KR20020005670A - 서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터플로우 전송 방법 - Google Patents

서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터플로우 전송 방법 Download PDF

Info

Publication number
KR20020005670A
KR20020005670A KR1020017012939A KR20017012939A KR20020005670A KR 20020005670 A KR20020005670 A KR 20020005670A KR 1020017012939 A KR1020017012939 A KR 1020017012939A KR 20017012939 A KR20017012939 A KR 20017012939A KR 20020005670 A KR20020005670 A KR 20020005670A
Authority
KR
South Korea
Prior art keywords
data
intelligent
agents
filter
server
Prior art date
Application number
KR1020017012939A
Other languages
English (en)
Other versions
KR100859782B1 (ko
Inventor
위리엉빠스깔
Original Assignee
미쉘 꼴롱브
뷜 쎄뻬8
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미쉘 꼴롱브, 뷜 쎄뻬8 filed Critical 미쉘 꼴롱브
Publication of KR20020005670A publication Critical patent/KR20020005670A/ko
Application granted granted Critical
Publication of KR100859782B1 publication Critical patent/KR100859782B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/12Protocol engines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 떨어져있는 서버(4)와 스마트 카드 단말기(1) 간의 인터넷 형 네트워크(RI) 위에서의 고용량 데이터 흐름 전송 단계에 관한 것이다. 단말기와 카드는 각각 전용의 전송 프로토콜 층(13, 23a)를 가진다. 이 후자들은 두개의 인텔리전트 에이전트들을 포함하는 데(T2, T1, S2, S1), 하나는 서버, 다른 하나는 클라이언트이다. 인텔리전트 에이전트들(T2, T1, S2, S1)은 쌍방향의 데이터 교환 세션들을 구축할 수 있게 해준다. 그때, 카드는 클라이언트/서버 "WEB"의 기능을 보여준다. 필터(28)은 카드 안에 직접 주입된 "프록시" 형(2)의 기능을 형성하도록 인텔리전트 에이전트들(T2, T1, S2, S1)과 협조한다. 데이터의 흐름은 카드를 경유하는 임계 데이터들, 필터(28)의 제어 하에, 단말기(1)를 직접 경유하는 소위 불투명한 데이터들을 포함한다.
특히, 멀티미디어 데이터 흐름에 응용한다.

Description

서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크 상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터 플로우 전송 방법{METHOD FOR HIGH RATE DATA FLOW TRANSMISSION ON AN INTERNET-TYPE NETWORK BETWEEN A SERVER AND A SMART CARD TERMINAL, IN PARTICULAR A MULTIMEDIA DATA FLOW}
본 발명은 특히 보안이 되는 멀티미디어 데이터 흐름에 적용된다.
본 발명의 범주 내에서, "고용량"이라는 용어는 용량이 일반적으로 초당 100킬로비트 이상인 데이터 흐름를 말한다. 예를 들어, "MP3"에서 기호화된 데이터들의 오디오 파일은, 이 파일이 실시간에 확산될 수 있도록 숫자 경로로 전송될 때, 약 100 킬로비트/초, 1분 녹음당 1MO의 메모리 공간을 필요로 한다. 또한 실시간에 광고될 수 있도록 하기 위해 약 2 메가비트/초의 전송 속도를 필요로 하는 비디오 데이터 흐름을 예로 들 수 있다. 이것은 또한, 영상, 비디오 및 소리들을 동시에 운반할 수 있는 멀티미디어 데이터 흐름의 경우이다.
역시, 본 발명의 범주 안에서, "스마트 카드 단말기"라는 용어는 일반적인 의미에 포함된다. 이것은 특히 WINDOWS 또는 UNIX(이 둘은 모두 등록된 상표들이다) 같은, 다양한 운영 체계들을 기능시키는 개인용 컴퓨터에 의해 설정될 수 있다. 또한 이는 작업국이나 이동식 컴퓨터에 의해 설정될 수도 있다.
마찬가지로, 본 발명의 범주 내에서, "인터넷 네트워크"이라는 용어는, 정확히 말해 인터넷 네트워크 외에, 소위 "인트라넷" 형태의 회사 전용 또는 그와 유사한 네트워크들이며, 소위 "엑스트라넷" 형태의, 그것들을 바깥쪽으로 연장시키는 네트워크이며, 일반적으로, 데이터 교환이 인터넷 형태의 프로토콜에 따라 행해지는 모든 네트워크를 포함한다.
상반된 언급 없이, 생각을 정리하자면, 본 발명의 유리한 응용, 즉, 보안이 된 멀티미디어 데이터 흐름의 전송에 관해 말하고자 한다.
"보안이 됨"으로써, 기밀을 보장하도록, 전체적 혹은 부분적으로, 문제의 데이터들이 암호로 적힌다는 사실, 또는 적어도, 거기에 자유로이 접근할 수 없다는 사실을 알게된다. 후자의 경우는, 유료화된 데이터들이 해당될 수 있다. 어떤 경우든지, 바라는 데이터를 얻기 위해서는(예를 들면 멀티미디어 파일) 거래를 할 수 있는 식별 자료들 (통과 신호, 식별자 또는 "로그인", 신용 카드 번호, 등)을 공급할 필요가 있다. 이러한 데이터들은 소위 "민감"하다고 일컬어지며 인터넷 네트워크 위에서 "암호를 쓰지 않고서는 전송될 수 없다. 그러므로, 그것들은 보안이 되어야 한다: 암호로 적기 혹은 안전한 프로토콜 이용, 예를 들면, "SSL" 형태이다. ("안전한 소켓 층; Secure Socket Layer").
인터넷 네트워크의 매우 빠른 발전으로, 일차적으로는, 다양한 서버 체계 또는 클라이언트들 쪽으로, 숫자 파일의 모든 종류들을 이 네트워크으로 전송할 수있다고 느끼게 된다. 전송 경로, 또는 이 두 체계들 연결시키는 이 전송 경로의 일부를 통과하는 대역(bande)이 미약할 때, (예를 들면, 표준 V90을 사용할 때, 약 56 킬로비트/초로 제한되는, 소위 공동 형태의 전화선들 같은 경우이다), 방대한 파일들은 이 전송 선들에 의해 분명하게 전송될 수 있으나, 실시간이 아닌, 완전한 원격 충전 후에만 대량으로 이용될 수 있다. 빠른 통신 경로들("RNIS", 앵글로-색슨계 용어로 "ISDN" 서비스를 통합한 숫자 네트워크, 케이블 또는 위성국에 의한 연결)은 인터넷 네트워크에 연결된 단말기로, 오디오 파일, 또 멀티미디어들을 실시간 확산시키는 것을 생각해 볼 수 있다. 최근 "ADSL"이라는 약자로 알려진 전송 기술을 사용하면, 종래의 전화선 조차도 약 1 메가비트/초의 속도로 숫자 데이터들을 전송할 수 있다.
그런데, 역사적으로, 모두 인터넷 네트워크에 연결된, 떨어져있는 서버와 단말기 간의 전송 경로에는 "장애물"이 형성되어져 왔다. 채널, 서버 및 단말기의 두 끝에서 정보 체계들은 전송 및 처리, 그리고 빠른 경로 사용으로 이렇게 "처음부터 끝까지" 처리하는 형태가 가능해질 수 있게 되었다.
감지하게 되는 또 다른 필요성은 단말기들과 결합한 스마트 카드들의 이용이다.
사실, 스마트 카드를 기초로 한 이용 체계에서는 귀속된 다양한 기능들, 특히, 보안 기능을 볼 수 있다. 사용자가 보관할 수 있는 스마트 카드 안에 보안과 관련된 (통과 신호, 접근 권리, 등) 데이터들을 저장하는 것이 유리하다. 또한, 암호화될 수 있는 형태로, 데이터는 정해진 메모리 안에 기록될 수 있으며, 쉽게 변경되지도 않고, 직접 외부에서 읽을 수도 없다.
유료 거래의 범주 내에서, 유사한 기능들이 사용될 수 있다. 상기했던 바와 같이, 통과 신호 혹은 식별자, 민감한 여러 데이터들 (은행 카드 번호, 등), 그리고 이용자의 권리를 정의하는 데이터들을 전송하는 것도 필요하다 (현재 가입된 것들, 접근 가능한 서비스, 등).
그러나, 기존의 기술에서, "보안 기능"은 스마트 카드 내부에서 직접 실현될 수 없다는 것에 주목해야 한다. 왜냐하면, 받아들였거나 전송된 데이터 흐름들이 그것을 통과하지 않기 때문이다. 그러므로, 보안과 관련된 제어들이 행해질 수 있도록 단말기와 스마트 카드 간의 대화를 설정해야 한다. 이 작동 모드는 보안의 수준을 떨어뜨리며, 또 단말기 안에, 불리한 조건으로, "트롤의 기마병"이 끼어드는 것을 허용한다. 그러므로, 보안 요건은 원초적으로, 즉, 스마트 카드 자체 안에서 행해질 필요가 있다. 그렇게 하려면, 다량의 데이터가, 단말기로 전송되기 전에, 스마트 카드에 의해 우회되어야 할 것이다.
그것에 귀속된 "보안" 기능 외에, 스마트 카드가 단말기 안에서 전개되는 어떤 작동들을 직접 제어할 수 있으며, 예를 들면, 단말기에 의해 받아들여지거나 전송된 데이터들에 관한 미리 정해진 특징들을 변경시킬 수 있다는 것도 흥미로울 것이다.
기존의 기술에서, 이 작동 모드들은 실제로 자유롭게 사용할 수 있는 기술들, 그리고 이후에 제시되는, 스마트 카드를 기초로 하는 응용 기준들과 호환될 수 없다.
우선, 그림 1A와 1B를 참조하여, 스마트 카드를 기초로 하는 응용 체계의 일반적인 구조를 간략하게 생각해보자.
스마트 카드를 기본으로 하는 응용 체계는 일반적으로 다음의 주요 요소들로 이루어져 있다:
- 스마트 카드;
- 전술한 단말기를 구성하는 주요 시스템
- 통신네트워크, 즉, 선호하는 응용 내의 인터넷 네트워크
- 그리고 인터넷 네트워크에 연결된 응용 서버
그림 1A는 이 형태의 구조를 도식적으로 보여준다. 단말기 1, 예를 들어 개인용 컴퓨터에는 스마트 카드 2에 대한 하나의 판독기 3이 있다. 이 판독기 3은 단말기 1 안에 물리적으로 통합될 수도, 혹은 통합되지 않을 수도 있다. 스마트 카드 2에는 전기 에너지 공급과 단말기 1과의 통신을 허용하도록 입구-출구 연결이 그 지지 표면에서 수평이 되는 통합회로 20이 포함되어 있다. 후자에는 인터넷 네트워크 RI에의 접근 회로 11들이 포함되어 있다. 이 회로들은, 통신되는 전화선에, 또는, 본 발명의 경우에 따르면, 우선적으로, 고용량의 통신 경로로 연결될 수 있도록 하나의 모뎀으로 구성될 수 있다. : 서비스 통합 숫자 네트워크("RNIS"), 케이블 또는 위성국에 의한 연결.
회로 11은 직접 또는 인터넷 서비스 공급자를 통하여 인터넷 네트워크 RI에 연결될 수 있다. 또한, "프록시"나 "소위 "방화벽"("소화기" 또는 "건널목지기"라고도 불린다) 분리 시스템 같은 중개 시스템을 사용할 수도 있다.
단말기 1에는 자연적으로 모든 회로들과 그 우수한 기능에 필요하며, 도면을 단순화하기 위해 나타내지 않은 기관들이 포함되어있다: 중앙 장치, 생생하며 일정한 메모리, 자기 원반 질량 메모리, 원반 및 씨디롬 판독기, 등이다.
대개, 단말기 1은 통합되었거나 그렇지 않은, 재래식 주변장치들과 연결되어 있다. 즉, 영상막 5a와 음향 복제 장치 5b(본 발명의 범주 내에서, 멀티미디어 파일 확산을 허용하는 것), 건반 6a와 마우스 6b, 등이다.
단말기 1은 서버들 또는 RI네트워크과 연결된 모든 정보 체계들과 통신할 수 있다. 그중 단 하나, 4는 그림 1A에 나타나있다. 접근 회로들 11은 "WEB" 또는 앵글로 색슨계 용어로 "브라우저" 항해자(navigator)라고 불리는, 특정 소프트웨어 10을 이용하여 단말기 1을 통신하게 한다. 이 소프트웨어는 여러 응용들 또는 일반적으로 "클라이언트-서버" 방식에 따라, RI 네트워크 전체로 분배되는 데이터 파일들에, 특히 멀티미디어 파일들에 접근할 수 있게 한다.
일반적으로, 네트워크으로의 통신은 포개어진 몇몇 소프트웨어 층들을 포함하는 표준에 부합하는 프로토콜들에 따라 행해진다. 인터넷 타입의 네트워크 RI의 경우, 통신은 이런 통신 형태 전용의 프로토콜들에 따라 행해지는 데, 이는 이후에 상세하게 설명될 것이며, 마찬가지로 몇몇 소프트웨어 층들을 포함한다. 통신 프로토콜은 보다 특별한 목적의 응용 기능에 따라 선택된다: "WEB" 페이지들에 대한 질문, 파일들의 이동, 전자 우편 (이멜, 또는 앵글로-색슨계 용어로는 "이-메일"), 또는 "뉴스", 등이다.
하나의 단말기, 하나의 스마트 카드 판독기, 그리고 스마트 카드를 포함하는시스템의 논리 구조는 그림 1B에 도식적으로 나타나있다. 이는 몇몇 부분들을 포함하는, 기준 ISO 7816으로 설명된다:
- ISO 7816-1 그리고 7816-2는 규격과 카드의 표시에 관한 것이다;
- ISO 7816-3은 단말기와 스마트 카드 사이의 데이터 전송에 관한 것이다;
- ISO 7816-4는 명령 동작 구조 및 조정 형식에 관한 것이다.
단말기 1 옆쪽의 그림 1B에는, ISO 7816-3 기준, 참조 101, 그리고 "APDU" 명령 관리자(ISO 7816-4 기준), 참조 102에 해당하는 층들만을 나타냈다. 스마트 카드 2 측면의, ISO 7816-3 기준에 해당하는 층들은 참조 201들이며, "ADPU" 명령 관리자 (ISO 7816-4)는 참조 210이다. 응용들은 참조 A1, ..., Aj, ... , An이며, n은 스마트 카드 2 위에 나타나는 최대 수이다.
"cardlet(카들릿)" 응용 (등록된 상표), Aj는 스마트 카드 2에 나타나며(그림 1A), 명령 동작 수단을 이용하여 단말기 1과 대화한다. 이러한 동작은 일반적으로 쓰기 명령들과 읽기 명령들을 타나낸다. 명령들의 형식은 "APDU"라는 앵글로-색슨계 약자로 알려져 있다 (Application Protocol Data Unit; 응용 프로토콜 데이터 장치). 이것은 전술한 기준 ISO 7816-4로 정의된다. 조종 "APDU"는 "APDU.command"로 적혀져 있으며, 응답 "APDU"는 "APDU.response"로 적혀있다. "APDU"는 전술한 기준 ISO 7816-3으로 명시된 프로토콜을 이용하여 카드 판독기와 스마트 카드 간에 교환된다. (예를 들면, T=0 특징 모드; 또는 T=1 블록 모드로).
그림 1B에서 보는 것처럼, 스마트 카드 2가 서로 다른 몇몇 응용들을 포함할 때는, 다중-응용 카드에 대해 말하는 것이다. 그러나, 단말기 1은 한번에 단 하나의 응용하고만 대화한다. 예를 들어, Aj응용은, "JAVA" 언어로된, "애플릿"(등록된 상표)이라는, 소프트웨어 형태로 나타난다. 이는 이후에 "cardlet(카들릿)" 이라고 불리게 된다. 특정 "카들릿" Aj의 선택은 선택 형태("SELECT")인 "APDU"를 이용하게 된다. 일단, 이렇게 하여 선택이 이루어지면, 뒤이어 나오는 "APDU"는 이 "카들릿" 쪽으로 향하게 된다. 새로운 "APDU SELECT"는 진행중인 응용을 버리고 다른 것을 선택해야 한다. "APDU" 210의 관리 소프트웨어 부분은 스마트 카드 2 안에서 특정 응용 Aj를 선택할 수 있게 하며, 이렇게 선택된 응용을 기억할 수 있게 하고, 이 응용 쪽으로, 그리고 이 응용으로부터 "APDU"들을 전송하고 받아들일 수 있게 한다.
설명한 것을 요약하자면, Aj 응용의 선택, 그리고 그것과의 대화는 "APDU"명령의 교환으로써 행해진다. Aj 응용은 종래의 응용이며, 이후에 "GCA"라고 불리게된다 ("Generic Card Application; 전용 카드 응용").
이러한 조정이 행해질 때, 스마트 카드 2가, 상업용의 표준 네비게이터들과 직접 통신할 수는 없으며, 그러기 위해서는, 이 후자들의 코드를 변경시켜야 한다는 것을 기억해야 한다.
또한, 무엇보다도, 위에서 상기된 표준 및 기준에 부합된, 현재의 스마트 카드는 더 이상 인터넷 네트워크과 직접 통신할 수 없게 하는 구체적인 소프트웨어 구성을 가진다. 특히, 그것들은, 이런 네트워크 형태에 사용된 프로토콜들 중의 어느 하나에 따라, 데이터 꾸러미들을 받아들이고 전송할 수 없다. 그러므로, 단말기 1 안에, 일반적으로, 앵글로-색슨계 용어, "플러그-인"이라고 불리는 형태로 주입된, 추가의 소프트웨어 하나를 대비할 필요가 있다. 이 소프트웨어는, 그림 1A의 참조 12에 나타나는 것으로써, 네비게이터 10과 카드 2 사이, 더 정확히 말하면, 이 카드 2의 전자 회로들 사이에 인터페이스를 실행한다.
또한, 기술의 빠른 발전과 예측가능한 미래의 변화를 고려할 때, 스마트 카드의 생생한 또는 고정된 메모리 회로들 안의 정보 기록 용량은, 이 스마트 카드의 "호스트" 단말기로 제공된 것, 그리고 "미니-컴퓨터"들의 더 중요한 시스템들이나 "소위 "메인 후레임"이라고 불리는 형태의 큰 시스템들로 제공된 것과 용량을 비교해 볼 때, 매우 제한되어 있으며 또 앞으로도 그럴 것이다. 또한, 방대한 데이터 파일, 특히 멀티미디어 타입의 파일들을 스마트 카드 안에 저장하는 것은 불가능하다. 그러므로, 인터넷 네트워크과 스마트 카드를 통신하게 하는 것이 가능하다는 것을 인정하면서, 말하자면, 일시적으로라도 기억해둠이 없이, 거기에 데이터들을 통과시키고 (위에서 상기된 것처럼, 기존의 기술은 허용하지 않는다), "재빨리" 필요한 모든 처리들을 행할 필요가 있을 것이다. 스마트 카드에 나타나는 논리 회로들, 특히 마이크로프로세서의 계산 능력은, 기존의, 또는 단기간에 예측할 수 있는 기술 상태는, 그런 작동 모드를 허용하지 않는다.
결국, 전술한 기준들은 직렬 형태로, 판독기를 경유하여, 스마트 카드와 단말 사이의 통신을 형성한다. 기존 기술로 허용되는 용량은 매우 약하며, 약 1 내지 10 킬로비트/초이고, 이는, 본 발명 응용의 범주 내에서 고려되는 용량(최소, 100킬로비트/초)과 일치되지 않는 것이다.
본 발명은 서버와 스마트 카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 흐름 전송 방법에 관한 것이다.
이제 본 발명은 다음의 첨부된 도면들을 참조하면서 더 상세하게 설명될 것이다:
- 도 1A와 1B는, 기존의 기술에 따라 스마트 카드를 기초로 하는 응용 시스템을 예로 들어, 각각 외형적이고도 논리적인 구조들을 도식적으로 나타낸다.
- 도 2는 본 발명에 따라 스마트 카드를 기초로 하는 응용 시스템의 예이며, 이 후자는 "WEB" 서버로써 작용한다.
- 도 3은, 본 발명의 양상에 따른, 상기 인텔리전트 에이전트들의 소프트웨어 엔티티들 간 세션 상태에 대한 도면이다;
- 도 4는 스마트 카드가 인텔리전트 에이전트들을 포함하는 본 발명에 따라 시스템의 논리 구조를 단순하게 나타낸다;
- 도 5는 기존의 기술에 따른 "프록시"를 도식적으로 나타낸다.
- 도 6은, 소위 "프록시" 필터가 스마트 카드 위에서 실행되는, 그림 4의 것에 해당하는 본 발명 시스템의 논리적인 구조를 단순하게 나타낸 것이다;
- 도 7은 그림 6과 같은 형태로써, 본 발명에 부합되는 구조 안에서 비대칭 필터 실행(소위 "방향지정")의 첫번째 예를 보여주는 도면이다;
- 도 8은 그림 6과 같은 형태로써, 본 발명에 해당하는 구조 안에서 비대칭 필터 실행 (소위 "SSL")의 두번째 예를 보여주는 도면이다.
본 발명은 기존 기술을 이용한 단계 및 장치들의 불편함을 덜기 위한 것이다. 이 불편함 중의 몇가지는 이미 언급되었으며, 모두 최대한 보안을 유지하면서, 다량의 고용량 데이터들을 조절하기 위한 필요성에 부응하는 것이다.
본 발명의 첫번째 특징에 따르면, 스마트 카드는, 그것에 결합된 단말기 용의 "WEB" 형태의 서버/클라이언트으로 작용한다.
이를 위해서는, 스마트 카드 내에서 전용 통신 소프트웨어 층 그리고 단말기 안에서 그 짝을 이루는 것으로 예측할 수 있다. "전용"이라는 용어는 본 발명의 단계에서 전용이라는 것으로 이해되어야 한다.
사실, 이러한, 소위 전용의 통신 층들은 어떠한 응용이 고려되든 간에 평범하게 만들어진다. 이들은, 한편으로는 스마트 카드와 단말기 간, 다른 한편으로는 스마트 카드와 네트워크 사이의 양방향 교환 과정에만 개입한다.
전용 통신의 소프트웨어 층들은 소위, "인텔리전트 에이전트들"인, 소프트웨어 구성요소들을 포함하며, 이는 특히, 프로토콜들의 변환을 허용한다. 인텔리전트 에이전트들은 이후에는, 좀더 간단하게 "에이전트들"이라고 부를 것이다. 단말기와 스마트 카드에 결합된 각각의 전용 통신 층들 안에는 짝을 이룬 에이전트들이 존재한다. 본 발명의 단계에서, 짝을 이룬 에이전트들 사이에 세션들이 설정된다.
이 장치들은 특히 스마트 카드에 의해 인터넷 네트워크으로부터 또는 그쪽으로 데이터 흐름 전체 또는 일부를 유도하도록 허용하며, 이는 모두, 판독기를 경유한, 스마트 카드와 단말기 사이의 통신에 대해 전술한 ISO 기준을 준수한다.
본 발명의 또 다른 특징에 따라, 뒤에서 "필터"라고 불리게 될, 특정한 응용을 스마트 카드 안에 주입한다. 이는 "프록시"의 역할과 비슷한 역할을 하는 소프트웨어 엔티티에 관한 것이다. 이를 위해, 에이전트들을 이용함과 동시에 전술한 장치들을 이용한다. 이 "프록시"는 스마트 카드 속에서 직접 보안과 관련된 데이터 처리를 행할 수 있게 한다.
본 발명의 또 다른 특징에 따라, 불균형 통신 프로토콜을 도입한다. 이 특징에 따르면, 발송 또는 수신 데이터 흐름은 두가지 구성요소로 나뉘어진다: 첫번째는 저용량의 유출, 적은 양의 데이터이며, 이는 이후에 "임계 데이터 유출"이라고 불리게 될 것이고, 스마트 카드를 직접 통과한다. 그리고 고용량, 방대한 양의 데이터는, 이후 "부전도성 데이터 유출"이라고 불리게 되며, 단말을 통과한다.
본 발명 중 선호되는 응용들에서, 임계 데이터 유출은, 거기에서 기밀스럽게 처리될 수 있도록, 스마트 카드의 전술한 "프록시"에 보내지는 보안 데이터들로 구성된다. 부전도성 데이터들은 이른바 멀티미디어 데이터로 구성된다. 이 데이터는 단말기 안에 있는 에이전트들로 처리된다. 그러나, 부전도성 데이터를 받아들이고 그것들을 처리하도록 허용하는 것은 스마트 카드 안에 있는 보안 데이터로부터 초기 전수받은 인증 절차의 결과에 따라 달라진다. 전술한 필터가 있기 때문에, 단말기에 의한 데이터 수신은 스마트 카드의 직접적인 제어 하에 있다.
단말기를 통과하는 부전도성 데이터들은 스마트 카드 명령과 제어 하에서, 즉, 그것이 받아들인 임계 데이터들을 실제 활용하는 이 단말기 속에서 특별하게 처리될 수 있다.
이를 위해, 스마트 카드와 단말기 안에, 또는 이 장치들 중 오직 하나에만있는, 보충적인 특별 요소들을 대비한다. 이는 이후에 《프로토콜》이라고 불리게 된다.
그러므로, 본 발명의 주요 대상은, 떨어져 있는 적어도 하나의 서버와 스마트 카드 판독기를 구비한 하나의 단말기 사이에, 인터넷 형태의 네트워크를 경유하여, 데이터 흐름을 전송하는 단계이며, 상기 단말기는 소위 "클라이언트 TCP/IP" 형태의 응용을 적어도 하나 포함하고, 상기 단말기와 상기 서버는 둘다 상기 인터넷 형태의 네트워크에 연결되어 있고, 적어도 다음 과정들을 포함하는 것으로 특징지어진다:
a/ 첫번째 과정은, 상기 스마트 카드 안에, 전용 통신 프로토콜 층을 형성하면서, 첫번째 소프트웨어 하나를 주입시키는 것이다. ;
b/ 두번째 과정은, 전용 통신 프로토콜 층을 형성하면서, 그리고 적어도 상기 "클라이언트 TCP/IP" 형 응용과 인터페이스를 형성하면서, 두번째 소프트웨어 하나를 상기 단말기 안에 주입시키는 것이다. ;
- 상기 첫번째와 두번째 소프트웨어들은 각각 적어도 하나의, 소위 클라이언트 형인, 자율적 첫번째 소프트웨어 엔티티와, 소위 서버 형의, 두번째 자율 소프트웨어 엔티티를 포함하며, 상기 엔티티들은 상기 단말기와 상기 스마트 카드 간에 쌍방향 데이터 교환 세션들을 설정할 수 있도록, 그리고 상기 스마트 카드가 "WEB" 형의 클라이언트/서버 기능을 제공하는 방식으로, 그리고 상기 단말기와 상기의 떨어져 있는 서버들 간에 상기 인터넷 형태의 네트워크를 경유하여, 쌍방향 데이터들을 교환하는 세션을 설정하는 것을 허용하도록 협조하며, 상기 자율 소프트웨어 엔티티들은 미리 결정된 프로토콜 데이터들의 단위를 이용하여 통신한다;
- 그것은, 상기 스마트 카드 안에서, 상기 두번째 전용 소프트웨어 안에 포함되고, 각각 클라이언트 및 서버 형태인, 상기 첫번째와 두번째 자율 소프트웨어 엔티티들 쪽으로 그리고 그것들로부터 프로토콜 데이터 단위들을 받고 또 발송하는, 결정된 기능적 특징을 지닌 응용 소프트웨어, 소위 《필터》의 실행 과정을 포함하며, 상기 응용 소프트웨어의 실행은 서버 형태의 상기 자율 소프트웨어 엔티티 제어 하에 있다;
- 그리고, 상기 필터는 상기 첫번째 전용 소프트웨어의 상기 자율 소프트웨어 엔티티들과 세션을 열도록, 상기 단말기와 상기 떨어져있는 서버 간에 전송되는 상기 데이터 흐름의 미리 정해진 특징들을 변경시키도록 상기 두번째 전용 소프트웨어의 상기 자율 소프트웨어 엔티티들과 협조한다.
이제부터는, 상반된 언급을 제외하고, 범위 제한없이, 본 발명의 우선적인 범주 안, 즉, WEB 서버들도 연결된 인터넷 네트워크인, 인터넷 네트워크에 연결된 단말기와 협조하는 스마트 카드 위로 주입된 프록시로 보안되는 멀티미디어 흐름을 예로 들어 말하게 될 것이다.
본 발명에 따라 스마트 카드 내에 있는 응용 활성화 과정을 묘사하기에 앞서, 그림 2를 참조하여, 사용할 구조를 상세 설명하기 전에, 우선 네트워크들에 관한 통신 프로토콜들의 주요 특징들을 간략하게 상기해보는 것이 좋다.
통신 네트워크 구조는 여러 층들로 설명된다. 예를 들어, "ISO"로 정의된, "OSI" 표준(개방 시스템 연결;Open System Interconnection)은, 중개 층들, 특히, 소위 "운반"층을 통과하면서, 소위 낮은 층들로부터(예를 들면, 물리적 전송의 지원에 관한 소위 "물리적"인 층) 소위 높은 층들로 가는 일곱개의 층들(예를 들면, 소위 "응용" 층)을 포함한다. 주어진 층은, 해당 인터페이스들을 거쳐, 그것의 바로 위에 있는 층에 서비스를 제공하며 그 바로 아래에 있는 층에 다른 서비스들을 요구한다. 층들은 기초적인 방식으로 통신한다. 그것들은 또한 같은 수준의 층들과 통신할 수 있다. 어떤 구조들에서는, 몇몇 층들이 존재할 수 없다.
인터넷 형의 환경에서, 층은 5개이며, 더 정확하게 말하자면, 위층으로부터 아래 층으로 간다: 소위 응용 층("http", "ftp", "e-mail", 등), 소위 운반 층 ("TCP"), 소위 네트워크의 어드레스 층("IP"), 소위 데이터 연결 층("PPP", "Slip", 등), 그리고 소위 물리적인 층이다.
단말기 1과 스마트 카드 2a안에 각각 주입된, 참조 13과 23a, 전용 통신 프로토콜의 소프트웨어 층들을 제외하고, 물질적이고도 논리적인, 다른 요소들은 기존의 기술과 공통되며, 상세하게 다시 설명할 필요는 없다.
단말기 1은 예를 들어 하나의 모뎀으로 구성된, 네트워크 RI에 접근하는 회로들 11을 포함한다. 이 회로들은 "물리적" 층과 "데이터 연결" 층에 해당하는, 아래의 소프트웨어 층들, C1과 C2를 다시 집결시킨다.
또한, 네트워크의 "어드레스" 층(인터넷의 경우, "IP")과 "운반"("TCP")층들에 해당하는, 위쪽 층들, C3과 C4도 나타냈다. 응용의 위쪽 층("http", "ftp", "e-mail", 등)은 나타내지 않았다.
아래쪽 층들, C1과 C2 그리고 위쪽 층들, C3와 C4 간의 인터페이스는 일반적으로 "아래쪽 드라이버 층"이라고 불리는 소프트웨어 층으로 구성된다. 위쪽 층,C3과 C4는 이 인터페이스에 기대며, 전용 기능들의 장서를 매개로 하여, 또는 그것들이 해당되는 네트워크 14 장서들을 매개로 하여 사용된다. 인터넷 네트워크의 경우, "TCP/IP"는 소위 "소켓"의 장서들을 통해 사용된다.
이 구조는, "WEB" 페이지들(프로토콜 "HTTP")을 조사하기 위해, 그리고 파일들을 이동(프로토콜 "FTP")시키기 위해, 또는 전자 우편 발송(프로토콜 "e-mail")을 위해, 네비게이터 10으로 하여금 서버 4 쪽으로 요구를 하도록 허용하며, 이는 완전히 재래식 방식이다.
단말기 1에는 또한, 통합되었거나 그렇지 않은, 카드 판독기 3이 포함되어 있다. 스마트 카드 2a와 통신하기 위해, 카드 3의 판독기는, 두개의 아래쪽 층들, CC1(물리적 층)과 CC2(데이터 연결층)도 포함시키며, C1과 C2 층들에도 비슷한 역할을 한다. CC1과 CC2층들과의 소프트웨어 인터페이스들은, 예를 들면, "PC/SC"를 명확하게 규정하는 것으로 설명된다 ("파트 6, 서비스 공급자"). CC1과 CC2층들 자체는 특히, 상기되었던 바와 같이, ISO 7816-1부터 7816-4 기정들로 설명된다.
보충의 소프트웨어 층 16은 응용 층들(나타나지 않음)과 아래쪽 층들, CC1과 CC2 간에 인터페이스를 형성한다. 이 층 16에서 전개되는 주요 기능은 다중화/비다중화의 기능이다.
스마트 카드 2a와의 통신은 "UNIX"(등록된 상표) 형 운용 시스템 안에서 파일들을 조작할 때 사용되는 것과 유사한 활용 예에 따라 행해진다 : OUVRIR ("OPEN"), LIRE("READ"), ECRIRE ("WRITE"), FERMER ("CLOSE"), 등이다.
스마트 카드 2a의 쪽에서, 유사한 구조, 즉, 층 16과 매우 유사한, 인터페이스 층 26a 뿐 아니라, 두개의 아래쪽 층들 CCa1(물리적 층)과 CCa2(데이터 연결 층)의 존재를 발견하게 된다.
본 발명의 첫번째 특징에 따라, 여기저기에서, 즉 단말기 1과 스마트 카드 2a에서, 두개의 전용 프로토콜 층들을 예상하게 된다: 각각 13과 23a이다.
단말기 1에서, 전용 층 13은 "아래쪽의 드라이버 층들"15에, 네트워크 층들의 장서 14, C3과 C4에, 그리고 카드 판독기 3의 프로토콜 층들, 말하자면 아래쪽 층들, CC1과 CC2에, 다중화 층 16을 경유하여 연결된다. 전용 층 13은 스마트 카드 2a로부터 그리고 그쪽으로 네트워크 꾸러미들을 이동시킬 수 있게 한다. 또한, 이것은, 스마트 카드 2a를 통해 사용할 수 있도록, 인터넷 네비게이터 10, 전자 우편, 등과 같은 기존의 응용들을 적응시킨다.
스마트 카드 2a의 면에서, 층 13으로부터 걸려있는, 전용 층, 참조 23a의 보충 예로 구성되는 완전히 유사한 구조를 발견하게 된다.
더 정확히 말해, 전용 층들, 13과 23a는 세개의 주요 소프트웨어 요소들로 세분된다:
- 종래의 층들 CC1, CC2, CCa1 그리고 CCa2를 경유하여, 층 13과 23a 사이에 있는 정보 블록 이동 모듈, 130 또는 230a;
- 예를 들면, 프로토콜 전환 기능들을 실행하는, 소위 "인텔리전트 에이전트들" 132 또는 232a의 하나 또는, 몇몇 소프트웨어;
- 그리고, 각각 131과 231a인, 전용 구성 관리 모듈, 특정한 인텔리전트 에이전트에 동화될 수 있는 모듈.
보다 단순하게 하기 위해, 앞서 인텔리전트되었던 것처럼, 인텔리전트 에이전트들은 이후 "에이전트들"이라고 일컬을 것이다.
그러므로, 단말기 1과 스마트 카드 2a에서, 두개의 엔티티들 간 통신 프로토콜 전지를 발견하게 된다
두개 수준의 층들(데이터 연결 층들), CC2와 CCa2는 스마트 카드 2a와 단말기 1 간의 교환을 확실하게 해준다. 이 층들은 전송 오류들을 탐지하고 경우에 따라 바로잡는 일을 한다. 다양한 프로토콜들이 사용될 수 있으며, 예를 들면 다음과 같다;
- 추천 ETSI GSM 11.11;
- ISO 7816-3 규정, T=0 특성의 모드로 정의되는 프로토콜;
- ISO 7816-3, T=1 블록 모드로 정의되는 프로토콜;
- 또는, ISO 3309 규정, "HDLC" 궤도 모드로 정의되는 프로토콜 ("높은 수준의 데이터 링크 제어 절차" 또는 높은 수준의 연결 명령 절차).
본 발명의 범주 내에서, ISO 7816-3, 블록 모드의 프로토콜을 우선적으로 사용하게될 것이다.
본래 알려진 대로, 프로토콜의 각 층에, 같은 높이의 층들 간에, 그리고 하나의 층으로부터 다른 층으로 데이터 교환을 허용하는 상당 수의 원시적 요소들이 결합된다. 예를 들어, 두개 수준의 층에 연결된 원시적 요소들은, "데이터 확인"(Data.confirm") 뿐 아니라, "데이터 요구"("Date.request") 타입이며, 카드에 의한 "데이터 발송"("Data.response") 등의 타입이다.
더 정확하게 말하자면, 13과 23a 층들은 스마트 카드 2a와 호스트, 즉, 단말기 1 간의 대화를 담당한다. 이 층들은, 예를 들면 "HTML" 포맷에서 하이퍼텍스트 형태로 전개되는 메뉴들을 경유하여, 단말기의 사용자(나타나지 않음)와 스마트 카드 2a 간 정보 교환을 허용한다. 이들은 또한 데이터 꾸러미 수신 및 발송에 적용되는 구성도 자리잡게 한다.
첫번째 층, 130 또는 230a는 본질적으로 멀티플렉서 소프트웨어로 구성된다. 그것은 프로토콜 데이터 단위들의 형태로, 스마트 카드 2a와 호스트 단말기 1 간의 정보 교환을 할 수 있게 한다. 이것은 데이터 꾸러미 스위치의 것과 비슷한 역할을 한다. 이 단위들은 두개 수준의 층을 경유하여 발송 또는 접수된다 (데이터 연결층). 이 특정 프로토콜은 적어도 한 쌍의 "에이전트들"을 통신하게 한다. 각 쌍의 첫번째 에이전트, 132는, 단말기 측, 층 13에 있으며, 두번째 232a는 스마트 카드 2a 쪽, 층 23a 안에 있다. 두 "에이전트들" 간의 연결은 하나의 세션에 결합되는 데, 이는 "S-Agent"라고 불리게 된다. 세션은 이 두 에이전트들 간 쌍방향의 데이터 교환이다. 층 13과 23a 중 하나가 몇몇 에이전트들을 포함한다면, 같은 한 층의 에이전트들도 역시 특정 에이전트들을 구성하는, 131과 231a 모듈과 함께, 또는 그들 사이에 세션들을 설정할 수 있다.
좀더 정확히 말하자면, 하나의 에이전트은, 단말기 1로 사용되는 구성에 따라, 세개 및 네개 수준 층들의 기능을 전부 또는 부분적으로 행할 수 있는 하나의 자율적인 소프트웨어 엔티티이다.
에이전트들은 고유의 특성 또는 속성으로 연결된다. 개념을 정리하고자, 제한없는 예를 들자면, 여섯가지의 다음 특성들이 에이전트들에 결합된다:
- "호스트" : 단말기 안에 있는 에이전트
- "카드" : 스마트 카드 안에 있는 에이전트
- "로컬(local;국소적)" : 네트워크과 통신하지 않는 에이전트
- "네트워크" : 네트워크과 통신하는 에이전트 (단말기 쪽)
- "클라이언트" : 세션의 준비동작을 하는 에이전트
- "서버" : 세션의 요구를 받아들이는 에이전트
특정 에이전트은, 참조 수, 예를 들면 전체 16비트(말하자면 0과 65535 사이)수로 확인된다. 큰 무게의 비트 (b15=1)는 참조가 국소적인지 (스마트 카드 또는 단말기에서 국소적인 통신) 또는 멀리 떨어져 있는 지(b15=0)를 가리킨다.
에이전트에는 두개의 큰 종류가 있다: 고정된 참조로 확인되는, "서버"형 에이전트과, 변이형 참조로 확인되는, "클라이언트"형 에이전트들이며, 구성 관리 모듈 131 또는 231a에 의해 전달되는, 짧은 하루살이로 일컬어진다.
에이전트들은, 그들 간에, 상기 엔티티들을 이용하여, "프로토콜의 데이터 단위" 또는 사용목적 참조 및 출처 참조를 포함하는 "pdu" (앵글로-색슨계 용어에 따르면, "프로토콜 데이터 단위")를 전달한다. 이 특정 "pdu"는 "SmartTP pdu"로 불리게 되며, 참조로, 현재 사용되는 영어 용어로는 "스마트 카드"(스마트 카드)이다. "pdu"는 특히 위에서 정의된 참조들을 사용한다.
"SmartTP pdu", 이는 이후에 "pdu"로 더 간단하게 불리게 되는 것으로써, 출처 참조, 목적 참조, "pdu"와 선택적 데이터들의 성격을 명확히 하는 깃발 또는"flags"을 구성하는 전체 비트를 포함한다.
- "OPEN" 깃발은 세션이 열려있음을 나타내기 위한 것이다;
- "CLOSE" 깃발은 세션이 닫혀있음을 나타내는 것이다; 그리고
- "BLOCK" 깃발은 에이전트가 그 상대방의 응답을 기다리고, 모든 활동을 보류하고 있다는 것을 나타낸다.
데이터를 포함하지 않는 "pdu"를 표(jeton)라고 부를 것이다.
"SmartTP" 엔티티는 목적 에이전트의 존재를 제어하며 이 후자 쪽으로 꾸러미 통신을 실행한다.
"S-Agent" 세션 에이전트에는 세개의 주목할만한 상태들이 있다. 즉:
- 차단된 상태: 어떠한 세션도 다른 에이전트와 통하지 않는다;
- 연결된 상태: 세션이 다른 에이전트와 개방되어 있고, "S-Agent" 세션은 참조 쌍으로 확인된다; 그리고
- 가로막혀진 상태: 에이전트가 연결되어있고, 그 상대방의 응답을 기다리고 있음.
"S-Agent" 세션의 설정 기계 장치는 다음과 같다:
- 클라이언트 에이전트의 새로운 예(instance)가 만들어지며(스마트 카드 또는 단말기 쪽), 이 에이전트는 가짜의-유일한 일시적인 참조로 정의된다.
- 클라이언트 에이전트는 "OPEN" 깃발과 함께 서버 에이전트의 목적지에 "pdu"를 발송하며 (한편으로 참조가 알려져 있다), 클라이언트 에이전트는 "BLOCK" 깃발의 값에 따라 연결되었거나 가로막힌 상태에서 통과한다.
- 서버 에이전트는 "OPEN" 깃발과 함께 "pdu"를 받아들이며, 연결된 상태를 통과한다.
일단, 세션이 개방되면, 두개의 에이전트들이 "pdu"를 경유하여 데이터들을 교환한다.
세션 닫힘 기계장치는 다음과 같다:
- 에이전트는 "CLOSE" 깃발과 함께 (그리고 경우에 따라 데이터들을 포함하여) "pdu"를 발송한다; 그리고,
다른 에이전트는 "CLOSE" 깃발과 함께 (그리고 경우에 따라 데이터들을 포함하여) "pdu"를 받아들이며 "S-Agent" 세션은 차단된 상태에서 통과한다.
도 3은, 방금 상기되었던 것들과 같은, "S-Agent" 세션들의 상태를 도식적으로 나타낸다.
층 130과 230a는 호스트 단말기 1과 스마트 카드 2a쪽에 있는 에이전트들의 리스트 도표들(나타나지 않음)을 관리한다.
실제로, 에이전트들은, 네트워크 처리를 시작할 뿐만 아니라, 데이터 교환(예를 들면, 하이퍼텍스트)을 허용한다,
구성 관리 모듈, 131과 231a는 각각 특정 에이전트들에 동화될 수 있다. 예를 들어, 호스트 터미널 1 쪽, 모듈 131은 특히 이 단말기의 구성과 관련된 정보들(기능 모드), 존재하는 다른 에이전트들 리스트 등을 관리한다. 스마트 카드 2a 쪽, 231a 모듈은 유사한 기능들을 가진다. 이 두 에이전트들은 하나의 세션을 설정하기 위해 서로 통신할 수 있다.
본 발명의 첫번째 특징에 따라, 스마트 카드 2a는 "WEB" 클라이언트/서버로써 작용한다.
실제로, 스마트 카드 2a는, 외부 서버 위에 체크하는 것이 아니고, 단말기 1 그 자체 위에서 다시 막는 것을 정의하는 "URL"(일반 자원 위치 입력기) 어드레스를 이용함으로써 유리하게 "어드레스"된다. 예를 들어, 이 "URL"의 구조는 대개 다음과 같다:
http://127.0.0.1:8080 (1)
여기에서, 127.0.0.1은 다시 막는 것의 "IP" 어드레스이며 8080은 포트의 번호이다.
도 4는, 그림 2에 나타났으나, 상세하게는 나타나지 않은 형태들에 있어서, 본 발명에 따른 시스템 논리 구조를 단순하게 나타낸 것이다. 스마트 카드 2a는 몇몇 에이전트들을 포함하는 데, 두개만이 나타났다: 소위 "WEB" 형태의, 232a1 에이전트, 그리고 정확하게 정의되지 않은 232a2 타입 에이전트이다. 논리 전지(pile)에는 아래쪽 프로토콜 층들, ISO 7816-3 기준들에 부응하는, 참조 200a(그림 2: CCa1과 CCa2), 명령 "APDU" 201a1의 관리, 그리고 꾸러미 230a 다중화기를 포함하며, 이 후자는 에이전트들, 특히 "WEB" 231a1에 연결된다.
단말기 쪽에는, 두개의 전지들이 있는 데, 하나는 인터넷 네트워크 RI와 통신하고, 다른 하나는 스마트 카드 2a와 통신한다. 첫번째 전지는 네트워크에 접근하는 기관들 11(도 2: C1과 C2)(OSI 1과 2 기준), 그리고 "TCP/IP"(그림 2: C3과 C4) 프로토콜 층들, 참조 100을 포함한다. 이 후자 층들은 네비게이터 "WEB" 10과연결되어 있다. 다른 전지는 내부 프로토콜 층들, ISO 7816-3기준(그림 2: C1과 C2)에 부응하는, 참조 101, "APDU" 명령의 관리자 102, 그리고 꾸러미 다중화기 130을 포함하며, 이 후자는 에이전트들과 연결되어 있고, 그중 단 하나 132만 나타나있다. 우리가 "네트워크 형태"로 생각하게될, 이 후자는 한편으로는, "TCP/IP" 100 층들을 경유하여, 네비게이터 10과, 다른 한편으로는 같은 "TCP/IP"100과, 네트워크 RI 접근 기관 11을 경유하여 통신할 수 있다.
"APDU" 201 명령 관리자도, 우리가 간단하게 응용이라고 부르게될, 응용 수준의 하나 또는 몇몇 층들과 연결되어 있다. 이 응용들, A1, ..., Aj, ... An들은, 지적되었던 것처럼, 우리가 "카들릿(cardlet)"이라고 부른, 종래 형태의 응용들이다.
간략하게 말해, 스마트 카드 2a로 공급되는, 클라이언트/서버 "WEB" 기능은 스마트 카드 안에서 "WEB" 232a1 에이전트와 단말기 1안에 있는 네트워크 에이전트의 결합으로, 그리고 설명했던 것처럼, 에이전트들 간에 세션들을 이용함으로써 시행될 수 있다.
그러므로, 스마트 카드 2a는 클라이언트/서버 "WEB" 기능을 잘 나타낸다. 또한, 종래의 응용이 어떠하든 간에, 본 발명 절차의 특징에 따라, 전술한 "GCA" 형 A1부터 An까지는, 단말기 1 안에 있는 네비게이터 "WEB" 10에 의해 혹은, 인터넷 네트워크 RI의 어느 한 점에 있는, 멀리 떨어진 4 네비게이터에 의해, 에이전트들 간 세션들을 사용함으로써, 이 클라이언트/서버 "WEB"을 경유해 활성화될 수 있다. 본 발명의 단계에 따라, 응용 A1부터 An까지는 다시 기록될 필요가 없으며,그대로 사용된다.
방금 설명한 에이전트들의 기계장치를 사용하는, 본 발명의 다른 면에 따라, 스마트 카드 2a에 소위 "프록시 TCP/IP" 기능을 직접 주입시킨다. 이 기능은 이후에 "필터"라고 부르게 될 특정한 소프트웨어 응용으로 실행된다.
"프록시" 기능은 인터넷 응용 분야에서 잘 알려져 있으나, 기존의 기술에 따른 시스템들의 스마트 카드 안에는 주입될 수 없다.
본 발명에 해당하는 구조를 설명하기 전에, 우선 그림 5를 참조로 하여, 기존 기술에 따른 종래의 "프록시" 특징들을 간략하게 상기하고자 한다.
"TCP/IP" 기술에서, 우리는 "프록시"를, 한편으로는, 서버 "TCP/IP" Sv, 다른 한편으로는 클라이언트 "TCP/IP" CI를 실행시키는 Py 소프트웨어 엔티티라고 명명한다. Py 소프트웨어 엔티티는 국소적인 클라이언트와 떨어져있는 다른 서버 TCP/IP 간 연결을 실행한다.
Py 프록시는 대개 필터 및 보안 기능들을 실행한다. 예를 들면, 프록시 "http"는 어느 한 기업에서, 네비게이터, 예를 들면, 단말기 1의 네비게이터 10를 서버 "WEB" 4로 확실하게 연결시켜준다 (이것은 "방화벽" 또는 "소화기"라는 명칭으로 알려져 있다). 이는 또, 소위 "SSL"`이라는 프록시에 대한 것일 수도 있으며, 우리는 이를 인터넷 네트워크를 경유하여 안전하게된 터널을 설립하는 데 필요한 보안 작용들(인증 - 기밀- 통합)을 실행하는, 단말기 에 있는 국부적인 "프록시"로 정의할 수 있다.
이제, 그림 6을 참고하여, 본 발명의 보충적인 면에 따라, 스마트 카드 안에직접 "프록시" 기능을 통합하는 소프트웨어 구조를 설명하고자 한다.
전술한 그림들에 공통된 요소들은 같은 참조들을 수반하며, 필요할 때에만 다시 설명될 것이다. 간략하게 설명하자면, 단말기 1 쪽, 에이전트들은 단 하나의 참조 132 하에서 다시 모여지고, 스마트 카드 2a 쪽에서는, 단 하나의 참조 232a 하에서 다시 모여진다. 그것들은 "단말기"에 대해서는 "T"자로, "Smart Card"(스마트 카드)에 대해서는 "S"로 차별화되며, 이 글자들은 지수 숫자들에 결합된다. 스마트 카드 2a에서 실행된 "프록시" 27은 이후에 "Smart Proxy"라고 불릴 것이다.
"Smart Proxy" 27은 네개 에이전트들의 결합으로써 실행되며, 두개는 단말기 1쪽: T1과 T2, 다른 두개는 스마트 카드 2a쪽: S1과 S2이며, 필터 28의 기능은 이후에 설명된다:
- "단말기/클라이언트/네트워크" 에이전트 T1은 서버 TCP/IP를 실행시킨다 (예를 들면, 포트 8080 위에서);
- "카드/서버/로컬" 에이전트 S1은 T1 에이전트에 세션으로써 결합되며, 이 에이전트는 서버"WEB"의 기능들을 실행시킨다;
- 필터 28의 기능은 T1 에이전트으로부터 나오는 정보에 따라 결정되며, 이 후자의 기능은 S1과 S2 에이전트들 쪽으로/부터 나오는 "pdu"를 발송 또는 받을 수 있다;
- "카드/클라이언트/로컬" 에이전트 S2, 이 에이전트의 요청은 필터 28 기능에 의해 역동적으로 만들어지며, S2는 "네트워크"T2 에이전트와 함께 세션을 개방하고, 이 에이전트는 S2가 연결되고자 하는 인터넷의 떨어져 있는 서버 4의 어드레스를 나타낸다; 그리고,
- T2 "단말기/서버/네트워크" 에이전트은, 인터넷 서버 4에 연결된 클라이언트 "TCP/IP"의 기능을 실행시킨다.
"스마트 프록시" 27을 만드는 기계장치는 아래에 설명되어 있다.
이후에 "cTCP", 네비게이터 "WEB"라고 불리게될, 클라이언트 "TCP"는 "네트워크" T1 에이전트과의 연결을 개방한다. 이어서 세션 T1-S1이 만들어진다. 예를 들면, URL은 다음과 같다:
http://127.0.0.1:8080/?des1=xxx.com:80/yyy/content.html (2)
이것은 에이전트들 T1과 S1 간의 세션 개방을 유발시킨다.
T1과 S1에 의해 교환되는 자료들로부터, S1에이전트 (WEB서버)에 결합된 응용은 필터 28의 어떠한 기능이 사용되어야 하는 지를 결정한다. 마찬가지로, "des1"은 특정 필터의 이름이며, "xxx.com"은 인터넷 서버, 예를 들면 서버 4의 임의의 이름이다. 포트의 번호 "80"과 "/yyy/content.html"은 "HTML" 용어로 페이지 위에 예를 들어 설정된, 이 서버 상의 임의 파일 이름이다. 예를 들어, "des1" 필터는 "DES"("데이터 암호화 기준") 형태 산식에 따라 암호를 풀고 암호로 적는 기능을 실행할 수 있게 해주는 필터이다.
다른 용어로, URL "카드" (2)는 외부 세계를 목적으로 하는 또 다른 URL을 포괄시키며, 이 URL의 첫 번째 부분은 관계 (1)로 정의된 것처럼 다시 막는 URL로 설정된다.
필터 28 "des1"은 클라이언트 S2요청을 만든다; 하나의 세션이 에이전트 S2와 T2 간에 개방된다. 첫번째 "pdu" 안에 삽입된 데이터들은 인터넷 서버의 이름("xxx. com")과 그 결합된 포트의 번호(80)를 명확하게 한다.
에이전트 T2는 떨어져 있는 서버 "sTCP"("zzz.com")로 "TCP" 형태의 연결을 개방한다. 일단 이 후자가 설정되면, 표가 목적지 S2로 발송된다.
이 "교환"이라는 용어에서, "Smart Proxy" 27이 만들어졌다, 스마트 카드 2a에 있는 필터 28의 기능은 "네트워크" 에이전트들로 받아들인 데이터(인터넷 네트워크 RI에서 온 것)를 처리한다. 필터 28은 "네트워크", T1, T2 에이전트들이 송신한 데이터들을 논리적인 방식으로 조절한다. 이는 클라이언트 "cTCP"와 서버 "sTCP" 사이에서 교환되는 데이터들을 제어하는 "프록시 TCP"로 작용한다.
개념을 정리하기 위해, 그림 6에서 여러 에이전트들에 임의의 참조 번호들을 붙였다. : 즉, "서버" 형 에이전트들, T2와 S1에 대해서는 "2"와 "5", 그리고 "클라이언트"형 에이전트들, T1과 S2에 대해서는, 변이형 또는 하루살이형 "15360"과 "2559"이다.
이제 필터 28의 특정 예들을 가지고 좀더 정밀하게 설명해 보고자 한다.
URL 카드에 연결된 방향지정 필터, 예를 들면 다음과 같은 URL이다:
(http//127.0.0.1:8080/eMail) (3)
예를 들면, "POST http"의 잘 알려진 방법을 이용하여, 식별 데이터를 우송하는 데 사용될 수 있는 외부 서버를 향한 "http" 요구 (예를 들면, www. email.com); "login"과, 예를 들면 무료 "email" 우편 서버에 연결된 통과 신호. 필터는 또한 도전을 기초로 하는, 보다 확실한 방법들로 서비스 수익자의 식별/인증을 보장해줄 수 있다.(이 방법들은, 예를 들면, 기준 "http 1.1"에 설명되어 있다. )
방향지정 필터의 사용에는 다음 단계들이 포함된다:
1. 네비게이터 10은 "네트워크" 에이전트 T1 (어드레스 IP : 127.0.0.1:8080)과의 연결을 개방하고 T1-S1 세션은 카드 2a의 서버 "WEB"과 개방된다.
2. "http" 요구 (추천 "http 1.1 rfc 2068에 따라)는 네비게이터 10으로부터 "WEB" S1 에이전트의 목적지까지 전송되며, 후자는, 이 특별한 경우에 파일 "eMail"의 이름으로부터, 필터 28에 방향 지정 신호를 탐지한다: 이 순간부터, "네트워크" 에이전트으로부터 받아들인 모든 데이터들은 이 특정 필터 28로 처리된다;
3. 클라이언트 에이전트 S2의 요구가 필터 28에 의해 만들어진다;
4. S2는 "네트워크" 에이전트와 세션을 개방하며 발송된 첫번째 "pdu"("OPEN" 깃발)는 떨어져 있는 서버 "WEB" 4의 어드레스와 포트를 포함한다 (예를 들어, "www. email.com");
5. 에이전트 T2는 떨어져있는 "WEB" 서버 4와의 연결을 개방하고, 개방한 후에, 표(jeton)가 S2에이전트 쪽으로 발송된다;
6. 에이전트 S2는 떨어져 있는 서버 "WEB" 4쪽으로 요구 "http"를 전달한다;
7. 이 서버 4는 동작의 성공여부를 통지하는 방향지정 표제 "http"를 발송하며 네비게이터 10에 새로운 연결 "URL"과, 그것이 사용해야 하는 "쿠키" 명으로 알려진, 소프트웨어를 제공한다. ;
8. 필터 28의 기능은 이 데이터들에 관해 어떠한 처리도 행하지 않는다;
9. 데이터들은 세션 S1-T1에 의해 네비게이터 "WEB" 10으로 전송된다.
네비게이터 10이 방향지정 표제를 받을 때, 이것은 해당 "쿠키"와 함께 우편 서버 4로 연결된다. 이는 그 대가로 "HTML" 언어로 씌어진 수신 페이지를 받는다.
예 2번 : 필터 "http-des"
이제 전술한 "DES"형 산식으로 기호화된 "HTML" 페이지의 경우를 생각해 보자. 예를 들어, "/yyy/content.html"으로 명명된 이 페이지는 "WEB"4 서버 위에 상주한다: "zzz.com:80". 이 카드에 있는 필터 28의 기능은 (임의 명칭 ("?des1") 암호풀기 산식, 즉, 반대의 기능(또는 "DES")를 실행하게 되며, 이것은 지수 1에 연결된 열쇠로 한다.
네비게이터 10 에서부터 시행된 다음 URL :
http://zzz.com/yyy/content.html (4)
은 서버 "zzz.com" 에서부터 "content.html" 파일의 적재를 유발시킨다. 기호화되는 "HTML" 페이지, "HTML" 언어의 규정에 따라, 문서의 시작과 끝을 표시하기 위해 사용되는 《html〉과 〈/html》표지들은 명백하게 나타나지 않을 것이며 네비게이터 10은 조리가 맞지않는 신호들 혹은, "HTML" 페이지가 접수되지 않았다는 것을 나타내는 오류 중 어느 것이든 게시할 것이다.
다음 URL :
http://127.0.0.1:8080/?des1=zzz.com:80/yyy/content.html (5)
은, 열쇠 지수가 1인, "DES" 타입의 필터 28을 가로질러, 페이지를 적재할 카드에
http://zzz.com:80/yyy/content.html (6)
을 지정한다.
"content.html" 페이지의 적재는 다음과 같은 방법으로 행해진다:
1. 네비게이터 10은 "네트워크"T1 에이전트(어드레스 IP:127.0.0.1:8080)과의 연결을 개방하며 T1-S1 세션은 스마트 카드 2a의 "WEB" 서버와 개방된다;
2. 요구 "http"("http 1.1 rfc 2068")는 네비게이터 10으로부터 "WEB" S1 에이전트 목적지까지 전송되며, 파일 "/?des1=zzz.com;80/yyy/content.html" 부터, "WEB" S1 에이전트는 "DES" (지수 1의 열쇠) 형의 필터 28기능 호출을 탐지한다; 이 순간부터, "네트워크"T1에 의해 받아들여진 모든 데이터들은 지수 1의 열쇠에 연결된 "DES" 형 필터 28로 처리된다;
3. 클라이언트 에이전트 S2의 예(instance)가 필터 28에 의해 만들어진다;
4. S2는 "네트워크"T2 에이전트와 세션을 개방한다: 발송된 첫번째 "pdu" (OPEN 깃발)는 떨어져 있는 "WEB" 서버 4("zzz.com")의 어드레스와 포트를 포함한다.
5. 에이전트 T2는 떨어져있는 "WEB" 서버 4와의 연결을 개방하며, 개방한 후, 표(jeton)가 S2 에이전트로 발송된다;
6. 에이전트 S2는 떨어져 있는 서버 4 쪽으로 "http" 요구를 전송한다;
7. 떨어져 있는 서버 4는 파일의 성격을 가리키는 "http" 표제를 전송하는데, 엄밀한 의미로 말해, 파일을 전송한다; 이 데이터들은 T2-S2 세션에 의해 필터 28 기능과 교대된다;
8. 필터 28 기능은 "http" 표제에 어떠한 처리도 행하지 않으며 "HTML" 페이지의 암호를 푼다; 그리고
9. 암호가 풀어진 데이터들은 S1-T1 세션에 의해 네비게이터 "WEB" 10으로 전송된다.
이 동작의 결과는 네비게이터 10이 암호가 풀린 하나의 "HTML" 페이지를 받는다는 것이다. 방향지정 동작은 스크립트에 의해 자동화될 수 있다 (일반적으로, 등록된 상표인, "Java Script" 언어로). 예를 들어, "HTML" 페이지 안에 포함된 스크립트 (임의로 "content.html"이라고 부를 것이다)는 URL의 방향을 지정한다:
http://zzz.com/yyy/xcontent.html (7),
http://127.0.0.1:8080/?des1=zzz.com/yyy/content.html (8),
xcontent.html과 content.html은 "HTML" 두 페이지들의 임의 명칭들이다.
예 3번 : 필터 "SSL"
소위 "안전한 소켓 층;Secure Socket Layer" 또는 "SSL" 프로토콜은 "WEB" 형의 응용을 위해 주로 사용된다. 이는 클라이언트(일반적으로 네비게이터 10)과 서버 간의 "안전이 보장된 터널들"을 개방할 수 있게 하며 "SSL"은 서버를 인증할 수 있게 하고 교환되는 데이터들의 기밀과 통합을 보장해 준다. 이를 위해, 분배된 기밀은, 서버에 적합한, 소위 공개된 열쇠를 기초로 하여 구성된다. 세션의 열쇠는 분배된 기밀로부터 연역되며, "트리플 DES"형의 산식을 이용하여 정보의 암호화를보장한다. 잘 알려진 바와 같이, 사람들은 인증 "증명서"를 사용하는 기술도 사용한다.
스마트 카드 2a에서 직접 "SSL" 필터를 실행시키는 것에 대한 관심은 서버의 공개된 열쇠 증명서 확인(이것은 공개된 열쇠 시스템에 있어서 필수적인 것이다)이 단말기 안에 있는 소프트웨어에 의해서가 아니라, 스마트 카드에 의해 실행된다는 것이며, 우선 보고 확실한 것으로 판단될 수 있다. 종래의 방식으로는, 일단, "SSL" 세션이 개방되면, 사용자 또는 "인터노트(항해자;internaute)"(나타나지 않음)는 개인적인 식별 데이터, 일반적으로, "로그인"과 통과 신호의 결합을 제공하는, 건반의 도움으로, 단말기 1 위에 암호를 쓰지 않고 입력된다 (그림 1A: 6a). 스마트 카드 2a로부터 이끌어진 "SSL" 세션의 또 다른 잇점은 "로그인"과 통과 신호가, 사용자가 아닌, 스마트 카드 2a에 의해 공급된다는 것이다.
"SSL" 연결은 다음과 같은 방식으로 전개된다:
이제 "SSL" 세션으로 얻고자 하는 "HTML" 페이지를 고려해 보고자 한다. 예를 들어 "/yyy/content.html"로 명명되는 이 페이지는 떨어져있는 서버 WEB 4 위에 있다 (임의 이름 "www.bank.com"). 카드 안에 있는 특정 필터 28의 기능(임의로 "?ssI1"이라고 부른다)은 프로토콜 SSL을 실행하며 로그인과 지수 1에 연결된 통과 신호를 사용한다.
다음의 URL :
http://127.0.0.1:8080/?ssI1=www.bank.com:80/yyy/content.html (9)
는 프로토콜 "SSL"을 이용하면서 적재할 스마트 카드 2a에 "/yyy/content.html" 페이지를 지정한다.
"content.html" 페이지를 적재하는 것은 다음 방식으로 실행된다:
1. 네비게이터 10은 "네트워크" T1 에이전트과의 연결을 개방하며(어드레스 IP:127.0.0.1:8080) T1-S1 세션은 스마트 카드 2adml 서버 WEB과 개방된다;
2. 요구 "http" ("http 1.1 rfc 2068에 해당)는 네비게이터 10으로부터 "WEB" S1 에이전트의 목적지에, 그리고 파일명 "/?ssI1=www.bank. com:80 /yyy /content. html"에 입각하여 전송되며, "WEB" S1 에이전트는 "SSL"형의 특정 필터 28 기능 호출을 탐지한다(지수 1의 열쇠로): 이 때부터, "네트워크"T1 에이전트으로 받아들인 모든 데이터들은 필터 "SSL" 28로 처리된다;
3. 클라이언트 에이전트 S2의 예(instance)가 필터 28에 의해 만들어진다;
4. S2는 "네트워크" 에이전트 T2와 세션을 개방하며 발송된 ("OPEN" 깃발) 첫번째 "pdu" 는 떨어져 있는 서버 "WEB SSL"의 어드레스와 포트 (이 예에서는 No. 443)를 포함한다. ("www.bank.com:443").
5. T2 에이전트는 떨어져 있는 서버"WEB" 4와의 연결을 개방하며, 개방 후, 표가 S2 에이전트 쪽으로 발송된다;
6. 필터 28은 T2-S2 세션을 이용하여, 떨어져있는 서버 4와 "SSL" 프로토콜에 해당하는 협상을 유도한다;
7. 세션 "SSL"이 개방될 때, "로그인"과 통과 신호는 필터 28에 의해 떨어져있는 서버 4로 전송되며, T2-S2 세션은 닫힌다;
8. 새로운 세션 : S2-T2는 필터 28에 의해 열린다;
9. 필터 28은 앞의 "SSL" 세션을 다시 취하려고 교섭한다.
10. S2 에이전트는 떨어져있는 서버 4 쪽으로 파일 획득 암호 요구 "http" "content.html"을 전송한다;
11. 떨어져있는 서버 4는 파일의 성격을 가리키는 "http" 표제를 전송하며 엄밀히 말해 파일을 전송한다; 이 데이터들은 세션 S2-T2에 의해 필터 28 기능에 연계된다;
12. 필터 28 기능은 받아들인 데이터들의 암호를 풀고 그 본래대로의 상태를 조사한다;
13. 암호가 풀린 데이터들은 세션 S1-T1에 의해 네비게이터 "WEB" 10에 전달된다.
이 동작의 결과로는 네비게이터 10이 암호가 풀린 "HTML" 페이지를 받는다는 것이다. 방향지정 동작은 스크립트 (일반적으로, "Java Script")에 의해 자동화될 수 있다. 예를 들어, "HTML" 페이지에 포함된 스크립트는 URL의 방향을 지정한다:
http://www.bank.com/yyy/xcontent.html (11)에서,
http://27.0.0.1:8080/?ssI1=www.bank.com/yyy/content.html 이다.
이제, 비대칭 통신의 프로토콜에 따라 멀티미디어 데이터의 흐름을 처리하게 할 수 있는 본 발명의 보충적인 면을 설명하고자 한다.
단말기 1이 멀티미디어 데이터를 얻을 때, 예를 들면, 인터넷 네트워크 RI로부터, 이 데이터들은 기밀스런 모든 특성을 잃으며, 일반적으로 별로 확실하지 않은 시스템으로 기억된다.
본 발명의 특성 중 하나에 따라 실행된 "Smart Proxy"는 그때 특정 서비스 수익자의 식별과 인증을 위한 열쇠 장치를 구성한다. 산식과 열쇠들은 스마트 카드 2a의 내부에 저장되고 실행된다. 일단 특정 필터 28이 떨어져있는 서버 4와 "TCP" 연결을 개방했다면, 두가지 경우가 고려될 수 있다:
A/ 고정되고 기밀스런 열쇠들은 데이터들의 본래 상태와 기밀성을 보장하는 데 사용된다; 이 경우, 데이터의 흐름은 "스마트 프록시" 필터로 암호가 풀리고 확인된다;
그렇지 않으면,
B/ "세션 열쇠"라고 불리는, 일시적인 하루살이 열쇠들은 필터 28과 떨어져있는 서버 4 간의 연결이 성공적으로 개방될 때 계산된다 : 두번째 경우는, 예를 들면 전술한 프로토콜 "SSL" 또는 "IPSEC" 프로토콜로써, 인터넷 네트워크에 사용된 수많은 보안 프로토콜들 안에서 마주치게 된다.
일시적인 세션 열쇠들이 사용될 때, 스마트 카드 2a에 의한 산식 계산은 특별한 관계를 나타내지 않는다, 왜냐하면, 어쨌든 이 열쇠들은 단 한번만 사용될 것이며 그 유일한 목적은 별로 확실하지 않은 단말기로 데이터를 암호없이 전송하도록 허용하게 하는 것이다.
때로, 서버 4와의 연결은 보안의 견지에서 볼 때 비대칭적이다. 뒤에 교환된 데이터들이 어떠한 기밀적 특징도 보여주지 않을 때, 식별과 인증 절차는 기밀스럽다. 그러므로, 이후에 "임계"라고 불리게 될 데이터 흐름의 개념이 나타나게 될 것이며, "임계 흐름"이란 기밀스런 방식으로 "스마트 프록시"에 의해 처리되어야 하는 데이터이다.
일시적인 세션의 열쇠(때로 같은 연결 도중에 변할 수도 있음)는 임계 흐름으로부터 연역될 수 있으며, 보안의 특정 수단없이 단말기 1에 의해 사용될 수 있다.
그러므로, 이후에, 확실하지 않은 단말기에 처리될 수 있는 소위 "불투명한" 데이터 흐름과, "스마트 프록시"로 처리되어야 하는 데이터 흐름을 지정하는 임계 흐름을 구별하게 될 것이다.
이러한 맥락에서, 깃발 범위의 특정한 값으로 식별되는 "pdu"(명령 "pdu")는 에이전트들에 명령을 전달할 수 있게 한다. 이 명령들은 이른바 어드레스된 에이전트으로 처리되며, 다른 에이전트 쪽으로 또는 네트워크 RI 위로 전달되지 않는다.
역시, 이러한 맥락에서 볼 때, 본 발명에 따른 에이전트들의 기계 장치가 사용된다 할지라도, 데이터 교환은 세션 밖에서 발생될 수 있다.
사실, 두 에이전트들이 하나의 세션을 통해 연결됨이 없이 상당량의 데이터를 교환할 수 있다. 특별한 명령의 "pdu"는 임의로 A1이라고 불리는, 첫번째 에이전트에 데이터 양 Q1을 발송하도록 지정하고(참조 출처 범위, 참조 목적지 및 깃발을 제외하고), 또 다른 "pdu"는 임의로 A2라고 불리는 두번째 에이전트에, A1 에이전트으로부터 발송되는, 그리고 받아들이도록 허용된 데이터 Q2의 양을 지정한다. "CLOSE" 깃발을 포함하는 "pdu"는 세션 밖에서 전송되지 않는다.
임계 및 불투명한 흐름들의 전진은 각각 다음과 같다:
임계 흐름에는 "스마트 프록시"에 연결된 필터 28로 처리되어야 하는, 그리고 스마트 카드 2a를 반드시 경유해야 하는, 비밀스런 정보들이 포함된다. 불투명한 흐름은, 예를 들면, 세션 밖에서 데이터 교환 기계장치를 사용하는, 단말기 1 위에 있는 에이전트들에 의해서만 처리될 수 있다.
불투명한 흐름은 임계 흐름으로 보안이 유지될 수 있다.
사실, 데이터의 전체적인 흐름은 일반적으로 임계 흐름과 불투명한 흐름으로 분해될 수 있으며, 이는, 예를 들면, 가장 적은 폭의 임계 흐름으로 고용량 흐름의 암호를 풀 수 있게 한다 (예를 들면, 이른바 멀티미디어 데이터들을 대리하면서). 본 발명에 적합한 장치들은 통신 프로토콜들과 비대칭 데이터들의 처리를 구성하면서 그런 고용량 멀티미디어 데이터 흐름을 처리할 수 있게 한다.
예 4번 : 비대칭 지정방향 필터
비대칭 지정방향 필터는, URL에, 다음 형태의 "카드"를 결합시킨다 :
http//127.0.0.1:8080/?f1=/www.host.com/unFichier (12),
예를 들면, 외부 서버 4 쪽으로 "http" 요구 :
http://www.host.com/unFichier (13)
서버 4에 연결은, 식별과 인증 단계를 포함하는 것으로써(예를 들면, "도전"을 기초로 한 기계장치), 우리가 임의로 "?f1"이라고 부르게 될, "스마트 프록시" 27에 연결된, 필터 28로 관리된다. 필터 28은 소위 비대칭이라고 불리는 데, 이는, 일단 인증이 실행되면, 서버 4와 교환된 데이터들이 암호화되지 않으며 필터 28을 더 이상 경유하지 않기 때문이다.
도 7의 도해에 의해 도식적으로 나타난, 비대칭 방향지정 필터 28의 사용 단계(단순하게 말하면, 본 발명에 따른 그림 6의 시스템 구조를 취한다)는 다음과 같다:
1. 네비게이터 10은 "네트워크"요소 T1과의 연결을 개방하며 (어드레스 IP: 127.0.0.1:8080); 세션 T1-S1은 스마트 카드 2a의 서버 WEB와 개방된다;
2. "http" 요구는 네비게이터 10에 의해 "WEB" 에이전트의 목적지로 전송되며, 파일 "/?f1=/www.host.com/unFichier"의 명칭에 입각하여, "WEB" S1 에이전트는 특정 방향지정 필터에 대한 호출("?f1)을 탐지한다; 이 때부터, "네트워크" T1 에이전트에 의해 받아들인 모든 데이터들은 이 필터 28로 처리된다;
3. 클라이언트 에이전트 S2의 예(instance)가 필터 28에 의해 만들어진다;
4. S2는 "네트워크" T2 에이전트과의 세션을 개방한다 : 방출된 ("OPEN" 깃발) 첫번째 "pdu"는 떨어져있는 WEB 서버의 어드레스와 포트 ("www.host.com")를 포함한다;
5. 에이전트 T2는 떨어져있는 서버 4 "WEB"와의 연결을 개방하고, 개방 후, 표(jeton)가 S2 에이전트으로 발송된다;
6. 인증 절차가 필터 28 "?f1"과 떨어져있는 서버 4 사이에 만들어지며, 데이터들은 세션 S2-T2에 의해 교환된다;
7. 이 절차가 실행되면, 필터 28은 에이전트 T2에 의해 세션 밖으로 발송되는 모든 데이터들을 받도록 허가하는 에이전트 T1에 명령 "pdu"를 보내며, 에이전트 T1 쪽으로 네트워크으로부터 받은 모든 데이터들을 전송하도록 지정하는 "네트워크"T2 에이전트에 명령 "pdu"를 보낸다; 떨어져 있는 서버 4로부터 나오는 데이터들은 T2와 T1 에이전트들을 경유하여, 네비게이터 10 쪽으로 연계되며, 스마트 카드 2a를 더 이상 경유하지 않는다; 그리고
8. "TCP" 차단이 이루어질 때 (서버 4의 명령 하에서), T1 또는 T2 에이전트들 중의 하나는 S1 또는 S2 에이전트들 중의 하나를 향해 "CLOSE" 상태에 있는 깃발과 함께 "pdu"를 발송하며, 필터 28은 그때 T1-S1과 T2-S2 세션들을 버리는 일을 감독한다.
예 5번 : 비대칭적인 필터 "SSL"
이 예는 그림 8의 도해에 의해 도식적으로 나타나있으며, 이는 본 발명에 따른 도 6의 구조에 대한 요점이다.
앞서 예 3번에서 설명했듯이, "SSL" 필터는 URL "카드"를 이용하여 활성화될 수 있다(예를 들어, 관계 (11)에 대한 것). 그런 프로토콜 안에서, 임계 데이터들의 흐름은, 상당한 수의 결합된 매개변수들 뿐 아니라 ("해시" 기능의 열쇠 및 현재 값), 단 하나의 방향으로 암호화 산식과 소위 짧막하게 하는 기능 (앵글로-색슨족 용어로는 해시)을 포함하는 엔티티 한쌍을 선택하기 위해 사용된다. 일단 협상 단계가 끝나면, 스마트 카드 2a에서 이 산식들의 실행은 특별한 관계를 보이지 않는다, 왜냐하면 인터넷 네트워크 RI로부터 단말기 1까지 데이터들이 암호없이 발송되기 때문이다.
그러므로 "SSL" 기능이 전개되는 보충의 에이전트 T3(서버형)를 유리하게 사용할 수 있다. 이 에이전트 T3은 단말기 1 안에 있다. 일단 세션 "SSL"의 매개변수들이 협상되었으면, "SSL" 필터 28은 보충의 클라이언트 에이전트 S3(스마트 카드2a 쪽)과 서버 에이전트 "SSL" T3 (단말기 쪽) 사이의 세션을 개방한다. 세션의 개방 시, T3 에이전트는 "DES" 열쇠들의 값과 "해시" 기능의 현재 매개변수들로 준비동작에 들어간다. "SSL" 필터 28은 T2 에이전트으로 명령 "pdu"를 보내는 데, 그렇게 함으로써 T3에 의해 세션 밖에서 발송된 데이터들을 네트워크 RI 쪽으로 다시 전달하게 할수 있고 또, T3 쪽으로 네트워크으로부터 받은 데이터들을 다시 향하게 할 수 있다. 필터 "SSL" 28은 T3 에이전트에게 명령 "pdu"를 보내어 그것으로 하여금, 세션 밖에서, T1과 T2에 의해 발송된 데이터들을 받게 한다. 필터 "SSL"은 T1 에이전트에 명령 "pdu"를 보내어, 그것으로 하여금 T3에 의해 세션 밖에서 발송된 데이터들을 네트워크 RI 쪽으로 다시 전달하도록 하고, 이 네트워크 RI로부터 받은 데이터들을 T3 쪽으로 다시 향하게 한다. 그때, 세션 밖 "터널"이 T1-T2-T3 사이에서, 단말기 1에 형성된다. T1 또는 T2 에이전트가 그것에 결합된 세션을 닫을 때, 필터 28은 남아있는 다른 두 세션들을 닫는 일을 행한다.
일반적인 경우, 비대칭적 필터
보다 일반적인 방식으로, 그리고 그림 7이나 8의 도해들을 새로 참조하면서, 비대칭 필터 28을 사용하는 절차는 다음과 같다:
"스마트 프록시" 27 (그림 6)은 두 세션들, T1-S1과 T2-S2를 이용하여 URL "카드"로부터 실행된다. 이행할 특정 필터 28은 이 URL으로부터 결정된다. 첫 번째로는, 필터 28은 클라이언트 "TCP" (네비게이터 10)와 떨어져 있는 서버 4 사이에서 데이터 흐름을 조절한다. 인증과 협상 단계의 끝에, 보안 매개변수들의 활동이 이루어진다. 이는 임계 데이터들의 흐름으로 이루어진다.
그때, 필터 28은 세션이 개방될 때 필터 28에 의해 정의되는 매개변수들의 활동으로 협상된 프로토콜을 실행하는 보안 에이전트(예를 들면, T3)과의 세션을 개방한다. 필터 28은 세션 T1-T2-T3 밖에서 데이터들의 전송 "터널"을 만든다. 예를 들어, 데이터의 미리 결정된 양은 T1-T2-T3 체인에 의해 대역 (bande) 밖에서 전송된다. 달리 말해, 불투명한 데이터의 흐름은 T1-T2-T3 전체로 처리되므로, 스마트 카드 2a는 통과하지 않는다. 임계 데이터들은 다양한 방법으로 식별될 수 있다: 긴급 데이터 등의 포인터를 이용하여 "TCP" 꾸러미 안에 있는 표시, 주기적으로 고정된 불투명한 데이터의 길이. 이 방법들은 그 자체로서 알려져 있다. 불투명한 데이터와 달리, 임계 데이터들은 단말기 1, T1 또는 T2의 에이전트들에 의해 필터 28로 전송된다. 따라서, 이 후자는, 명령 "pdu"를 이용하여, T3 에이전트의 기능적 매개변수들을 변경시킨다. 단말기 1, T1 또는 T2의 에이전트가 그것에 결합된 세션을 닫을 때, 필터 28은 나머지 다른 두 세션들을 닫는 일을 행한다.
또한 일반적인 방식으로, 보안과 관련된 모든 면을 제외하고, 불투명한 데이터 흐름은, 예를 들면, T3 에이전트와 유사한, 보충적 에이전트에 의해 실행된, 다양한 변형을 겪을 수 있다. "보안"이라는 용어는 가장 일반적인 것으로 인정되어야 한다: 특히 "증명서" 등을 이용한, 기밀, 허가, 날인 또는 서명.
이 경우, 앞서와 같이, 필터 28은 특정 "pdu"를 사용함으로써, T3 에이전트 매개변수들을 변경시킬 수 있다.
제한없이 예를 들어, 생각을 정리해보자면, 이는 포맷 변환에 관한 것이다. 오디오 데이터의 경우, 예를 들어, "mp3" 포맷에 따라 기호화되어 전송된, 불투명한 데이터들은 포맷 "wav", 또는 단말기 1 에 의해 받아들여진 전혀 다른 포맷으로 변환될 수 있을 것이다. 비디오 데이터에서도 마찬가지로, "MPEG" 포맷에 받아들여진 불투명한 데이터들은 "avi" 포맷 또는 단말기 1에 의해 받아들여진 전혀 다른 포맷으로 변환될 수 있다.
어떠한 경우에든지, 상기 임계 데이터들을 구성하는, 적은 용량의 데이터 흐름만이 스마트 카드 2a를 통과한다. T1과 T2, 경우에 따라서는 T3 에이전트를 통해, 단말기 안에 불투명한 흐름의 데이터 경유와 그 처리를 제어하게될 적절한 필터를 선택하는 데, 이 데이터들만이 필요하다.
달리 말해, 본 발명에 적합한 장치들 덕분에, 한편으로는 스마트 카드를 "WEB" 클라이언트/서버로 변형시키면서, 그리고 다른 한편으로는, 그 안에 직접 "proxy"를 실행시키도록 하면서, 스마트 카드는, 그것이 연결된 단말기에, 그 양이 정해진, 정보 흐름의 처리를 위임할 수 있게 된다. 뒤이어, 비대칭 통신 프로토콜들을 사용함으로써, 매우 큰 용량의 전체 흐름은 스마트 카드에서 단말기에 의해 처리될 수 있으며, 이 모두는 최대한의 보안을 유지한다. 강력한 보안은 필수적인 암호화 및 인증 동작이 스마트 카드의 독점적인 제어 하에 있으며, 상기의 임계 데이터들은 이 카드를 통과한다는 사실에서 기인한다.
앞의 내용을 읽고, 우리는 본 발명이 정해진 목적에 부합된다는 것을 쉽게 알 수 있다.
그러나, 분명히, 본 발명은, 한편으로는 도 2부터 4, 다른 한편으로는 6부터 8까지와 관련하여, 명백하게 설명된 실행 예들로만 한정된 것은 아니다.
또한, 설명된 과정이 반전될 수 있다는 것도 분명하다: 서버와 단말기 간의 전송은 두가지 방향으로 실행될 수 있다. 사실, 후자도 또한, 항상 스마트 카드의 제어 하에서, 고용량의 파일을 떨어져 있는 서버에 전송할 수 있다. 이 경우, 소위 임계 데이터들은, 임시 협상 단계 후, 단말기에 의해 스마트 카드로 공급된다.
결국, 고용량의 안전한 멀티미디어 데이터 흐름을 전송하는 경우 상세하게 절차가 설명되었다 할지라도, 미리 지적했던 바와 같이, 본 발명에 따른 단계는 어떠한 경우에도 이 특정 응용으로 제한되지는 않는다.
또한, 본 발명은 적어도 하나의 떨어져 있는 서버와 스마트 카드 판독기를 구비한 단말기 간, 인터넷 형태의 네트워크를 통한, 데이터 흐름 전송 과정에 관한 것이며, 상기 단말기는 정보 처리 수단과 정보 저장 수단을 포함하며, 정보 저장 수단은 적어도 하나의 소위 "클라이언트 TCP/IP" 형 응용을 내포하며, 스마트 카드는 정보 처리 수단과 정보 저장 수단을 포함하며, 상기 단말기와 상기 서버는 두가지 모두 상기 인터넷 네트워크에 연결되어 있고, 적어도 다음 단계들을 포함하는 것을 특징으로 한다 :
a/ 첫번째 단계는, 스마트 카드(2a)의 정보 저장 수단 안에, 전용 통신 프로토콜 층을 형성하는, 첫번째 소프트웨어 (23a)를 주입하는 것이다.;
b/ 두번째 단계는, 상기 단말기(1)의 정보 저장 수단 안에, 전용 통신 프로토콜 층을 형성하고, 적어도 상기의 "TCP/IP" 형 응용과 인터페이스를 형성하는, 두번째 소프트웨어를 주입하는 것이다;
- 상기의 첫번째와 두번째 소프트웨어 (13, 23a)들은 각각 적어도 하나의,상기 클라이언트형, 첫번째 자율 소프트웨어 엔티티(T2, S1)와 상기 서버형, 두번째 자율 소프트웨어 엔티티 (T1, S2)를 포함하며, 상기 엔티티 (T1, S1, T2, S2)들은, 단말기와 스마트 카드의 정보 처리 수단들 덕분에, 상기 단말기(1)와 상기 스마트 카드 (2a) 간의 쌍방향 데이터 교환 세션들을 구축하도록, 그리고 상기 스마트 카드(2a)가 "WEB"형의 클라이언트/서버 기능을 제공하고, 상기 단말기(1)과 상기의 떨어진 서버들(4) 간의 쌍방향 데이터 교환 세션 설립을 허용하도록 협조하며, 상기의 자율 소프트웨어 엔티티들은 미리 결정된 프로토콜 데이터 단위들을 이용하여 통신한다;
- 상기 스마트 카드(2a)의 정보 저장 수단들 안에서, 미리 결정된 기능적 특징들의 응용 소프트웨어를 실행하는 단계를 포함하며, 상기 《필터》 (28)은, 두번째 전용 소프트웨어(23a) 안에 포함된, 각각 클라이언트와 서버형태들인, 상기의 첫번째와 두번째 자율 소프트웨어 엔티티 쪽으로, 또는 그것들로부터 프로토콜 데이터 단위들을 받거나 발송하며, 상기 응용 소프트웨어의 실행은 상기의 서버형 자율 소프트웨어 엔티티(S1)의 제어하에 있다;
- 상기 필터(28)은, 상기 첫번째 전용 소프트웨어(13)의 상기 자율 소프트웨어 엔티티들(T2, T1)과 세션을 개방하기 위해, 상기 단말기(1)와 상기의 떨어져 있는 서버(4) 간에 전송된 상기 데이터 흐름에 대해 미리 결정된 특징들을 변경하기 위해, 스마트 카드의 정보 처리 수단들을 이용하여, 상기의 두번째 전용 소프트웨어(23a)의 상기 자율 소프트웨어 엔티티들(S2, S1)과 협조한다.

Claims (17)

  1. 적어도 하나의 떨어져있는 서버와 스마트 카드 판독기를 갖춘 단말기 사이에, 인터넷 형태의 네트워크를 통한 데이터 흐름 전송 단계로써, 상기 단말기는 적어도 하나의 소위 "클라이언트 TCP/IP" 형 응용을 포함하며, 상기 단말기와 상기 서버는 두가지 모두 상기 인터넷 형태의 네트워크에 연결되어 있고, 적어도 다음 단계들을 포함하는 것을 특징으로 하는 방법으로서:
    a/ 첫번째 단계는, 상기 스마트 카드(2a) 안에, 전용 통신 프로토콜 층을 형성하는, 첫번째 소프트웨어(23a)를 주입하는 것이며;
    b/ 두번째 단계는, 상기 단말기(1) 안에, 전용 통신 프로토콜 층을 형성하고 적어도 상기 "TCP/IP"(10) 형태의 응용과 인터페이스를 형성하는, 두번째 소프트웨어(13)를 주입시키는 것이고;
    - 상기 첫번째와 두번째 소프트웨어들(13, 23a)는 각각 적어도, 소위 클라이언트형의, 첫번째 자율 소프트웨어 엔티티(T2, S1)와, 소위 서버형의, 두번째 자율 소프트웨어 엔티티(T1, S2)를 포함하며, 상기 엔티티들(T1, S1, T2, S2)는 상기 단말기(1)과 상기 스마트 카드(2a) 간 쌍방향 데이터 교환 세션을 수립할 수 있도록, 그리고 상기 스마트 카드(2a)가 "WEB"형의 클라이언트/서버 기능을 제공하도록, 그리고 상기 인터넷 형태의 네트워크(RI)를 통해, 상기 단말기(1)과 상기 떨어져있는 서버들 중 하나(4) 간에 쌍방향 데이터 교환 세션을 수립할 수 있도록 협조하고, 상기 자율 소프트웨어 엔티티들은 미리 결정된 프로토콜 데이터 단위들을 이용하여통신하며;
    - 상기 스마트 카드(2a) 안에, 상기 두번째 전용 소프트웨어(23a) 안에 포함된, 각각 클라이언트 및 서버 형의 상기 첫번째와 두번째 자율 소프트웨어 엔티티들(S2, S1) 쪽으로 또는 그것들로부터 프로토콜 데이터 단위들을 받고 또는 발송하는, 소위 《필터》(28)의, 미리 결정된 기능적 특징들의 응용 소프트웨어 실행 단계를 포함하며, 상기의 응용 소프트웨어 실행은 서버형의 상기 자율 소프트웨어 엔티티(S1) 제어 하에 있고,
    - 그리고, 상기 필터(28)은 상기 첫번째 전용 소프트웨어(13)의 상기 자율 소프트웨어 엔티티들(T2, T1)과의 세션을 개방하기 위해, 상기 단말기(1)과 상기의 떨어져있는 서버(4) 사이에 전송된 상기 데이터 흐름의 미리 결정된 특징들을 변경하기 위해, 상기 두번째 전용 소프트웨어(23a)의 상기 자율 소프트웨어 엔티티들(S2, S1)과 협조하는 방법.
  2. 제 1항에 있어서, 상기 자율 소프트웨어 엔티티들이 인텔리전트 에이전트들(T2, T1, S2, S1)로 구성되는 것을 특징으로 하는 방법.
  3. 제 2항에 있어서, 각각의 상기 인텔리전트 에이전트들(T2, T1, S2, S1)이 적어도 다음 여섯가지 특성 :
    - "호스트" : 상기 단말기(1) 안에 있는 인텔리전트 에이전트;
    - "카드" : 상기 스마트 카드(2a) 안에 있는 인텔리전트 에이전트;
    - "로컬" : 상기 네트워크(RI)과 통신하지 않는 인텔리전트 에이전트;
    - "네트워크" : 상기 네트워크(RI)과 통신하는 인텔리전트 에이전트;
    - "클라이언트" : 상기 세션들 중의 하나를 시작하게 하는 인텔리전트 에이전트;
    - "서버" : 상기 세션들 중의 하나에 대한 요구를 받아들이는 인텔리전트 에이전트;
    중의 하나에 결합되어 있는 것을 특징으로 하는 방법.
  4. 제 3항에 있어서, 상기 에이전트들(T2, T1, S2, S1)이 전체수를 포함하는 식별자들에 의해 식별되는 것을 특징으로 하고, 상기 서버형 인텔리전트 에이전트들(T2, S1)이 상기 "서버" 특징에 결합되어 있으며 고정된 참조에 의해 식별되는 것을 특징으로 하고, 상기 클라이언트 형의 인텔리전트 에이전트들(T1, S2)이 상기 "클라이언트" 특징들에 결합되어 있고, 상기 세션들 중의 하나로부터 다음으로 변화하는, 가변형 참조에 의해 식별되고, 그때 클라이언트형의 상기 인텔리전트 에이전트들의 예(instance)들이 이 세션들로부터 만들어지는 것을 특징으로 하는 방법.
  5. 제 4항에 있어서, 상기 프로토콜 데이터 단위들이 상기 식별자들 중의 하나를 포함하며, 소위 깃발 엔티티가 그 성격과 상기 인텔리전트 에이전트들 간에 교환된 선택적 데이터를 명확하게 밝히는 것을 특징으로 하는 방법.
  6. 제 5항에 있어서, 상기 깃발들이 다음 세가지 상태 중 적어도 하나를 취하는 것을 특징으로 하며 :
    - 상기 세션들 중 하나가 개방되어 있음을 가리키는 "OPEN"(개방됨);
    - 상기 세션들 중 하나가 닫혀있음을 가리키는 "CLOSE" (닫혀 있음);
    - 상기 인텔리전트 에이전트들(T2, T1, S2, S1) 중의 하나에 해당하는 인텔리전트 에이전트의 응답을 기다리고 있으며, 활동하지 않은 채로 있다는 것을 가리키는 "BLOCK" (막혀있음);
    또한, 상기 세션들이 다음의 세가지 상태 :
    - 어떠한 세션도 상기 인텔리전트 에이전트들 중 하나(T2, T1, S2, S1)와 상기 인텔리전트 에이전트들 중의 다른 하나 사이에서 개방되어 있지 않을 때 소위 《차단된》상태;
    - 하나의 세션이 상기 인텔리전트 에이전트들(T2, T1, S2, S1) 중의 다른 하나와 개방되어 있고, 하나의 세션은 상기 식별자들 중 한 쌍에 의해 식별될 때 소위 《연결된》 상태; 및
    - 상기 인텔리전트 에이전트들(T2, T1, S2, S1) 중의 하나가 연결되어 있고 그것이 연결된 상기 인텔리전트에이전트들 중의 하나의 응답을 기다리고 있을 때 소위 《막힌》상태;
    들을 취하는 것을 특징으로 하는 방법.
  7. 제 6항에 있어서, 상기 인텔리전트 에이전트들(T2, T1, S2, S1) 중의 두가지 사이에서 상기 세션들 중 하나의 구축 단계들에 다음 사항들이 포함되는 것을 특징으로 하며;
    a/ 상기 클라이언트형 (T1, S2) 인텔리전트 에이전트들 중 하나의 새로운 예(instance) 창조, 이 인텔리전트 에이전트는 소위, 일시적이라고 불리는, 가변형 참조들 중 하나로 식별되고;
    b/ 소위 "OPEN" 상태에 있는 깃발로, 미리 결정된 고정 참조로 식별되는, 상기 서버형 에이전트들 (T2, S1) 중 하나의 목적지로 프로토콜 데이터 단위들 중 하나를 발송하고;
    c/ 상기 "BLOCK" 깃발의 값에 따라 연결되었거나 막힌 상태에서 상기 클라이언트형 인텔리전트 요소 (T1, S2)가 통과하며;
    d/ 소위 "OPEN" 상태에 있는 상기 깃발을 가지고 상기 프로토콜 데이터 단위의 상기 서버형 인텔리전트 에이전트(T2, S1)으로 접수 그리고 연결된 상태에서 통과되며;
    그리고, 상기 세션의 개방 후, 상기의 두 연결된 인텔리전트 에이전트들이 상기 프로토콜 데이터 단위들을 경유하여 데이터들을 교환하는 것을 특징으로 하는 방법.
  8. 제 7항에 있어서, 상기 인텔리전트 에이전트들(T2, T1, S2, S1) 중의 두 가지 사이에서 상기 세션들 중 하나가 닫히는 단계들에 다음 단계 :
    a/ 상기 "CLOSE" 상태에 있는 깃발을 가지고, 데이터를 선택적으로 포함하는 상기 프로토콜 데이터 단위들 중 하나로부터 상기 클라이언트형 인텔리전트 에이전트들(T1, S2) 중 하나에 의한 발송하고;
    b/ 상기 프로토콜 데이터 단위로부터 상기 연결된 서버형 인텔리전트 에이전트(T2, S1)에 의한 접수 그리고 상기의 차단된 상태에서 상기 세션의 통과하는 단계;
    들이 포함되는 것을 특징으로 하는 방법.
  9. 제 8항에 있어서, 소위 서버 안에 있는 상기 "TCP/IP" 형 응용이 "WEB"형의 네비게이터(10)를 포함하는 것을 특징으로 하는 방법.
  10. 제 9항에 있어서, 상기의 첫번째 전용 소프트웨어가 상기 《네트워크》, 《클라이언트》, 《단말기》 속성들과 연결된 첫번째 인텔리전트 에이전트 (T1)을 포함하며, T1은 "TCP/IP"형 서버 기능을 실행하는 것을 특징으로 하고, 상기 두번째 전용 소프트웨어가 상기의 "카드", "서버" 그리고 "로컬" 속성들과 연결된 첫번째 인텔리전트 에이전트(S1)을 포함하고, 이 S1 에이전트는 상기 첫번째 인텔리전트 에이전트 T1과 세션에 의해 결합되어 있는 것을 특징으로 하며, 상기 필터(28)의 결정된 상기 기능적 특성들이 상기 첫번째 인텔리전트 에이전트 T1으로부터 나오는 정보들에 좌우되는 것을 특징으로 하며, 상기의 첫번째 전용 소프트웨어가 "단말기", "서버" 그리고 "네트워크"에 결합된 두번째 인텔리전트 에이전트(T2)를 포함하고, 소위 T2는, 상기 인터넷형 네트워크(RI)를 통해 상기의 떨어져있는 서버(4)에 연결될 수 있도록, "TCP/IP"형 클라이언트의 기능을 실행하는 것을 특징으로 하며, 상기 두번째 전용 소프트웨어(23a)가 "카드", "클라이언트" 그리고 "로컬" 속성들과 결합된 두번째 인텔리전트 에이전트(S2), 소위 S2를 포함하고, 이 인텔리전트 에이전트 S2의 예가 상기 필터(28)에 의해 역동적인 방식으로 상기 세션들 각각에서 만들어지고, 이 에이전트 S2는, 상기 인텔리전트 에이전트들(T2, T1, S2, S1)과 상기 필터(28)가 소위 "프록시 TCP"(27)의 기능을 형성하도록 협조하고, 상기 떨어져 있는 서버(4)와 상기 클라이언트(10) 간의 데이터 교환을 제어하는 방식으로, 상기 두번째 인텔리전트 에이전트 T2를 가지고 세션들을 개방하며 그것에 상기의 떨어져있는 서버(4)에 연결될 수 있게 하는 어드레스를 지정하는 것을 특징으로 하는 방법.
  11. 제 10항에 있어서, 상기 "프록시 TCP"(27) 기능을 만들 때 다음 단계 :
    a/ 상기 스마트 카드 (2a) 위의 다시 막힘과 이 인텔리전트 요소 T1과 상기 인텔리전트 요소 S1 간 세션의 창조를 유발시키는, 상기 클라이언트(10)과 상기 인텔리전트 에이전트 T1 사이 연결의 개방, 그리고 상기 "WEB"형 네비게이터(10)에 의한 "URL" 형의 결정된 어드레스 "IP" 전송, 그리고 상기의 인텔리전트 요소 S1과 상기의 "URL"형 어드레스 "IP"는 떨어져있는 상기 서버 안에 포함된 하나의 엔티티로 이끄는 길을 식별하는 또 "URL"형의 또 다른 어드레스 "IP를 포괄하고;
    b/ 상기 인텔리전트 에이전트들 T1과 S1 간 상기 세션 동안 교환되는 프로토콜 데이터 단위들에 입각하여 필터(28)의 결정된 기능과 상기 필터(28)의 창조에 대해 결정하고;
    c/ 상기 인텔리전트 에이전트 S2의 상기 필터(28)에 의한 창조와 상기 인텔리전트 에이전트들 S2와 T2 간 세션의 개방, 그리고, 프로토콜 데이터의 첫번째 단위에 의한, 상기 포괄된 어드레스 "IP"를 운반하는 데이터 전송, 이 데이터들은 상기 떨어져있는 서버(4) 명칭과 결합된 포트 번호를 명시하며;
    d/ 상기의 인터넷 형 네트워크(RI)을 통해, 상기 인텔리전트 에이전트 T2에 의한 상기 떨어져있는 서버(4)와 "TCP"형 연결을 개방하고; 그리고
    e/ 상기 떨어져있는 서버(4)와 상기 "WEB" 형 네비게이터(10) 간에 교환된 데이터에 대해 결정된 처리를 행할 수 있도록 상기 인텔리전트 에이전트들 T1과 T2에 의해 발송된 데이터들을 바로 이어서 제어하는 단계;
    들이 포함되는 것을 특징으로 하는 방법.
  12. 제 11 항에 있어서, 상기 프로토콜 데이터 단위들이 소위 《명령》이며 특정 값의 깃발로 식별되는 것을 특징으로 하고, 이 명령 프로토콜 데이터 단위들이, 다른 인텔리전트 에이전트들이나, 소위 인터넷 형의 네트워크(RI)에 전달됨이 없이, 상기 수신자 인텔리전트 에이전트들(T2, T1, S2, S1)에 의해 직접 처리되는 것을 특징으로 하고, 이 명령 프로토콜 데이터 단위들이, 상기 세션들 밖에서 인텔리전트 요소들 간 데이터들을 교환하게 할 수 있도록, 첫번째 인텔리전트 에이전트에 발송할 데이터 양을 지정하고 두번째 에이전트에 첫번째 인텔리전트 에이전트으로부터 받도록 허가되는 데이터 양을 지정하는 것을 특징으로 하는 방법.
  13. 제 12 항에 있어서, 상기 데이터의 흐름은 거기에서 정해진 첫번째 처리를 겪도록 상기 스마트 카드 (2a)에 의해 유도되어야 하는 소위 임계 데이터와 상기 단말기(1)에 직접 전달되어야 하는 소위 불투명한 데이터들을 포함하는 복합식 흐름이며, 상기 불투명한 데이터들은 상기 필터(28)에 영향을 미치는 상기 임계 데이터들의 제어하에 상기 단말기(1) 안에서 결정된 두번째 처리를 겪는 것을 특징으로 하는 방법.
  14. 제 13항에 있어서, 상기 두번째의 불투명한 데이터 처리가 인텔리전트 에이전트들(T2, T1, S2, S1) 간 상기 세션들 밖에서 데이터 교환 시 실행되는 것을 특징으로 하는 방법.
  15. 제 14항에 있어서, 상기 "WEB"형 네비게이터(10)와 상기의 떨어져있는 서버(4) 간에 상기 데이터 전송이 비대칭 통신 프로토콜에 따라 행해지며 적어도 다음의 연속적인 단계 :
    a/ "WEB"형의 상기 네비게이터(10)와 상기 인텔리전트 에이전트 T1 간의 연결 개방과 상기 스마트 카드 (2a) 위의 다시 막음과 이 인텔리전트 에이전트 T1과 상기 인텔리전트 에이전트 S1 간의 세션 창조를 유발시키는 "URL"형의 결정된 어드레스 "IP"의 상기 "WEB"형 네비게이터에 의한 전송, 그리고 상기 "URL"형 어드레스"IP"는 상기 떨어져있는 서버(4) 안에 포함된 하나의 엔티티로 이끄는 길을 식별하는 또 다른 어드레스 "IP"를 포괄하고;
    b/ 상기 인텔리전트 에이전트들 T1과 S1 간 상기 세션 동안 교환된 프로토콜 데이터의 단위들을 근거로 하여 필터(28)의 결정된 기능과 상기 필터(28)의 창조에 대해 결정하고;
    c/ 상기 필터에 의한 상기 인텔리전트 에이전트 S2의 창조와 상기 인텔리전트 에이전트 S2와 T2 간 세션의 개방, 그리고, 첫번째 프로토콜 데이터 단위에 의한, 상기 포괄된 "IP" 어드레스를 운반하는 데이터 전송, 이 데이터들은 상기의 떨어져있는 서버(4) 명칭과 결합된 포트 번호를 명확하게 밝히며, "http"형 요구의 것으로 전송하고;
    d/ 상기 인텔리전트 에이전트들 S2와 T2 사이에 개방된 상기 세션의 중개로 상기 떨어져있는 서버(4)와 상기 필터(28)간의 소위 특정 임계 데이터 교환하고;
    e/ 상기 필터(28)에 의한 상기 특정 임계 데이터 처리의 미리 정해진 결과에 따라, 상기 에이전트 T1에 의해 세션 밖으로 발송된 데이터를 받아들이도록 허용하는 상기 인텔리전트 에이전트 T2로 소위 명령 프로토콜 데이터 단위를 발송하고, 상기 떨어져있는 서버(4)와 상기 "WEB" 형 네비게이터 (10) 간에 바로 이어서 교환되는 자료들은 상기의 불투명한 데이터들을 구성하며 상기 스마트 카드(2a)를 통과함이 없이, 상기 인텔리전트 에이전트들 T1과 T2에 의해 직접 연계되며; 그리고
    f/ "TCP" 차단 명령을 탐지했을 때, 상기 필터(28)이 한편으로는 상기 인텔리전트 에이전트들 T1과 S1, 그리고 다른 한편으로는 상기 인텔리전트 에이전트들T2와 S2 간 상기 세션들의 닫힘을 감독하도록 상기 인텔리전트 에이전트들 S1 또는 S2 중 하나의 방향으로 소위 "CLOSE" 상태에 있는 깃발과 결합된 프로토콜 데이터 단위들을 인텔리전트 에이전트들 T1 또는 T2 중의 하나에 의해 발송하는 단계;
    들을 포함하고 있는 것을 특징으로 하는 방법.
  16. 제 15 항에 있어서, 상기의 d/ 단계가 상기 필터(28)과 상기 떨어져있는 서버(4) 사이에서 생성되는 인증 절차를 포함하는 것을 특징으로 하며, 상기 e/ 단계의 미리 정해진 상기 결과가 상기 인증 단계에 대한 양호한 전개를 확인하는 것임을 특징으로 하는 방법.
  17. 제 16 항에 있어서, 상기 필터(28)이 상기 보안된 프로토콜 "SSL"의 사용을 위한 필터인 것으로 특징으로 하며, 상기 첫번째 전용 소프트웨어 (13) 안에 포함된, "SSL"형의 기능과 결합된 서버형의 첫번째 보충 인텔리전트 에이전트 (T3), 소위 T3와 상기 두번째 전용 소프트웨어 (23a) 안에 포함된, 클라이언트형의 두번째 보충적 인텔리전트 에이전트(S3), 소위 S3가 사용된다는 것을 특징으로 하며, 상기의 떨어져 있는 서버(4)와 협상을 시작하도록, 그리고 하나의 암호화 산식 및 한 방향으로 잘게 자르는 기능으로 구성되는 보안 데이터 한 쌍과, 이 보안 데이터들과 결합된 매개변수들을 선택하도록, 그리고 이어서 다음 단계 :
    1/ 상기 에이전트들 S3와 T3 간 세션의 개방, 이 에이전트들은 암호화 열쇠의 하나의 값과 상기 잘게 만드는 기능의 현재 값들로 시작되고;
    2/ 상기 필터(28)에 의해 상기 인터넷 형 네트워크(RI)를 통해 상기 인텔리전트 에이전트 T3에 의해 그것으로 하여금 세션 밖에서 발송된 데이터들을 상기 멀리 떨어진 서버(4)로 전달할 수 있게 하고 이 인텔리전트 에이전트 T3 쪽으로 인터넷 형 네트워크(RI)으로부터 받은 데이터들을 방향지정하도록 허용하는 명령 프로토콜 데이터들의 상기 단위를 상기 인텔리전트 에이전트 T2로 보내고;
    3/ 상기 필터에 의해, 그것으로 하여금 상기 인텔리전트 에이전트들 T1과 T2에 의해 세션 밖에서 발송된 데이터들을 받도록 허용하는 소위 명령 프로토콜 데이터들의 한 단위를 상기 인텔리전트 에이전트 T3로 보내고;
    4/ 상기 인텔리전트 에이전트들 T1, T3 그리고 T2를 가로질러, 상기 단말기(1) 안에, 전송 터널 구축하며; 그리고
    5/ 상기 인텔리전트 에이전트들 T1 또는 T2 중의 하나에 의해, 그것이 결합된 세션이 닫힐 때, 개방된 채 남아있는 다른 세션들이 상기 필터(28)에 의해 닫히는 단계;
    들을 실행하도록 하는 상기 a/ 부터 d/까지의 단계들을 포함하는 것을 특징으로 하는 방법.
KR1020017012939A 2000-02-10 2001-02-09 서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터플로우 전송 방법 KR100859782B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR00/01665 2000-02-10
FR0001665A FR2805062B1 (fr) 2000-02-10 2000-02-10 Procede de transmission de flux de donnees a haut debit sur un reseau de type internet entre un serveur et un terminal a carte a puce, notamment d'un flux de donnees multimedia
PCT/FR2001/000394 WO2001060040A2 (fr) 2000-02-10 2001-02-09 Procede de transmission de donnees sur un reseau internet entre un serveur et un terminal a carte a puce, qui contient des agents intelligents

Publications (2)

Publication Number Publication Date
KR20020005670A true KR20020005670A (ko) 2002-01-17
KR100859782B1 KR100859782B1 (ko) 2008-09-24

Family

ID=8846860

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020017012939A KR100859782B1 (ko) 2000-02-10 2001-02-09 서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터플로우 전송 방법

Country Status (13)

Country Link
US (1) US7130910B2 (ko)
EP (1) EP1208684B1 (ko)
JP (1) JP3845018B2 (ko)
KR (1) KR100859782B1 (ko)
CN (1) CN1172505C (ko)
AT (1) ATE345003T1 (ko)
AU (1) AU3564801A (ko)
CA (1) CA2366568C (ko)
DE (1) DE60124367T2 (ko)
FR (1) FR2805062B1 (ko)
HK (1) HK1048906A1 (ko)
TW (1) TW509847B (ko)
WO (1) WO2001060040A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030046621A (ko) * 2001-12-16 2003-06-18 한국전자통신연구원 계층화 구조의 프로토콜 스택을 사용하는 스마트 카드와휴대 단말기의 통신 환경 설정 방법

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6324685B1 (en) * 1998-03-18 2001-11-27 Becomm Corporation Applet server that provides applets in various forms
FR2791159B1 (fr) * 1999-03-15 2001-05-04 Bull Cp8 Procede d'acces a un objet a l'aide d'un navigateur de type "web" cooperant avec une carte a puce et architecture pour la mise en oeuvre du procede
US7346783B1 (en) * 2001-10-19 2008-03-18 At&T Corp. Network security device and method
DE10156036A1 (de) * 2001-11-15 2003-06-05 Evotec Ag Verfahren und Vorrichtung zur Datenverarbeitung
US7783901B2 (en) * 2001-12-05 2010-08-24 At&T Intellectual Property Ii, L.P. Network security device and method
FR2835671B1 (fr) * 2002-02-01 2004-07-16 Trusted Logic Procede et dispositif pour securiser les messages echanges sur un reseau
US7240830B2 (en) * 2002-02-15 2007-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Layered SIM card and security function
FR2841714B1 (fr) * 2002-06-26 2005-03-04 Viaccess Sa Protocole d'adaptation du degre d'interactivite entre equipements informatiques interlocuteurs soumis a un dialogue interactif
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
KR100453060B1 (ko) * 2002-11-15 2004-10-15 삼성전자주식회사 MPV(MultiPhotoVideo) 환경하에서자산이 위치하는 경로와 파일 이름을 나타내는 라스트유알엘 복구 방법
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
KR100928848B1 (ko) 2003-02-26 2009-11-30 주식회사 비즈모델라인 스마트 카드 단말기용 호스트 애플리케이션 제공 방법
DE10311177A1 (de) * 2003-03-12 2004-09-23 Giesecke & Devrient Gmbh System und Verfahren zur Bonifikation der Kenntnisnahme vorgegebener Dateninhalte
SE523708C2 (sv) * 2003-08-11 2004-05-11 Dan Duroj Handhållen nätverksanslutning skapad med åtminstone två lagringsmedium i fickformat med programvara för kommunikation
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US7720983B2 (en) * 2004-05-03 2010-05-18 Microsoft Corporation Fast startup for streaming media
JP2006031261A (ja) * 2004-07-14 2006-02-02 Matsushita Electric Ind Co Ltd マルチメディア処理システム
CN101027676B (zh) * 2004-08-24 2011-10-05 艾斯奥托公司 用于可控认证的个人符记和方法
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8176564B2 (en) 2004-11-15 2012-05-08 Microsoft Corporation Special PC mode entered upon detection of undesired state
US8464348B2 (en) * 2004-11-15 2013-06-11 Microsoft Corporation Isolated computing environment anchored into CPU and motherboard
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US8353046B2 (en) 2005-06-08 2013-01-08 Microsoft Corporation System and method for delivery of a modular operating system
JP4979912B2 (ja) * 2005-08-31 2012-07-18 フェリカネットワークス株式会社 情報処理システム,クライアント,サーバ,プログラム,情報処理方法
US7720984B2 (en) * 2006-02-07 2010-05-18 Cisco Technology, Inc. Method and system for stream processing web services
US9092635B2 (en) 2006-03-31 2015-07-28 Gemalto Sa Method and system of providing security services using a secure device
US20080052770A1 (en) * 2006-03-31 2008-02-28 Axalto Inc Method and system of providing security services using a secure device
EP2027692B1 (en) * 2006-05-22 2019-03-06 Nxp B.V. Secure internet transaction method and apparatus
DE102007013339A1 (de) * 2007-03-20 2008-09-25 Giesecke & Devrient Gmbh Portabler Datenträger als Web-Server
FR2916592B1 (fr) * 2007-05-25 2017-04-14 Groupe Des Ecoles De Telecommunications(Get)-Ecole Nat Superieure Des Telecommunications(Enst) Procede de securisation d'echange d'information,dispositif, et produit programme d'ordinateur correspondant
EP2001202A1 (en) * 2007-06-06 2008-12-10 Axalto SA Method of managing communication between an electronic token and a remote web server
US8219804B2 (en) * 2007-09-13 2012-07-10 Ricoh Company, Ltd. Approach for managing device usage data
DE102007050836A1 (de) * 2007-10-24 2009-04-30 Giesecke & Devrient Gmbh Internet-Smart-Card
FR2923337B1 (fr) * 2007-11-07 2010-01-01 Oberthur Card Syst Sa Procede et systeme d'echange de donnees entre serveurs distants.
US20090319922A1 (en) * 2008-06-19 2009-12-24 Bank Of America Corporation Non-Bypassable Disclosures in Electronic Transactions
KR101095163B1 (ko) * 2008-08-27 2011-12-16 에스케이플래닛 주식회사 위젯 실행을 위한 사용자 단말기와 스마트 카드 간 연동 시스템 및 그 방법
US8972584B2 (en) * 2009-03-13 2015-03-03 Sharp Laboratories Of America, Inc. Remote card reader access
FR2943198B1 (fr) * 2009-03-16 2011-05-20 Groupe Des Ecoles De Telecommunications Get Ecole Nationale Superieure Des Telecommunications Enst Procede de production de donnees de securisation, dispositif et programme d'ordinateur correspondant
FR2951845B1 (fr) * 2009-10-28 2011-12-23 Oberthur Technologies Objet a microcircuit de poche et terminal de communication comprenant cet objet
US8676954B2 (en) 2011-12-06 2014-03-18 Kaseya International Limited Method and apparatus of performing simultaneous multi-agent access for command execution through a single client
DE102012003009A1 (de) * 2012-02-15 2013-08-22 Giesecke & Devrient Gmbh Übertragen von Datenströmen zu und von einem Sicherheitsmodul
CN104348951B (zh) * 2013-07-24 2016-10-19 北京握奇数据系统有限公司 一种卡片应用管理系统
US10742812B1 (en) * 2016-10-14 2020-08-11 Allstate Insurance Company Bilateral communication in a login-free environment
FR3117244A1 (fr) * 2020-12-04 2022-06-10 Banks And Acquirers International Holding Procédé de transmission de données, dispositif et programme correspondant.

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69533328T2 (de) * 1994-08-30 2005-02-10 Kokusai Denshin Denwa Co., Ltd. Beglaubigungseinrichtung
JP2000514584A (ja) * 1996-10-25 2000-10-31 シュルンベルジェ システーム 高級プログラミング言語を用いたマイクロコントローラ
US6282522B1 (en) * 1997-04-30 2001-08-28 Visa International Service Association Internet payment system using smart card
GB2326010A (en) * 1997-06-07 1998-12-09 Ibm Data processing system using active tokens
GB2332288A (en) * 1997-12-10 1999-06-16 Northern Telecom Ltd agent enabling technology
US6438550B1 (en) * 1998-12-10 2002-08-20 International Business Machines Corporation Method and apparatus for client authentication and application configuration via smart cards
US6547150B1 (en) * 1999-05-11 2003-04-15 Microsoft Corporation Smart card application development system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030046621A (ko) * 2001-12-16 2003-06-18 한국전자통신연구원 계층화 구조의 프로토콜 스택을 사용하는 스마트 카드와휴대 단말기의 통신 환경 설정 방법

Also Published As

Publication number Publication date
JP3845018B2 (ja) 2006-11-15
CA2366568C (en) 2007-07-24
WO2001060040A2 (fr) 2001-08-16
AU3564801A (en) 2001-08-20
CA2366568A1 (fr) 2001-08-16
JP2003522361A (ja) 2003-07-22
TW509847B (en) 2002-11-11
CN1363171A (zh) 2002-08-07
WO2001060040A3 (fr) 2002-03-14
DE60124367T2 (de) 2007-08-30
US20020138549A1 (en) 2002-09-26
CN1172505C (zh) 2004-10-20
US7130910B2 (en) 2006-10-31
ATE345003T1 (de) 2006-11-15
HK1048906A1 (en) 2003-04-17
FR2805062B1 (fr) 2005-04-08
FR2805062A1 (fr) 2001-08-17
EP1208684A2 (fr) 2002-05-29
KR100859782B1 (ko) 2008-09-24
DE60124367D1 (de) 2006-12-21
EP1208684B1 (fr) 2006-11-08

Similar Documents

Publication Publication Date Title
KR100859782B1 (ko) 서버와 스마트카드 단말기 사이의 인터넷 타입 네트워크상에서의 고속 데이터 플로우, 특히 멀티미디어 데이터플로우 전송 방법
KR100886137B1 (ko) 스마트카드에 소프트웨어 콤포넌트, 특히 애플릿을로딩하는 방법
US6751671B1 (en) Method of communication between a user station and a network, in particular such as internet, and implementing architecture
EP0967765B1 (en) Network connection controlling method and system thereof
JP3794926B2 (ja) スマートカードと協働する「web」タイプのブラウザを用いたオブジェクトへのアクセスシステム
KR100723006B1 (ko) 인터넷형 네트워크 서버 디렉토리상에 유저를 등록하고상기 네트워크 상에 유저를 위치 설정하기 위한 방법 및이를 위한 스마트 카드
AU772508B2 (en) Safe terminal provided with a smart card reader designed to communicate with a server via an internet-type network
Urien Internet card, a smart card as a true Internet node
KR20020005669A (ko) 인터넷을 통한 멀티미디어 데이터 전송 관리 방법 및 이를위한 스마트 카드
FR2897222A1 (fr) Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable
JP2013065340A (ja) リトリーブ可能なトークン(例えば、スマートカード)内の独立した実行環境におけるアプリケーション間のセキュリティで保護されたリソース共有
EP1197036B1 (en) License control at a gateway server
Madlmayr A mobile trusted computing architecture for a near field communication ecosystem
EP1091276A1 (en) Authentication of hypertext kind of resources through signature handling protocol
Ali et al. Network Smart Card: A New Paradigm of Secure Online Transactions
Gleeson et al. Secure access control in a TINA environment containing mobile agents
Gibson et al. Secure architectures

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120917

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130909

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee