverarbeitungssystem zum Verarbeiten gesendet.
  • Durch das Speichern der APDU-Befehle in einem Skript und das lokale Erfassen der resultierenden APDU-Antworten wird der Handshake zwischen dem PSD und dem Fernverarbeitungssystem signifikant reduziert, so dass Netzwerk- und Serverressourcen entlastet werden.
  • In einer Ausführungsform der Erfindung werden die angesammelten Antworten so gespeichert wie sie vom PSD generiert werden. In einer zweiten Ausführungsform der Erfindung werden die APDUs komprimiert, um den Speicher- und Übertragungsdurchsatz zwischen dem PSD und dem Fernverarbeitungssystem zu optimieren. Das Komprimieren der Datei kann On-The-Fly unter Verwendung der Dateikomprimierungsmöglichkeiten erfolgen, die in Microsoft WindowsTM 2000 oder NT enthalten sind. Ein Vorteil der Verwendung des Betriebssystems, um die Datenkomprimierung durchzuführen, ist die Fähigkeit, den gespeicherten und komprimierten Daten eine kryptographische Verschlüsselung hinzu zu fügen, die für den Endnutzer transparent ist. Zusätzliche Hardware- oder Software-Datenkomprimierungstechniken können während der Netzwerkkommunikation eingesetzt werden, um die Größe und Anzahl der Pakete weiter zu reduzieren, die zwischen dem Fernverarbeitungssystem und dem PSD ausgetauscht werden.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Ein vollständigeres Verständnis der vorliegenden Erfindung kann mit Bezug auf die nachfolgende ausführliche Beschreibung und die Patentansprüche zusammen mit den folgenden Zeichnungen ermöglicht werden:
  • 1 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der APDU-Befehle in Form eines Befehlsskripts (CMD-Skript) angesammelt werden;
  • 2 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der das Befehlsskript an einen Client zum Verarbeiten übertragen wird;
  • 3 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Befehl-APDUs, die sich in einem Befehlsskript befinden, durch ein Pipe-Client-Programm verarbeitet werden und zur Ausführung an ein PSD gesendet werden;
  • 4 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Antworten-APDUs aus einem PSD zurückgegeben, von einem Pipe-Client-Programm verarbeitet und in einem Antwortskript (RSP-Skript) angesammelt werden;
  • 5 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der das Antwortskript, das die angesammelten APDUs enthält, zur Verarbeitung an ein Fernverarbeitungssystem zurückgegeben wird;
  • 6 ist ein Systemblockdiagramm, das eine Version der vorliegenden Erfindung darstellt, in der Antwort-APDUs von einem Pipe-Server-Programm verarbeitet werden, das in einem Fernverarbeitungssystem installiert ist.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Diese Erfindung stellt ein Verfahren und ein System zur Kommunikationsoptimierung durch einen Kommunikationskanal über ein Netzwerk bereit. In dieser Erfindung werden APDU-Befehle generiert und in Form eines Befehlsskripts auf einem Fernverarbeitungssystem angesammelt. Sobald das Befehlsskript generiert worden ist, wird es dann an einen lokalen Client übertragen, um durch ein assoziiertes PSD verarbeitet und ausgeführt zu werden. Die daraus resultierenden APDU-Antworten werden auf ähnliche Weise in einem Antwortskript angesammelt und gespeichert, das dann nach Beendigung des Befehlsskripts oder beim Erkennen eines Fehlerzustands an das Fernverarbeitungssystem zurückgesendet wird. Durch das Zusammenlegen der APDU-Befehle und – Antworten in Skripte wird wesentlich weniger Netzwerkverkehr generiert, so dass das Verwenden von Netzwerkressourcen optimiert und das Verwalten einer großen Anzahl von PSDs vereinfacht wird.
  • Mit Bezug auf 1 sind ein Blockdiagramm eines lokalen Clients 10 und ein Fernverarbeitungssystem 50 dargestellt. Das Fernverarbeitungssystem 50 umfasst Programme auf API-Ebene 100, um High-Level-Befehle zu generieren und zu interpretieren. High-Level-Befehle werden unter Verwendung eines spezifischen API-Level-Programms, das APDU-Schnittstelle 55 genannt wird, in das Low-Level-APDU-Nachrichtenprotokoll übersetzt, das von einem PSD 40 benötigt wird. Die APDU-Schnittstelle 55 dient auch dazu, eingehende APDU-Nachrichten zur Verwendung durch API-Programme 100 in Higher-Level-Nachrichten zu übersetzen.
  • Ein zweites spezifisches Programm, das die API-Ebene des Fernverarbeitungssystems 50 umfasst und als Pipe-Server 70 bezeichnet wird, steht in Wechselwirkung mit dem Kommunikationsprogramm 105S, welches die Kommunikationsebene umfasst. Der Pipe-Server 70 dient zum Trennen zusammengelegter APDU-Antworten 90 von eingehender Nachrichtenpaketen, die aus einem Netzwerk 45 empfangen werden, um durch die APDU-Schnittstelle 55 verarbeitet zu werden.
  • Alternativ werden abgehende APDU-Befehle von der APDU-Schnittstelle 55 übersetzt und von dem Pipe-Server 70 verarbeitet, um in einem Befehlsskript (CMD-Skript) 125 angesammelt 135 zu werden. Das Befehlsskript 125 wird dann in ein vereinbartes Kommunikationsprotokoll von dem Pipe-Server 70 gekapselt und an das Kommunikationsprogramm 105S zur Übertragung gesendet. Das Befehlsskript 125 kann vor der Übertragung zwischengespeichert werden. Wahlweise können Datenkomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern. Das Kommunikationsprogramm 105S kommuniziert durch die I/O-Geräte-Schnittstelle 130S der Hardware, die den Kanal 75 mit einem Netzwerk 40 verbindet, um mit mindestens dem Client 10 zu kommunizieren.
  • Der Client 10 kommuniziert auf ähnliche Weise unter Verwendung des internen Kommunikationsprogramms 105C durch die I/O-Geräte-Schnittstelle 130C seiner Hardware, die mit dem Netzwerk 40 verbunden ist 75, um mit mindestens dem Fernverarbeitungssystem 50 zu kommunizieren. Ein drittes spezifisches API-Ebene-Programm, als Pipe-Client 15 bezeichnet, steht in Wechselwirkung mit dem Kommunikationsprogramm 105C. Der Pipe-Client 15 dient zum Trennen der gekapselten Befehlsskripte 125 von eingehenden Nachrichtenpaketen, die vom Netzwerk 45 empfangen werden. Falls verwendet, werden die Befehlsskripte 125 durch das Kommunikationsprogramm 105C und Kryptographie-Programm entpackt und/oder dekodiert, bevor sie vom Pipe-Client 15 verarbeitet werden. Wenn der Pipe-Client das Verarbeiten beendet hat, werden die Befehlsskripte 85 zwischengespeichert. Wie zuvor können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken verwendet werden, um die Nutzung des lokalen Dateispeichers und die Übertragungssicherheit zu verbessern.
  • Alternativ werden ausgehende APDU-Anwortnachrichten, die von einem lokal angeschlossenen PSD 40 generiert werden, durch den Pipe-Client 15 verarbeitet und in einem Antwortenskript (RSP-Skript) 90 zwischengespeichert. Die Antwort-APDUs werden von dem PSD 40 nach dem sequentiellen Verarbeiten jedes APDU-Befehls, den das Befehlsskript 85 umfasst, generiert. Die APDU-Antworten werden durch die Geräteschnittstelle 25 der Hardware des PSD, in den Client 10 über den I/O-Gerätanschluss 5 kommuniziert und danach von einem Softwaretreiber zum Pipe-Client 15 geleitet. Die APDU-Anworten werden im Antwortskript 90 angesammelt, bis der letzte APDU-Befehl verarbeitet wurde und die letzte APDU-Antwort-Nachricht empfangen und gespeichert wurde. Das fertige Anwortskript 90 wird dann in ein vereinbartes Kommunikationsprotokoll von dem Pipe-Client 15 gekapselt und von dem Kommunikationsprogramm 105C durch den Kanal 75 und über das Netzwerk 45 übertragen. Wieder können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern.
  • Mit Bezug auf 2 wird das fertige Befehlsskript 125 abgerufen 220 und von dem Pipe-Server 70 in ein vereinbartes Kommunikationsprotokoll gekapselt, an das Kommunikationsprogramm 105C weitergeleitet 225, in eine abgehende Nachricht 230 eingebunden, durch das Netzwerk 45 durch den Kanal 75 gesendet und vom Client 10 empfangen. Das Kommunikationsprogramm 105C verarbeitet die ankommende Nachricht 240, und die daraus resultierenden Pakete 250 werden an den Pipe-Client 15 zum Verarbeiten weitergeleitet. Der Pipe-Client 15 extrahiert 255 das Befehlsskript 85 und speichert es zwischen.
  • Mit Bezug auf 3 ruft der Pipe-Client 15 die Befehl-APDUs ab 360, die das Befehlsskript 85 umfasst, und verarbeitet sie abwechselnd. Der erste APDU-Befehl (APDU1) wird durch den I/O-Gerätanschluss 5 von dem Softwaretreiber geleitet 365 und an die PSD-Schnittstelle 25 weitergeleitet 370. Die PSD-Schnittstelle 25 leitet 30 den APDU-Befehl zu dem PSD 40 und in den Verarbeitungsbereich 35.
  • Mit Bezug auf 4 generiert das PSD 40 nach Beendigung der Verarbeitung des APDU-Befehls (APDU1) eine Antwort-APDU (APDU1r), die an die PSD-Schnittstelle 25 gesendet wird 30, wo sie durch den I/O-Gerätanschluss weitergeleitet wird 470 und von dem Software-Treiber zum Pipe-Client 15 geleitet wird 465. Die APDU-Antwortnachricht (APDU1r) wird dann von dem Pipe-Client verarbeitet und in einem Antwortskript 95 zwischengespeichert 460. Das Empfangen und Speichern der APDU-Antwortnachricht (APDU1r) veranlasst den Pipe-Client 15, den nächsten APDU-Befehl (APDU2) auszugeben. Dieser Vorgang wird fortgesetzt, bis der letzte APDU-Befehl (APDU3) an das PSD 40 gesendet wird und eine APDU-Antwortnachricht (APDU3r) empfangen und in dem Antwortskript 95 gespeichert wird. Wieder können wahlweise Dateikomprimierungstechniken und kryptographische Schutztechniken angewandt werden, um die Netzwerkleistung und Übertragungssicherheit zu verbessern.
  • Mit Bezug auf 5 wird das fertige Antwortskript 95 abgerufen 560 und vom Pipe-Client verarbeitet und in ein vereinbartes Kommunikationsprotokoll gekapselt, an das Kommunikationsprogramm 105C weitergeleitet 550, in eine abgehende Nachricht 540 eingebunden, durch den Kanal 75 gesendet, durch das Netzwerk 45, und vom Fernverarbeitungssystem 50 empfangen. Das Kommunikationsprogramm 105S verarbeitet die ankommende Nachricht 530, und die daraus resultierenden Pakete 525 werden an den Pipe-Server 70 zum Verarbeiten weitergeleitet 510. Der Pipe-Server 70 extrahiert 520 das Antwortskript 525 und speichert es zwischen.
  • Mit Bezug auf 6 ruft der Pipe-Server 70 die APDU-Antwortnachrichten ab 635, die an die APDU-Schnittstelle 55 durch das Kommunikationsprogramm 105S und die API-Programme zum Verarbeiten gesendet werden und verarbeitet sie sequentiell. Die verarbeiteten Nachrichten werden dann an die API-Programme 100 zurückgesendet, um in Higher-Level-Nachrichten übersetzt zu werden.

Claims (16)

  1. System zur Kommunikationsoptimierung durch mindestens einen Kommunikationskanal über mindestens ein Netzwerk, (45) umfassend mindestens einen Client (10), ein persönliches Sicherheitsgerät (Personal Security Device – PSD) (40), mindestens ein Fernverarbeitungssystem (50) und mindestens ein Netzwerk (45), wobei: das mindestens eine Netzwerk Mittel zum funktionellen Verbinden und Kommunizieren mit dem mindestens einen Client und dem mindestens einen Fernverarbeitungssystem umfasst; der mindestens eine Client (10) Mittel zum funktionellen Verbinden mit einer PSD-Schnittstelle (25) des PSD (40) und mit dem mindestens einen Netzwerk, Mittel zum funktionellen Kommunizieren über das Netzwerk mit dem mindestens einen Fernverarbeitungssystem, Mittel zum Austauschen ordnungsgemäß formatierter Befehle mit dem PSD (40), Mittel zum Kommunizieren mit dem Fernverarbeitungssystem unter Verwendung eines paketbasierten Protokolls und Mittel (15) zum Aufrechterhalten des mindestens einen Kommunikationskanals zwischen dem mindestens einen Fernverarbeitungssystem und dem PSD umfasst; der mindestens eine Client außerdem Datenspeichermittel umfasst, wobei: die Datenspeichermittel Mittel zum Speichern mindestens eines Befehlsskripts (85) umfassen, das von dem mindestens einen Verarbeitungssystem (50) unter Verwendung des paketbasierten Protokolls erhalten wird, wobei das mindestens eine Befehlsskript (85) mehrere ordnungsgemäß formatierte Befehle zum Ausführen durch das PSD (40) umfasst; die Mittel (15) zum Aufrechterhalten des mindestens einen Kommunikationskanals Mittel zum Extrahieren der ordnungsgemäß formatierten Befehle aus dem mindestens einen Befehlsskript umfassen; die Austauschmittel Mittel zum sequentiellen Weiterleiten an das PSD (40) der ordnungsgemäß formatierten Befehle, die das mindestens eine Befehlsskript (85) umfasst, zum sequentiellen Weiterleiten der ordnungsgemäß formatierten Befehle, umfassend das Weiterleiten eines der ordnungsgemäß formatierten Befehle erst nachdem eine Antwort auf einen zuvor weitergeleiteten ordnungsgemäß formatierten Befehl vom Client erhalten wurde, umfasst; das PSD (40) außerdem Datenverarbeitungsmittel und Kommunikationsmittel umfasst, wobei das PSD (40) funktionell mit dem mindestens einen Client (10) verbunden ist und mit dem mindestens einen Fernverarbeitungssystem (50) durch den mindestens einen Kommunikationskanal über das mindestens eine Netzwerk (45) kommuniziert; das mindestens eine Fernverarbeitungssystem (50) Datenverarbeitungsmittel, Datenspeichermittel und Kommunikationsmittel umfasst, wobei: das mindestens eine Fernverarbeitungssystem (50) mit dem mindestens einen Client (10) über das mindestens eine Netzwerk (45) kommuniziert; das mindestens eine Fernverarbeitungssystem (50) mit dem PSD (40) durch den mindestens einen Kommunikationskanal über das mindestens eine Netzwerk (45) kommuniziert; die Datenverarbeitungsmittel Mittel zum Generieren des mindestens einen Befehlsskripts (125) umfassen, wobei das mindestens eine Befehlsskript mehrere ordnungsgemäß formatierte Befehle zur Datenverarbeitung durch das PSD (40) umfasst; die Datenspeichermittel Mittel zum Speichern des mindestens einen Befehlsskripts (125) umfassen; und die Kommunikationsmittel Mittel zum Senden des mindestens einen Befehlsskripts (125) an den mindestens einen Client (10) über das mindestens eine Netzwerk (45) unter Verwendung des paketbasierten Protokolls umfassen.
  2. System nach Anspruch 1, wobei die Datenverarbeitungsmittel des PSD (40) Mittel zum Generieren ordnungsgemäß formatierter Antworten (470) auf die ordnungsgemäß formatierten Befehle umfassen, die das mindestens eine Befehlsskript (85) umfasst.
  3. System nach Anspruch 2, wobei die Kommunikationsmittel des PSD (40) Mittel zum Senden der ordnungsgemäß formatierten Antworten (470) an den mindestens einen Client (10) umfassen.
  4. System nach Anspruch 1, wobei das mindestens eine Befehlsskript (85, 125) während der Übertragung komprimiert wird.
  5. System nach Anspruch 1 oder 4, wobei das mindestens eine Befehlsskript (85, 125) kryptografisch geschützt ist.
  6. System nach Anspruch 1, wobei die Datenspeichermittel des mindestens einen Clients (10) Mittel zum Speichern der ordnungsgemäß formatierten Antworten (470) umfassen, die von dem PSD (40) in mindestens einem Antwortskript (90, 95) erhalten werden.
  7. System nach Anspruch 6, wobei das mindestens eine Antwortskript (90, 95) kryptografisch geschützt ist.
  8. System nach Anspruch 6 oder 7, wobei das mindestens eine Antwortskript (90, 95) an das mindestens eine Fernverarbeitungssystem (50) über das mindestens eine Netzwerk gesendet wird.
  9. System nach Anspruch 8, wobei das mindestens eine Antwortskript (90, 95) während der Übertragung komprimiert wird.
  10. System nach Anspruch 8, wobei die Datenverarbeitungsmittel des mindestens einen Fernverarbeitungssystems (50) Mittel zur Analyse der ordnungsgemäß formatierten Antworten (470) umfassen, die von dem mindestens einen Client (10) gesendet werden.
  11. Verfahren zur Kommunikationsoptimierung durch mindestens einen Kommunikationskanal über mindestens ein Netzwerk (45), umfassend: das Generieren mindestens eines Befehlsskripts (125) auf mindestens einem Fernverarbeitungssystem (50), wobei das mindestens eine Befehlsskript mehrere ordnungsgemäß formatierte Befehle umfasst; das Senden des mindestens einen Befehlsskripts (125) an mindestens einen Client (10) unter Verwendung eines paketbasierten Protokolls, wobei das mindestens eine Fernverarbeitungssystem (50) mit dem mindestens einen Client (10) über das mindestens eine Netzwerk (45) und mit einem PSD (40), das mit dem Client (10) funktionell verbunden ist, durch den mindestens einen Kommunikationskanal kommuniziert; das Empfangen des mindestens einen Befehlsskripts (85) durch den mindestens einen Client (10) unter Verwendung des paketbasierten Protokolls; das Zwischenspeichern des mindestens einen Befehlsskripts (85) durch den mindestens einen Client (10), das sequentielle Weiterleiten der ordnungsgemäß formatierten Befehle (365), die das mindestens eine Befehlsskript (85) umfasst, an das PSD (40), das Empfangen der ordnungsgemäß formatierten Befehle (365) durch das PSD (40), das Verarbeiten der ordnungsgemäß formatierten Befehle (365) durch das PSD (40), das Generieren einer ordnungsgemäß formatierten Antwort (470) auf alle ordnungsgemäß formatierten Befehle durch das PSD (40), das Senden jeder ordnungsgemäß formatierten Antwort (470) an den mindestens einen Client (10), das Empfangen jeder ordnungsgemäß formatierten Antwort (470) durch den mindestens einen Client (10), das Speichern jeder ordnungsgemäß formatierten Antwort (470) durch den mindestens einen Client (10) in mindestens einem Antwortskript (95), das Senden des mindestens einen Antwortskripts (95) durch den mindestens einen Client (10) über das mindestens eine Netzwerk (45) an das mindestens eine Fernverarbeitungssystem (50), unter Verwendung des paketbasierten Protokolls, das Speichern des mindestens einen Antwortskripts (525) durch das mindestens eine Fernverarbeitungssystem (50) und das Verarbeiten des mindestens einen Antwortskripts (525) durch das mindestens eine Fernverarbeitungssystem (50).
  12. Verfahren nach Anspruch 11, wobei das mindestens eine Befehlsskript (85, 125) komprimiert gesendet wird.
  13. Verfahren nach Anspruch 11, wobei das mindestens eine Befehlsskript (85, 125) kryptografisch geschützt gesendet wird.
  14. Verfahren nach Anspruch 11, wobei das mindestens eine Antwortskript (95, 525) komprimiert gesendet wird.
  15. Verfahren nach Anspruch 11, wobei das mindestens eine Antwortskript (95, 525) kryptografisch geschützt gesendet wird.
  16. Verfahren nach Anspruch 11, wobei das Erkennen eines Fehlerzustands in einer ordnungsgemäß formatierten Antwort dazu führt, dass das mindestens eine Antwortskript (95) an das mindestens eine Fernverarbeitungssystem (50) gesendet wird, auch ohne Beendigung des mindestens einen Befehlsskripts (85).
DE60222455T 2001-11-02 2002-10-23 Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät Expired - Lifetime DE60222455T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/985,344 US7162631B2 (en) 2001-11-02 2001-11-02 Method and system for scripting commands and data for use by a personal security device
US985344 2001-11-02
PCT/EP2002/011887 WO2003039092A2 (en) 2001-11-02 2002-10-23 Method and system for scripting commands and data

Publications (2)

Publication Number Publication Date
DE60222455D1 DE60222455D1 (de) 2007-10-25
DE60222455T2 true DE60222455T2 (de) 2008-06-12

Family

ID=25531399

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60222455T Expired - Lifetime DE60222455T2 (de) 2001-11-02 2002-10-23 Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät

Country Status (6)

Country Link
US (1) US7162631B2 (de)
EP (1) EP1442574B1 (de)
AT (1) ATE373377T1 (de)
AU (1) AU2002351778A1 (de)
DE (1) DE60222455T2 (de)
WO (1) WO2003039092A2 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8209753B2 (en) * 2001-06-15 2012-06-26 Activcard, Inc. Universal secure messaging for remote security tokens
US20040218762A1 (en) * 2003-04-29 2004-11-04 Eric Le Saint Universal secure messaging for cryptographic modules
US20100174717A1 (en) * 2002-02-28 2010-07-08 Olivier Fambon Interative serialisation procedure for structured software objects
KR100585095B1 (ko) * 2003-06-26 2006-05-30 삼성전자주식회사 데이터 전송 시스템에서의 데이터 보호 방법 및 장치
EP1928152B1 (de) * 2006-11-30 2013-05-29 Cassis International PTE Ltd. Prozess zur Funkkommunikation zwischen einer Vorrichtung mit Java ME und einem Server mit APDU unter SOAP-Nachrichten von/zu einem Operator an einem Host, zugehöriges System
EP2085888A1 (de) * 2008-01-29 2009-08-05 Research In Motion Limited Optimierte Smart Card-Treiberleistung
EP2581851B1 (de) * 2008-12-01 2017-03-08 BlackBerry Limited Sichere Verwendung von extern gespeicherten Daten
US7896247B2 (en) 2008-12-01 2011-03-01 Research In Motion Limited Secure use of externally stored data
EP2570924B1 (de) * 2008-12-01 2019-02-20 BlackBerry Limited Antizipatorische Reaktionen auf Befehle
US8274380B2 (en) 2008-12-01 2012-09-25 Research In Motion Limited Anticipatory responses to commands
US20110219096A1 (en) * 2010-03-05 2011-09-08 Telefonica, S.A. Method and system for operations management in a telecommunications terminal with a state machine
CN103258175B (zh) * 2012-02-20 2016-05-11 普天信息技术研究院有限公司 Apdu命令的处理方法、sd控制器及智能存储卡
US8813029B2 (en) * 2012-05-24 2014-08-19 International Business Machines Corporation Remote card content management using synchronous server-side scripting
ES2857674T3 (es) * 2014-11-24 2021-09-29 Idemia France Creación de archivos implícita en secuencias de comandos APDU
US10003959B2 (en) * 2015-07-30 2018-06-19 Qualcomm Incorporated Subscriber identity module (SIM) access profile (SAP)
US10068114B1 (en) * 2017-09-12 2018-09-04 Nxp B.V. System and method for implementing a host card emulation (HCE) command stack in a mobile phone

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US40936A (en) * 1863-12-15 Improved clothes-drier
US5276735A (en) 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5917168A (en) 1993-06-02 1999-06-29 Hewlett-Packard Company System and method for revaluation of stored tokens in IC cards
US5455863A (en) 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
US5434919A (en) 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5778071A (en) 1994-07-12 1998-07-07 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
EP0723355A1 (de) 1995-01-18 1996-07-24 T.R.T. Telecommunications Radioelectriques Et Telephoniques Datenübertragungssystem mit Datenkompression
DE19522527A1 (de) 1995-06-23 1997-01-02 Ibm Verfahren zur Vereinfachung der Kommunikation mit Chipkarten
FR2739242B1 (fr) * 1995-09-25 1997-10-24 Gemplus Card Int Modem equipe d'un lecteur de carte a puce
US5991407A (en) 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US5944821A (en) 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
US6101254A (en) 1996-10-31 2000-08-08 Schlumberger Systemes Security method for making secure an authentication method that uses a secret key algorithm
US6192473B1 (en) 1996-12-24 2001-02-20 Pitney Bowes Inc. System and method for mutual authentication and secure communications between a postage security device and a meter server
US6144671A (en) 1997-03-04 2000-11-07 Nortel Networks Corporation Call redirection methods in a packet based communications network
US6005942A (en) * 1997-03-24 1999-12-21 Visa International Service Association System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US6101255A (en) * 1997-04-30 2000-08-08 Motorola, Inc. Programmable cryptographic processing system and method
US6385723B1 (en) 1997-05-15 2002-05-07 Mondex International Limited Key transformation unit for an IC card
DE19720431A1 (de) 1997-05-15 1998-11-19 Beta Research Ges Fuer Entwick Vorrichtung und Verfahren zur Personalisierung von Chipkarten
DE19724901A1 (de) 1997-06-12 1998-12-17 Siemens Nixdorf Inf Syst Mobilfunktelefon sowie solche mit gekoppeltem Rechner für Internet- bzw. Netzanwendungen und Verfahren zum Betreiben einer solchen Gerätekombination
US6422459B1 (en) 1997-10-15 2002-07-23 Citicorp Development Center, Inc. Method and system for off-line loading of stored value cards using a batch-load terminal
US6105008A (en) 1997-10-16 2000-08-15 Visa International Service Association Internet loading system using smart card
US6711166B1 (en) 1997-12-10 2004-03-23 Radvision Ltd. System and method for packet network trunking
US6018779A (en) 1997-12-15 2000-01-25 Emc Corporation System for encapsulating a plurality of selected commands within a single command and transmitting the single command to a remote device over a communication link therewith
US6101225A (en) 1998-04-29 2000-08-08 Motorola, Inc. Method and apparatus for performing a modulation
US6108789A (en) 1998-05-05 2000-08-22 Liberate Technologies Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority
FR2779018B1 (fr) 1998-05-22 2000-08-18 Activcard Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees
US6385729B1 (en) 1998-05-26 2002-05-07 Sun Microsystems, Inc. Secure token device access to services provided by an internet service provider (ISP)
US6131811A (en) 1998-05-29 2000-10-17 E-Micro Corporation Wallet consolidator
FR2782435B1 (fr) 1998-08-13 2000-09-15 Bull Cp8 Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre
US20010039587A1 (en) * 1998-10-23 2001-11-08 Stephen Uhler Method and apparatus for accessing devices on a network
EP1125262A1 (de) 1998-10-27 2001-08-22 Visa International Service Association Delegierte verwaltung von chipkartenanwendungen
US6602469B1 (en) 1998-11-09 2003-08-05 Lifestream Technologies, Inc. Health monitoring and diagnostic device and network-based health assessment and medical records maintenance system
US6195700B1 (en) * 1998-11-20 2001-02-27 International Business Machines Corporation Application protocol data unit management facility
TW449991B (en) 1999-01-12 2001-08-11 Ibm Method and system for securely handling information between two information processing devices
FR2791159B1 (fr) 1999-03-15 2001-05-04 Bull Cp8 Procede d'acces a un objet a l'aide d'un navigateur de type "web" cooperant avec une carte a puce et architecture pour la mise en oeuvre du procede
CA2753375C (en) 1999-08-31 2015-09-22 American Express Travel Related Services Company, Inc. Methods and apparatus for conducting electronic transactions
AU3844900A (en) 1999-09-22 2001-04-24 Ba Cards And Security B.V. (Bacs) Method and system for performing a transaction between a client and a server over a network
AUPQ549200A0 (en) 2000-02-08 2000-03-02 Keycorp Limited A method of operating a remote terminal
US20020025046A1 (en) 2000-05-12 2002-02-28 Hung-Yu Lin Controlled proxy secure end to end communication
US6807561B2 (en) * 2000-12-21 2004-10-19 Gemplus Generic communication filters for distributed applications

Also Published As

Publication number Publication date
EP1442574A2 (de) 2004-08-04
DE60222455D1 (de) 2007-10-25
WO2003039092A3 (en) 2003-09-18
US7162631B2 (en) 2007-01-09
ATE373377T1 (de) 2007-09-15
AU2002351778A1 (en) 2003-05-12
WO2003039092A2 (en) 2003-05-08
US20030088691A1 (en) 2003-05-08
EP1442574B1 (de) 2007-09-12

Similar Documents

Publication Publication Date Title
DE60222455T2 (de) Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät
DE60220665T3 (de) Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem
EP1566069B1 (de) Testsystem zur prüfung von übertragungsvorgängen innerhalb eines mobilfunknetzes sowie verfahren zur authentisierung eines mobiltelefons unter verwendung eines derartigen testsystems
US7448071B2 (en) Dynamic downloading of keyboard keycode data to a networked client
DE60221113T3 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
DE112005003217B4 (de) Routing von Mitteilungen
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
CN103812829B (zh) 一种提高远程桌面安全性的方法、远程桌面服务器及系统
US20230080588A1 (en) Mqtt protocol simulation method and simulation device
CN101741846B (zh) 文件下载的方法、装置及系统
CN109756501A (zh) 一种基于http协议的高隐匿网络代理方法及系统
CN105491169A (zh) 一种数据代理方法与系统
DE10142959A1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
CN110166450A (zh) 基于工业以太网的数据传输方法、装置以及通信设备
WO2005024543A2 (de) Verfahren und vorrichtung für den aufbau von verbindungen zwischen kommunikationsendgeräten und drahtlose übertragungsstrecken aufweisenden kommunikationsnetzen
CN108512889B (zh) 一种基于http的应用响应推送方法及代理服务器
JP2021511737A (ja) トラステッドサービスマネージメントのための方法および装置
US7039952B2 (en) Using patterns to perform personal identification data substitution
DE10024347A1 (de) Sicherheitsservice-Schicht
US7003797B2 (en) Secure personal identification number entry in a distributed network
CN108279855A (zh) 一种读写存储设备的方法
EP2815558B1 (de) Übertragen von datenströmen zwischen einem endgerät und einem sicherheitsmodul
EP2595420A1 (de) Verfahren zum Senden einer Nachricht an ein sicheres Element
CN115280725A (zh) 一种数据帧安全传输方法、装置、电子设备及存储介质
CN114615082A (zh) 一种使用正反向网闸模拟tcp双工安全通讯系统和方法

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1442574

Country of ref document: EP

Representative=s name: HAUCK PATENT- UND RECHTSANWAELTE, DE