インターネットタイプのネットワークを介してサーバと通信するためのチップカード読取装置を備えた安全保護端末
【課題】インターネットタイプのネットワークを介して、チップカードとWEBサーバの間の通信を可能にする端末アーキテクチャを提供する。
【解決手段】端末5は、チップカード8読取装置と、キーボード62と、さらに任意選択で、他の情報処理リソース63とを備える安全保護エンクロージャ6を備えている。端末5の非安全保護部分は、WEBブラウザ51と、受信した要求をブラウザ51または安全保護エンクロージャ6に向かわせる第1の通信ノード50を有する。安全保護エンクロージャ6は、第2の通信ノード60とHTTPサーバ61を備える。チップカード8は、第3の通信ノード80とHTTPサーバ81を有する。WEBサーバ4は、チップカード8と通信を確立しかつチップカードのソフトウェアアプリケーションA1からAnを起動させることができる商用アプリケーション41を有する。
【解決手段】端末5は、チップカード8読取装置と、キーボード62と、さらに任意選択で、他の情報処理リソース63とを備える安全保護エンクロージャ6を備えている。端末5の非安全保護部分は、WEBブラウザ51と、受信した要求をブラウザ51または安全保護エンクロージャ6に向かわせる第1の通信ノード50を有する。安全保護エンクロージャ6は、第2の通信ノード60とHTTPサーバ61を備える。チップカード8は、第3の通信ノード80とHTTPサーバ81を有する。WEBサーバ4は、チップカード8と通信を確立しかつチップカードのソフトウェアアプリケーションA1からAnを起動させることができる商用アプリケーション41を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末の、とりわけ、安全保護エンクロージャ内に位置するチップカード読取装置とキーボードとを利用するタイプの端末であり、インターネットタイプのネットワークを介してサーバと通信するための端末のアーキテクチャに関するものである。
【背景技術】
【0002】
このような装置は、たとえば、「セーフパッド」という商標で知られている。
【0003】
本発明においては、「端末」という用語は、一般的意味に理解しなければならない。上述の端末は、特に、WINDOWS(登録商標)またはUNIX(登録商標)のような、さまざまなオペレーティングシステムの下で機能するパソコンによって構成することができる。それはまた、ワークステーション、携帯型コンピュータまたは専用のカード端末によって構成することもできる。
【0004】
同様に、本発明において、「インターネットネットワーク」という用語は、いわゆるインターネットネットワークの他に、「イントラネット」と呼ばれる企業の私的ネットワークまたは同類のネットワークや、「エクストラネット」と呼ばれる外部に向けて延びるネットワークの総称である。
【0005】
チップカードは、電子「財布」のような、金融や保健に関するアプリケーションなど、さまざまな領域で使用されている。さらに、1枚のチップカードに複数のアプリケーションを共存させることができる(マルチアプリケーションチップカード)。
【0006】
これらのタイプのアプリケーションでは、チップカードに、さまざまな機能を割当てることができる。とりわけ、チップカードは、安全目的で使用することができる。「安全」という用語は、一般的意味、特に、ステーションのユーザおよび/またはチップカードそれ自体の所有者の秘密性および/または認証という意味に解釈しなければならない。
【0007】
より具体的なアプリケーションにおいて、端末は、チップカード読取装置と、キーボードと、場合によっては1つまたは複数の他の情報処理リソースを有する安全保護エンクロージャを備えることができる。
【0008】
図1は、従来の技術による、上述タイプの端末のアーキテクチャを非常に概略的に示している。
【0009】
わかりやすくするために、端末1は、マイクロコンピュータに基づいて構成されているものとする。このマイクロコンピュータは、このような情報処理機器を構成し、それらの良好な作動に必要なあらゆる装置(図示せず)を備える。すなわち、中央処理装置、RAM、大容量記憶システム(ハードディスク)、情報媒体読取装置(ディスケットなど)などである。図1に示されている特定の場合には、端末1は、チップカード2の読取装置30とキーボード31を有する安全保護エンクロージャ3を備える。キーボード31は、特にチップカード2の所有者の認証データ、たとえばチップカード2の識別子に関連するパスワードの入力に役立つ。さまざまな電子回路によって、このエンクロージャ中に存在する安全保護されたエレメント間、特に、一方ではキーボード31とチップカード2(読取装置30を介して)、他方では、これらの安全保護エレメントと端末1内に存在する非安全保護エレメントとの間の通信が可能になる。
【0010】
通常、端末は、非安全保護部分において、以下「商用アプリケーション」と呼ばれる特定のアプリケーション10を有し、当該の端末1によって可能な独自のトランザクションの管理と監督を行う。このアプリケーション10と、安全保護エンクロージャ3内部のエレメントの間の通信は、通常、「RS232」タイプのスタンダードによって行われる。読取装置30を介しての、安全保護エンクロージャ3内部のエレメント、特に常駐アプリケーション300とチップカード2との間の通信は、通常、ISO規格7816−1から7816−4に準拠するプロトコルによって行われる。
【0011】
したがって、このタイプのアーキテクチャは、特に以下のような主要な欠点を有する。
【0012】
−端末内に実装された商用アプリケーション(非安全保護部分)と安全保護エンクロージャ内の常駐アプリケーションは、この端末に固有のものである。
【0013】
−関連する情報処理プログラムは、一般に大きな容量を占める。
【0014】
−柔軟性と信頼度が限定されている。なぜなら、これらのプログラムの改良は、端末(非安全保護部分)および安全保護エンクロージャ中にプログラムを再びロードし、さらに場合によっては良好作動テストの実行を必要とし、その結果専門スタッフが必要となるからである。
【0015】
一般に、こうした作業は、多数の端末のために繰り返し行われなければならない。
【0016】
さらに、アプリケーション全体またはアプリケーションの安全保護部分が対象になる点に留意しなければならない。したがって、プログラムの更新のために、特定のアプリケーションに固有の定められた安全レベルを保証できなければならない。
【0017】
ほとんどの場合、端末1は、伝送ネットワークRIを介して、1つまたは複数の遠隔システムに接続されているという意味においては、分離されていない。なお、それらシステムのただ1つ4が、図1に示されている。ネットワークRIの性質は、該当するアプリケーションに応じて(金融、保健、その他に関するアプリケーション)非常に多様であることができる。特に、インターネットネットワーク、またはこのタイプのネットワーク(イントラネットまたはエキストラネット)の急速な発展と、そこに頼るアプリケーションを考慮に入れると、こうしたタイプのネットワークを対象とすることができる。通常は、グローバルアーキテクチャは、「クライアント−サーバ」型と呼ばれるタイプであり、「サーバ」は一般に遠隔システム4であり、「クライアント」は端末1である。しかし、特定の状況においては、トランザクション時間中に、それらの役割が逆転する、または交代することもありうる。
【0018】
このようなアーキテクチャにおいて、特定アプリケーション10およびアプリケーション300に関連するプログラムは、理由が何であれ、それらのバージョンの改良版が存在することによって、遠隔サーバ、たとえばサーバ4から、集中的に更新することができる。こうした更新が遠隔処理によって行われることから、上述の欠点の1つを軽減することができるという結果になる。しかしながら、これらのオペレーションは、十分に完成された管理手続きの実施を必要とする。さらに、遠隔ロードは、敏感なデータを含むことがある、または、少なくとも、許可されていないまたは安全性の点で危険であるプログラムおよび/またはプロシージャ(「トロイの木馬」、「ロジック爆弾」、ウィルスなど)を端末内に実装することを許可してはならない。
【0019】
さらに、インターネットネットワークの能力の増大と普及にともなって、一方では、以下「商用サーバ」と呼ばれる遠隔サーバに向けて、端末内に局所的に実装された上述の特定のアプリケーションを「移行」させ、他方では、これらの商用サーバから、チップカードと直接的に対話する必要性がある。
【0020】
とりわけ、この第2の必要性は、以下に説明する理由のために、従来の技術の端末によっては満たすことができない。
【0021】
しかし、まず初めに、インターネットタイプのネットワークRIを介して、従来の技術による端末と遠隔サーバとの通信を可能にするシステムのアーキテクチャを簡単に説明することは有益であろう。このようなアーキテクチャは、図2に概略的に示されているが、とりわけ、参照番号1’が付された端末の論理アーキテクチャが示されている。
【0022】
端末1’は、ここでは、安全保護されていようとなかろうと、一般的タイプの端末であり、その配置は、当該の通信の種々のタイプを説明するには重要ではない。
【0023】
先に記したように、端末1’は、必然的に、その良好な作動に必要なあらゆる回路および装置を有するが、図を簡略化するためにそれらはここには図示されていない。通常、端末1’もまた、とりわけ本発明の範囲中で安全保護エンクロージャ(図1:3)内に位置する、ディスプレイ(図示せず)およびキーボード31など、組み込み型または非組み込み型の、従来の周辺装置に接続されている。
【0024】
通常、ネットワーク上での通信は、重なり合った複数のソフトウェア層を含む規格に準拠したプロトコルにしたがって行われる。インターネットタイプのRIネットワークの場合には、通信は、このタイプの通信に固有であるが、同じく複数のソフトウェア層を含むプロトコルにしたがって行われる。通信プロトコルは、とりわけ対象にされたアプリケーションに応じて選択される。すなわち、「WEB」ページの照会、ファイルの移動、電子メール、フォーラム、「ニュース」などである。
【0025】
通信ネットワークのアーキテクチャは、さまざまな層によって説明される。たとえば、「ISO」によって定められている「OSI」(「オープンシステム相互接続」)規格は、いわゆる下位層(たとえば物理的伝送媒体を対象とする「物理」層)から、いわゆる「トランスポート」層と呼ばれる中間層を通って、いわゆる上位層(たとえば「応用」層)に向かう7つの層を有する。任意の層は、適切なインターフェイスを介して、すぐ上の層に対してそのサービスを提供し、すぐ下の層に他のサービスを要求する。層は、プリミティブを用いて通信する。層はまた、同じレベルの層と通信を行う。特定のアーキテクチャにおいては、それらの層のどちらかが存在しないことも可能である。
【0026】
インターネット環境においては、層は5つあり、より厳密に言えば、上の層から下の層に向って順に、応用層(「http」、「ftp」、「e−mail」など)、トランスポート層(「TCP」)、ネットワークアドレシング層(「IP」)、データリンク層(「PPP」、「Slip」など)、物理層がある。
【0027】
端末1’は、インターネットネットワークへのアクセス回路11を含む。たとえばインターネットサービスのプロバイダ(英語で、「Internet Service Provider」または「ISP」)を介して、電話回線または統合サービスデジタルネットワーク(「ISDN」)に接続するためのモデムを対象とすることもできる。RIネットワークへのアクセス回路11は、上述の「物理」層および「データリンク」層に対応する下位方ソフトウェア層C1およびC2を再統合する。
【0028】
同様に、「ネットワークアドレシング」(「IP」)層と「トランスポート」層(「TCP」)に対応する上位層C3およびC4も示されている。上位応用層(「http」、「ftp」、「e−mail」など)は、何らかのタイプの、好ましくは市販されているスタンダードタイプの「WEB」ブラウザ(navigateur)NWによって概略化されている。
【0029】
下位層C1およびC2と上位層C3およびC4との間のインターフェイスは、一般に「下位層ドライバ」と呼ばれるソフトウェア層15によって構成される。上位層C3およびC4は、このインターフェイスに支えられ、それらが連絡する特定の機能を有するライブラリまたはネットワークライブラリ14を介して利用される。インターネットネットワークの場合には、「TCP/IP」が、「ソケット」と呼ばれるライブラリを用いて利用される。
【0030】
こうした構造によって、NWブラウザは、「WEB」ページを調べるために(「HTTP」プロトコル)、またはファイルを転送するために(「FTP」プロトコル)、あるいは電子メールを送付するために(「e−mail」プロトコル)、遠隔サーバ4に向けて要求を出すことを可能にする。
【0031】
端末1’はまた、本発明のより特定の範囲の、安全保護エンクロージャ(図1:3)中に位置するカードの読取装置30を有する。チップカード2と通信するために、カード読取装置30は、また、C1およびC2と同類の役割を果たす、2つの下位層CC1(物理層)およびCC2(データリンク層)を備える。層CC1およびCC2とのソフトウェアインターフェイスは、たとえば「PC/SC」仕様(「第6部、サービスプロバイダ」)に説明されている。層CC1およびCC2自体は、特に、ISO規格7816−1から7816−4に記載されている。
【0032】
追加ソフトウェア層13は、単一参照記号Appli1を付された応用層と、下位層CC1およびCC2との間のインターフェイスを形成する。この層13に割当てられた主な機能は、多重化/多重化解除機能である。
【0033】
チップカード2の側には、類似の構造、すなわち、CC’1(物理層)およびCC’2(データリンク層)と参照符号が付された2つの下位層、さらに層13に完全に類似したインターフェイス層23の存在が見られる。この層23は、上述のプロトコル層CC’1およびCC’2と、Appli2と参照記号が付された単一モジュールの形で表わされる1つまたは複数の応用層との間のインターフェイスが確立される。
【0034】
チップカード読取装置30とチップカード2との間の通信は、「APDU」(「アプリケーションプロトコルデータユニット」の略)という英語の略語で知られている、標準化された制御装置を用いて行われる。
【0035】
非限定的な例として以下のような種々のプロトコルを使用することができる。
【0036】
−ETSI勧告 GSM 11.11、
−文字モードT=0における、ISO規格7816−3によって定義されたプロトコル、
−ブロックモードT=1における、ISO規格7816−3によって定義されたプロトコル、
−「HDLC」(ハイレベルデータリンク制御手順)モードにおける、ISO規格3309によって定義されたプロトコル。
【0037】
本発明の範囲においては、好ましくは、ブロックモードにおけるプロトコルISO 7816−3が使用される。
【0038】
それ自体良く知られた方法で、プロトコルの各層には、同じレベルの層同士で、さらに異なる層間でのデータ交換を可能にする一定数のプリミティブが関連付けられる。
【0039】
従来の技術の現状においては、インターネットネットワークRIを介して、チップカード2と遠隔サーバ4との直接通信を確立することは不可能である。なぜなら、上述したように、スタンダードタイプのチップカードの通信プロトコルは、インターネットネットワークまたはこのタイプのネットワーク全体において使用されるプロトコルと互換性がないからである。ブラウザNW内に、特定のタイプの「プラグイン」と呼ばれるソフトウェアを実装する場合を除き、ブラウザNWとチップカード2との間の直接通信を確立することはもはや不可能である。
【0040】
改めて図1を参照すると、端末1がインターネットネットワークに接続されると仮定すると、上述したことを要約すれば、この端末1は、従来の技術によって、キーボード31とチップカード2の読取装置30を備えた安全保護エンクロージャ3を有することから、点線で示された主要な通信インターフェイスS1およびS2を備えることがわかる。第1のインターフェイスS1は、商用アプリケーション10が実施されるいわゆる端末1にエンクロージャ3を接続し、第2のインターフェイスS2が、チップカード2との通信のために設けられる。実際には、インターフェイスS2は、アプリケーション300とチップカード2との間に配分される。これら2つのインターフェイスに、外部に向かうインターフェイスが付け加えられ(図2:特に回路11)、このインターフェイスによって、端末1は、インターネットネットワークRIと通信することができる。インターフェイスS1は、2つのレベルの対話を受入れる。端末1から出されたオーダが、インターフェイスS2によって意味の変更なく実行されるような第1の透過的対話と、アプリケーション300を介入させる第2のレベルの対話である。
【0041】
このようにして、キーボード31上でパスワードを入力することによる認証は、アプリケーション300によって解釈され、アプリケーション300とチップカード2との間のインターフェイスS2上の交換セッションに変換される、インターフェイスS1に従属するオーダである。この交換の結果は、インターフェイスS1に伝送される。
【0042】
現状の技術においては、スタンダードチップカード2は、上述したように、インターネットネットワークRIとの直接的交換を受入れることができないという点に加えて、従来の技術による端末の重大な欠点は、常駐アプリケーション300の存在によって構成される。ほとんどの場合、「所有の(proprietary)」と呼ばれるアプリケーションが対象となり、そのことは、商用アプリケーション10が、使用される端末の種類とタイプに応じて書込まれなければならいことを意味する。したがって、このアプリケーションは、先験的に、端末のタイプによって異なり、そのため、信号操作が容易に行えなくなる。さらに、このアプリケーションは、インターネットタイプの環境にはもはや適合しない。
【0043】
たとえば、端末の「EMV」規格を遵守することによって、商用端末1とチップカード2の読取装置30との間の交換の標準化を目指す英語の略語「OCF」(「オープンカードフレームワーク)で知られているスタンダードとして、本発明のアプリケーションのタイプのためのスタンダードが提案された。しかしながら、このようなスタンダードは、インターネットのコンテキストにおいては直接的には使用することができない。
【0044】
金融アプリケーションの領域においては、G.I.E.金融カードによって定義されたプロトコルである、「C−SET」プロトコルが知られている。このプロトコルによれば、ユーザは、「WEB」において使用可能な商業サイトに接続され、購買を行う。この購買が、トランザクションの際に、購買を行う金融カードの所持者を認証するために、安全保護エンクロージャのエレメントに働きかける。この認証は、端末(非安全保護部分)およびエンクロージャ内のソフトウェアの実行によって行われる。
【0045】
このプロトコルもまた、以下のような欠点を免れることはできない。
【0046】
−端末およびエンクロージャ中で特定のソフトウェアの存在を必要とする。
【0047】
−「C−SET」によって強制されるソフトウェアの証明を必要とする。
【0048】
−「C−SET」プロトコルは、支払いのみに向かう。「WEB」サーバと金融カードによる支払いの情報を処理する端末内のソフトウェアは支払い用ソフトウェアである。
【0049】
これらの特徴によって、このプロトコルは、先に記した従来の技術の解決策とほとんど変わらない。インターネットタイプのプロトコルにしたがって、エンド−トゥー−エンド通信、特にチップカードの直接アドレシングを行うことはできない。また、その特殊性によって、いかなる柔軟性も持たず、保健、チップカードに保管されたデータの更新、ポイントクレジットなどのような他の分野における使用には適合しない。
【発明の開示】
【発明が解決しようとする課題】
【0050】
本発明は、すでにいくつかを挙げたように、従来の技術の手続きおよびアーキテクチャの欠点を解消しながらも、必要であると感じられているものを満たすことを目的としている。
【0051】
本発明は、一方では、チップカード読取装置と端末から、「WEB」タイプの遠隔サーバに向けてアプリケーションを移動させ、他方では、チップカードとの直接的対話を可能にしながらも、少なくとも1つのチップカード読取装置とキーボードとを備えた安全保護エンクロージャを有する端末のインターネットネットワーク上での使用を促進する。
【0052】
本発明は、最大の安全性とともに、内部ソフトウェアを更新し、安全保護エンクロージャにそのソフトウェアを付加することを可能にする。
【課題を解決するための手段】
【0053】
そのため、本発明の第1の態様によって、チップカードはもはや、上述の通信プロトコルISO 7816にしたがって、「APDU」による従来の方法ではアドレシングされず、「URL」(「ユニバーサルリソースロケータ」)アドレスの使用によってアドレシングされる。すでに知られているように、「URL」は、いわゆる「IP」アドレスとポート番号で構成される。同様に、安全保護エンクロージャは、「URL」によるこのアドレシングを利用する。
【0054】
したがって、本発明の一態様によると、チップカードはまた、「WEB」サーバおよび/またはクライアントとして挙動する。
【0055】
本発明による安全保護エンクロージャは、遠隔商用サーバから生じた「カードオーダ」が、端末のアドレシングエレメントに介入しないという意味において、インターネットネットワークについては「透過的」ではない。すなわち、安全保護エンクロージャに連結されたリソースは、インターネットネットワークからアクセスすることはできないという結果になる。反対に、チップカード内に含まれるアプリケーションは、以下に説明するように単純な「URL」アドレシングによって、安全保護エンクロージャ中に存在するあらゆる情報処理リソース、特にキーボードをアドレシングし、起動する可能性を有する。
【0056】
そのために、端末は、物理的に以下のものを有する。
【0057】
−両方ともが、安全保護エンクロージャの「HTTP」サーバに関連付けられた、少なくとも1つのチップカード読取装置およびキーボード(および/または他の情報処理リソース)と、さらにエンクロージャ中に存在するリソースの集合を管理する実行ユニットとを有する、改良型の安全保護エンクロージャ。
【0058】
−従来のエレメント(メモリなど)および「WEB」タイプのブラウザに加えて、インターネットネットワーク、「WEB」タイプのブラウザおよび/または安全保護エンクロージャの間で通信を確立する端末ノードと呼ばれる第1の通信ノード。
【0059】
そもそも、上述の安全保護エンクロージャは、第1の通信ノードを介して、いわゆる端末、安全保護エンクロージャと呼ばれる「HTTP」サーバおよび/またはチップカード読取装置との間の通信を確立する、エンクロージャノードと呼ばれる第2の通信ノードを有する。
【0060】
チップカードは、それ自体が、カードノードと呼ばれる第3の通信ノードと、チップカード内の少なくとも1つの常駐アプリケーションと、第2の通信ノードとの間のインターフェイスを形成する、「HTTP」サーバとして挙動するソフトウェアアダプテーションとを備える。
【0061】
第1の通信ノードは、安全保護エンクロージャに結びついたポート番号を有するインターネットネットワークの要求を、このエンクロージャに向かわせ、インターネットネットワークと第2の通信ノードとの直接通信を確立し、情報および/またはオーダをチップカードに向けて伝達するために必要なプロトコルのアダプテーションを行う。
【0062】
特定のアプリケーションについては、特に、アプリケーションがハイレベルの安全性を必要とすることから、安全保護エンクロージャは、有利にも、たとえば、生物測定式認証(視覚、音声および/または署名による認識)装置のような、1つまたは複数の追加情報処理リソース、コプロセッサまたは外部インタープリタを備えることができる。
【0063】
本発明による方法の好ましい一変形形態においては、安全保護エンクロージャの諸エレメントおよびリソースの作動に必要なプログラムまたは、その更新は、インターネットネットワークを介して、このネットワークに接続された遠隔「WEB」サーバから、遠隔ロードされる。更新は、これらプログラムの少なくとも部分的な消去を含むことができる。
【0064】
同様に、追加の実施形態においては、インターネットネットワークと通信ノードを介して、チップカード内に記録されたアプリケーションまたはアプリケーションの部分(ファイル、プログラム、スクリプトなど)を遠隔ロード、更新および/または削除するよう設計される。
【0065】
これらオペレーションはすべて、インターネットネットワークに対する安全保護エンクロージャの上述の透過性によって、非常に優れた安全条件において実行することができる。
【0066】
したがって、本発明は、インターネットタイプの第1のプロトコルにしたがって、インターネットタイプのネットワークを介して、少なくとも1つの「WEB」タイプのサーバと通信するための安全保護エンクロージャを備え、前記安全保護エンクロージャは、少なくとも1つのチップカード読取装置を有し、前記チップカードは、少なくとも1つのソフトウェアアプリケーションを記憶する端末であって、前記端末は、第1の通信ノードと呼ばれる少なくとも1つの第1のモジュールを備える非安全保護部分を有し、前記安全保護エンクロージャは、第2の通信ノードと呼ばれる少なくとも1つの第2のモジュールを有し、前記チップカードは、第3の通信ノードと呼ばれる第3のモジュールを有し、さらに前記通信ノードは、それぞれ、第1、第2、第3のプロトコルスタックを有し、それらスタックは各々、一定数の標準層と呼ばれる通信ソフトウェア層と、第1、第2、第3の特定のソフトウェアを有し、それらのソフトウェアはそれぞれ、少なくとも第1のソフトウェアエンティティを有し、前記第1のソフトウェアエンティティは、2つずつ対になっており、前記第1ノードは、少なくとも、インターネットタイプの前記第1通信プロトコルにしたがって、前記端末と前記「WEB」サーバとの間の通信を許可し、さらに特定のソフトウエアの前記第1および第2のソフトウェアの前記第1のエンティティは、定められた第2の通信プロトコルにしたがって、前記端末と前記安全保護エンクロージャの間の双方向データの交換セッションの確立を許可し、さらに前記第2および第3のソフトウェアの前記第1のエンティティは、定められた第3の通信プロトコルにしたがって、チップカードの前記ソフトウェアアプリケーションの少なくともいずれか1つと前記「WEB」タイプのサーバとの連絡を確立することができるように、チップカードの前記読取装置を介して、少なくとも、前記安全保護エンクロージャと前記チップカードとの間の双方向データの交換セッションの確立を許可する端末を主に対象とする。
【発明を実施するための最良の形態】
【0067】
次に、添付の図面を参照して、本発明をより詳細に説明する。
【0068】
次に、図3を参照して、本発明に合致した安全保護エンクロージャ用の端末の実施形態と、この端末と「商用サーバ」と呼ばれるサーバとの間の通信システムのアーキテクチャについて説明する。
【0069】
以下、参照番号5の端末は、すでに示されたように、主にマイクロコンピュータまたは同類の装置で製作される。この端末は一定数の従来のエレメント、すなわち、ここには図示されていないが、当業者に知られているマイクロプロセッサ、RAM、ROM、大容量記憶システム(ハードディスクなど)などを備える。一方、本発明に固有のアプリケーションにおいては、端末5は、それ自体知られている物理的および論理的手段によって安全保護されたエンクロージャ6を有する。この安全保護エンクロージャ6は、従来の技術に共通のエレメントだけでなく、さらに、以下に詳述される本発明に固有のエレメントをも有する。このエンクロージャはまず最初に、従来の技術と同様に、キーボード62と、そのマネージャ620または英語によれば「ハンドラ」と、チップカードの読取装置7とを有する。
【0070】
端末5は、インターネットネットワークRIまたはこのタイプの他の何らかのネットワーク(イントラネット、エキストラネット)を介して、遠隔サーバ4に接続される。したがって、図2の例においては、この端末は、インターネットネットワークにおいて使用されているプロトコル、「HTTP/TCP−IP」プロトコル上で使用されるプロトコルの1つにしたがって通信することができる、あらゆるロジックおよびハードエレメントを有する。したがって、参照番号51が付された「WEB」タイプのブラウザを有することを記す以外には、これらエレメントを説明することは無駄である。このブラウザ51は、特に、サーバ4に向けて要求を出すことを可能にする。このブラウザは、端末5内に存在するアプリケーションの1つを構成し、実際に、端末は複数のアプリケーションを備えることもできる。
【0071】
本発明の第1の特徴によれば、商用アプリケーションの特定のアプリケーションは、サーバ4に向って移動される。したがって、このサーバは、特にいわゆる「HTTP」サーバと呼ばれるサーバ40と、メモリ手段41中に記録される上述の商用アプリケーションとを有する。
【0072】
本発明の他の特徴によれば、端末は、第1の通信ノードまたは「端末通信ノード」と呼ばれる第1の特定モジュール50を有する。このモジュール50は、通信用の従来の手段、特に図2と関連して説明されるプロトコルスタックだけでなく、後述する特定エレメントを有する。
【0073】
さらに他の特徴によれば、安全保護エンクロージャ6はまた、第2の通信ノードまたは「エンクロージャ通信ノード」と呼ばれる特定のモジュール60を有する。
【0074】
第1の通信ノード50は、第2の通信ノード60を介して、たとえばサーバ4のようなネットワークRIのサーバを、さらに端末5の非安全保護部分内に存在するアプリケーション(たとえば、ブラウザ「WEB」51)を、安全保護エンクロージャ6内に存在するエレメント、特にチップカード読取装置7とチップカード8に通信させることができる。
【0075】
安全保護エンクロージャ6は、第2の通信ノード60とキーボード62との間に配置されたサーバ「HTTPエンクロージャ」サーバと呼ばれる「HTTP」サーバ61を有する。このキーボードは、安全保護エンクロージャ6の情報処理リソースの1つを構成する。さらにこの安全保護エンクロージャは、本明細書の序文に示されているように、単一の参照番号63で示されている、1からiの追加リソースを含むことができる。たとえば、生物測定式認証装置やコプロセッサまたは外部インタープリタを対象とすることができる。1つまたは複数のリソース63はまた、キーボード62と同じ方法で「HTTP」サーバ61に接続される。
【0076】
「HTTP」サーバ61はまた、チップカード読取装置7に接続される。
【0077】
通信ノード60は、チップカード読取装置7を介して、端末5の要求をチップカード8に向わせ、逆方向に、チップカード8の要求を、「HTTP」サーバ61に向けて、もしくは通信ノード50を介して、端末5に向けて案内することができる。
【0078】
本発明の態様によれば、「HTTP」サーバ61は、チップカード8が、さらに単にチップカード8だけが、安全保護エンクロージャ6のリソース62から63を使用することを可能にする。
【0079】
仲介の役割を果たすチップカード8を通ることによる以外に、キーボード62または他のリソース63の情報へアクセスすることが不可能であるという点は、以下のようないくつのかの要因に起因する。
【0080】
a/エンクロージャ6が物理的に安全保護されている(エレメントを「探る」物理的不可能性)。
【0081】
b/ノード60のプログラミングは、外部から「HTTPエンクロージャ」エンティティ61に向って生じるいかなるデータルーチングも妨げるようなものであり、ノード60は、そもそも安全保護エンクロージャ6の内部に位置することから保護される。
【0082】
c/「HTTPエンクロージャ」エンティティ61のプログラミングは、このエンティティが、チップカード8から生じる要求以外の要求を受入れないようなものであり、このサーバ61はまた、安全保護エンクロージャ6の内部に位置することから保護される。
【0083】
項目a/が、それ自体として、従来の技術と本発明に共通なものであるとすれば、項目b/およびc/は、本発明に固有の有利な特徴を構成する。
【0084】
ここで、インターネットネットワークRIと端末5の非安全保護部分のエレメントとの間の通信、それらエレメントと安全保護エンクロージャ6のエレメントとの間の通信、安全保護エンクロージャ6のエレメント間の通信、さらに、チップカード読取装置7を介した、それらエレメントとチップカード8との間の通信がどのようになされるかをより詳細に説明してみる。
【0085】
本発明の主要な特性の1つによれば、これらすべての通信は、「URL」標準型のアドレスの使用によって、インターネットプロトコルと互換性をもつと同時に、特にチップカード8とチップカード読取装置7との間で通信の規格化されたプロトコル(すなわち、先述のISO規格7816に合致したプロトコル)を保持する、「均質」と形容されるモードにしたがって実施される。
【0086】
「WEB」ブラウザ51と「商用」サーバ4との間の通信は、独自の問題を生じず、通常は、従来のプロトコル層(図2参照)と「URL」アドレシングの使用によって、「HTTP」プロトコルにしたがって行うことができる。反対に、上述したように、従来の技術においては、通信が通常モードRS232において行われる端末(図1:1)の非安全保護エレメントと安全保護エレメントとの間でも、読取装置7を介する、安全保護エンクロージャ6とチップカード8との間でも同様ではない。後者の場合には、図2を参照してすでに説明したように、通信は、確かにプロトコル層の利用によるものだが、先述のISO規格7816−3に合致して、「APDU」オーダ一式を用いて、すなわち、インターネットタイプのプロトコルと互換性を持たない方法で行われる。
【0087】
さらに、本発明は、通信内に介入するエレメントの標準化を保ちながらも、わずかな改良を行うだけで、通信を統一させることができる特定の措置を提案する。
【0088】
まず初めに、本発明に合致した方法で、安全保護エンクロージャ6とチップカード8間の通信を確立することができるように、それら2つのエンティティにもたらされる改良点を詳述する。
【0089】
本発明の特徴によれば、チップカード8に、以下、それぞれ、「カード用通信ノード」と「カード用HTTPサーバ」と呼ばれる第3の通信ノード80と「HTTP」サーバ81とを構成する特定モジュールを備える。チップカード8内に存在する1個またはn個のアプリケーションA1からAnは、「HTTP」サーバ81の第1面によって接続される。これらの措置によって、チップカード8は、安全保護エンクロージャ6のために、「WEB」サーバおよび/またはクライアントに変換され、「URL」アドレスによって「アドレシング」されることができる。
【0090】
こうしたアーキテクチャは、本発明によれば、主に、チップカード8内に、第1の特定通信プロトコル層を実装することによって得られる。同様に、第2の特定通信プロトコル層は、第1のプロトコル層の対をなすものであり、安全保護エンクロージャ6内に実装される。
【0091】
チップカード8と安全保護エンクロージャ6との間の交換に関しては、図4によって表された論理アーキテクチャによって図3のブロックダイヤグラムを示すことができる。
【0092】
このアーキテクチャにおいては、同じ役割を果たし、同じ参照番号を付されている、図2によって表されているような従来の技術のプロトコル層がここでも見られる。したがって、それらについて再び説明するのは無意味である。
【0093】
反対に、両方ともに、すなわち安全保護エンクロージャ6内にもチップカード8内にも、2つの追加特定プロトコル層、それぞれ64と84が設けられる。
【0094】
安全保護エンクロージャ6においては、特定層64が、多重化層13を介して、カード読取装置3のプロトコル層、すなわち下位層CC1およびCC2にインターフェイス接続される。特定層64は、チップカード8からの、さらにチップカード8に向けてのデータパケットの転送を可能にする。さらに、特定層は、チップカード8を利用する使用には、既存のアプリケーションを適応させるので、ここで再び説明する必要はない。
【0095】
チップカード8の側には、層64と対をなす、参照番号84が付された特定層の追加インスタンスによって構成される完全に類似した構造が見られる。
【0096】
より厳密には、特定層64および84は、3つの主要なソフトウェアエレメントに細分化される。
【0097】
−慣用層CC1、CC2、CC’1、CC’2を介した、層13と23との間の情報ブロックの転送用モジュール640または840、
−たとえば、プロトコルの変換機能を実施する「インテリジェントエージェント」641または841と呼ばれる1つまたは複数のソフトウェア、
−独自のインテリジェントエージェントと同一視することができるモジュールである、それぞれ642と842の特定構成の管理モジュール。
【0098】
したがって、安全保護エンクロージャ6とチップカード8においては、2つのエンティティ間の通信プロトコルスタックが再び見られる。
【0099】
レベル2の層(データリンク層)CC2およびCC’2は、チップカード8と安全保護エンクロージャ6との間の交換を確立する。これらの層は、転送エラーの検知と、場合によってはその訂正に責任を負う。上述の種々のプロトコルは、このために使用することができる(ETSI勧告 GSM 11.11;文字モードT=0またはブロックモードT=1において、ISO規格7816−3によって定義されるプロトコル:または、「HDLC」フレームモードにおける、ISO規格3309によって定義されたプロトコル)。本発明の範囲では、好ましくは、ブロックモードにおいて、プロトコルISO7816−3が使用されることが示された。
【0100】
それ自体良く知られた方法で、各プロトコル層に対して、同一レベルの層間の、さらにある層から他の層へのデータ交換を可能にする一定数のプリミティブが関連付けられる。例として、レベル2の層に関連付けられたプリミティブは、「データ要求」(「データリクエスト」)およびカードによる「データ送信」(「データレスポンス」)、さらに「データ確認」(「データコンファーム」)などのタイプである。
【0101】
とりわけ、特定層64および84は、チップカード8とホスト、すなわち安全保護エンクロージャ6との間の対話を担う。それらの層はまた、データパケットの送信および/または受信のために適合された構成の設置を可能にする。
【0102】
上述したように、層は3つの別々のエンティティを有する。
【0103】
第1のエンティティ、モジュール640または840は、主に、ソフトウェアマルチプレクサによって構成される。これは、プロトコルデータユニットの形で、チップカード8とホスト端末6との間の情報交換を可能にする。これは、データパケットの交換機と類似の役割を果たす。これらのユニットは、レベル2の層(データリンク層)を介して送信または受信される。この通信の独自のプロトコルによって、「インテリジェントエージェント」の少なくとも1つの対を通信させることができる。各対の第1のエージェント641は、安全保護エンクロージャ6側の層64内に位置し、第2のエージェント841は、チップカード8側の層84内に位置する。2つの「インテリジェントエージェント」間のリンクは、セッションに関連付けられる。セッションは、これら2つのエージェント間の双方向データ交換である。
【0104】
インテリジェントエージェントは、安全保護エンクロージャ6によって実施された構成に応じて、レベル3および4の層の機能全体または一部を実施することができる。
【0105】
独自のインテリジェントエージェントは、たとえば16ビットにおいて、有利にも整数(0から6535までの数)によって識別される。この識別子は、たとえば、宛先リファレンスとソースリファレンスを構成するプロトコルデータユニットにおいて使用される。
【0106】
インテリジェントエージェントには、2つの大きなカテゴリが存在する。定められたリファレンスによって識別される「サーバ」タイプのエージェントと、構成の管理モジュール、642または842によって与えられる可変リファレンスによって識別される「クライアント」タイプのエージェントである。
【0107】
セッションを開くプロセスは、通常、以下のように行われる。「クライアント」タイプのインテリジェントエージェントが、「サーバ」タイプのインテリジェントエージェントに向けてセッションを開く。モジュール642および842が、ホスト6およびチップカード8側で、存在するインテリジェントエージェントリストを含む表(図示せず)を管理する。
【0108】
インテリジェントエージェント、641または841は、独自の特性または属性に関連付けられる。分かりやすくするため、限定的でない例として、以下の4つの特性をインテリエージェントに関連付ける。
【0109】
−「ホスト」:安全保護エンクロージャ内に局在化されたエージェント
−「カード」:チップカード内に局在化されたエージェント
−「クライアント」:セッションを初期化するエージェント
−「サーバ」:セッションの要求を受信するエージェント
インテリジェントエージェントは、データの交換を可能にする。
【0110】
構成管理モジュール、642および842は、それぞれ、すでに示されたように、独自のインテリジェントエージェントと同一視されることができる。たとえば、ホスト6側のモジュール642は、特に、安全保護エンクロージャ6の構成に関する情報(作動モード)、存在する他のエージェントリストなどを管理する。チップカード8側のモジュール842は、類似の機能を有する。これら2つのエージェントは、セッションを確立するために互いに通信し合うことができる。
【0111】
本発明の特徴によれば、チップカード8は、ホストシステム、すなわちエンクロージャ6に対して、仮想端末のモデルを提案する。そのためには、チップカード8は、「WEB」サーバおよび/またはクライアントとして挙動する。
【0112】
実際には、チップカード8は、有利にも、サーバ4のような外部サーバにおけるポインティングではなく、端末5における、とりわけ安全保護エンクロージャ6における再ルーピングを定義する「URL」アドレスの使用によって「アドレシング」される。例として、この「URL」の構造は通常、以下のようになる。
【0113】
http://127.0.0.1:8080 (1)または
http://localhost:8080 (1乙)
ここで、127.0.0.1は、再ルーピングの「IP」アドレスであり(「localhost」は127.0.0.1の直訳である)、8080はポート番号である。リソース62および/または63の「URL」アドレスは、「/xxx」タイプの接尾辞によって補われる。たとえば、キーボード62の管理モジュール620は、「URL」アドレスとして以下を有することができる。
【0114】
http://localhost:8080/kb (2)
いわゆる端末5(ノード50と60の間)、すなわち端末の非安全保護エレメントと安全保護エンクロージャ6との間の通信を可能にする論理アーキテクチャは、図4に示されているのと類似のものである。したがって、セッションは、以上に説明した概略にしたがって、通信ノード50と60との間で確立することができる。安全保護エンクロージャは、特に、チップカードと同じポート番号において、つまり説明した例においては8080において、「URL」アドレスによってアドレシングされることができるようになる。
【0115】
通信ノード50はまた、端末5が、インターネットネットワークRIと通信することを可能にする。また、以上に列挙したインテリジェントエージェントに関連付けられた特性に加えて、以下の2つの特性が存在する。
【0116】
−「ローカル」:ネットワークと通信しないエージェント
−「ネットワーク」:ネットワークと通信するエージェント
端末5は、それ全体において、上記と同じ「IP」アドレスによってアドレシングされる。それは、端末用と呼ばれる少なくとも1つのアプリケーション、有利には「WEB」ブラウザ51を収容する。このブラウザは、独自のポートに関連付けられる。
【0117】
例として、「WEB」ページおよびハイパーリンクの技術によって、ユーザ(図示せず)は、使用可能なもののなかから製品またはサービスを選択し、商用サーバ4に要求を伝達することができる。
【0118】
本発明の他の態様によれば、チップカード8によって提供される「WEB」サーバ−クライアント機能に加えて、従来の「WEB」サーバ内に実装される「CGI」(「共通ゲートウェイインターフェイス」)と呼ばれる機能と類似のメカニズムが本発明に含まれる。
【0119】
チップカード8中でこのタイプの機能を果たすことを可能にする、本発明に合致したアーキテクチャの一例を説明する前に、「CGI」の作動モードの主要な特徴を思い起すことが有益である。
【0120】
「CGI」は、「UNIX(登録商標)」、「DOS」または「WINDOWS(登録商標)」オペレーティングシステムのために書かれたアプリケーションを実施する仕様である。例として、「UNIX(登録商標)」オペレーティングシステムについては、仕様は「CGI 1.1」であり、「WINDOWS(登録商標) 95」のオペレーティングシステムについては、仕様は「CGI 1.3」である。
【0121】
同じく例として、「ホスト」が、ホストシステム(一般には遠隔)に頼る、
「http://www.host.com/cgi−bin/xxx」
タイプの「URL」アドレスのための「HTTP」要求は、このホストシステムの「cgi−bin」ディレクトリ中に存在する、「xxx」と名付けられた「CGI」タイプの制御スクリプトの実行として、「WEB」サーバによって解釈される。ディレクトリの名称が、取決めによって、先験的に、どんなものでも構わないにもかかわらず、それは、「CGI」タイプのスクリプトを保管するディレクトリに与えられた名称である。スクリプトは、最終結果が、先述の要求の送信者である「WEB」ブラウザまたは、商用サーバのような、サービスを促す他の何らかのアプリケーションに伝達されるような、ホストシステムのオペレーティングシステムの一連の命令である。この命令を書込むためには、種々の言語、たとえば「PERL」言語(登録商標)を使用することができる。
【0122】
実際には、要求は通常、「HTML」ページ内に含まれる書式の形で情報処理画面に表示される。「HTLM」言語は、「URL」アドレスに書式を送ることができる。書式は、通常にインプット手段、すなわちテキストのためにはキーボード、チェック用桝目のためにはマウスを、または「ラジオ」ボタンなどを用いてユーザによって記入される、強制的または非強制的な1つまたは複数のフィールドを有する。書式の内容(さらには、場合によっては「隠された」情報および命令)が、「WEB」サーバ宛てに送信される。そのページの「HTML」コードは、書式の具体的構造(枠組み、グラフィック、色、他のあらゆる属性)と、入力されるデータフィールドの構造(名称、長さ、データのタイプなど)を記述する。
【0123】
伝送は、主要な2つのタイプの「HTTP」フォーマットにしたがって行うことができる。第1のフォーマットは、「POST」と呼ばれる方法を使用し、第2のフォーマットは、「GET」と呼ばれる方法を使用する。フォーマットタイプの情報は、書式ページのコード中に存在する。
【0124】
しかしながら、たとえ、本発明の特徴の1つにしたがって、チップカードが「WEB」サーバの機能性を提供するとしても、このメカニズムは直接的にはチップカードに移し替えることができない。
【0125】
ここで、図5を参照して、チップカード上で「WEB」サーバを介して、従来のタイプの何らかのタイプのアプリケーションを起動することができるアーキテクチャの一例を説明する。
【0126】
商用サーバ4は、以下のように表わすことができる「URL」アドレスに「GET」タイプの「HTTP」要求を起動する。
【0127】
「http://@carte:8080/xxx.8080/cgi−bin/l_cgi?param1+param2」 (4)
ここで、「@carte」は、チップカードをサポートする端末の「IP」アドレス(たとえば、関係(1)の再ルーピングアドレス「127.0.01」)であり、「le−cgi」は、チップカード8上で実行されるべき独自の「CGI」スクリプトであり、「param1+param2」は上述のスクリプトに移行すべきパラメータである。まず初めに、要求が、通信ノード50および60を介して、安全保護エンクロージャ6に伝送される(図3)。
【0128】
端末とチップカード読取装置の間にセッションが確立する。次に、安全保護エンクロージャ6の特定層と、チップカード8の特定層、それぞれ64および84中に局在化している一対のインテリジェントエージェント641と841との間に、他のセッションが確立する。こうして、データは、特定の通信プロトコル層64のパケットのマルチプレクサ640を通る。それらデータは次に、従来のプロトコル層を通過する(図2参照)。しかしながら、以下に説明されているような、本発明に固有のいくつかの態様をさらに明らかにするために、これらの層は、図5では、2つの部分に分割されている。すなわち、「APDU」オーダのマネージャ65aと下位プロトコル層65b(ISO規格7816−3)の2つである。
【0129】
同様に、チップカード8においては、データは参照番号85bが付された低プロトコル層と、参照番号85aのカード側「APDU」オーダのマネージャと、さらに「WEBエージェント」と呼ばれるインテリジェントエージェント841によって受信されるために、パケットのマルチプレクサ840を通る。
【0130】
「WEB」エージェント841にアドレシングされたデータは、それ自体取り決められた方法で、独自のアプリケーション「パケットのマルチプレクサ」840宛ての「APDU」オーダの形で運ばれる点に注目されたい。「APDU」オーダのマネージャ85aは、このアプリケーションを、チップカード8内に存在する他のアプリケーションA1からAnとまったく類似した方法で選択する。いいかえれば、パケットマルチプレクサ840は、「APDU」オーダのマネージャ85aからは、普通のカードアプリケーションとみなされる。
【0131】
こうして、「HTTP」要求は、以下、取決めによって「cgi−smart」と呼ばれる、独自のディレクトリと、たとえばAiのような独自のアプリケーションにおいて参照番号を検知する「WEB」エージェント841によって分析される。したがって、この場合、完全な径路は、「cgi−smart/Ai」である。
【0132】
本発明の方法の一特徴によれば、上述のエンティティは、同じく独自のアプリケーションに関連した独自のスクリプトを指名する。
【0133】
本発明の他の態様によれば、チップカード8内に、以下、「スクリプトの変換エージェント」または略して「ATS」と呼ばれる、独自のインテリジェントエージェントが実装される。こうして、スクリプトは、インテリジェントエージェントの1つによって解釈される。この変換は、以下の種々の方法で実施することができる。
【0134】
a/この場合、二重の能力を備えた、「WEB」エージェント841自体によって。
【0135】
b/チップカード8内に存在するスクリプトの集合を変換することができる単一スクリプトエージェントによって。
【0136】
c/以下「ATSD」と呼ばれる専用のスクリプトエージェント(スクリプトごとに1つ)によって。
【0137】
または、
d/この場合、二重の能力を備えた、「APDU」オーダのマネージャ85aの「APDU」エージェント850aによって。
【0138】
「APDU」エージェント850aは、「APDU」オーダ管理層85aの構成要素である。この管理層は、システムによって送信および/または受信されたあらゆる「APDU」オーダを集中させ、A1とAnとの間で、アプリケーションを選択し、しかもさらに、インテリジェントエージェントタイプのインターフェイスを提供することができる層である。したがって、この層は、本発明の特徴の1つにしたがって、エンクロージャ6内に局在化しているか、またはチップカード8内に局在化しているかにかかわらず、(セッションを介して)あらゆるインテリジェントエージェントと通信することができる。
【0139】
上述のc/の場合には、セッションは、「WEB」841と「ATSD」エージェントの1つとの間で開かれる。
【0140】
図5は、変換エージェントが「ATSD」タイプであるようなアーキテクチャの一例を示している。それらエージェントはATS1からATSnまでの参照記号が付され、アプリケーションA1からAnに関連付けられる。選択されたアプリケーションがアプリケーションAiと仮定されるので、「WEB」エージェント841とエージェントATSiとの間にセッションが確立される。
【0141】
スクリプトの変換エージェントは、一連の「APDU」オーダを発生する。セッションは、変換エージェント、たとえばATSiと、「APDU」エージェント850aとの間で開かれる。したがって、オーダは「APDU」エージェント850aに向けて送信される。「APDU」オーダマネージャ85aは、「CGA」アプリケーションAiを選択し、そのアプリケーションが理解できる、変換された従来のオーダである「APDU」オーダをそこに伝達する。したがって、このアプリケーションは、改良されたり、再び書込まれる必要なく、正確に起動される。
【0142】
アプリケーションAiのレスポンスは、「APDU」オーダのマネージャ85aに、「APDU」エージェント850aに、さらに、再びエージェントATSiに(より一般的には、スクリプトの変換エージェントに)伝達される。
【0143】
図5には、種々の径路が、ブロックタイヤグラムをつなぐ実線によって、またはそれらブロックの内部では点線で、記号化されて表わされている。
【0144】
本発明の範囲を限定させるものとしてではなく、単に分かりやすくするために、アドレシング技術については、その概略が後に定義されるので、ここでは、以下に、参照記号CU−nが付され、使用ケースと呼ばれる、考えられるさまざまなルーティングについて、詳しく説明する。
【0145】
CU−1:商用サーバ4とチップカード8との間の通信
そのため、(1)に合致した「URL」アドレスが使用される。この場合、キーボード62を使用する必要はない。インターネットネットワークRIを介して伝送された要求は、通信ノード50に到達する。通信ノードは、チップカードに関連付けられたポート、安全保護エンクロージャ6と同一のポート、すなわちポート8080を識別する。通信ノード50は、要求を通信ノード60に向かわせる。あらゆる場合において、「URL」アドレスがいかなるものであれ、このアドレスは、受信したデータパケットをチップカード8に、より厳密には、通信ノード80を介して、チップカード「HTTP」サーバ81に向わせる。最終的に、通信ノード80は、たとえばアプリケーションA1のような、チップカード8のアプリケーションの1つを起動させる。
【0146】
CU−2:チップカード8の2つのアプリケーション間の通信
たとえば、アプリケーションA1が、アプリケーションAnと通信しようとしている。アプリケーションA1から出された要求は、「HTTP」サーバ81によって運ばれる。実際に、図4を参照して説明されたダイヤグラムにしたがって、チープカード8における一対のローカルインテリジェントエージェント間でセッションが確立される。通信ノード80は介入しない。備えるべき通信プロトコルのアダプテーションは存在しない。
【0147】
CU−3:カードアプリケーションとサーバ4における商用アプリケーション41との間の通信
この場合は、特に、チップカード8が、商用サーバ4の要求を受信した場合に起こり得る(CU−1の場合)。チップカード8におけるローカルアプリケーション、たとえばアプリケーションA1は、起動されることができる。こうして、受信された要求によってコマンドされた定められたアクションは、チップカードの内部で実施される。たとえば、「CGI」タイプのアクションが、スクリプトまたは何らかの同等のプロセスの実行によって実施される。このアクションは、図5を参照して説明したように、スクリプトの変換インテリジェントエージェントのコマンドによって実施される。
【0148】
結果的に、アプリケーションA1が、サーバ4宛ての要求を出す。「IP」アドレスをチェックした後に、「HTTP」サーバ81は、要求を、通信ノード80に向わせる。図4を参照して説明した概略にしたがって、チップカード8と安全保護エンクロージャ6の間で、より厳密には、通信ノード60と80との間でセッションが確立される。同様に、通信ノード60は、「IP」アドレスをチェックした後に、通信ノード50に要求を伝達する。今度は、このノードが、「IP」アドレスをチェックした後に、インターネットネットワークRIを介して、最終的な宛先に向けて、すなわちサーバ4に向けて、要求を伝達する。
【0149】
プロセスは、トランザクション時間中に、チップカード8とサーバ4との間を何回も往復することができる。プロセスが終了すると(たとえば「CGI」の終了)、チップカードのレスポンスが、特に連続する通信ノード80、60、50を介して、商業サーバ4に伝達される。
【0150】
CU−4:「カードアプリケーション」と「端末アプリケーション」との間の通信
例として、アプリケーションA1は、たとえば、端末のプリントマネージャ(図示せず)と通信しようとしているので、その方向で要求を出す。「IP」アドレスとポート番号をチェックした後に、「HTTP」サーバ81は、要求を、通信ノード80に向かわせる。こうして、要求は、通信ノード50に到達するまでに、CU−3の場合と同じ径路をたどる。このノードは、「IP」アドレスとポート番号のチェック後に、要求を、アドレシングされた端末アプリケーション、たとえばプリントマネージャに向わせる。
【0151】
CU−5:「カードアプリケーション」と安全保護エンクロージャのリソースとの間の通信
まず初めに、この使用ケースでは、チップカード8を、商用サーバ4に対する「スレイブ」モードにし、商用サーバは、チップカード8宛てに要求を送信すると仮定する。この要求は、CU−1およびCU−3のケースによっては、明らかに処理される。たとえば、図5を参照して説明した方法によって、チップカード8内部で「商用CGI」が実行される。このスクリプトは、スクリプトの変換エージェント、たとえばATSiを用いて、アプリケーションのいずれか1つ、たとえばAiを起動させることによって実行される。商業CGIは、キーボード62から生じた情報(たとえばパスワード)またはその他の認証情報(リソース63のいずれか1つを構成する生物学的測定装置から生じる情報)を必要とする。当該のCGIは、独自の「URL」アドレシングとともに実行されなければならない。アプリケーションAiは、アドレスがたとえば上述の(2)によって与えられたアドレスであるような要求を送信する。接尾辞「/kb」の存在は、「HTTP」サーバ61に向けて要求を再ルーピングし、今度は、このサーバ61が、キーボード62のマネージャ620を起動し、さらに待っていた情報を回収(たとえばパスワードの入力)しなければならいことを通信ノード60に対して示す。要求のレスポンスは、同じ径路によって、しかし、チップカード8に向けて、逆方向で伝達される。
【0152】
こうして、商用サーバ4の要求のレスポンスはそのサーバに再び伝達される。複数の時間における対話を、CU−3の場合と同じように開始することができる。
【0153】
複数のCGIをトランザクション時間中に実行することができる。
【0154】
わかりやすくするために、第1の「商用CGI」は、結果的に、ユーザにコードを打ち込ませ、総額を表示するメッセージを、安全保護エンクロージャ6中に含まれるディスプレイに表示させることができる(単一参照番号63の下に示されるリソースの1つ)。第2のCGIは、たとえば、キーボード62によって伝送される情報を読取る。第3のCGIは、結果的に、この同じディスプレイ装置上に、「 CORRECT CODE」タイプのメッセージまたは何らかの類似メッセージを有することができる。
【0155】
CU−6:端末と安全保護エンクロージャのリソースの1つとの間の通信
例として、端末5のアプリケーション(非安全保護部分において)、たとえば「WEB」ブラウザ51は、安全保護リソースのいずれか1つ、たとえばキーボード62と通信を行おうとしており、その方向に要求を送信する。通信ノード50は、「URL」アドレスをチェックし、安全保護エンクロージャ6のポート番号を識別し、そのエンクロージャに要求を伝達する。通信ノード60は、そのプログラミングによって、体系的に受信された要求を、たとえそれらが安全保護エンクロージャ6の内部リソースのいずれか1つに宛てたものであったとしても、チップカード8に向わせる。この段階から、要求は、CU−1の場合と類似の経路をたどる。要求を、場合によっては変更させながら、最初にアドレシングされた安全保護リソースに向けて再び伝達する必要があるかどうかを決定するのは、チップカード8である。決定は、場合によっては、暗号化された形で、特に、読取り専用タイプのメモリにおいて、チップカード内に記録される安全性データのチェックを行う識別手続きの結果とすることも可能である。したがって、CU−4の場合と同様に、安全保護エンクロージャ6の外部エレメントは、安全保護されたリソースに直接的には決してアクセスしない。
【0156】
この最後の特徴によって、従来の技術より信頼度が高い方法で、安全保護エンクロージャ6内で常駐ソフトウェアを更新したり、ソフトウェアを付け加えたり、または、それらソフトウェアを少なくとも部分的に削除したりすることができる。というのも、安全保護エンクロージャ6のソフトウェア中に隠された鍵から、この性質の変更を認証することが慣例となっているからである。
【0157】
したがって、チップカード8のみが、安全保護エンクロージャ6の保護されたリソースに、外部からアクセスできることから、ソフトウェアリソースの遠隔ロードは、非常に大きな安全性を保ちながらも、チップカードを介して、インターネットサーバから行うことができる。遠隔ロードされるデータは、それらが敏感であれば、堅固なアルゴリズムおよび/または十分に長い暗号鍵を用いることによって、適切に暗号化されるだけでよい。チップカード8によって果たされる仲介機能によって、本発明において利用されるメカニズムは、安全保護エンクロージャ6の記憶装置(図示せず)内に鍵を単純に隠すメカニズムより、先験的に強くなる。
【0158】
さらに、チップカード8内に記録されたソフトウェアを遠隔ロードすることによって、チップカード8から直接的に、安全保護エンクロージャ6のソフトウェアリソースの内容を変更することができる。しかしながら、このように遠隔ロードされたソフトウェアの量は、チップカード固有のリソースによって限定され(記憶容量)、そのことは、サーバが大規模な情報処理リソースを備えることができることから、「WEB」サーバからのインターネットネットワークによる遠隔ロードの場合には先験的に当てはまらない。遠隔ロード時間は、必然的に、遠隔ロードされるソフトウェアの量によって異なるが、高速モデムおよび/または高流量通信回線の使用は、記録されたアプリケーションにとって完全に妥当と思われる限界内で、この時間を保つことができる。
【0159】
以上のことから、本発明は、自ら定めた目的をきちんと達成することが容易にわかるだろう。
【0160】
本発明は特に、従来の構成要素と、特に読取装置を介して、安全保護エンクロージャとチップカードとの間で、規格化された通信モードを使用する可能性を保ちながらも、「HTTP」インターネットプロトコルと互換性をもつアドレシングおよび通信を可能にする。本発明は、チップカードを、「CGI」タイプのオペレーションを行うことができる「WEB」サーバ−クライアントに変える。本発明は特に、「WEB」サーバからインターネットネットワークを介して、または反対方向に、チップカードの直接的および対話型アドレシングを可能にする。本発明は、端末自体において、また安全保護エンクロージャにおいて、いかなる商業的特定アプリケーションも必要としない。本発明は、非常に大きな柔軟性を示し、数多くの応用分野に対して容易に適合する。本発明は、「特定」という言葉が、処理されるアプリケーションに対する依存性を示しているわけではないので、使用される構成要素のわずかな変更、主に、特定のソフトウエアの実装に要約される変更しか生じない。特に、チップカード内の常駐アプリケーションは、スタンダードアプリケーションのままであり、いかなる再書込みも必要としない。さらに、特定アプリケーションは、「商用アプリケーション」の観点から、遠隔「WEB」サーバ内に完全に局在化される。このサーバは、複数のアプリケーションを含むことができる。それによって、これらアプリケーションの更新および削除、さらに新しいアプリケーションの付加も容易になる。こうした特徴は大きな柔軟性を与える。プログラムのバージョンは、サーバに接続されるあらゆる端末について同じである。さらに、本発明によって保証される安全性は非常に大きい。インターネットネットワークにおける通信のためには、堅固な暗号化アルゴリズムと長い鍵を利用することができる。加えて、本発明の特徴によれば、安全保護エンクロージャの外部から生じたあらゆる要求は、端末の非安全保護部分からのものであれ、インターネットネットワークから直接生じたものであれ、強制的にチップカードを通らなければならず、その独占的な監督下に置かれたままとなる。チップカードだけが、たとえば、常駐の安全性データに応じて、これらの要求によってなされなければならない取り扱いを決定する。ところで、チップカードは、所持者の特性を残している。
【0161】
しかしながら、本発明は、特に図3から5に関連して分かりやすく説明した実施形態のみに限定されるものではないことを明らかにしなければならない。
【0162】
他の実施形態(図示せず)によれば、安全保護エンクロージャは、チップカードの読取装置しか含むことはできず、チップカード内に記録された1つまたは複数のアプリケーションは、所持者を認証し、および/または遠隔「WEB」サーバとチップカードとの間のトランザクションを可能にするためにはそれだけで十分である。キーボードが、排除され、生物学的測定装置のような、安全保護リソースのいずれか1つに変えることもできる。さらに、第1のチップカード読取装置に、第2の、さらには複数のチップカード読取装置を付け加えることもできる。
【図面の簡単な説明】
【0163】
【図1】チップカード読取装置とキーボードを備えた安全保護エンクロージャを有する、従来の技術による端末の一例を示す概略図である。
【図2】チップカード読取装置を有し、インターネットネットワークを介して、「WEB」サーバと通信する、従来の技術による端末の論理アーキテクチャを一般的に示す図である。
【図3】インターネットネットワークを介した、商用サーバと呼ばれる遠隔サーバと、チップカード読取装置とキーボードと他の情報処理リソースとを有する安全保護エンクロージャを備えた端末との間の通信を可能にする、本発明による一般的アーキテクチャの一例を示す概略図である。
【図4】図3の端末の安全保護エンクロージャとチップカードとの間の通信を可能にするモジュールの論理アーキテクチャを示す図である。
【図5】チップカードの論理アーキテクチャの独自の実施形態を示す図である。
【技術分野】
【0001】
本発明は、端末の、とりわけ、安全保護エンクロージャ内に位置するチップカード読取装置とキーボードとを利用するタイプの端末であり、インターネットタイプのネットワークを介してサーバと通信するための端末のアーキテクチャに関するものである。
【背景技術】
【0002】
このような装置は、たとえば、「セーフパッド」という商標で知られている。
【0003】
本発明においては、「端末」という用語は、一般的意味に理解しなければならない。上述の端末は、特に、WINDOWS(登録商標)またはUNIX(登録商標)のような、さまざまなオペレーティングシステムの下で機能するパソコンによって構成することができる。それはまた、ワークステーション、携帯型コンピュータまたは専用のカード端末によって構成することもできる。
【0004】
同様に、本発明において、「インターネットネットワーク」という用語は、いわゆるインターネットネットワークの他に、「イントラネット」と呼ばれる企業の私的ネットワークまたは同類のネットワークや、「エクストラネット」と呼ばれる外部に向けて延びるネットワークの総称である。
【0005】
チップカードは、電子「財布」のような、金融や保健に関するアプリケーションなど、さまざまな領域で使用されている。さらに、1枚のチップカードに複数のアプリケーションを共存させることができる(マルチアプリケーションチップカード)。
【0006】
これらのタイプのアプリケーションでは、チップカードに、さまざまな機能を割当てることができる。とりわけ、チップカードは、安全目的で使用することができる。「安全」という用語は、一般的意味、特に、ステーションのユーザおよび/またはチップカードそれ自体の所有者の秘密性および/または認証という意味に解釈しなければならない。
【0007】
より具体的なアプリケーションにおいて、端末は、チップカード読取装置と、キーボードと、場合によっては1つまたは複数の他の情報処理リソースを有する安全保護エンクロージャを備えることができる。
【0008】
図1は、従来の技術による、上述タイプの端末のアーキテクチャを非常に概略的に示している。
【0009】
わかりやすくするために、端末1は、マイクロコンピュータに基づいて構成されているものとする。このマイクロコンピュータは、このような情報処理機器を構成し、それらの良好な作動に必要なあらゆる装置(図示せず)を備える。すなわち、中央処理装置、RAM、大容量記憶システム(ハードディスク)、情報媒体読取装置(ディスケットなど)などである。図1に示されている特定の場合には、端末1は、チップカード2の読取装置30とキーボード31を有する安全保護エンクロージャ3を備える。キーボード31は、特にチップカード2の所有者の認証データ、たとえばチップカード2の識別子に関連するパスワードの入力に役立つ。さまざまな電子回路によって、このエンクロージャ中に存在する安全保護されたエレメント間、特に、一方ではキーボード31とチップカード2(読取装置30を介して)、他方では、これらの安全保護エレメントと端末1内に存在する非安全保護エレメントとの間の通信が可能になる。
【0010】
通常、端末は、非安全保護部分において、以下「商用アプリケーション」と呼ばれる特定のアプリケーション10を有し、当該の端末1によって可能な独自のトランザクションの管理と監督を行う。このアプリケーション10と、安全保護エンクロージャ3内部のエレメントの間の通信は、通常、「RS232」タイプのスタンダードによって行われる。読取装置30を介しての、安全保護エンクロージャ3内部のエレメント、特に常駐アプリケーション300とチップカード2との間の通信は、通常、ISO規格7816−1から7816−4に準拠するプロトコルによって行われる。
【0011】
したがって、このタイプのアーキテクチャは、特に以下のような主要な欠点を有する。
【0012】
−端末内に実装された商用アプリケーション(非安全保護部分)と安全保護エンクロージャ内の常駐アプリケーションは、この端末に固有のものである。
【0013】
−関連する情報処理プログラムは、一般に大きな容量を占める。
【0014】
−柔軟性と信頼度が限定されている。なぜなら、これらのプログラムの改良は、端末(非安全保護部分)および安全保護エンクロージャ中にプログラムを再びロードし、さらに場合によっては良好作動テストの実行を必要とし、その結果専門スタッフが必要となるからである。
【0015】
一般に、こうした作業は、多数の端末のために繰り返し行われなければならない。
【0016】
さらに、アプリケーション全体またはアプリケーションの安全保護部分が対象になる点に留意しなければならない。したがって、プログラムの更新のために、特定のアプリケーションに固有の定められた安全レベルを保証できなければならない。
【0017】
ほとんどの場合、端末1は、伝送ネットワークRIを介して、1つまたは複数の遠隔システムに接続されているという意味においては、分離されていない。なお、それらシステムのただ1つ4が、図1に示されている。ネットワークRIの性質は、該当するアプリケーションに応じて(金融、保健、その他に関するアプリケーション)非常に多様であることができる。特に、インターネットネットワーク、またはこのタイプのネットワーク(イントラネットまたはエキストラネット)の急速な発展と、そこに頼るアプリケーションを考慮に入れると、こうしたタイプのネットワークを対象とすることができる。通常は、グローバルアーキテクチャは、「クライアント−サーバ」型と呼ばれるタイプであり、「サーバ」は一般に遠隔システム4であり、「クライアント」は端末1である。しかし、特定の状況においては、トランザクション時間中に、それらの役割が逆転する、または交代することもありうる。
【0018】
このようなアーキテクチャにおいて、特定アプリケーション10およびアプリケーション300に関連するプログラムは、理由が何であれ、それらのバージョンの改良版が存在することによって、遠隔サーバ、たとえばサーバ4から、集中的に更新することができる。こうした更新が遠隔処理によって行われることから、上述の欠点の1つを軽減することができるという結果になる。しかしながら、これらのオペレーションは、十分に完成された管理手続きの実施を必要とする。さらに、遠隔ロードは、敏感なデータを含むことがある、または、少なくとも、許可されていないまたは安全性の点で危険であるプログラムおよび/またはプロシージャ(「トロイの木馬」、「ロジック爆弾」、ウィルスなど)を端末内に実装することを許可してはならない。
【0019】
さらに、インターネットネットワークの能力の増大と普及にともなって、一方では、以下「商用サーバ」と呼ばれる遠隔サーバに向けて、端末内に局所的に実装された上述の特定のアプリケーションを「移行」させ、他方では、これらの商用サーバから、チップカードと直接的に対話する必要性がある。
【0020】
とりわけ、この第2の必要性は、以下に説明する理由のために、従来の技術の端末によっては満たすことができない。
【0021】
しかし、まず初めに、インターネットタイプのネットワークRIを介して、従来の技術による端末と遠隔サーバとの通信を可能にするシステムのアーキテクチャを簡単に説明することは有益であろう。このようなアーキテクチャは、図2に概略的に示されているが、とりわけ、参照番号1’が付された端末の論理アーキテクチャが示されている。
【0022】
端末1’は、ここでは、安全保護されていようとなかろうと、一般的タイプの端末であり、その配置は、当該の通信の種々のタイプを説明するには重要ではない。
【0023】
先に記したように、端末1’は、必然的に、その良好な作動に必要なあらゆる回路および装置を有するが、図を簡略化するためにそれらはここには図示されていない。通常、端末1’もまた、とりわけ本発明の範囲中で安全保護エンクロージャ(図1:3)内に位置する、ディスプレイ(図示せず)およびキーボード31など、組み込み型または非組み込み型の、従来の周辺装置に接続されている。
【0024】
通常、ネットワーク上での通信は、重なり合った複数のソフトウェア層を含む規格に準拠したプロトコルにしたがって行われる。インターネットタイプのRIネットワークの場合には、通信は、このタイプの通信に固有であるが、同じく複数のソフトウェア層を含むプロトコルにしたがって行われる。通信プロトコルは、とりわけ対象にされたアプリケーションに応じて選択される。すなわち、「WEB」ページの照会、ファイルの移動、電子メール、フォーラム、「ニュース」などである。
【0025】
通信ネットワークのアーキテクチャは、さまざまな層によって説明される。たとえば、「ISO」によって定められている「OSI」(「オープンシステム相互接続」)規格は、いわゆる下位層(たとえば物理的伝送媒体を対象とする「物理」層)から、いわゆる「トランスポート」層と呼ばれる中間層を通って、いわゆる上位層(たとえば「応用」層)に向かう7つの層を有する。任意の層は、適切なインターフェイスを介して、すぐ上の層に対してそのサービスを提供し、すぐ下の層に他のサービスを要求する。層は、プリミティブを用いて通信する。層はまた、同じレベルの層と通信を行う。特定のアーキテクチャにおいては、それらの層のどちらかが存在しないことも可能である。
【0026】
インターネット環境においては、層は5つあり、より厳密に言えば、上の層から下の層に向って順に、応用層(「http」、「ftp」、「e−mail」など)、トランスポート層(「TCP」)、ネットワークアドレシング層(「IP」)、データリンク層(「PPP」、「Slip」など)、物理層がある。
【0027】
端末1’は、インターネットネットワークへのアクセス回路11を含む。たとえばインターネットサービスのプロバイダ(英語で、「Internet Service Provider」または「ISP」)を介して、電話回線または統合サービスデジタルネットワーク(「ISDN」)に接続するためのモデムを対象とすることもできる。RIネットワークへのアクセス回路11は、上述の「物理」層および「データリンク」層に対応する下位方ソフトウェア層C1およびC2を再統合する。
【0028】
同様に、「ネットワークアドレシング」(「IP」)層と「トランスポート」層(「TCP」)に対応する上位層C3およびC4も示されている。上位応用層(「http」、「ftp」、「e−mail」など)は、何らかのタイプの、好ましくは市販されているスタンダードタイプの「WEB」ブラウザ(navigateur)NWによって概略化されている。
【0029】
下位層C1およびC2と上位層C3およびC4との間のインターフェイスは、一般に「下位層ドライバ」と呼ばれるソフトウェア層15によって構成される。上位層C3およびC4は、このインターフェイスに支えられ、それらが連絡する特定の機能を有するライブラリまたはネットワークライブラリ14を介して利用される。インターネットネットワークの場合には、「TCP/IP」が、「ソケット」と呼ばれるライブラリを用いて利用される。
【0030】
こうした構造によって、NWブラウザは、「WEB」ページを調べるために(「HTTP」プロトコル)、またはファイルを転送するために(「FTP」プロトコル)、あるいは電子メールを送付するために(「e−mail」プロトコル)、遠隔サーバ4に向けて要求を出すことを可能にする。
【0031】
端末1’はまた、本発明のより特定の範囲の、安全保護エンクロージャ(図1:3)中に位置するカードの読取装置30を有する。チップカード2と通信するために、カード読取装置30は、また、C1およびC2と同類の役割を果たす、2つの下位層CC1(物理層)およびCC2(データリンク層)を備える。層CC1およびCC2とのソフトウェアインターフェイスは、たとえば「PC/SC」仕様(「第6部、サービスプロバイダ」)に説明されている。層CC1およびCC2自体は、特に、ISO規格7816−1から7816−4に記載されている。
【0032】
追加ソフトウェア層13は、単一参照記号Appli1を付された応用層と、下位層CC1およびCC2との間のインターフェイスを形成する。この層13に割当てられた主な機能は、多重化/多重化解除機能である。
【0033】
チップカード2の側には、類似の構造、すなわち、CC’1(物理層)およびCC’2(データリンク層)と参照符号が付された2つの下位層、さらに層13に完全に類似したインターフェイス層23の存在が見られる。この層23は、上述のプロトコル層CC’1およびCC’2と、Appli2と参照記号が付された単一モジュールの形で表わされる1つまたは複数の応用層との間のインターフェイスが確立される。
【0034】
チップカード読取装置30とチップカード2との間の通信は、「APDU」(「アプリケーションプロトコルデータユニット」の略)という英語の略語で知られている、標準化された制御装置を用いて行われる。
【0035】
非限定的な例として以下のような種々のプロトコルを使用することができる。
【0036】
−ETSI勧告 GSM 11.11、
−文字モードT=0における、ISO規格7816−3によって定義されたプロトコル、
−ブロックモードT=1における、ISO規格7816−3によって定義されたプロトコル、
−「HDLC」(ハイレベルデータリンク制御手順)モードにおける、ISO規格3309によって定義されたプロトコル。
【0037】
本発明の範囲においては、好ましくは、ブロックモードにおけるプロトコルISO 7816−3が使用される。
【0038】
それ自体良く知られた方法で、プロトコルの各層には、同じレベルの層同士で、さらに異なる層間でのデータ交換を可能にする一定数のプリミティブが関連付けられる。
【0039】
従来の技術の現状においては、インターネットネットワークRIを介して、チップカード2と遠隔サーバ4との直接通信を確立することは不可能である。なぜなら、上述したように、スタンダードタイプのチップカードの通信プロトコルは、インターネットネットワークまたはこのタイプのネットワーク全体において使用されるプロトコルと互換性がないからである。ブラウザNW内に、特定のタイプの「プラグイン」と呼ばれるソフトウェアを実装する場合を除き、ブラウザNWとチップカード2との間の直接通信を確立することはもはや不可能である。
【0040】
改めて図1を参照すると、端末1がインターネットネットワークに接続されると仮定すると、上述したことを要約すれば、この端末1は、従来の技術によって、キーボード31とチップカード2の読取装置30を備えた安全保護エンクロージャ3を有することから、点線で示された主要な通信インターフェイスS1およびS2を備えることがわかる。第1のインターフェイスS1は、商用アプリケーション10が実施されるいわゆる端末1にエンクロージャ3を接続し、第2のインターフェイスS2が、チップカード2との通信のために設けられる。実際には、インターフェイスS2は、アプリケーション300とチップカード2との間に配分される。これら2つのインターフェイスに、外部に向かうインターフェイスが付け加えられ(図2:特に回路11)、このインターフェイスによって、端末1は、インターネットネットワークRIと通信することができる。インターフェイスS1は、2つのレベルの対話を受入れる。端末1から出されたオーダが、インターフェイスS2によって意味の変更なく実行されるような第1の透過的対話と、アプリケーション300を介入させる第2のレベルの対話である。
【0041】
このようにして、キーボード31上でパスワードを入力することによる認証は、アプリケーション300によって解釈され、アプリケーション300とチップカード2との間のインターフェイスS2上の交換セッションに変換される、インターフェイスS1に従属するオーダである。この交換の結果は、インターフェイスS1に伝送される。
【0042】
現状の技術においては、スタンダードチップカード2は、上述したように、インターネットネットワークRIとの直接的交換を受入れることができないという点に加えて、従来の技術による端末の重大な欠点は、常駐アプリケーション300の存在によって構成される。ほとんどの場合、「所有の(proprietary)」と呼ばれるアプリケーションが対象となり、そのことは、商用アプリケーション10が、使用される端末の種類とタイプに応じて書込まれなければならいことを意味する。したがって、このアプリケーションは、先験的に、端末のタイプによって異なり、そのため、信号操作が容易に行えなくなる。さらに、このアプリケーションは、インターネットタイプの環境にはもはや適合しない。
【0043】
たとえば、端末の「EMV」規格を遵守することによって、商用端末1とチップカード2の読取装置30との間の交換の標準化を目指す英語の略語「OCF」(「オープンカードフレームワーク)で知られているスタンダードとして、本発明のアプリケーションのタイプのためのスタンダードが提案された。しかしながら、このようなスタンダードは、インターネットのコンテキストにおいては直接的には使用することができない。
【0044】
金融アプリケーションの領域においては、G.I.E.金融カードによって定義されたプロトコルである、「C−SET」プロトコルが知られている。このプロトコルによれば、ユーザは、「WEB」において使用可能な商業サイトに接続され、購買を行う。この購買が、トランザクションの際に、購買を行う金融カードの所持者を認証するために、安全保護エンクロージャのエレメントに働きかける。この認証は、端末(非安全保護部分)およびエンクロージャ内のソフトウェアの実行によって行われる。
【0045】
このプロトコルもまた、以下のような欠点を免れることはできない。
【0046】
−端末およびエンクロージャ中で特定のソフトウェアの存在を必要とする。
【0047】
−「C−SET」によって強制されるソフトウェアの証明を必要とする。
【0048】
−「C−SET」プロトコルは、支払いのみに向かう。「WEB」サーバと金融カードによる支払いの情報を処理する端末内のソフトウェアは支払い用ソフトウェアである。
【0049】
これらの特徴によって、このプロトコルは、先に記した従来の技術の解決策とほとんど変わらない。インターネットタイプのプロトコルにしたがって、エンド−トゥー−エンド通信、特にチップカードの直接アドレシングを行うことはできない。また、その特殊性によって、いかなる柔軟性も持たず、保健、チップカードに保管されたデータの更新、ポイントクレジットなどのような他の分野における使用には適合しない。
【発明の開示】
【発明が解決しようとする課題】
【0050】
本発明は、すでにいくつかを挙げたように、従来の技術の手続きおよびアーキテクチャの欠点を解消しながらも、必要であると感じられているものを満たすことを目的としている。
【0051】
本発明は、一方では、チップカード読取装置と端末から、「WEB」タイプの遠隔サーバに向けてアプリケーションを移動させ、他方では、チップカードとの直接的対話を可能にしながらも、少なくとも1つのチップカード読取装置とキーボードとを備えた安全保護エンクロージャを有する端末のインターネットネットワーク上での使用を促進する。
【0052】
本発明は、最大の安全性とともに、内部ソフトウェアを更新し、安全保護エンクロージャにそのソフトウェアを付加することを可能にする。
【課題を解決するための手段】
【0053】
そのため、本発明の第1の態様によって、チップカードはもはや、上述の通信プロトコルISO 7816にしたがって、「APDU」による従来の方法ではアドレシングされず、「URL」(「ユニバーサルリソースロケータ」)アドレスの使用によってアドレシングされる。すでに知られているように、「URL」は、いわゆる「IP」アドレスとポート番号で構成される。同様に、安全保護エンクロージャは、「URL」によるこのアドレシングを利用する。
【0054】
したがって、本発明の一態様によると、チップカードはまた、「WEB」サーバおよび/またはクライアントとして挙動する。
【0055】
本発明による安全保護エンクロージャは、遠隔商用サーバから生じた「カードオーダ」が、端末のアドレシングエレメントに介入しないという意味において、インターネットネットワークについては「透過的」ではない。すなわち、安全保護エンクロージャに連結されたリソースは、インターネットネットワークからアクセスすることはできないという結果になる。反対に、チップカード内に含まれるアプリケーションは、以下に説明するように単純な「URL」アドレシングによって、安全保護エンクロージャ中に存在するあらゆる情報処理リソース、特にキーボードをアドレシングし、起動する可能性を有する。
【0056】
そのために、端末は、物理的に以下のものを有する。
【0057】
−両方ともが、安全保護エンクロージャの「HTTP」サーバに関連付けられた、少なくとも1つのチップカード読取装置およびキーボード(および/または他の情報処理リソース)と、さらにエンクロージャ中に存在するリソースの集合を管理する実行ユニットとを有する、改良型の安全保護エンクロージャ。
【0058】
−従来のエレメント(メモリなど)および「WEB」タイプのブラウザに加えて、インターネットネットワーク、「WEB」タイプのブラウザおよび/または安全保護エンクロージャの間で通信を確立する端末ノードと呼ばれる第1の通信ノード。
【0059】
そもそも、上述の安全保護エンクロージャは、第1の通信ノードを介して、いわゆる端末、安全保護エンクロージャと呼ばれる「HTTP」サーバおよび/またはチップカード読取装置との間の通信を確立する、エンクロージャノードと呼ばれる第2の通信ノードを有する。
【0060】
チップカードは、それ自体が、カードノードと呼ばれる第3の通信ノードと、チップカード内の少なくとも1つの常駐アプリケーションと、第2の通信ノードとの間のインターフェイスを形成する、「HTTP」サーバとして挙動するソフトウェアアダプテーションとを備える。
【0061】
第1の通信ノードは、安全保護エンクロージャに結びついたポート番号を有するインターネットネットワークの要求を、このエンクロージャに向かわせ、インターネットネットワークと第2の通信ノードとの直接通信を確立し、情報および/またはオーダをチップカードに向けて伝達するために必要なプロトコルのアダプテーションを行う。
【0062】
特定のアプリケーションについては、特に、アプリケーションがハイレベルの安全性を必要とすることから、安全保護エンクロージャは、有利にも、たとえば、生物測定式認証(視覚、音声および/または署名による認識)装置のような、1つまたは複数の追加情報処理リソース、コプロセッサまたは外部インタープリタを備えることができる。
【0063】
本発明による方法の好ましい一変形形態においては、安全保護エンクロージャの諸エレメントおよびリソースの作動に必要なプログラムまたは、その更新は、インターネットネットワークを介して、このネットワークに接続された遠隔「WEB」サーバから、遠隔ロードされる。更新は、これらプログラムの少なくとも部分的な消去を含むことができる。
【0064】
同様に、追加の実施形態においては、インターネットネットワークと通信ノードを介して、チップカード内に記録されたアプリケーションまたはアプリケーションの部分(ファイル、プログラム、スクリプトなど)を遠隔ロード、更新および/または削除するよう設計される。
【0065】
これらオペレーションはすべて、インターネットネットワークに対する安全保護エンクロージャの上述の透過性によって、非常に優れた安全条件において実行することができる。
【0066】
したがって、本発明は、インターネットタイプの第1のプロトコルにしたがって、インターネットタイプのネットワークを介して、少なくとも1つの「WEB」タイプのサーバと通信するための安全保護エンクロージャを備え、前記安全保護エンクロージャは、少なくとも1つのチップカード読取装置を有し、前記チップカードは、少なくとも1つのソフトウェアアプリケーションを記憶する端末であって、前記端末は、第1の通信ノードと呼ばれる少なくとも1つの第1のモジュールを備える非安全保護部分を有し、前記安全保護エンクロージャは、第2の通信ノードと呼ばれる少なくとも1つの第2のモジュールを有し、前記チップカードは、第3の通信ノードと呼ばれる第3のモジュールを有し、さらに前記通信ノードは、それぞれ、第1、第2、第3のプロトコルスタックを有し、それらスタックは各々、一定数の標準層と呼ばれる通信ソフトウェア層と、第1、第2、第3の特定のソフトウェアを有し、それらのソフトウェアはそれぞれ、少なくとも第1のソフトウェアエンティティを有し、前記第1のソフトウェアエンティティは、2つずつ対になっており、前記第1ノードは、少なくとも、インターネットタイプの前記第1通信プロトコルにしたがって、前記端末と前記「WEB」サーバとの間の通信を許可し、さらに特定のソフトウエアの前記第1および第2のソフトウェアの前記第1のエンティティは、定められた第2の通信プロトコルにしたがって、前記端末と前記安全保護エンクロージャの間の双方向データの交換セッションの確立を許可し、さらに前記第2および第3のソフトウェアの前記第1のエンティティは、定められた第3の通信プロトコルにしたがって、チップカードの前記ソフトウェアアプリケーションの少なくともいずれか1つと前記「WEB」タイプのサーバとの連絡を確立することができるように、チップカードの前記読取装置を介して、少なくとも、前記安全保護エンクロージャと前記チップカードとの間の双方向データの交換セッションの確立を許可する端末を主に対象とする。
【発明を実施するための最良の形態】
【0067】
次に、添付の図面を参照して、本発明をより詳細に説明する。
【0068】
次に、図3を参照して、本発明に合致した安全保護エンクロージャ用の端末の実施形態と、この端末と「商用サーバ」と呼ばれるサーバとの間の通信システムのアーキテクチャについて説明する。
【0069】
以下、参照番号5の端末は、すでに示されたように、主にマイクロコンピュータまたは同類の装置で製作される。この端末は一定数の従来のエレメント、すなわち、ここには図示されていないが、当業者に知られているマイクロプロセッサ、RAM、ROM、大容量記憶システム(ハードディスクなど)などを備える。一方、本発明に固有のアプリケーションにおいては、端末5は、それ自体知られている物理的および論理的手段によって安全保護されたエンクロージャ6を有する。この安全保護エンクロージャ6は、従来の技術に共通のエレメントだけでなく、さらに、以下に詳述される本発明に固有のエレメントをも有する。このエンクロージャはまず最初に、従来の技術と同様に、キーボード62と、そのマネージャ620または英語によれば「ハンドラ」と、チップカードの読取装置7とを有する。
【0070】
端末5は、インターネットネットワークRIまたはこのタイプの他の何らかのネットワーク(イントラネット、エキストラネット)を介して、遠隔サーバ4に接続される。したがって、図2の例においては、この端末は、インターネットネットワークにおいて使用されているプロトコル、「HTTP/TCP−IP」プロトコル上で使用されるプロトコルの1つにしたがって通信することができる、あらゆるロジックおよびハードエレメントを有する。したがって、参照番号51が付された「WEB」タイプのブラウザを有することを記す以外には、これらエレメントを説明することは無駄である。このブラウザ51は、特に、サーバ4に向けて要求を出すことを可能にする。このブラウザは、端末5内に存在するアプリケーションの1つを構成し、実際に、端末は複数のアプリケーションを備えることもできる。
【0071】
本発明の第1の特徴によれば、商用アプリケーションの特定のアプリケーションは、サーバ4に向って移動される。したがって、このサーバは、特にいわゆる「HTTP」サーバと呼ばれるサーバ40と、メモリ手段41中に記録される上述の商用アプリケーションとを有する。
【0072】
本発明の他の特徴によれば、端末は、第1の通信ノードまたは「端末通信ノード」と呼ばれる第1の特定モジュール50を有する。このモジュール50は、通信用の従来の手段、特に図2と関連して説明されるプロトコルスタックだけでなく、後述する特定エレメントを有する。
【0073】
さらに他の特徴によれば、安全保護エンクロージャ6はまた、第2の通信ノードまたは「エンクロージャ通信ノード」と呼ばれる特定のモジュール60を有する。
【0074】
第1の通信ノード50は、第2の通信ノード60を介して、たとえばサーバ4のようなネットワークRIのサーバを、さらに端末5の非安全保護部分内に存在するアプリケーション(たとえば、ブラウザ「WEB」51)を、安全保護エンクロージャ6内に存在するエレメント、特にチップカード読取装置7とチップカード8に通信させることができる。
【0075】
安全保護エンクロージャ6は、第2の通信ノード60とキーボード62との間に配置されたサーバ「HTTPエンクロージャ」サーバと呼ばれる「HTTP」サーバ61を有する。このキーボードは、安全保護エンクロージャ6の情報処理リソースの1つを構成する。さらにこの安全保護エンクロージャは、本明細書の序文に示されているように、単一の参照番号63で示されている、1からiの追加リソースを含むことができる。たとえば、生物測定式認証装置やコプロセッサまたは外部インタープリタを対象とすることができる。1つまたは複数のリソース63はまた、キーボード62と同じ方法で「HTTP」サーバ61に接続される。
【0076】
「HTTP」サーバ61はまた、チップカード読取装置7に接続される。
【0077】
通信ノード60は、チップカード読取装置7を介して、端末5の要求をチップカード8に向わせ、逆方向に、チップカード8の要求を、「HTTP」サーバ61に向けて、もしくは通信ノード50を介して、端末5に向けて案内することができる。
【0078】
本発明の態様によれば、「HTTP」サーバ61は、チップカード8が、さらに単にチップカード8だけが、安全保護エンクロージャ6のリソース62から63を使用することを可能にする。
【0079】
仲介の役割を果たすチップカード8を通ることによる以外に、キーボード62または他のリソース63の情報へアクセスすることが不可能であるという点は、以下のようないくつのかの要因に起因する。
【0080】
a/エンクロージャ6が物理的に安全保護されている(エレメントを「探る」物理的不可能性)。
【0081】
b/ノード60のプログラミングは、外部から「HTTPエンクロージャ」エンティティ61に向って生じるいかなるデータルーチングも妨げるようなものであり、ノード60は、そもそも安全保護エンクロージャ6の内部に位置することから保護される。
【0082】
c/「HTTPエンクロージャ」エンティティ61のプログラミングは、このエンティティが、チップカード8から生じる要求以外の要求を受入れないようなものであり、このサーバ61はまた、安全保護エンクロージャ6の内部に位置することから保護される。
【0083】
項目a/が、それ自体として、従来の技術と本発明に共通なものであるとすれば、項目b/およびc/は、本発明に固有の有利な特徴を構成する。
【0084】
ここで、インターネットネットワークRIと端末5の非安全保護部分のエレメントとの間の通信、それらエレメントと安全保護エンクロージャ6のエレメントとの間の通信、安全保護エンクロージャ6のエレメント間の通信、さらに、チップカード読取装置7を介した、それらエレメントとチップカード8との間の通信がどのようになされるかをより詳細に説明してみる。
【0085】
本発明の主要な特性の1つによれば、これらすべての通信は、「URL」標準型のアドレスの使用によって、インターネットプロトコルと互換性をもつと同時に、特にチップカード8とチップカード読取装置7との間で通信の規格化されたプロトコル(すなわち、先述のISO規格7816に合致したプロトコル)を保持する、「均質」と形容されるモードにしたがって実施される。
【0086】
「WEB」ブラウザ51と「商用」サーバ4との間の通信は、独自の問題を生じず、通常は、従来のプロトコル層(図2参照)と「URL」アドレシングの使用によって、「HTTP」プロトコルにしたがって行うことができる。反対に、上述したように、従来の技術においては、通信が通常モードRS232において行われる端末(図1:1)の非安全保護エレメントと安全保護エレメントとの間でも、読取装置7を介する、安全保護エンクロージャ6とチップカード8との間でも同様ではない。後者の場合には、図2を参照してすでに説明したように、通信は、確かにプロトコル層の利用によるものだが、先述のISO規格7816−3に合致して、「APDU」オーダ一式を用いて、すなわち、インターネットタイプのプロトコルと互換性を持たない方法で行われる。
【0087】
さらに、本発明は、通信内に介入するエレメントの標準化を保ちながらも、わずかな改良を行うだけで、通信を統一させることができる特定の措置を提案する。
【0088】
まず初めに、本発明に合致した方法で、安全保護エンクロージャ6とチップカード8間の通信を確立することができるように、それら2つのエンティティにもたらされる改良点を詳述する。
【0089】
本発明の特徴によれば、チップカード8に、以下、それぞれ、「カード用通信ノード」と「カード用HTTPサーバ」と呼ばれる第3の通信ノード80と「HTTP」サーバ81とを構成する特定モジュールを備える。チップカード8内に存在する1個またはn個のアプリケーションA1からAnは、「HTTP」サーバ81の第1面によって接続される。これらの措置によって、チップカード8は、安全保護エンクロージャ6のために、「WEB」サーバおよび/またはクライアントに変換され、「URL」アドレスによって「アドレシング」されることができる。
【0090】
こうしたアーキテクチャは、本発明によれば、主に、チップカード8内に、第1の特定通信プロトコル層を実装することによって得られる。同様に、第2の特定通信プロトコル層は、第1のプロトコル層の対をなすものであり、安全保護エンクロージャ6内に実装される。
【0091】
チップカード8と安全保護エンクロージャ6との間の交換に関しては、図4によって表された論理アーキテクチャによって図3のブロックダイヤグラムを示すことができる。
【0092】
このアーキテクチャにおいては、同じ役割を果たし、同じ参照番号を付されている、図2によって表されているような従来の技術のプロトコル層がここでも見られる。したがって、それらについて再び説明するのは無意味である。
【0093】
反対に、両方ともに、すなわち安全保護エンクロージャ6内にもチップカード8内にも、2つの追加特定プロトコル層、それぞれ64と84が設けられる。
【0094】
安全保護エンクロージャ6においては、特定層64が、多重化層13を介して、カード読取装置3のプロトコル層、すなわち下位層CC1およびCC2にインターフェイス接続される。特定層64は、チップカード8からの、さらにチップカード8に向けてのデータパケットの転送を可能にする。さらに、特定層は、チップカード8を利用する使用には、既存のアプリケーションを適応させるので、ここで再び説明する必要はない。
【0095】
チップカード8の側には、層64と対をなす、参照番号84が付された特定層の追加インスタンスによって構成される完全に類似した構造が見られる。
【0096】
より厳密には、特定層64および84は、3つの主要なソフトウェアエレメントに細分化される。
【0097】
−慣用層CC1、CC2、CC’1、CC’2を介した、層13と23との間の情報ブロックの転送用モジュール640または840、
−たとえば、プロトコルの変換機能を実施する「インテリジェントエージェント」641または841と呼ばれる1つまたは複数のソフトウェア、
−独自のインテリジェントエージェントと同一視することができるモジュールである、それぞれ642と842の特定構成の管理モジュール。
【0098】
したがって、安全保護エンクロージャ6とチップカード8においては、2つのエンティティ間の通信プロトコルスタックが再び見られる。
【0099】
レベル2の層(データリンク層)CC2およびCC’2は、チップカード8と安全保護エンクロージャ6との間の交換を確立する。これらの層は、転送エラーの検知と、場合によってはその訂正に責任を負う。上述の種々のプロトコルは、このために使用することができる(ETSI勧告 GSM 11.11;文字モードT=0またはブロックモードT=1において、ISO規格7816−3によって定義されるプロトコル:または、「HDLC」フレームモードにおける、ISO規格3309によって定義されたプロトコル)。本発明の範囲では、好ましくは、ブロックモードにおいて、プロトコルISO7816−3が使用されることが示された。
【0100】
それ自体良く知られた方法で、各プロトコル層に対して、同一レベルの層間の、さらにある層から他の層へのデータ交換を可能にする一定数のプリミティブが関連付けられる。例として、レベル2の層に関連付けられたプリミティブは、「データ要求」(「データリクエスト」)およびカードによる「データ送信」(「データレスポンス」)、さらに「データ確認」(「データコンファーム」)などのタイプである。
【0101】
とりわけ、特定層64および84は、チップカード8とホスト、すなわち安全保護エンクロージャ6との間の対話を担う。それらの層はまた、データパケットの送信および/または受信のために適合された構成の設置を可能にする。
【0102】
上述したように、層は3つの別々のエンティティを有する。
【0103】
第1のエンティティ、モジュール640または840は、主に、ソフトウェアマルチプレクサによって構成される。これは、プロトコルデータユニットの形で、チップカード8とホスト端末6との間の情報交換を可能にする。これは、データパケットの交換機と類似の役割を果たす。これらのユニットは、レベル2の層(データリンク層)を介して送信または受信される。この通信の独自のプロトコルによって、「インテリジェントエージェント」の少なくとも1つの対を通信させることができる。各対の第1のエージェント641は、安全保護エンクロージャ6側の層64内に位置し、第2のエージェント841は、チップカード8側の層84内に位置する。2つの「インテリジェントエージェント」間のリンクは、セッションに関連付けられる。セッションは、これら2つのエージェント間の双方向データ交換である。
【0104】
インテリジェントエージェントは、安全保護エンクロージャ6によって実施された構成に応じて、レベル3および4の層の機能全体または一部を実施することができる。
【0105】
独自のインテリジェントエージェントは、たとえば16ビットにおいて、有利にも整数(0から6535までの数)によって識別される。この識別子は、たとえば、宛先リファレンスとソースリファレンスを構成するプロトコルデータユニットにおいて使用される。
【0106】
インテリジェントエージェントには、2つの大きなカテゴリが存在する。定められたリファレンスによって識別される「サーバ」タイプのエージェントと、構成の管理モジュール、642または842によって与えられる可変リファレンスによって識別される「クライアント」タイプのエージェントである。
【0107】
セッションを開くプロセスは、通常、以下のように行われる。「クライアント」タイプのインテリジェントエージェントが、「サーバ」タイプのインテリジェントエージェントに向けてセッションを開く。モジュール642および842が、ホスト6およびチップカード8側で、存在するインテリジェントエージェントリストを含む表(図示せず)を管理する。
【0108】
インテリジェントエージェント、641または841は、独自の特性または属性に関連付けられる。分かりやすくするため、限定的でない例として、以下の4つの特性をインテリエージェントに関連付ける。
【0109】
−「ホスト」:安全保護エンクロージャ内に局在化されたエージェント
−「カード」:チップカード内に局在化されたエージェント
−「クライアント」:セッションを初期化するエージェント
−「サーバ」:セッションの要求を受信するエージェント
インテリジェントエージェントは、データの交換を可能にする。
【0110】
構成管理モジュール、642および842は、それぞれ、すでに示されたように、独自のインテリジェントエージェントと同一視されることができる。たとえば、ホスト6側のモジュール642は、特に、安全保護エンクロージャ6の構成に関する情報(作動モード)、存在する他のエージェントリストなどを管理する。チップカード8側のモジュール842は、類似の機能を有する。これら2つのエージェントは、セッションを確立するために互いに通信し合うことができる。
【0111】
本発明の特徴によれば、チップカード8は、ホストシステム、すなわちエンクロージャ6に対して、仮想端末のモデルを提案する。そのためには、チップカード8は、「WEB」サーバおよび/またはクライアントとして挙動する。
【0112】
実際には、チップカード8は、有利にも、サーバ4のような外部サーバにおけるポインティングではなく、端末5における、とりわけ安全保護エンクロージャ6における再ルーピングを定義する「URL」アドレスの使用によって「アドレシング」される。例として、この「URL」の構造は通常、以下のようになる。
【0113】
http://127.0.0.1:8080 (1)または
http://localhost:8080 (1乙)
ここで、127.0.0.1は、再ルーピングの「IP」アドレスであり(「localhost」は127.0.0.1の直訳である)、8080はポート番号である。リソース62および/または63の「URL」アドレスは、「/xxx」タイプの接尾辞によって補われる。たとえば、キーボード62の管理モジュール620は、「URL」アドレスとして以下を有することができる。
【0114】
http://localhost:8080/kb (2)
いわゆる端末5(ノード50と60の間)、すなわち端末の非安全保護エレメントと安全保護エンクロージャ6との間の通信を可能にする論理アーキテクチャは、図4に示されているのと類似のものである。したがって、セッションは、以上に説明した概略にしたがって、通信ノード50と60との間で確立することができる。安全保護エンクロージャは、特に、チップカードと同じポート番号において、つまり説明した例においては8080において、「URL」アドレスによってアドレシングされることができるようになる。
【0115】
通信ノード50はまた、端末5が、インターネットネットワークRIと通信することを可能にする。また、以上に列挙したインテリジェントエージェントに関連付けられた特性に加えて、以下の2つの特性が存在する。
【0116】
−「ローカル」:ネットワークと通信しないエージェント
−「ネットワーク」:ネットワークと通信するエージェント
端末5は、それ全体において、上記と同じ「IP」アドレスによってアドレシングされる。それは、端末用と呼ばれる少なくとも1つのアプリケーション、有利には「WEB」ブラウザ51を収容する。このブラウザは、独自のポートに関連付けられる。
【0117】
例として、「WEB」ページおよびハイパーリンクの技術によって、ユーザ(図示せず)は、使用可能なもののなかから製品またはサービスを選択し、商用サーバ4に要求を伝達することができる。
【0118】
本発明の他の態様によれば、チップカード8によって提供される「WEB」サーバ−クライアント機能に加えて、従来の「WEB」サーバ内に実装される「CGI」(「共通ゲートウェイインターフェイス」)と呼ばれる機能と類似のメカニズムが本発明に含まれる。
【0119】
チップカード8中でこのタイプの機能を果たすことを可能にする、本発明に合致したアーキテクチャの一例を説明する前に、「CGI」の作動モードの主要な特徴を思い起すことが有益である。
【0120】
「CGI」は、「UNIX(登録商標)」、「DOS」または「WINDOWS(登録商標)」オペレーティングシステムのために書かれたアプリケーションを実施する仕様である。例として、「UNIX(登録商標)」オペレーティングシステムについては、仕様は「CGI 1.1」であり、「WINDOWS(登録商標) 95」のオペレーティングシステムについては、仕様は「CGI 1.3」である。
【0121】
同じく例として、「ホスト」が、ホストシステム(一般には遠隔)に頼る、
「http://www.host.com/cgi−bin/xxx」
タイプの「URL」アドレスのための「HTTP」要求は、このホストシステムの「cgi−bin」ディレクトリ中に存在する、「xxx」と名付けられた「CGI」タイプの制御スクリプトの実行として、「WEB」サーバによって解釈される。ディレクトリの名称が、取決めによって、先験的に、どんなものでも構わないにもかかわらず、それは、「CGI」タイプのスクリプトを保管するディレクトリに与えられた名称である。スクリプトは、最終結果が、先述の要求の送信者である「WEB」ブラウザまたは、商用サーバのような、サービスを促す他の何らかのアプリケーションに伝達されるような、ホストシステムのオペレーティングシステムの一連の命令である。この命令を書込むためには、種々の言語、たとえば「PERL」言語(登録商標)を使用することができる。
【0122】
実際には、要求は通常、「HTML」ページ内に含まれる書式の形で情報処理画面に表示される。「HTLM」言語は、「URL」アドレスに書式を送ることができる。書式は、通常にインプット手段、すなわちテキストのためにはキーボード、チェック用桝目のためにはマウスを、または「ラジオ」ボタンなどを用いてユーザによって記入される、強制的または非強制的な1つまたは複数のフィールドを有する。書式の内容(さらには、場合によっては「隠された」情報および命令)が、「WEB」サーバ宛てに送信される。そのページの「HTML」コードは、書式の具体的構造(枠組み、グラフィック、色、他のあらゆる属性)と、入力されるデータフィールドの構造(名称、長さ、データのタイプなど)を記述する。
【0123】
伝送は、主要な2つのタイプの「HTTP」フォーマットにしたがって行うことができる。第1のフォーマットは、「POST」と呼ばれる方法を使用し、第2のフォーマットは、「GET」と呼ばれる方法を使用する。フォーマットタイプの情報は、書式ページのコード中に存在する。
【0124】
しかしながら、たとえ、本発明の特徴の1つにしたがって、チップカードが「WEB」サーバの機能性を提供するとしても、このメカニズムは直接的にはチップカードに移し替えることができない。
【0125】
ここで、図5を参照して、チップカード上で「WEB」サーバを介して、従来のタイプの何らかのタイプのアプリケーションを起動することができるアーキテクチャの一例を説明する。
【0126】
商用サーバ4は、以下のように表わすことができる「URL」アドレスに「GET」タイプの「HTTP」要求を起動する。
【0127】
「http://@carte:8080/xxx.8080/cgi−bin/l_cgi?param1+param2」 (4)
ここで、「@carte」は、チップカードをサポートする端末の「IP」アドレス(たとえば、関係(1)の再ルーピングアドレス「127.0.01」)であり、「le−cgi」は、チップカード8上で実行されるべき独自の「CGI」スクリプトであり、「param1+param2」は上述のスクリプトに移行すべきパラメータである。まず初めに、要求が、通信ノード50および60を介して、安全保護エンクロージャ6に伝送される(図3)。
【0128】
端末とチップカード読取装置の間にセッションが確立する。次に、安全保護エンクロージャ6の特定層と、チップカード8の特定層、それぞれ64および84中に局在化している一対のインテリジェントエージェント641と841との間に、他のセッションが確立する。こうして、データは、特定の通信プロトコル層64のパケットのマルチプレクサ640を通る。それらデータは次に、従来のプロトコル層を通過する(図2参照)。しかしながら、以下に説明されているような、本発明に固有のいくつかの態様をさらに明らかにするために、これらの層は、図5では、2つの部分に分割されている。すなわち、「APDU」オーダのマネージャ65aと下位プロトコル層65b(ISO規格7816−3)の2つである。
【0129】
同様に、チップカード8においては、データは参照番号85bが付された低プロトコル層と、参照番号85aのカード側「APDU」オーダのマネージャと、さらに「WEBエージェント」と呼ばれるインテリジェントエージェント841によって受信されるために、パケットのマルチプレクサ840を通る。
【0130】
「WEB」エージェント841にアドレシングされたデータは、それ自体取り決められた方法で、独自のアプリケーション「パケットのマルチプレクサ」840宛ての「APDU」オーダの形で運ばれる点に注目されたい。「APDU」オーダのマネージャ85aは、このアプリケーションを、チップカード8内に存在する他のアプリケーションA1からAnとまったく類似した方法で選択する。いいかえれば、パケットマルチプレクサ840は、「APDU」オーダのマネージャ85aからは、普通のカードアプリケーションとみなされる。
【0131】
こうして、「HTTP」要求は、以下、取決めによって「cgi−smart」と呼ばれる、独自のディレクトリと、たとえばAiのような独自のアプリケーションにおいて参照番号を検知する「WEB」エージェント841によって分析される。したがって、この場合、完全な径路は、「cgi−smart/Ai」である。
【0132】
本発明の方法の一特徴によれば、上述のエンティティは、同じく独自のアプリケーションに関連した独自のスクリプトを指名する。
【0133】
本発明の他の態様によれば、チップカード8内に、以下、「スクリプトの変換エージェント」または略して「ATS」と呼ばれる、独自のインテリジェントエージェントが実装される。こうして、スクリプトは、インテリジェントエージェントの1つによって解釈される。この変換は、以下の種々の方法で実施することができる。
【0134】
a/この場合、二重の能力を備えた、「WEB」エージェント841自体によって。
【0135】
b/チップカード8内に存在するスクリプトの集合を変換することができる単一スクリプトエージェントによって。
【0136】
c/以下「ATSD」と呼ばれる専用のスクリプトエージェント(スクリプトごとに1つ)によって。
【0137】
または、
d/この場合、二重の能力を備えた、「APDU」オーダのマネージャ85aの「APDU」エージェント850aによって。
【0138】
「APDU」エージェント850aは、「APDU」オーダ管理層85aの構成要素である。この管理層は、システムによって送信および/または受信されたあらゆる「APDU」オーダを集中させ、A1とAnとの間で、アプリケーションを選択し、しかもさらに、インテリジェントエージェントタイプのインターフェイスを提供することができる層である。したがって、この層は、本発明の特徴の1つにしたがって、エンクロージャ6内に局在化しているか、またはチップカード8内に局在化しているかにかかわらず、(セッションを介して)あらゆるインテリジェントエージェントと通信することができる。
【0139】
上述のc/の場合には、セッションは、「WEB」841と「ATSD」エージェントの1つとの間で開かれる。
【0140】
図5は、変換エージェントが「ATSD」タイプであるようなアーキテクチャの一例を示している。それらエージェントはATS1からATSnまでの参照記号が付され、アプリケーションA1からAnに関連付けられる。選択されたアプリケーションがアプリケーションAiと仮定されるので、「WEB」エージェント841とエージェントATSiとの間にセッションが確立される。
【0141】
スクリプトの変換エージェントは、一連の「APDU」オーダを発生する。セッションは、変換エージェント、たとえばATSiと、「APDU」エージェント850aとの間で開かれる。したがって、オーダは「APDU」エージェント850aに向けて送信される。「APDU」オーダマネージャ85aは、「CGA」アプリケーションAiを選択し、そのアプリケーションが理解できる、変換された従来のオーダである「APDU」オーダをそこに伝達する。したがって、このアプリケーションは、改良されたり、再び書込まれる必要なく、正確に起動される。
【0142】
アプリケーションAiのレスポンスは、「APDU」オーダのマネージャ85aに、「APDU」エージェント850aに、さらに、再びエージェントATSiに(より一般的には、スクリプトの変換エージェントに)伝達される。
【0143】
図5には、種々の径路が、ブロックタイヤグラムをつなぐ実線によって、またはそれらブロックの内部では点線で、記号化されて表わされている。
【0144】
本発明の範囲を限定させるものとしてではなく、単に分かりやすくするために、アドレシング技術については、その概略が後に定義されるので、ここでは、以下に、参照記号CU−nが付され、使用ケースと呼ばれる、考えられるさまざまなルーティングについて、詳しく説明する。
【0145】
CU−1:商用サーバ4とチップカード8との間の通信
そのため、(1)に合致した「URL」アドレスが使用される。この場合、キーボード62を使用する必要はない。インターネットネットワークRIを介して伝送された要求は、通信ノード50に到達する。通信ノードは、チップカードに関連付けられたポート、安全保護エンクロージャ6と同一のポート、すなわちポート8080を識別する。通信ノード50は、要求を通信ノード60に向かわせる。あらゆる場合において、「URL」アドレスがいかなるものであれ、このアドレスは、受信したデータパケットをチップカード8に、より厳密には、通信ノード80を介して、チップカード「HTTP」サーバ81に向わせる。最終的に、通信ノード80は、たとえばアプリケーションA1のような、チップカード8のアプリケーションの1つを起動させる。
【0146】
CU−2:チップカード8の2つのアプリケーション間の通信
たとえば、アプリケーションA1が、アプリケーションAnと通信しようとしている。アプリケーションA1から出された要求は、「HTTP」サーバ81によって運ばれる。実際に、図4を参照して説明されたダイヤグラムにしたがって、チープカード8における一対のローカルインテリジェントエージェント間でセッションが確立される。通信ノード80は介入しない。備えるべき通信プロトコルのアダプテーションは存在しない。
【0147】
CU−3:カードアプリケーションとサーバ4における商用アプリケーション41との間の通信
この場合は、特に、チップカード8が、商用サーバ4の要求を受信した場合に起こり得る(CU−1の場合)。チップカード8におけるローカルアプリケーション、たとえばアプリケーションA1は、起動されることができる。こうして、受信された要求によってコマンドされた定められたアクションは、チップカードの内部で実施される。たとえば、「CGI」タイプのアクションが、スクリプトまたは何らかの同等のプロセスの実行によって実施される。このアクションは、図5を参照して説明したように、スクリプトの変換インテリジェントエージェントのコマンドによって実施される。
【0148】
結果的に、アプリケーションA1が、サーバ4宛ての要求を出す。「IP」アドレスをチェックした後に、「HTTP」サーバ81は、要求を、通信ノード80に向わせる。図4を参照して説明した概略にしたがって、チップカード8と安全保護エンクロージャ6の間で、より厳密には、通信ノード60と80との間でセッションが確立される。同様に、通信ノード60は、「IP」アドレスをチェックした後に、通信ノード50に要求を伝達する。今度は、このノードが、「IP」アドレスをチェックした後に、インターネットネットワークRIを介して、最終的な宛先に向けて、すなわちサーバ4に向けて、要求を伝達する。
【0149】
プロセスは、トランザクション時間中に、チップカード8とサーバ4との間を何回も往復することができる。プロセスが終了すると(たとえば「CGI」の終了)、チップカードのレスポンスが、特に連続する通信ノード80、60、50を介して、商業サーバ4に伝達される。
【0150】
CU−4:「カードアプリケーション」と「端末アプリケーション」との間の通信
例として、アプリケーションA1は、たとえば、端末のプリントマネージャ(図示せず)と通信しようとしているので、その方向で要求を出す。「IP」アドレスとポート番号をチェックした後に、「HTTP」サーバ81は、要求を、通信ノード80に向かわせる。こうして、要求は、通信ノード50に到達するまでに、CU−3の場合と同じ径路をたどる。このノードは、「IP」アドレスとポート番号のチェック後に、要求を、アドレシングされた端末アプリケーション、たとえばプリントマネージャに向わせる。
【0151】
CU−5:「カードアプリケーション」と安全保護エンクロージャのリソースとの間の通信
まず初めに、この使用ケースでは、チップカード8を、商用サーバ4に対する「スレイブ」モードにし、商用サーバは、チップカード8宛てに要求を送信すると仮定する。この要求は、CU−1およびCU−3のケースによっては、明らかに処理される。たとえば、図5を参照して説明した方法によって、チップカード8内部で「商用CGI」が実行される。このスクリプトは、スクリプトの変換エージェント、たとえばATSiを用いて、アプリケーションのいずれか1つ、たとえばAiを起動させることによって実行される。商業CGIは、キーボード62から生じた情報(たとえばパスワード)またはその他の認証情報(リソース63のいずれか1つを構成する生物学的測定装置から生じる情報)を必要とする。当該のCGIは、独自の「URL」アドレシングとともに実行されなければならない。アプリケーションAiは、アドレスがたとえば上述の(2)によって与えられたアドレスであるような要求を送信する。接尾辞「/kb」の存在は、「HTTP」サーバ61に向けて要求を再ルーピングし、今度は、このサーバ61が、キーボード62のマネージャ620を起動し、さらに待っていた情報を回収(たとえばパスワードの入力)しなければならいことを通信ノード60に対して示す。要求のレスポンスは、同じ径路によって、しかし、チップカード8に向けて、逆方向で伝達される。
【0152】
こうして、商用サーバ4の要求のレスポンスはそのサーバに再び伝達される。複数の時間における対話を、CU−3の場合と同じように開始することができる。
【0153】
複数のCGIをトランザクション時間中に実行することができる。
【0154】
わかりやすくするために、第1の「商用CGI」は、結果的に、ユーザにコードを打ち込ませ、総額を表示するメッセージを、安全保護エンクロージャ6中に含まれるディスプレイに表示させることができる(単一参照番号63の下に示されるリソースの1つ)。第2のCGIは、たとえば、キーボード62によって伝送される情報を読取る。第3のCGIは、結果的に、この同じディスプレイ装置上に、「 CORRECT CODE」タイプのメッセージまたは何らかの類似メッセージを有することができる。
【0155】
CU−6:端末と安全保護エンクロージャのリソースの1つとの間の通信
例として、端末5のアプリケーション(非安全保護部分において)、たとえば「WEB」ブラウザ51は、安全保護リソースのいずれか1つ、たとえばキーボード62と通信を行おうとしており、その方向に要求を送信する。通信ノード50は、「URL」アドレスをチェックし、安全保護エンクロージャ6のポート番号を識別し、そのエンクロージャに要求を伝達する。通信ノード60は、そのプログラミングによって、体系的に受信された要求を、たとえそれらが安全保護エンクロージャ6の内部リソースのいずれか1つに宛てたものであったとしても、チップカード8に向わせる。この段階から、要求は、CU−1の場合と類似の経路をたどる。要求を、場合によっては変更させながら、最初にアドレシングされた安全保護リソースに向けて再び伝達する必要があるかどうかを決定するのは、チップカード8である。決定は、場合によっては、暗号化された形で、特に、読取り専用タイプのメモリにおいて、チップカード内に記録される安全性データのチェックを行う識別手続きの結果とすることも可能である。したがって、CU−4の場合と同様に、安全保護エンクロージャ6の外部エレメントは、安全保護されたリソースに直接的には決してアクセスしない。
【0156】
この最後の特徴によって、従来の技術より信頼度が高い方法で、安全保護エンクロージャ6内で常駐ソフトウェアを更新したり、ソフトウェアを付け加えたり、または、それらソフトウェアを少なくとも部分的に削除したりすることができる。というのも、安全保護エンクロージャ6のソフトウェア中に隠された鍵から、この性質の変更を認証することが慣例となっているからである。
【0157】
したがって、チップカード8のみが、安全保護エンクロージャ6の保護されたリソースに、外部からアクセスできることから、ソフトウェアリソースの遠隔ロードは、非常に大きな安全性を保ちながらも、チップカードを介して、インターネットサーバから行うことができる。遠隔ロードされるデータは、それらが敏感であれば、堅固なアルゴリズムおよび/または十分に長い暗号鍵を用いることによって、適切に暗号化されるだけでよい。チップカード8によって果たされる仲介機能によって、本発明において利用されるメカニズムは、安全保護エンクロージャ6の記憶装置(図示せず)内に鍵を単純に隠すメカニズムより、先験的に強くなる。
【0158】
さらに、チップカード8内に記録されたソフトウェアを遠隔ロードすることによって、チップカード8から直接的に、安全保護エンクロージャ6のソフトウェアリソースの内容を変更することができる。しかしながら、このように遠隔ロードされたソフトウェアの量は、チップカード固有のリソースによって限定され(記憶容量)、そのことは、サーバが大規模な情報処理リソースを備えることができることから、「WEB」サーバからのインターネットネットワークによる遠隔ロードの場合には先験的に当てはまらない。遠隔ロード時間は、必然的に、遠隔ロードされるソフトウェアの量によって異なるが、高速モデムおよび/または高流量通信回線の使用は、記録されたアプリケーションにとって完全に妥当と思われる限界内で、この時間を保つことができる。
【0159】
以上のことから、本発明は、自ら定めた目的をきちんと達成することが容易にわかるだろう。
【0160】
本発明は特に、従来の構成要素と、特に読取装置を介して、安全保護エンクロージャとチップカードとの間で、規格化された通信モードを使用する可能性を保ちながらも、「HTTP」インターネットプロトコルと互換性をもつアドレシングおよび通信を可能にする。本発明は、チップカードを、「CGI」タイプのオペレーションを行うことができる「WEB」サーバ−クライアントに変える。本発明は特に、「WEB」サーバからインターネットネットワークを介して、または反対方向に、チップカードの直接的および対話型アドレシングを可能にする。本発明は、端末自体において、また安全保護エンクロージャにおいて、いかなる商業的特定アプリケーションも必要としない。本発明は、非常に大きな柔軟性を示し、数多くの応用分野に対して容易に適合する。本発明は、「特定」という言葉が、処理されるアプリケーションに対する依存性を示しているわけではないので、使用される構成要素のわずかな変更、主に、特定のソフトウエアの実装に要約される変更しか生じない。特に、チップカード内の常駐アプリケーションは、スタンダードアプリケーションのままであり、いかなる再書込みも必要としない。さらに、特定アプリケーションは、「商用アプリケーション」の観点から、遠隔「WEB」サーバ内に完全に局在化される。このサーバは、複数のアプリケーションを含むことができる。それによって、これらアプリケーションの更新および削除、さらに新しいアプリケーションの付加も容易になる。こうした特徴は大きな柔軟性を与える。プログラムのバージョンは、サーバに接続されるあらゆる端末について同じである。さらに、本発明によって保証される安全性は非常に大きい。インターネットネットワークにおける通信のためには、堅固な暗号化アルゴリズムと長い鍵を利用することができる。加えて、本発明の特徴によれば、安全保護エンクロージャの外部から生じたあらゆる要求は、端末の非安全保護部分からのものであれ、インターネットネットワークから直接生じたものであれ、強制的にチップカードを通らなければならず、その独占的な監督下に置かれたままとなる。チップカードだけが、たとえば、常駐の安全性データに応じて、これらの要求によってなされなければならない取り扱いを決定する。ところで、チップカードは、所持者の特性を残している。
【0161】
しかしながら、本発明は、特に図3から5に関連して分かりやすく説明した実施形態のみに限定されるものではないことを明らかにしなければならない。
【0162】
他の実施形態(図示せず)によれば、安全保護エンクロージャは、チップカードの読取装置しか含むことはできず、チップカード内に記録された1つまたは複数のアプリケーションは、所持者を認証し、および/または遠隔「WEB」サーバとチップカードとの間のトランザクションを可能にするためにはそれだけで十分である。キーボードが、排除され、生物学的測定装置のような、安全保護リソースのいずれか1つに変えることもできる。さらに、第1のチップカード読取装置に、第2の、さらには複数のチップカード読取装置を付け加えることもできる。
【図面の簡単な説明】
【0163】
【図1】チップカード読取装置とキーボードを備えた安全保護エンクロージャを有する、従来の技術による端末の一例を示す概略図である。
【図2】チップカード読取装置を有し、インターネットネットワークを介して、「WEB」サーバと通信する、従来の技術による端末の論理アーキテクチャを一般的に示す図である。
【図3】インターネットネットワークを介した、商用サーバと呼ばれる遠隔サーバと、チップカード読取装置とキーボードと他の情報処理リソースとを有する安全保護エンクロージャを備えた端末との間の通信を可能にする、本発明による一般的アーキテクチャの一例を示す概略図である。
【図4】図3の端末の安全保護エンクロージャとチップカードとの間の通信を可能にするモジュールの論理アーキテクチャを示す図である。
【図5】チップカードの論理アーキテクチャの独自の実施形態を示す図である。
【特許請求の範囲】
【請求項1】
インターネットタイプの第1の通信プロトコルにしたがって、インターネットタイプのネットワークを介して、少なくとも1つの「WEB」タイプのサーバと通信するための安全保護エンクロージャを備えた端末であって、前記安全保護エンクロージャは、少なくとも1つのチップカード読取装置を備え、前記チップカードは、少なくとも1つのソフトウェアアプリケーションを記憶し、さらに、前記端末(5)は、第1の通信ノード(50)と呼ばれる少なくとも1つの第1モジュールを備え、前記安全保護エンクロージャ(6)は、第2の通信ノード(60)と呼ばれる少なくとも1つの第2のモジュールを備え、前記チップカード(8)は、第3の通信ノード(80)と呼ばれる少なくとも1つの第3のモジュールを備え、さらに前記通信ノード(50、60、80)は、それぞれ、第1、第2、第3のプロトコルスタックを有し、該スタックの各々は、標準層と呼ばれる一定数の通信ソフトウェア層と、それぞれ、第1、第2、第3の特定のソフトウェア(64、84)とを有し、該ソフトウェアの各々は、少なくとも1つの第1のソフトウェアエンティティ(641、841)を有し、前記第1ソフトウェアエンティティは、2つずつ対を形成し、さらに前記第1ノード(50)は、インターネットタイプの前記第1の通信プロトコルにしたがって、少なくとも、前記端末(5)と前記「WEB」サーバ(4)との間の通信を許可し、さらに、第1および第2の特定のソフトウエアの前記第1のエンティティは、定められた第2の通信プロトコルにしたがって、前記端末(5)と前記安全保護エンクロージャ(6)との間の双方向データ交換セッションの確立を許可し、さらに前記第2(64)および第3(84)の特定のソフトウエアの前記第1のエンティティ(641、841)は、チップカード(8)の前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つと、「WEB」タイプの前記サーバ(4)とを関連付けることができるように、少なくとも、定められた第3の通信プロトコルにしたがって、前記チップカード読取装置を介して、前記安全保護エンクロージャ(6)と前記チップカード(8)との間の双方向データ交換セッションの確立を許可することを特徴とする端末。
【請求項2】
対になった前記第1のエンティティが、前記セッションを確立する、インテリジェントエージェント(641、841)と呼ばれるソフトウェアモジュールで構成されることを特徴とする請求項1に記載の端末。
【請求項3】
前記非安全保護部分において、「WEB」タイプのブラウザ(51)によって構成される少なくとも1つのアプリケーションを有し、さらにインターネットタイプの前記第1プロトコルが、「URL」と呼ばれるタイプのアドレシングを有し、前記端末(5)とこの端末(5)内部のエレメントを選択するために、「IP」と呼ばれるインターネットアドレスエレメントとポート番号とを有する「HTTP/TCP−IP」プロトコルであり、前記第1通信ノード(50)の前記特定のソフトウエアの前記第1のエンティティは、前記「IP」アドレスエレメントと前記ポート番号とを識別し、さらに、前記識別結果において、前記「WEB」タイプのサーバ(4)からの受信データは、インターネットタイプの前記第1プロトコルにしたがって、前記「WEB」タイプのブラウザ(51)に向けられ、または変換され、定められた前記第2通信プロトコルにしたがって、データ伝送の第1の方向に前記第2通信ノード(60)に向って伝送され、さらに前記識別において、前記第2通信ノード(60)から受信したデータは、インターネットタイプの前記第1プロトコルにしたがって、データ伝送の第2の方向に「WEB」タイプの前記ブラウザ(51)または「WEB」タイプの前記サーバ(4)に向けられることを特徴とする請求項1に記載の端末。
【請求項4】
前記安全保護エンクロージャ(6)が、さらに、少なくとも1つのデータ入力用キーボード(62)と、前記キーボード(62)と前記第2通信ノード(60)との間に配置されたエンクロージャ用と呼ばれる少なくとも1つの「HTTP」サーバ(61)とを備え、さらに、前記第2通信ノード(60)の前記特定のソフトウエア(64)の前記第1のエンティティ(641)が、前記「IP」アドレスエレメントと前記ポート番号とを識別し、さらに、前記第1通信ノード(50)から受信したデータが、変換され、定められた前記第3通信プロトコルにしたがって、第1のデータ伝送方向に前記第3通信ノード(80)に向って常に伝送され、さらに前記識別において、第3の通信ノード(80)から受信したデータは、前記「HTTP」サーバ(61)に向けられ、または、変換され、前記定められた第2プロトコルにしたがって、データ伝送の第2方向に前記第1通信ノード(50)に向って伝送されることを特徴とする請求項3に記載の端末。
【請求項5】
前記安全保護エンクロージャが、安全保護エンクロージャ(6)の前記「HTTP」サーバ(61)に接続された、少なくとも1つの追加情報処理リソース(63)を有し、さらに「URL」タイプの前記アドレスが追加エレメントを有することから、前記「HTTP」サーバ(61)が、前記追加アドレスエレメントの識別において、前記キーボード(62)または、前記追加情報処理リソース(63)のいずれか1つを選択することを特徴とする請求項4に記載の端末。
【請求項6】
前記追加情報処理リソース(63)が、生物測定式認証装置であることを特徴とする請求項5に記載の端末。
【請求項7】
前記チップカードが、複数のソフトウェアアプリケーション(A1からAn)を記憶し、さらに前記チップカードが、前記ソフトウェアアプリケーション(A1からAn)と前記第3ノード(80)との間に配置されたカード用サーバと呼ばれる「HTTP」サーバ(81)を有し、さらに前記カード用「HTTP」サーバ(81)が、前記第2ノード(60)から出された要求の受信において、前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つを選択的に起動させる、または、前記アプリケーション(A1からAn)から送信された要求を前記第3通信ノード(80)に向けて伝送することを特徴とする請求項4に記載の端末。
【請求項8】
前記チップカード(8)が、さらに、前記第3通信ノード(80)から受信した前記データによって伝達された一連の命令を解釈し、一連のオーダに変換することができる、第2のソフトウェアエンティティ(ATS1からATSi)を有し、前記第2ソフトウェアエンティティ(ATS1からATSi)が、前記ソフトウェアアプリケーション(A1からAn)および前記第3通信ノード(80)の前記特定のソフトウエア(84)と協働し、変換された前記一連の命令が、前記チップカード(8)の起動される前記ソフトウェアアプリケーション(A1からAn)の1つに関連付けられることを特徴とする請求項7に記載の端末。
【請求項9】
解釈される前記一連の命令がスクリプトからなり、前記第2ソフトウェアエンティティの各々が、スクリプト変換インテリジェントエージェントと呼ばれるソフトウェアモジュール(ATS1からATSi)で構成されることを特徴とする請求項8に記載の端末。
【請求項10】
前記「WEB」タイプサーバ(40)が、前記第1(50)、第2(60)、第3(80)の通信ノードを通して、前記チップカード(8)の前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つと対話型通信を行うための商用アプリケーションと呼ばれるソフトウェアアプリケーション(41)を記憶することを特徴とする請求項1に記載の端末。
【特許請求の範囲】
【請求項1】
読取装置と通信するインターフェイスと複数のソフトウェアアプリケーション(A1−An)の記憶手段を有するチップカード(8)であって、
前記チップカードは、処理手段を有し、前記処理手段は、
端末(5)と通信する通信モジュール(80)と前記記憶手段の間に配置されたいわゆるカード用「HTTP」サーバ(81)であって、
前記通信モジュール(80)と通信する端末から送られる要求の受信において前記ソフトウェアアプリケーション(A1−An)の少なくとも1つを選択的に起動し、又は、
前記アプリケーション(A1−An)により送信された要求を前記チップカード通信モジュール(80)へ送信する、ように構成された前記カード用「HTTP」サーバ(81)と、
前記チップカード通信モジュール(80)から受信されたデータにより伝達された一連の命令を解釈し、それを一連のオーダに変換することができる、ソフトウェアエンティティ(ATS1−ATSn)を使用する、関連付け手段であって、変換された一連のオーダを、前記チップカード(8)内で起動されるべき前記ソフトウェアアプリケーション(A1−An)の1つと関連付けることを可能とする、前記関連付け手段と、
を有することを特徴とする、チップカード(8)。
【請求項2】
処理手段は、「WEB」エージェント(841)とパケットマルチプレクサ(840)を有するソフトウェア(84)を有し、前記「WEB」エージェント(841)は、前記関連付け手段とインターフェイスとの間の通信を可能とするように構成される、請求項1に記載のチップカード(8)。
【請求項3】
チップカード(8)のインターフェイスと通信する「APDU」マネージャを有する、請求項1に記載のチップカード(8)。
【請求項4】
解釈される前記一連の命令がスクリプトからなり、前記第2ソフトウェアエンティティの各々は、前記「WEB」エージェント(841)とスクリプト変換インテリジェントエージェント(ATS1−ATSi)の間で確立されたセッションに従った一連の「APDU」オーダを発生する、前記スクリプト変換インテリジェントエージェント(ATS1−ATSi)と呼ばれるソフトウェアモジュールにより構成される、請求項3に記載のチップカード(8)。
【請求項5】
「APDU」マネージャは、「APDU」オーダを集中させ、全てのスクリプト変換インテリジェントエージェント(ATS1−ATSn)と通信するように構成される、請求項3に記載のチップカード(8)。
【請求項6】
「APDU」マネージャが、前記ソフトウェアアプリケーション(A1−An)の1つを選択し、「APDU」オーダを選択されたソフトウェアアプリケーションに対応するCGIアプリケーションへ送信することを可能とするCGIインターフェイスを有し、前記CGIアプリケーションは特定の「URL」アドレスで実行される、請求項3に記載のチップカード(8)。
【請求項7】
インターネットネットワークを介して少なくとも1つの「WEB」サーバ(4)と通信する端末(5)であって、第1部分と第2部分を有し、前記第2部分は、物理的な安全保護エンクロージャ(6)を備え、前記物理的な安全保護エンクロージャ(6)はチップカード(8)と通信する少なくとも1つのチップカード読取装置(7)を有し、
前記端末(5)は、第1部分内に、インターネット通信プロトコルに従って、第1モジュール(50)と「WEB」サーバ(4)の間で通信を確立することにより、端末(5)が「WEB」サーバ(4)と通信することを可能とする少なくとも1つの前記第1モジュール(50)を有し、前記物理的な安全保護エンクロージャ(6)は、エンクロージャ/装置通信プロトコルに従って、前記エンクロージャ(6)と第1部分の間で通信を確立するために、第1モジュール(50)に接続された少なくとも1つの第2モジュール(60)と、第2モジュール(60)に接続された少なくとも1つのエンクロージャ用「HTTP」サーバ(61)とを有し、前記エンクロージャ(6)はさらに、第2モジュール(60)と前記エンクロージャ用「HTTP」サーバ(61)をプログラミングすることにより論理的に安全保護される、ことを特徴とする端末(5)。
【請求項8】
前記第1部分は、第1モジュール(50)に接続された「WEB」ブラウザ(51)を有し、「WEB」サーバと主要部の間で通信する前記インターネット通信プロトコルは、前記端末(5)とこの端末(5)の内部のエレメントの選択のための、いわゆるIPインターネットアドレスエレメントとポート番号を含む、「URL」アドレッシングを有するHTTP/TCP−IPプロトコルを有する、請求項7に記載の端末(5)。
【請求項9】
前記エンクロージャ(6)は、少なくとも1つのデータ入力用キーボード(62)も有し、前記エンクロージャ用「HTTP」サーバ(61)は、前記キーボード(62)と前記第2モジュール(60)の間に配置される、請求項7に記載の端末(5)。
【請求項10】
前記エンクロージャ(6)は、エンクロージャ(6)の前記「HTTP」サーバ(61)に接続された少なくとも1つの追加の情報リソース(63)を含む、請求項7に記載の端末(5)。
【請求項11】
前記追加の情報リソース(63)は、生物測定式認証装置である、請求項10に記載の端末(5)。
【請求項12】
請求項1に記載のチップカード(8)と通信する、請求項7に記載の端末(5)。
【請求項1】
インターネットタイプの第1の通信プロトコルにしたがって、インターネットタイプのネットワークを介して、少なくとも1つの「WEB」タイプのサーバと通信するための安全保護エンクロージャを備えた端末であって、前記安全保護エンクロージャは、少なくとも1つのチップカード読取装置を備え、前記チップカードは、少なくとも1つのソフトウェアアプリケーションを記憶し、さらに、前記端末(5)は、第1の通信ノード(50)と呼ばれる少なくとも1つの第1モジュールを備え、前記安全保護エンクロージャ(6)は、第2の通信ノード(60)と呼ばれる少なくとも1つの第2のモジュールを備え、前記チップカード(8)は、第3の通信ノード(80)と呼ばれる少なくとも1つの第3のモジュールを備え、さらに前記通信ノード(50、60、80)は、それぞれ、第1、第2、第3のプロトコルスタックを有し、該スタックの各々は、標準層と呼ばれる一定数の通信ソフトウェア層と、それぞれ、第1、第2、第3の特定のソフトウェア(64、84)とを有し、該ソフトウェアの各々は、少なくとも1つの第1のソフトウェアエンティティ(641、841)を有し、前記第1ソフトウェアエンティティは、2つずつ対を形成し、さらに前記第1ノード(50)は、インターネットタイプの前記第1の通信プロトコルにしたがって、少なくとも、前記端末(5)と前記「WEB」サーバ(4)との間の通信を許可し、さらに、第1および第2の特定のソフトウエアの前記第1のエンティティは、定められた第2の通信プロトコルにしたがって、前記端末(5)と前記安全保護エンクロージャ(6)との間の双方向データ交換セッションの確立を許可し、さらに前記第2(64)および第3(84)の特定のソフトウエアの前記第1のエンティティ(641、841)は、チップカード(8)の前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つと、「WEB」タイプの前記サーバ(4)とを関連付けることができるように、少なくとも、定められた第3の通信プロトコルにしたがって、前記チップカード読取装置を介して、前記安全保護エンクロージャ(6)と前記チップカード(8)との間の双方向データ交換セッションの確立を許可することを特徴とする端末。
【請求項2】
対になった前記第1のエンティティが、前記セッションを確立する、インテリジェントエージェント(641、841)と呼ばれるソフトウェアモジュールで構成されることを特徴とする請求項1に記載の端末。
【請求項3】
前記非安全保護部分において、「WEB」タイプのブラウザ(51)によって構成される少なくとも1つのアプリケーションを有し、さらにインターネットタイプの前記第1プロトコルが、「URL」と呼ばれるタイプのアドレシングを有し、前記端末(5)とこの端末(5)内部のエレメントを選択するために、「IP」と呼ばれるインターネットアドレスエレメントとポート番号とを有する「HTTP/TCP−IP」プロトコルであり、前記第1通信ノード(50)の前記特定のソフトウエアの前記第1のエンティティは、前記「IP」アドレスエレメントと前記ポート番号とを識別し、さらに、前記識別結果において、前記「WEB」タイプのサーバ(4)からの受信データは、インターネットタイプの前記第1プロトコルにしたがって、前記「WEB」タイプのブラウザ(51)に向けられ、または変換され、定められた前記第2通信プロトコルにしたがって、データ伝送の第1の方向に前記第2通信ノード(60)に向って伝送され、さらに前記識別において、前記第2通信ノード(60)から受信したデータは、インターネットタイプの前記第1プロトコルにしたがって、データ伝送の第2の方向に「WEB」タイプの前記ブラウザ(51)または「WEB」タイプの前記サーバ(4)に向けられることを特徴とする請求項1に記載の端末。
【請求項4】
前記安全保護エンクロージャ(6)が、さらに、少なくとも1つのデータ入力用キーボード(62)と、前記キーボード(62)と前記第2通信ノード(60)との間に配置されたエンクロージャ用と呼ばれる少なくとも1つの「HTTP」サーバ(61)とを備え、さらに、前記第2通信ノード(60)の前記特定のソフトウエア(64)の前記第1のエンティティ(641)が、前記「IP」アドレスエレメントと前記ポート番号とを識別し、さらに、前記第1通信ノード(50)から受信したデータが、変換され、定められた前記第3通信プロトコルにしたがって、第1のデータ伝送方向に前記第3通信ノード(80)に向って常に伝送され、さらに前記識別において、第3の通信ノード(80)から受信したデータは、前記「HTTP」サーバ(61)に向けられ、または、変換され、前記定められた第2プロトコルにしたがって、データ伝送の第2方向に前記第1通信ノード(50)に向って伝送されることを特徴とする請求項3に記載の端末。
【請求項5】
前記安全保護エンクロージャが、安全保護エンクロージャ(6)の前記「HTTP」サーバ(61)に接続された、少なくとも1つの追加情報処理リソース(63)を有し、さらに「URL」タイプの前記アドレスが追加エレメントを有することから、前記「HTTP」サーバ(61)が、前記追加アドレスエレメントの識別において、前記キーボード(62)または、前記追加情報処理リソース(63)のいずれか1つを選択することを特徴とする請求項4に記載の端末。
【請求項6】
前記追加情報処理リソース(63)が、生物測定式認証装置であることを特徴とする請求項5に記載の端末。
【請求項7】
前記チップカードが、複数のソフトウェアアプリケーション(A1からAn)を記憶し、さらに前記チップカードが、前記ソフトウェアアプリケーション(A1からAn)と前記第3ノード(80)との間に配置されたカード用サーバと呼ばれる「HTTP」サーバ(81)を有し、さらに前記カード用「HTTP」サーバ(81)が、前記第2ノード(60)から出された要求の受信において、前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つを選択的に起動させる、または、前記アプリケーション(A1からAn)から送信された要求を前記第3通信ノード(80)に向けて伝送することを特徴とする請求項4に記載の端末。
【請求項8】
前記チップカード(8)が、さらに、前記第3通信ノード(80)から受信した前記データによって伝達された一連の命令を解釈し、一連のオーダに変換することができる、第2のソフトウェアエンティティ(ATS1からATSi)を有し、前記第2ソフトウェアエンティティ(ATS1からATSi)が、前記ソフトウェアアプリケーション(A1からAn)および前記第3通信ノード(80)の前記特定のソフトウエア(84)と協働し、変換された前記一連の命令が、前記チップカード(8)の起動される前記ソフトウェアアプリケーション(A1からAn)の1つに関連付けられることを特徴とする請求項7に記載の端末。
【請求項9】
解釈される前記一連の命令がスクリプトからなり、前記第2ソフトウェアエンティティの各々が、スクリプト変換インテリジェントエージェントと呼ばれるソフトウェアモジュール(ATS1からATSi)で構成されることを特徴とする請求項8に記載の端末。
【請求項10】
前記「WEB」タイプサーバ(40)が、前記第1(50)、第2(60)、第3(80)の通信ノードを通して、前記チップカード(8)の前記ソフトウェアアプリケーション(A1からAn)の少なくとも1つと対話型通信を行うための商用アプリケーションと呼ばれるソフトウェアアプリケーション(41)を記憶することを特徴とする請求項1に記載の端末。
【特許請求の範囲】
【請求項1】
読取装置と通信するインターフェイスと複数のソフトウェアアプリケーション(A1−An)の記憶手段を有するチップカード(8)であって、
前記チップカードは、処理手段を有し、前記処理手段は、
端末(5)と通信する通信モジュール(80)と前記記憶手段の間に配置されたいわゆるカード用「HTTP」サーバ(81)であって、
前記通信モジュール(80)と通信する端末から送られる要求の受信において前記ソフトウェアアプリケーション(A1−An)の少なくとも1つを選択的に起動し、又は、
前記アプリケーション(A1−An)により送信された要求を前記チップカード通信モジュール(80)へ送信する、ように構成された前記カード用「HTTP」サーバ(81)と、
前記チップカード通信モジュール(80)から受信されたデータにより伝達された一連の命令を解釈し、それを一連のオーダに変換することができる、ソフトウェアエンティティ(ATS1−ATSn)を使用する、関連付け手段であって、変換された一連のオーダを、前記チップカード(8)内で起動されるべき前記ソフトウェアアプリケーション(A1−An)の1つと関連付けることを可能とする、前記関連付け手段と、
を有することを特徴とする、チップカード(8)。
【請求項2】
処理手段は、「WEB」エージェント(841)とパケットマルチプレクサ(840)を有するソフトウェア(84)を有し、前記「WEB」エージェント(841)は、前記関連付け手段とインターフェイスとの間の通信を可能とするように構成される、請求項1に記載のチップカード(8)。
【請求項3】
チップカード(8)のインターフェイスと通信する「APDU」マネージャを有する、請求項1に記載のチップカード(8)。
【請求項4】
解釈される前記一連の命令がスクリプトからなり、前記第2ソフトウェアエンティティの各々は、前記「WEB」エージェント(841)とスクリプト変換インテリジェントエージェント(ATS1−ATSi)の間で確立されたセッションに従った一連の「APDU」オーダを発生する、前記スクリプト変換インテリジェントエージェント(ATS1−ATSi)と呼ばれるソフトウェアモジュールにより構成される、請求項3に記載のチップカード(8)。
【請求項5】
「APDU」マネージャは、「APDU」オーダを集中させ、全てのスクリプト変換インテリジェントエージェント(ATS1−ATSn)と通信するように構成される、請求項3に記載のチップカード(8)。
【請求項6】
「APDU」マネージャが、前記ソフトウェアアプリケーション(A1−An)の1つを選択し、「APDU」オーダを選択されたソフトウェアアプリケーションに対応するCGIアプリケーションへ送信することを可能とするCGIインターフェイスを有し、前記CGIアプリケーションは特定の「URL」アドレスで実行される、請求項3に記載のチップカード(8)。
【請求項7】
インターネットネットワークを介して少なくとも1つの「WEB」サーバ(4)と通信する端末(5)であって、第1部分と第2部分を有し、前記第2部分は、物理的な安全保護エンクロージャ(6)を備え、前記物理的な安全保護エンクロージャ(6)はチップカード(8)と通信する少なくとも1つのチップカード読取装置(7)を有し、
前記端末(5)は、第1部分内に、インターネット通信プロトコルに従って、第1モジュール(50)と「WEB」サーバ(4)の間で通信を確立することにより、端末(5)が「WEB」サーバ(4)と通信することを可能とする少なくとも1つの前記第1モジュール(50)を有し、前記物理的な安全保護エンクロージャ(6)は、エンクロージャ/装置通信プロトコルに従って、前記エンクロージャ(6)と第1部分の間で通信を確立するために、第1モジュール(50)に接続された少なくとも1つの第2モジュール(60)と、第2モジュール(60)に接続された少なくとも1つのエンクロージャ用「HTTP」サーバ(61)とを有し、前記エンクロージャ(6)はさらに、第2モジュール(60)と前記エンクロージャ用「HTTP」サーバ(61)をプログラミングすることにより論理的に安全保護される、ことを特徴とする端末(5)。
【請求項8】
前記第1部分は、第1モジュール(50)に接続された「WEB」ブラウザ(51)を有し、「WEB」サーバと主要部の間で通信する前記インターネット通信プロトコルは、前記端末(5)とこの端末(5)の内部のエレメントの選択のための、いわゆるIPインターネットアドレスエレメントとポート番号を含む、「URL」アドレッシングを有するHTTP/TCP−IPプロトコルを有する、請求項7に記載の端末(5)。
【請求項9】
前記エンクロージャ(6)は、少なくとも1つのデータ入力用キーボード(62)も有し、前記エンクロージャ用「HTTP」サーバ(61)は、前記キーボード(62)と前記第2モジュール(60)の間に配置される、請求項7に記載の端末(5)。
【請求項10】
前記エンクロージャ(6)は、エンクロージャ(6)の前記「HTTP」サーバ(61)に接続された少なくとも1つの追加の情報リソース(63)を含む、請求項7に記載の端末(5)。
【請求項11】
前記追加の情報リソース(63)は、生物測定式認証装置である、請求項10に記載の端末(5)。
【請求項12】
請求項1に記載のチップカード(8)と通信する、請求項7に記載の端末(5)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2006−139769(P2006−139769A)
【公開日】平成18年6月1日(2006.6.1)
【国際特許分類】
【出願番号】特願2005−299912(P2005−299912)
【出願日】平成17年10月14日(2005.10.14)
【分割の表示】特願2001−533713(P2001−533713)の分割
【原出願日】平成12年10月26日(2000.10.26)
【出願人】(595143078)
【Fターム(参考)】
【公開日】平成18年6月1日(2006.6.1)
【国際特許分類】
【出願日】平成17年10月14日(2005.10.14)
【分割の表示】特願2001−533713(P2001−533713)の分割
【原出願日】平成12年10月26日(2000.10.26)
【出願人】(595143078)
【Fターム(参考)】
[ Back to top ]