背景技术
上述的传送可以通过专用的硬件或软件通路全部在互联网
上实施,或是部分在此网络上,或部分在标准电话网络(例如交
换式的)上实施。
为了确定此概念,并且没有限制本发明的范围,以下将描
述较佳实施领域中方法,即,通过互联网电话。
在本发明的领域中,“互联网”应该在更广泛的意义中来理
解。它是有关于,除了本意所称的互联网之外,还有称为
Intranet的私人企业或类似的网络,与称为extranet的向外部
延伸的网络,以及一般方式的所有的网络,其中数据的交换是
根据互联网协议进行实施的。以下这种网络统称为互联网。
同样,终端这个名词应该在广泛的意义中理解。上述的终
端可以由个人计算机所构成,它在各种不同的操作系统例如
WINDOWS或UNIX下运行。它还可以由工作站,便携式计算
机或专用的配有芯片卡的终端所构成。
随着互联网在最近五年飞跃的发展,数目不断增加的终端
被连接至此网络,尤其是用于与网络远程服务器连接。关于数
据借助于联机(其构成互联网的网眼)传送是存在着限制的,然而
这些限制主要不是与数据的性质有关,而特别是与此联机所允
许的数据流量有关。在最近设置高速(数据传输速度)联机(电
缆,ADSL的联机,借助于人造卫星联机,RNIS等),使得今
后能够以实时的方式传送处理多媒体数据。
同样的,是特别有利的借助于互联网传送电话通信,甚至
视频电话通信。此数据传送本身不会造成特别的问题。它可以
借助在此种形式的网络上通常所使用的协议来处理。然而,通
信的管理带来应用的问题,特别是在传统电话中发出信号
(Signalization)的问题。以通常的方式而言,此概念所代表的作
业是象通信者的发话、接收此发话、谈话的开始与结束、铃声、
挂机等。
在90年代中,大量的系统与软件被推出其能够通过互联网
而打电话。
在互联网上的第一个电话,称为Internet Phone由
Vocaltec公司在1995年发展制成。在今天可以算出数十项产
品:微软公司的Web Phone,Net Meeting等。
目前的技术状态产生以下结果:大量的多样性,标准的不
足,或是至少事实的标准不同。其结果是这些产品彼此之间不
可通用。
然而,可以观察到目前的以下趋势:
(a)使用TCP的端口密码而用于实现假的(Pseudo)信号(发
话的通知,发话者的辨识以便将此发话接收或拒绝等);
(b)压缩声音信号,例如根据从5.3Kbps至6.3Kbps的
UIT-TG723(国际电信联盟:Union Internationale des
Telecommunications)方法;
(c)运用RTP(实时协议)符合RFC 1889标准传播声音,其
使用本身PDUs(协议数据单元:Protocol Data Unit)的UDP(用
户数据图协议:User Datagram Protocol)传输协议,并且它配
合控制协议RTCP(实时传输控制协议:Real Time Transport
Control Protocol);以及
(d)借助于其地址IP作发话辨识,多个服务器可以能够结
合一固定邮件地址,由服务或网络服务商的多人的PPP式的服
务器所传达的地址IP。
当此通信数据应该离开互联网时,此称为ITG(Internet
Telephony Gateway)的互联网电话信道,能够将交换式的公共
交换电话网络连接至互联网。此协议H323其界定打包的格式
是使用于局域网中,并且在网络RNIS(数字网络集成服务,或
根据英文术语ISDN)上似乎成为CCP(发话控制协议:Call
Control Protocol)的发话协议的主要标准。
此在互联网上的电话带来三种形式的主要问题:
(a)在网络中用户(subscriber)的寻址(localization),即,建
立(机器信息的)地址IP与用户的关系;
(b)电话发话的信号管理(对于通信者的发话,发话的接收,
谈话的开始,谈话的结束):此项功能由称为“所有者”的协议(通
常是指在发声的Protocole Proprietaire Signalisation或PSP
的形式下)而实现而用于internet/internet式的发话,或是借助
于一可能成为标准的应用协议(上述CCP)而用于Internet/RTC
式的发话。此信号的发出是借助于TCP连接(以下称为信号通
路:Canal of Signalisation或CS)而实现。
(c)多媒体数据流的交换:此所采用的协议通常被称为
RTP(实时协议:Real Time Protocol,符合上述规格RFC
1889),此多媒体数据的交换是借助于数据通路而实施,并且这
些信息是借助于上述UDP协议而传送。
为了在互联网上建立电话交谈,发话者与受话者应该使用
相同的软件。图1以概要图的方式显示构成电话软件(LT)的主
要模块,例如是上述软件“Netmeeting”。概括地说,传统的电
话软件以及有关的传输系统结构包括以下的次组体(sub-
assembly):
(a)用户信息(PA),它包含一组信息,能够辨识一用户;
(b)登记协议(PE),其将用户登记上目录服务器(SA-由应用
端口密码TCP辨识,例如是接口N°389);
(c)寻址协议(PL),根据其标识符(通常是e-mail)来实现寻
找用户的功能,此功能借助于至目录服务器(SA)的连接而使用;
(d)通信通路(CS),其使用所有者信号协议(PSP),其借助
在应用接口(对于Netmeeting是N°1503)上的连接TCP而管理
电话发话;以及
(e)数据通路(CD),其借助例如是RTP的数据交换协议以
实时的方式管理数据(声音及/或影像)的交换。
以选择的方式,在互联网上的电话软件,可以向标准电话
网络的用户发出一项请求,其借助于连接TCP(在Netmeeting
软件的情形中是在接口N°1731上)而使用发话管理协议(CCP)。
图1以概要图的方式说明根据现有技术经过互联网的电话
系统9的结构,并且使用刚才提到的电话软件。
在此图上,各自概要图示呈现两个终端9a与9b,缩减至
只有其配备的电话软件90a与90b。
这些软件的成份对于每一个终端9a或9b而言,包括登记
协议PE,900a或900b,其配合用户信息PA,903a或903b,
以及寻址协议PL,901a或901b。用户信息PA包括用户Aa或
Ab为主的标识符,其通常在UserID的名称下熟知,以及各种
数据其在以下以更完整的方式正确地辨识此用户。
登记协议PE(900a或900b),使得用户(Aa与Ab)与终端
(9a或9b)产生关联,而登记在连接至互联网RI的目录服务器
91中。此登记是使用包含在上述用户信息PA(903a或903b)中
的辨识数据而实施。
当想要在两个用户之间建立通信时,是需要对于受话
(called)的用户进行寻址的阶段。例如,如果终端9a应与终端
9b通信,则需要知道在互联网RI上终端9b的地址IP就可以。
此过程对于在纯粹交换网络上传统的电话是相同的。它对
每一个用户给予一个呼叫号码,此号码的索引是在一个或多个
目录中。
然而,此使用互联网以确保用户之间的电话传送,或是终
端之间的电话传送,产生应用的限制。
首先,简短地回顾在网络上通信协议的主要特征。
通信网路的结构是借助各种不同的层所描述。作为例子,
此OSI标准(开放系统连接:Open System Interconnection),
由ISO界定,其包括7个层,它由称为底层(例如实体层,它是
有关于实体的传输储存体),通过尤其是被称为传输(transport)
层中的中间层,而至被称为高层(例如是被称为应用层)。一个
数据层提供服务给直接在其上的层,并向直接在其下的层,通
过适当的界面要求其它的服务。这些层借助于原始软件
(primitive)而通信。它们同样可以与相同层进行通信。在某些结
构中,有些层可以不存在。
在互联网的环境中,这些层的数目是5,并且以更精确的
方式而言,从高层至低层是应用层(http,ftp,e-mail),传输层
(TCP),网址层(IP),数据连接层(PPP,Slip等)及实体层。
在现有技术中,用户Aa与Ab使用互联网终端9a或9b,
其具有固定地址IP,或者使用互联网服务商提供的可变地址。
这通常是在英文缩写ISP(互联网服务提供者:Internet Service
Provider)之下为熟知。
此主要的不便是地址IP无法与用户配合,而是与互联网相
连接的信息系统配合。甚至在此信息系统设有固定地址的情况
下,在地址IP个人实体之间并不存在基本的对应。以实际的方
式而言,为了建立此种关系,用户被连接至目录服务器91(它
可被称为IRC(Internal Relay chat)),此服务器是有关于其地址
IP的用户标识符或UserID。
此辨识器通常由其信件地址e-mel(或e-mail根据英文术语)
所构成,但是同样的可以使用任何假名。
此项关联通常没有被确认而使得此项服务(通常是免费)能
够以更方便容易的方式使用。然而此种设计设有免除不便,尤
其是用于称为“敏感”的应用。
因此其所遭遇到的主要的限制是在互联网中替用户寻址,
也就是说在固定的标识符与地址IP之间建立对应关系。
此用户在互联网RI上的寻址,即建立上述的对应关系,预
先假设其地址是记录在目录服务器SA中。
因此,此用户在互联网中的地址由一对数据所构成:地址
SA-使用者ID(Address SA-User ID)。以通常的方式而言,借助
用户而了解一个物理的实体。引申而言,它可以是关于功能。
然而在以下给与用户一般的意义,而没有受到本发明的限制。
以实际的方式而言,用户借助于自愿的动作而显示它在互
联网中的位置,它借助于上述的PE登记协议而提供给(目录)服
务器其目前的地址IP。
此作业的终端9a或9b,具有由服务的提供者所给予的应
用软件(或应用系统),在此情况下是软件PE 900a或900b,并
且以应用的用户信息PA 903a或903个人化。
如同其所显示,除了以预约为主的标识符(UserID)之外,
此用户信息PA 103a或103b还包括一组信息,其在当将用户
登记时,提供给目录服务器SA 91,并且例如:
—目录服务器(Serveur d’Annuaire(SA))的地址;
—这些用户(借助于其UserID而辨识),以它使用者接受
进入通信,或者对它使用者要通知其在网络中的位置;以及
—这些信息使用者接受在目录服务器上被公开(例如:姓
名,国籍,寻找接触等)。
为了透过互联网RI连接通信者,此通信者应正式登记,而
必须识其地址IP。此信息是各自借助于目录服务器SA 91与寻
址协议PL 901a或901b而获得。
应该注意到此用户信息PA,其本质上是对于用户为应用,
但是还可以取决于目录服务器SA的特征,尤其是取决于它所
应该被提供或是它可以接受的信息的形式与本质。
最后应该注意PL 901a或901b,如同PE 900a或900b,
是被称为所有者形式,因为目录服务器SA 91的地址不标准或
不符合通常所熟知的标准。这些终端的PE与PL,应该各自与
植入在目录服务器SA 91中的参考号码为910与911的相对应
的协议兼容符合。此两个特征构成额外的不便。
总结刚才所提到的,为了第一个发话的用户Aa,能够对受
话的用户Ab寻址,并且Aa可以被Ab所寻址,则需要将他所
使用的终端例如是9a储存应用软件900a或b,901a或b,而
能够使用PE与PL。此终端同样地需要储存层于其用户信息
PA 903a的数据。这些说明以类似的方式适用于另外一个使用
者的终端,例如是终端9b。
换句话说,任何一个用户Aa或用户Ab所使用的终端9a
或9b是同样的应用,在此意义方面,如果此用户想更换终端,
他应该重新找寻新的终端使用,至少其软件与PL配合,而允
许它在第一个终端上进行初步阶段的登记,以请求PE,并且提
供其PA信息给目录服务器SA。事实上,此PE的存在需要用
于寻址此目录服务器SA 91,并连接存取记载在其中的数据,
尤其是寻找其对应的IP地址与其信息PA。
这些终端9a或9b应该同样地各配备两个补充软件,同样
是所有者的形式:信号协议PSP 902a,或902b,以及上述的
数据交换协议RTP(或类似的协议)905a或905b。这些与PSP
有关的模块在它们之间借助于信号信道CS,通过互联网RI通
信。同样的,与RTP有关的模块在它们之间借助于数据通路
CD,通过互联网RI通信。
最后,如果电话通信数据应该离开互联网RI而转向标准交
换网络93,它必须设有上述的发话管理协议CCP(或类似的协
议)904a或904b,其同样是所有者形式。同样需要设有一或多
个上述ITG网关,其以唯一的参考号码92代表,介于模块
904a(其配合协议CCP),与网络RTC 92之间。用户的电话机
95,通过传统的PBX中心94或是所有类似的系统,而与网络
RTC通信。在图1上所说明的例子中,此介于用户终端9a,与
ITG网关92之间的通信,使用TCP式的连接。此在交换电路
网络部分上的通信是以传统的方式实施,并且无意将它太早讨
论。
因此使用一般的终端用于实施登记阶段,以及尤其是用户
在互联网RI上寻址的阶段,此信号的发出(用户呼叫的寻址等)
与数据的交换,其允许以简单容易的方式进入此称为游牧的概
念。
同样在发出信号的阶段,使用在受话者与发话者之间一种
简单或互相确认的程序是有益的。各种协商,例如钥匙加密或
是称为路径切换“保留”的作业,在此发出信号的阶段成为同样
被执行。同样的,在数据交换的阶段是有益的例如根据先前所
协商的钥匙加密,而能够确保信息的机动的加密/解密。最后,
是有益于使用一种价格规定,其根据所交换数据的数量(流量)
及/或根据所设置的通路切换的品质。这些通路是在先前的信号
发出(signalisation)的阶段中协商。
这些与上述PE与PL协议配合的软件,通常不需要设置大
量的内存。它是有相同信息PA的数据。因此可以设想将它全
部或部分记录于芯片卡的内存电路中,此为目前技术所允许。
然而如同以下所示,遇到双重的技术困难,其禁止在芯片
卡与互联网之间所有直接的通信。
首先借助于参考图2A和图2B,简述此连接至互联网而以
芯片卡为主的应用系统的一般结构。
以终端为主的应用系统通常包括以下的主要组件:
—一芯片卡;
—一构成上述终端的主机(host)系统;
—一通信网路,即在较佳实施例中的互联网;以及
—一与互联网相连接的应用服务器。
图2A为概要图式说明此种形式结构的例子。终端1例如
是一个人计算机,其包括一芯片卡2的芯片卡阅读机3。此芯
片卡阅读机3可以在实体上集成或没有集成于终端1之中。在
本发明的范围内,终端1为图1的系统的终端9a或9b。芯片
卡2包括集成电路20,其在它的储存体的表面上显示输入输出
连接,以允许供应电能,并且与终端1通信。终端1包括连口
电路11,以连接互联网RI。这些电路由调制解调器(modem)构
成,用以连接至一转接电话机,或是连接至非常高速的通信电
路。以电缆或借助于卫星连接的方式而集成服务(RNIS)的数字
网络。这些电路11能够连接或通过互联网的服务供应商(ISP:
Internet Service Provider)而连接至互联网RI。同样是可以运
用象是代理服务器的中间系统或是称为防火墙(或还称为阻障防
护)的隔离系统。
终端1当然包括其良好运作所需的所有电路与装置,并且
它不是在图式简单的目的中呈现:中央处理器,随机存储器
(RAM)与只读存储器(ROM)内存,硬盘存储器,软盘(diskette)
驱动器及/或光盘存储器(CDROM)等。
通常终端1亦(以集成或非集成的方式)连接至传统的外围
装置,象是显示屏5a与声音播放系统5b,键盘6a,以及鼠标
6b等。
终端1可以与服务器或连接至互联网RI所有的信息系统通
信,其在图2A中以唯一的4代表。在本发明的范围中,服务
器4由目录服务器91(图1)所构成,并且终端1由与用户Aa
或Ab有关系统9a或9b之一所构成。接口电路11借助于根据
英文术语称为网络浏览器或是browser的应用软件10,而使终
端1与服务器4通信。此电路11允许连接至分布在整个互联
网的各种应用系统或数据文件,是根据客户-服务器的模式进行
通信的。
此在互联网RI上的通信协议是根据应用系统而选择,更特
别的是关于:网络网页的查询,文件的转移,电子邮件论谈或
新闻等。
此系统的逻辑结构包括在图2B上概要图式说明的终端,
芯片卡阅读机,与芯片卡。由标准ISO 7816说明,本身包括
多个标准:
—ISO 7816-1与7816-2,是关于芯片卡的尺寸与标识;
—ISO 7816-3,是关于终端与芯片卡之间的数据转移;以
及
—ISO 7816-4,是关于指令组的结构与命令的格式。
如图2B所示,在终端只出现符合标准7816-3的软件层,其
参考号码101,以及指令管理器APDU(标准ISO 7816-4),其参
考号码102。在芯片卡2符合标准ISO 7816-3的这些层的参考
号码201,与指令管理器APDU(标准ISO 7816-4)的参考号码
210。这些应用系统的参考号码是A1,…,Ai,…,An,是出现
在芯片卡2上应用系统的最大号码。
应用系统Ai出现于芯片卡2,借由一组指令而与终端1对
话,此组指令典型地是读取指令与写入指令。此指令的格式是
在英文缩写为APDU(应用协议数据单元:Application Protocol
Data Unit)下为所熟知。它由上述的标准ISO 7816-4所界定。
一个APDU命令由APDU.command表示,并且APDU的回复
是以APDU.response表示。这些APDU命令与回复是在芯片
卡阅读机与芯片卡之间借助于上述标准ISO 7816-3(例如字符
模式中:T=0,在区段模式中:T=1)所规范的协议而交换。
当芯片卡2a包括多个不同的应用系统时,如图2B所示,
则称此芯片卡为多种应用式。然而此终端1一次只与一个应用
系统对话。
应用系统Ai的选出是借助于选择形式(SELECT)的APDU
而获得,一旦实施了此项选择,其以下的APDU向此应用系统
发送。一个新的APDU SELECT会放弃现行的应用系统而选择
另一个。此管理软件APDU 201的次组体(sub-assembly)允许
在芯片卡2中选择特定的应用系统Ai,将如此选择的应用系统
记忆,将APDU向应用系统传送,或是从此应用系统接收。
综上所述,选择应用系统Ai并且与它对话是借助于交换
APDU指令而实施。假设这些应用系统Ai是传统的应用系统,
以下称为GCA(同类芯片卡应用:Generic Card Application)。
作了这些回顾之后,要注意芯片卡2不能直接与商业标准
的浏览器通信,除非是要修改此浏览器10的程序代码。
特别是,目前的芯片卡,其另一方面符合上面所提到的标
准,是具有软件与硬件的结构,不允许直接与互联网RI通信。
特别是,根据在此种形式的网络上所使用的这一个或另一个协
议,它不能接收或传送数据包。它因此需要一个植入于终端1
中所提供的额外的软件,其根据英文术语是通常称为插件
(plug-in)的形式下,它在图2A上具有参考号码12,在浏览器
10与芯片卡2(更正确的说是在芯片卡2的电子电路20)之间形
成界定。
具体实施方式
在以下除非是作了相反的陈述是没有限制其适用范围,而
将其(即在通过互联网的电话传送的情况中)置于本发明较佳的
应用范围中。
图3以概要图的方式说明根据本发明主要的观点的以芯片
卡为主的应用系统的例子,其使得芯片卡能用作网络客户/服务
器。
除了应用通信协议的软件层之外(此软件层的参考号码是
13与23a,分别植入终端1与芯片卡2a中),其余的硬件或软
件组件是与现有技术相同,尤其是与参考在图2A和图2B所描
述的相同,并不需要以详细的方式重新描述。
终端1包括接口电路11连接至互联网RI,其例如由一调
制解调器(modem)所构成。这些电路重新组合下部的软件层C1
与C2,其对应于实体层与数据连接层。
同样的呈现上部层C3与C4,其相对应于“网络地址”层(在
互联网的情形中,IP)与运输层。上部的应用层(HTTP,FTP,
e-mail)则未出现。
此介于下层C1与C2,以及上层C3与C4之间的界面由通
常称为底层驱动器的软件层所构成。这些上层C3与C4是建立
在此界面上,并且借助于应用功能程序库或是网络程序库14而
使用,用此程序库来通信。在互联网的情况中,TCP/IP借助于
称为socket的程序库而使用。
这些组织结构使得浏览器10能够向服务器4提出要求,以
本身完全传统的方式查询网络网页(HTTP协议)传送文件协议
(FTP协议),或是发送电子邮件协议(e-mail协议)。
终端1同样包括与其集成或未与其集成为一体的芯片卡阅
读机3。为了与芯片卡2通信,芯片卡阅读机3同样包括两个
底层CC1(实体层)与CC2(数据连接层),其与C1及C2层相同。
此芯片卡阅读机与层CC1以及CC2的软件界面由规格PC/SC(
部分6,service provider)所描述。这些层CC1与CC2本身是
特别由如前所提到的标准ISO 7816-1至7816-4所描述。
一补充软件层16在应用层(未图示)与下层CC1,CC2之间
形成界面。此层16之主要功能是多任务转换/解除多任务转换
(multiplex/demultiplex)。
此与芯片卡2a的通信是根据范例而实施,其类似使用于在
网络形式(未设置标记)的执行系统中用于文件操作者:开启
(OPEN),读取(READ),写入(WRITE),关闭(CLOSE)等。
在芯片卡2a这边,可重新发现类似的组织结构,即,出现
两个底层CCa1(实体层)与CCa2(数据连接层),以及与层16完
全类似之界面层26a。
根据本发明,在这边与那边,即,在终端1与在芯片卡2a
中,各自设有两个应用的协议层13与23a。
在终端1中应用层13与以下形成界面:底层驱动层15,
网络层C3与C4的程序库14,以及芯片卡阅读机3的协议层(
即通过多任务转换层16的下层CC1与CC2)。此应用层13允
许来自以及向芯片卡2a转送网络打包。而且,它调整所存在的
应用系统例如网络浏览器10,电子邮件等,以用于芯片卡2a
的使用。
在芯片卡2a这边,可以发现与此完全类似的组织结构,其
由层13的对应对象,即参考号码为23a的应用层的补充例所
构成。
更确切地说,应用层13与23a是可细分为三个主要的软
件组件:
—模块130或230a,其通过传统的层CC1,CC2,CCa1
与CCa2在层13与23a之间传送信息区段(block);
—一个或多个称为智能代理器的软件132或232a,其例
如实现协议转换功能;以及
—应用结构管理模块,各自是131与231a,此模块可以
类似于应用的智能代理器。
为了简化,在以下称智能代理器为代理器(如前所示)。
因此在终端1与芯片卡2a中,重新发现在两个实体之间的
一个通信协议堆栈(pile)。
第二层(数据连接层)CC2与CCa2确保在芯片卡2a与终端1
之间的数据交换。这些层是负责传输错误的侦测与可能的更正。
其可以使用不同的协议,并且以下作为非限制性的例子:
—建议ETSI GSM 11.11;
—由标准ISO 7816-3所界定的协议,在字符(character)
模式T=0之中;
由标准ISO 7816-3所界定的协议,在区段(block)模式T=1
中;或是
—由标准ISO 3309所界定的协议,在框架(frame)模式
HDLC(高层数据连接控制程序:High-Level Data Link Control
procedure)中。
在本发明的范围中较佳是使用在区段模式中的协议ISO
7816-3。
以本身所熟知的方式,在每一个协议层是结合了一定数目
的原始软件,其允许相同层与其它层的数据交换。作为例子,
与第2层有关的原始软件是要求数据(Data.request)与由芯片卡
的传送数据(Data.response),以及数据确认(Data.confirm)的
形式等。
以更应用的方式,这些层13与23a是负责芯片卡2a与其
主机,即终端1之间的对话。这些层允许在终端1的使用者(未
图示)与芯片卡2a之间,例如借助在HTML格式的超文本形式
下所发展的选单(menu),而作数据交换。它们同样地允许设置
一种结构,其适合用于数据打包的发出及/或接收。
如上所示,这些层包括三个不同的实体。
此第一层130或230a主要由多任务器(multiplexer)软件所
构成。它允许在协议数据单元的形式下,在芯片卡2a与主机终
端1之间交换信息。它类似于数据打包(packet)转接器。这些
数据单元是通过第二软件层(数据连接层)发出或接收。此应用
的通信协议至少允许一对智能代理器通信。此每一对的第一代
理器132是位于终端1这一边的层13中,第二代理器232a是
位于芯片卡2a这边的层23a之中。两个代理器之间的连接是
与对话有关,其可称为S-代理器。一项对话是在两个代理器之
间作数据双向交换。如果这些层13与23a中这一个或另一个
层包括多个代理器,相同层的代理器还可以在它们之间,及/或
与模块131与231a(其构成这些应用代理器)建立对话。
以更精确的方式而言,一个代理器是一独立的软件实体,
其可以根据终端1所使用的结构,而实现第3与4层全部或部
分的功能。
这些代理器是与应用的层性或特性有关。为了确定概念,
并且作为非限制性的例子,以下六个特性是与代理器有关:
—主机:代理器是位于终端中;
—芯片卡:代理器是位于芯片卡中;
—局域网:代理器不与网络通信;
—网络:代理器与网络通信(终端侧);
—客户:发起此项对话的代理器;
—服务器:接收对话命令的代理器。
一个特定的代理器由参考号码所辨识,例如是16位的整数
(即包括在0与65535之间)。其最大的位(b15)显示此参考是本
地局域网(与本地的芯片卡或终端通信)(b15=1)或远程(b15=0)。
此在两大种类的代理器:服务器式代理器,其由固定的参
考号码辨认,及客户式代理器,其由可变的参考号码辨认。可
以暂时使这些参考号码具有资格,而由结构的管理模块131或
231a传送。
这些代理器之间的通信是借助于称为协议数据单元或PDU(
根据英文术语代表protocol data unit),其包括目的地的参考号
码与来源参考号码。同样地参考通常使用的英文名词智能卡
(Smart Cark)、芯片卡(chip card),而称此特定的PDU为
“SmartTP PDU”。这些PDU尤其使用以上所界定的参考号码。
此SmartTP PDU,或以下更简单称为PDU,包括一来源
参考号码,一目的参考号码,一组构成指针或flags的位,其
明确表达PDU的性质,以及选择性的数据:
—开启(OPEN)指针设置用于显示对话的开启;
—结束(CLOSE)指针显示对话的结束;以及
—闭锁(BLOCK)显示代理器正在等候其对应代理器的响
应,并且中止其所有的活动。
我们称不包括数据的PDU为号牌(Jeton)PDU。
SmartTP实体控制着接收代理器的存在,并且实现向接收
代理器的数据打包的转接。
对话代理器具有显著的三个状态,即:
—解除连接状态:没有与其它的代理器开启任何的对话;
—连接状态:与另一代理器开启对话,一个S-Agent对话
由一对代理器参考号码辨认;以及
—闭锁状态:代理器被连接,并且等待其对应代理器回
复。
对话S-Agent的建立机构是如下:
—客户代理器设立新的要求(芯片卡这边或终端这边),此
代理器是借助于暂时假的独特的参考号码辨认;
—客户代理器发出设有开启指针的PDU至服务器代理器
的地址(另一方面其参考号码为已知),并且客户代理器根据指
针闭锁的值而进入连接或闭锁的状态;以及
—服务器代理器收到此设有开启(OPEN)指针的PDU,并
且进入连接状态;
—一旦对话开启,两个代理器通过PDU交换数据。
结束对话的机构是如下所述:
—一个代理器发出设有结束(CLOSE)指针的PDU(并且它
可能包括这些数据);以及
—另一个代理器接收此设有结束(CLOSE)指针的PDU(并
且它可能包括这些数据),并且此对话进入解除连接状态。
图4以概要图的方式表示对话S-Agent的状态,如同刚才
所提到的。
这些层130与230a管理这些表(未图示),其包括在终端1
与芯片卡2所出现的代理器的名单。
以实际的方式而言,使得代理器能够做数据(例如超文本)
交换,但同样地激活网络数据交换的作业。而允许芯片卡2a与
远程服务器4之间的通信(图3)。
这些结构管理模块131与231a各自类似于代理器131与
231a。例如在终端主机1的模块131,尤其是管理有关此终端
结构的信息(功能模式),所出现其它代理器的名单等。在芯片
卡2这一边的模块231a具有类似的功能。此两个代理器可以
互相通信,以建立对话。
以实际的方式而言,芯片卡2借助于使用URL地址(一致
性资源定位系统:Universal Resource Locator)而方便地寻址
(addressed),此地址界定在终端1本身之上的重新链接(re-
loop),并且没有指向外部的服务器。作为例子,此URL的结
构通常如下:
http://127.0.0.1:8080 (1)
其中127.0.0.1是IP重新链接(re-loop)的地址,并且8080
是端口码。
图5以简化的方式表示呈现在图3上形式的本发明的系统
逻辑结构,但以更详细的方式说明。芯片卡20包括多个代理器,
但仅出示两个:称为网络形式的代理器232a1,以及未明确界
定形式的代理器232a2。此堆栈逻辑包括参考号码为200a的下
部协议层,其符合标准ISO 7816-3(图3:CCa1与CCa2),指令
APDU管理器201a1,以及数据打包多任务模块230a,此后者
对代理器的界面,特别是对网络代理器231a2的界面。
在终端1这边,存在两个堆栈,一个与互联网RI通信,另
外一个堆栈与芯片卡2a通信。第一堆栈包括连接至网络(标准
OSI 1与2)的装置11(图2A和图2B:C1与C2),以及参考号
码为100的协议层TCP/IP(图3:C3与C4)。这些协议层是对
浏览器10形成界面。另外的堆栈包括参考号码101的下部协
议层,其符合标准ISO 7816-3(图3:C1与C2),指令APDU管
理器102,以及数据打包多任务模块130,此后者对代理器形
成界面,此代理器以唯一的132代表。此代理器132假设是互
联网代理器,而且还可以一方面通过TCP/IP层101与浏览器
10通信,另外一方面通过相同的层TCP/IP 101以及装置11与
互联网RI通信,而连接互联网RI。
指令APDU管理器201a同样是对于层应用系统(简称为应
用系统)的一个或多个层形成界面。这些应用系统A1,…,Ai,
…,An,如同其所显示是传统形式的应用系统。
总之,由芯片卡2a所提供的网络客户/服务器的功能,可
以如同所描述的借助于将以下结合而实现:在芯片卡中的网络
代理器232a1,与在终端1中的网络代理器132,以及借助于使
用在代理器的间的对话。
因此,芯片卡2a良好地呈现网络客户/服务器的功能。而
且,根据本发明方法的特点,上述CGA式的任何传统的应用系
统A1至An,可以借由网络客户/服务器而激活,或由存在于终
端1中的网络浏览器激活,或是位于互联网RI任何点的远程浏
览器4,借助于使用代理器之间的对话而激活。根据本发明的
方法,这些应用系统A1至An不需重新描述,并且可照原来的
方式使用。
在本发明的领域中,应用系统A1至An的全部或一部分,
可以由应用系统所构成(其与一个或多个PE有关,及/或与一个
或多个PL有关),并且加载芯片卡2a的内存中。这些数据代
表一个或多个PA信息,可以同样地储存于芯片卡2a中。
由芯片卡2a所提供的网络客户/服务器功能,不足以执行
应用系统,而需要对它添加补充功能。
事实上,根据本发明的另一观点,由芯片卡2a所提供的网
络服务器的功能类似于传统上在网络服务器所植入称为CGI(公
共网关接口或interface de passerelle)的功能。
在描述本发明的例子之前,为了能够在芯片卡内部本身实
现此种功能,则回顾公共网关接口功能模式的主要特点是有益
的。
此公共网关接口是一种由网络服务器所使用的规格,它是
为了执行系统UNIX,DOS或WINDOWS所撰写的应用系统。
作为例子,用于执行系统UNIX,其规格是CGI 1.1,以及用于
执行系统WINDOWS 95”,其规格是CGI1.3。
作为例子,一个用于地址URL的请求HTTP是此种形式:
http://www.host.com/cgi-bin/xxx.cgi (2)
其中host是所提到一主(host)系统(通常是远程),其由网
络服务器解释如同执行命令脚本,其形式为公共网关接口名称
为“xxx”,并且呈现于主系统的目录“cgi-bin”中。虽然,此目录
的名称最初可为任何名称,由惯例此所给予目录的名称储存公
共网关接口形式的脚本。一个脚本是主(host)系统的执行系统
的一组指令,其最后的结果被传送至网络浏览器,其发出上述
的请求。可使用不同的语言撰写此脚本,例如是PERL语言。
以实际的方式而言,此项请求通常是显示于,包括在网页
HTML中的网页形式下的信息屏幕上。此HTML语言允许在地
址URL设置一网页,此网页包括一个或多个强制性或非强制性
的字段,其由使用者借助于一般的输入装置填入:对于文字是
用键盘,对于作记号是用鼠标,或是用称为radio的按钮等。
此网页的内容(以及可能称为隐藏(chchées)的信息与指令)是发
出至网络服务器的目的地。此网页的HTML码是描述此网页硬
件结构(范围,图形,颜色,以及所有其它的属性),以及所输
入数据区域的结构(名称,长度,数据的形式等)。
此传送可以根据两个主要格式的形式而实施。第一格式使
用称为发送POST的方法,以及第二格式使用称为收回GET的
方法,此格式形式的信息是存在于网页编码中。
然而,此机构并不可直接地传送给芯片卡,即使它提供依
据本发明特点之一的网络客户/服务器功能。
现在参考图6以说明一个结构的例子,使得其能够通过在
芯片卡上的网络服务器,以激活传统形式的任何应用系统。
在这些智能代理器中,符合本发明的观点,设有应用的智
能代理器,其以下称为脚本翻译代理器,或简称为ATS。此脚
本被智能代理器所解释说明,其翻译可以由不同的方式实施:
(a)通过网络代理器232a1本身,其在此情况中配备了双倍
容量;
(b)通过一个唯一的脚本代理器,而能够翻译存在于芯片卡
中所有的脚本;
(c)通过一个专用的脚本代理器,其在以下称为(经由脚本代
理器的)ATSD;
(d)通过APDU指令的管理器2010a的APDU代理201a,
其在此情况中配备了双倍的容量。
APDU代理器2010a是APDU指令管理器201a的一个组
件。此201a如其所显示,是一层能够集中由系统发射及/或接
收的APDU指令,此应用系统在A1至An中选择,同样提供了
智能代理器所形成的界面。它因此能够根据本发明的方法的特
点之一,与此系统所有的智能代理器(通过对话)而通信,以致
于这些代理器是位于终端1或芯片卡2a之中。
在以上的情形(c)中,在网络代理器232a1与ATSD代理器
之一之间,开启一个对话。
图6说明一个结构例,对于它此翻译代理器是属于ATSD
形。它的参考号码是ATS1至ATSn,并且与应用系统A1至An
有关。此所被选择的应用系统假设是应用系统Ai,而在网络代
理器232a1与ATSi代理器之间建立对话。
此脚本翻译代理器产生一组APDU指令,而在翻译代理器
之间,例如是ATSi代理器与APDU 2101a代理器之间开启一个
对话。这些指令是向APDU 2101a发出。APDU指令管理器
210a选择应用系统“CGA”Ai,并且向它传送这些指令APDU,
此指令被翻译,并且因此是传统式的,以致它能够被了解。此
应用系统因为被正确地激活,而不需要修改或重写。
应用系统Ai的回复被传送至APDU指令的管理器210a,
至APDU代理器2010a,然后再一次地至代理器ATSi(以及最
通常的方式至脚本的翻译代理器1)。
这些不同的方法途径在图6上是以符号代表,用实线连接
功能块,用虚线连接功能块的内部。
为了实施这些作业将用户登记在一个或多个目录服务器上
及/或将受话的用户寻址,此根据本发明的方法使用到两个刚才
提到的特性,即,将芯片卡的功能用作网络服务器/客户,还包
括公共网关接口功能。
根据本发明较佳的实施形式,这些与用户登记协议PE及/
或用户寻址协议PL有关的应用系统,以及可能一或多个用户
信息是登记在芯片卡2a中。
现在参考图7A~图7D至图9,以详细的方式描述根据本发
明方法不同的阶段与步骤,以将用户登记及/或将受话的用户寻
址。
此第一阶段是关于将用户信息登记入目录服务器(以下特别
称为SAi)中。此目录是与现有技术的目录符合一致(例如图1:
91)。此根据本发明的方法与现有的方法完全兼容。
如图7A所示,在第一步骤中,芯片卡2a由终端1的浏览
器10,通过层13与23a而寻址。而例如必借助于GET式的命
令收回由芯片卡2a所加载的网页。此网页由用HTML语言撰
写,而任意的称为“dowm load.html”。
此回收的实施是参考相对应的网页,其URL典型是以下的
形式:
http://127.0.0.1:8080/download.html (3),
其中http://127.0.0.1:8080是称为适当的重新链接(re-loop)
的URL地址,其如同在关系式(1)中所界定的,并且获得HTML
网页“download.html”。此项请求使用介于智能代理器之间的对
话,如同其根据本发明的第一观点并参照图2A和图2B至图4
所说明的,此芯片卡2a为网络服务器。
在第二步骤期间芯片卡2a总是根据本发明的方法,借助在
脚本代理器之间所开启的对话,而发出down.html网页。此所获
得的网页可借助于浏览器10而显示在屏幕5上,并且它在图
7A上的参考码为P,此图概要图示说明该过程。此网页对于想
在目录服务器上登记的用户而言构成接收网页。芯片卡的表现
如同网络服务器。
网页P可以通常的方式包括图形形式及/或六字形式的不同
组件,以及对话(interactive)指令形式的组件(称为radio形式的
按钮,标记格子,数据输入区等)。
假设在第一次中芯片卡2a在其端口(未图示),以及根据唯
一的用户信息(参考号码PAu)上提供登记的可能。同样地,假
设唯一的信息PAu是登记在芯片卡2a中。在此假设中,网页
P(即接收网页)是于屏幕5上显示,可以减少至最小的呈现,图
7B说明可能的例子:网页P1。
此网页P1在唯一的参考号码Zt下包括不同的文字区。这
些区典型地显示目录服务器(SAu)的名称xxx,其所建议的行动
登记,以及各种的辅助(例如,在此按压)。然后假设用户信息
PAu的数据是登记在芯片卡2a中,只要设有发送按钮Bs就足
够。此由使用者借助于鼠标(图2A:6b)在按钮上按压,或按下
键盘(图2A:6a)的回车键,则激活网页向芯片卡2a的发送。
在根据本发明另外的变化例中,这些属于用户信息的数据
由此信息直接输入。在此假设中的网页较复杂。图7C显示此
网页可能的例子,其参考号码是P2。它包括一个第一固定文字
区Zt1,其类似于图7B的Zt,以及包括在唯一独特参考号码
Zt2下的一个或多个数据输入区。其如同先前设有发送按钮Bs,
但还方便地设有网页P2的重设按钮Braz,使得其在有错误时可
以删除这些数据。此数据输入区Zt2是在HTML语言中称为文
本区,并且存有一种称为滚动条的设备,以用于显示长的本文
内容的展现。
用于编写此种网页程序的HTML码在本领域中是公知的,
它不需重新详细描述。然而可以显示它尤其包括在HTML语言
中的行码(line of code),它典型地在以下的形式中出现:
<form action=http://127.0.01:8080/cgi-smart/pe> (4)
其中http://127.0.01:8080是关系式(1)重新链接的URL,
cgi-smart是上述目录公共网关接口,其包括脚本PE,与储存
在芯片卡2a中的应用系统之一有关,其参考号码例如是Ae。
此应用系统能够将具有信息PAu的用户(使用者)登记在目录
SAu之上。此项行为是参照图5和图6所描述的方式,一方面
使用由芯片卡2a所提供的公共网关接口功能,另一方面是使用
其所提供的客户/服务器的功能而实施。此系统Ae的表现如同
客户。
在第一个情况(图7B)中,没有必要将参数传送给芯片卡2a。
事实上,这些用户信息PAu的数据是独特唯一,并且登记在芯
片卡2a中。
在第二个情况(图7C)中,这些输入的数据是在请求HTTP
的格式下,传送作为芯片卡2a的参数。
图7D以概要图示说明,通过互联网RI将用户登记在目录
服务器SAu上的阶段的整个过程。
此唯一的参考号码SWEB重新组合参照图5和图6所示的不
同模块,使其芯片卡2a能够提供网络客户/服务器与信道公共
网关接口的组合功能。同样假设应用系统Ae能够使用登记协议
PE,其与专用的脚本翻译代理器Ate有关;它是有关于一种结
构,其符合图6所示。然而,如其所示,此脚本的翻译可以以
其它的方式(借助于网络代理器232a1)等来实施。此网页借助于
智能代理器之间所开启的对话而发出,使得可以借助于脚本的
翻译代理器Ate而激活应用系统Ae。
在以后的步骤期间,应用系统Ae借助于开启在成对的智能
代理器(尤其包括网络代理器)(图6:132)之间的对话,而提出
请求HTTP。此项请求与所传达的参数一起传给目录服务器
SAu。这些参数,尤其由用户信息(PAu)的数据构成,以便使它
能够登记入目录。目录服务器的URL的地址是登记于芯片卡
2a中的用户信息SAu,或是根据在网页P2(图7C)中所输入的
数据而获得。
此登记过程基本在此阶段结束。然而,它可以包括一个或
多个补充步骤。这些步骤之一可以包括由此目录在请求HTTP
的格式下发出收据回单,其地址为芯片卡2a。此回单可以包括
信息其显示此登记是以令人满意的方式进展,或是相反的发出
错误码。在以后的情况中,此登记的过程应该被重复。服务器
可以要求发送缺乏不足的数据,或是重新发出不正确或变质的
数据。此登记的要求同样可以被拒绝,尤其是如果此预约的有
效限制时限被超过。
在根据本发明的方法较佳的变化例中,是可能将用户登记
在多个不同的目录上。在此变化实施例中,通常需要同样地设
置多个登记协议。为此,而将多个与这些协议配合的应用系统
储存于芯片卡2a中,其称为Ae1,…,Aei,…Aen,并且假设
这些不同协议的最大数目为n。
如前所述,这些与用户信息有关的,并且称为PA1,…,
PAi,…,PAq的数据可以储存于芯片卡2a中,或是相反的,
由用户根据类似图7C所示的方法,有专用的网页中借助输入
一次一次地提供。q为可使用的用户信息的最大数目。须注意q
不必强制等于n。事实上,目录服务器一方面允许,任意所提
到的SAi可以接收相同的用户信息的多个不同的版本。另一方
面,多个不同的用户服务器,可接受相同的用户信息,并且也
可分享共同的登记协议。
不论使用何种方法以选出所有的或部分的目录服务器,这
些所传给芯片卡2a的参数能够选出用户信息PAA至PAD中的
一个或多个,并且导出一个或多个URL地址。其借助于将参数
传送给芯片卡2a而所要求的动作,是典型的以下形式:
?sai=enr+paj (5),
其中“sai”是在n个可能中任意指数的目录服务器的名称,
“enr”是适当登记所要求的动作,以及“paj”是在q个可能中所使
用的用户信息。
一个或多个请求HTTP被提出,并且传送至SAA至SAD的
有关的目录服务器。并且如果存在n个可选择的目录服务器,
则其参考号码为SAA至SAD。
在接收网页P上所呈现的选择当然是插入芯片卡阅读机3
的芯片卡2a的函数。此所呈现的选择取决于所给与拥有芯片卡
2a的用户的权利,尤其是所提供服务的预约及其有效期。
根据本发明方法的第二阶段,即在互联网上将任何与标识
符有关的用户的寻址,可以非常类似于登记阶段的方式进行。
为此,必须询问一个或多个目录服务器,而且还需要设置
至少一个此用户寻址的应用协议PL。最后,如果存在多个可查
询的目录服务器SA1至SAn,则通常如同在登记的情况中,需
要设置多个不同的寻址协议。
这些寻址协议可以借助于储存在芯片卡2a中的应用系统而
使用。
此寻址过程的进行完全类似于一个或多个目录服务器SAi
上用户登记的过程,其唯一可注意的例外是不再明显的需要用
户信息PAj。只要提供给芯片卡2a所要寻找用户的标识符与目
录服务器SAi的地址,或是至少这些参数,使得与寻址协议之
一有关的应用系统就能够确定其URL地址。用户信息PAj总是
可以借由发话用户所要将受话用户寻址,而被利用自动导出目
录服务器SAi的URL地址。如同其所显示,此被寻找的用户的
标识符可以是其e-mail的地址,其典型地以如下的格式呈现:
pseudo@fournisseur.com (6)
其中pseudo是用户信息的使用者的名称,或者更通常是
假名,以及fournisseur.com是所提供网络服务的名称与后缀
(suffixe),(“.com”可以根据实际情况而由各种不同的后缀:
“.fr”,“.net”等取代)。
图8显示借助于查询目录服务器SAi,而将使用者寻址的
阶段的主要步骤。
在第一阶段中,芯片卡2a是终端1的浏览器10,通过层
13与23a而寻址。借助于GET式的命令而回收例如来自芯片
卡2a在接收网页(参考号码P)格式下的加载网页。此接收网页
可以采用不同的观点,它尤其类似图7所示。根据它可以作一
个或多个选择,用户选出一或多个目录服务器,并且提供所要
寻找的用户的辨识数据。在图8上假设只有唯一可查询的目录
服务器SAi。
此网页在请求HTTP的格式下传送至芯片卡2a,并由与应
用系统Ai有关的脚本翻译代理器Ati使用PL协议翻译此网页。
借助网络客户/服务器与公共网关接口(如同先前其模块的
参考号码为SWEB)的双重机构,一个此种形式的请求:
http:/1227.0.0.1/?sai=loc+pseudo@fournisseur.com (7)
被芯片卡2a翻译如同用户的寻址的要求,其标识符是在目
录服务器SAi上的关系式(6)。
请求HTTP被传送至服务器,其送回在它可使用范围内所
要求的信息。它在本身数据的基础中搜寻对应于所收到辨识数
据的地址IP。假如此搜寻成功,即,如果用户的要求是被有效
地登记,如果此用户具有获得此地址的权利,以及如果此所接
收的数据是正确的话,则这些被重新传送的数据包括被搜寻用
户的地址IP,使得其能够将此用户寻址。
这些不同的步骤使用根据本发明观点的成对代理器之间的
对话。
可以在芯片卡2a中同样储存多个应用系统,其各个的目的
在于使用不同的寻址协议,其本质上配合同样不同的目录服务
器。
在本发明方法的较佳实施例中,在芯片卡2a中储存有这些
应用系统能够使用多个登记协议,多个寻址协议,以及用于登
记多个用户信息的数据文件。此种设计有利地能够将芯片卡2a
转变成以可携式数据为主的多重目录。
在本发明方法的另一实施例中,当在登记阶段及/或寻址阶
段,芯片卡2a的使用可以对其处理器作有力的确认。事实上,
可将保全数据储存于芯片卡2a中,其保持为其所有者的财产。
此种保全数据可以由编成密码的钥匙所构成。
由于本发明方法的优点,芯片卡借助于使用智能代理器之
间的对话,而可以直接与互联网通信。这些数据不会被传送至
外部装置,如果是终端1。这些处理所触及的安全问题,由芯
片卡2a直接实施。因此,此种进行的方式所提供的安全程度单
纯的使用最近网络浏览器安全的软件层的安全程度为高,此浏
览器的安全在英文缩写SSL(Secure Socket Layer)。
专有的确认可以运用称为验证的技术而实施,其配合储存
在芯片卡中上述加密码的钥匙。此过程可以借助于由互联网RI
所传送的请求HTTP,而需要在芯片卡2a及/或有关的目录服
务器之间补充的数据交换作业。根据此确认的结果是肯定或否
定,用户被授权(或未被授权)执行所要实现的登记或寻址的处
理。
根据本发明的另一个观点,使用刚才所描述的代理器的机
构,在芯片卡2a上直接植入称为“代理服务器TCP/IP”的功能。
此功能借助于以下称为过滤器(filter)的应用软件而实施。
以代理服务器的功能在互联网应用系统的领域中所熟知,
但是根据现有技术,它不可植入系统的芯片卡中。
在描述符合本发明的结构前,首先参考图9,简短地回顾
根据现有技术的传统代理服务器的特点。
在TCP/IP的技术中,将软件实体Py命名为代理服务器,
其一方面实现服务器TCP/IP Sv,并且另一方面实现客户
TCP/IP CI。软件实体Py实现局域网性客户与另一个远程服务
器TCP/IP之间的连接。
一个代理服务器Py通常实现过滤器及/或安全的功能。例
如,代理服务器HTTP通常确保浏览器的连接,例如在企业中
将终端1的浏览器10,连接至网络服务器4(这在防火墙的领域
中为公知)。它同样可以是有关SSL的代理服务器,其可以被
界定为如本地终端的代理服务器,其借助于互联网RI建立安全
隧道,而实现所需的安全作业(确认-机密-集成)。
现在参考图10,根据本发明的补充观点,描述软件结构,
其将代理服务器的功能直接集成入芯片卡中。
这些与先前图式同样具有相同参考号码的组件,只有在需
要时重新描述。为了简化描述,这些代理器,在终端1这边是
在唯一的参考号码132下重组,并且在芯片卡2a这边是在唯
一的参考号码232a下重组。以下是以T代表终端,S代表晶
致卡(芯片卡),将字母结合数字或指数。在以下芯片卡2a上所
实现的代理服务器27是被称为智能代理服务器。
智能代理服务器27是借助于结合四个代理器,两个在终端
1:T1与T2;并且两个在芯片卡2a:S1与S2,以及功能过滤
器28而实现,如同以下所描述:
—终端/客户/网络代理器T1,实现服务器TCP/IP(例如在
8080接口上);
—芯片卡/服务器/局域网代理器S1,借助于对话而与代理
器T1相结合。此代理器典型地实现了网络服务器的功能;
—功能过滤器28是根据来自代理器T1的信息而确定,代
理器T1的功能是根据向代理器S1与S2所发出,与接收来自代
理器S1与S2的PDU;
—芯片卡/客户/局域网代理器S2,建立此代理器的要求,
以便由功能过滤器27与S2,开启与网络代理器T2的对话,在
其中它显示互联网远程服务器4的地址是与S2连接;以及
—终端/服务器/网络代理器T2实现TCP/IP客户的功能,
其连接至互联网服务器4。
此建立智能代理服务器27的机构是如下所描述。
一个TCP客户,其以下称为cTCP,典型地是网络浏览器
10,开启与网络代理器T1的连接,然后建立T1-S1对话。例如
是以下的I’URL:
http://127.0.0.1:8080/?des1=xxx.com:80/~yyy/content.html (8)
导致在代理器T1与S1之间开启一个对话。
根据通过T1与S1的数据交换,与代理器S1(网络服务器)
有关的应用系统,决定应该使用那一个功能过滤器28。因此,
“des1”是特定过滤器的名称,“xxx.com”是互联网服务器的任何
名称,例如是服务器4;80是端口码,以及“/~yyy/content.
html”是在此服务器上文件的任何名称,在此例中由在HTML语
言中的网页所构成。在此例中,过滤器des1是一过滤器,使
得其能够根据DES(数据加密标准:Data Encryption Standard)
式的算法而实现解码及/或加密的作业。在本发明的范围中,服
务器4由目录服务器(例如图7D与图8:SAi)所构成。
在其它术语中,I’URL“carte”,由关系式2所界定,其包
括另一个URL,其目的在于外部世界,此URL的第一部分由重
新链接的I’URL例如由关系式(1)所界定的构成。
此过滤器28“des1”建立代理器S1的要求,而在代理器S2
与T2之间开启对话。在第一PDU(pdu OPEN)中所插入的数据
明确地表达互联网服务器的名称(xxx.com),以及其有关端口的
号码80。
代理器T2与sTCP远程服务器开启TCP式的连接(zzz.
com)。一旦建立此连接,则向S2的目的地出号牌(jeton)。
关于此交换,则建立智能代理服务器,一个位于芯片卡2a
中的功能过滤器28能够处理这些(来自互联网RI)由网络代理器
所接收的数据。过滤器28以逻辑的方式控制由网络代理器T1
与T2所发出的数据。它的行为表现如同TCP代理服务器,其
控制介于cTCP客户与sTCP服务器之间的数据交换。
为了确定概念,在图10上呈现不同的代理器的任意的参考
号码:固定的2与5各自用于服务器式的代理器T2与S1,以
及可变的或暂时的15360与2559,各自用于客户式的代理器
T1与S2。
其它形式的过滤器可以植入于芯片卡2a中。此种过滤器可
以被使用于协商加密码钥匙的交换或是应用特征的路径切换的
保留。作为例子,发话用户要以提高流量或大量数据的方式传
送多媒体文件,它希望获得确保最小的通过频带及/或数据交通
不会阻塞作为报偿。
确切地说,在芯片卡2a上的另外一种过滤器可以实现制定
收费标准的功能,其传统上是根据所交换数据的流量或数量,
但是,还根据在信号发出的阶段所协商的提供服务通路形式。
为此,如同其本身所熟知,主要是使用计算机来达成。
一旦将用户寻址,此直接植入在芯片卡2a上的代理服务器
功能,则被使用于这些步骤,其相对应于发话用户与被寻址的
受话用户之间特有的信号发出及/或数据交换作业。
应该充分的了解根据本发明的方法,其由发话用户使用,
并不要求受话的用户同样的使用相同的方法。事实上,这是本
发明另一特点。用户之一,例如是受话用户,可以使用与现有
技术的标准终端(图1:9b),而并不特别地需要此终端配备了芯
片卡阅读机。换句话说,至少其中关于与发话或受话用户之一
有关的设备,此根据本发明的方法与现有的方法是完全符合一
致,电话的硬件与软件还有其它的设备,只需要少许的修正而
能与本发明的方法符合一致。
然而,在本发明较佳的实施例中发话用户与受话用户所使
用的终端均使用根据本发明的方法。在以下,发话方任意的由
参考字母a代表,并且在受话方以参考字母b代表。
图11A以概要图的方式说明在发话方Aa与在受话方Ab的
电话系统结构,其使用用于信号(signalisation)信道CS的代理
服务器功能。
在此图上为了方便说明,发话者与受话者终端1a与1b被
各自简化成只与通信协议有关的软件PSP,902a与902b。这
些软件本身是与对应于现有技术的软件符合一致(参阅图1)。
然而,代理服务器功能需要调整以便能够支持芯片卡使用
根据本发明的方法。至少,其若干性能应该可以被参数化
(parameterize),以便修正其信号的端口码(TCP)。某些商业标
准版本的电话软件是不可参数化。可以列举作为非限制性例子
的是,在本专利申请案中所举的两种软件,Netmeeting软件不
可被参数化,而Webphone软件可以被参数化。
然而,使用者所关心的是信号的代理服务器能够使用在发
话用户Aa与受话用户Ab之间简单或互相确认的程序,可以有
益于通信的接收。
发话用户Aa的芯片卡2a与服务器有关,其根据本发明由
网络服务器代理器TCP构成,而称为在接口TCP上的信号。此
接口称为PSCS,代表端口信号芯片卡来源(Port signalisation
Carte Source)。发话用户Aa的芯片卡2a是连接至信号端口,
其相对应于受话用户Ab的芯片卡2b所连接的信号端口。此接
口被称为PSCD(端口信号芯片卡目的地:Port Signalisation
Carte Destination)。其被寻址于地址IP而任意地称为@ip。芯
片卡2b在TCP、PSCD与受话用户Ab的终端1b的端口
PSLT(电话软件信号端口)之间实现信号的代理服务器。
这些数据交换作业(transaction)需要在成对的代理器之间
建立对话,此为根据参考图3至图5所示的本发明方法的特点
所实现的;以及需要使用代理服务器功能,这是根据参考图10
所述的本发明方法的另一特点来实现的。
在图11A上,芯片卡2a与2b的代理服务器由参考号码
27a与27b概括地代表。它在实际上包括在图10上所呈现的
不同的组件:代理器S1与S2以及过滤器28。
为了确定概念,现在于实际的实施例中说明信号发出
(signalisation)阶段的主要步骤。为了确定概念,假设芯片卡的
重新链接(re-loop)的URL地址由关系式(1)所给定,为
127.0.0.1,并且端口的号码是任意的1731。此电话软件的端
口码通常是1503。例如当寻址阶段所设定的受话用户Ab的地
址是@ip。
发话用户方Aa:
(1)准备步骤:形成代理服务器27a,以便将127.0.0.1:
1731翻译成@ip:1503;
(2)发话步骤:
(2a)发话者PSP 902a呼叫172.0.0.1:1731;
(2b)发话者芯片卡2a呼叫@ip:1503;以及
(2c)受话者芯片卡2b呼叫@ip:1502。
受话用户方Ab:
(1)预先准备步骤:将(受话)PSP的信号端口码由1503修
正至1502;以及
(2)通信步骤:在芯片卡2b与终端1b之间,借助于在接口
1503上使用TCP网络式的代理器;以及在芯片卡输入端口
1503与芯片卡输出端口1502之间使用代理服务器27b功能;
而达成通信的目的。
当然,如果只有发话用户系统1a-2a符合本发明的形式,
则芯片卡2a直接呼叫受话用户的系统的URL地址@ip:1502。
以选择的方式,一对钥匙(pair of keys)的加密可以在发出
信号进行的过程中协商。其相对应的数据交换同样地借助于在
成对的代理器之间建立对话而实施。
符合本发明方法的芯片卡可以在数据信道CD上同样地表
现如同数据交换协议(UDP)的代理服务器。如同先前,此功能
可能需要调整电话软件,以支持符合本发明方法的芯片卡。
然而,使用代理服务器作数据交换同样呈现某种好处。这
在于能够使用信息的加密/解密程序。例如标准G723,其压缩
声音与包括在5.3Kbps与6.3Kbps之间的数据流量,是与目前
芯片卡的数据流量(其典型地包括在9600bps与105900bps
之间)符合一致。如图10所示,代理服务器的过滤器尤其可实
现根据DES式算法的加密(encode)及/或解密(decode)作业。
图11B是从发话用户Aa与受话用户Ab以概要图的方式说
明电话系统的结构,其使用代理服务器功能而用于数据信道
CD。在图11B上,芯片卡2a与2b的代理服务器s概括地由
参考号码27a与27b代表,它们在事实上如同先前包括在图
10上所代表的不同组件:代理器S1与S2,以及过滤器28。
发话用户Aa的芯片卡2a是与一服务器有关,其由在接口
UDP上数据交换的UDP网络服务器代理器所构成,其称为
PDCS(端口数据芯片卡来源)。发话用户Aa的芯片卡2a连接
至受话用户Ab的芯片卡2b的数据交换端口,其称为PDCD(端
口数据芯片卡目的地),芯片卡被寻址在任意的IP地址@ip。收
话用户Ab的芯片卡2b在端口UDP、PDCD与终端1b的端口
PDLT(电话软件数据端口)之间实施数据交换代理服务器。
在此情况下需要使用两个数据交换prosy;发话用户Aa向
受话用户Ab的代理服务器27a,以及受话用户Ab向发话用户
Aa的另一个代理服务器27b。
如同先前,如果只有发话用户系统1a-2a是符合本发明的
形式,则芯片卡2a直接呼叫受话用户预约系统。
图12综合图11A和图11B以概要图的方式说明电话数据
传送管理系统SGDT(并且更普遍的方式是多媒体数据)的一般性
结构,此数据传送是介于发话用户Aa与受话用户Ab之间,更
确切地说明介于包括与芯片卡2a合作的发话终端1a的发话系
统与称为服务器(其全体的参考号码为1’b)的受话系统之间的
数据传送。受话者系统1’b可以呈现与类似发话者系统无关的
结构,即符合本发明:终端1a与芯片卡2a合作(如同在图11A
及/或图11B上所描述的),或是与现有技术的系统结构合作(参
考图1:9b)。此与先前图式相同的组件具有相同的参考号码只
有在需要时才重新说明。
图12说明根据本发明的电话数据传输管理系统的基本组件
之间的不同的交互作用,例如尤其是参考图3至图8与图10
至图11A和图11B所说明的。以还更正确的方式而言,芯片卡
2a说明本发明较佳的实施模式,对于它这些与登记协议PE
900a以及寻址协议PL 901a,还有用户信息PA 903a有关的
应用系统是记载于芯片卡2a的内存中(如图7D与图8所示)。
同样地,假设芯片卡2a呈现代理服务器27a的功能,况且用
于信号信道CS与数据信道CD(图11A与图11B)。如同先前说
明,代理服务器27a是在芯片卡2a的SWEB客户/服务器的控
制下。
最后,虽然在图12上只出现唯一的目录服务器SAi,在较
佳的实施模式中,使得在芯片卡2a中所储存的应用系统能够使
用多个登记协议,多个寻址协议以及数据文件而用于多个用户
信息的登记。此种设计方便地将芯片卡2a能够转变成以便携式
数据为主的多重目录。此服务器本身是完全类似于现有技术的
服务器,例如图1的服务器91。它包括用户登记协议PE 910
与寻址协议PL 911。
在阅读以上说明后,可发现本发明的方法确实能完成其所
设定的目标。
此称为代理服务器的功能直接植入于芯片卡中,以与芯片
卡所提供的网络客户/服务器的功能合作,而使得芯片卡如同能
够使用代理服务器一样的信号及/或数据交换协议。
如果芯片卡被使用如同代理服务器信号协议,则尤其可以
使用介于发话用户与受话用户之间的简单或互相确认的程序。
同样可以协商钥匙的加密(encoding)及/或保留切换的通路,提
供预先建立的传输特性。
如果芯片卡被使用如同代理服务器通信协议,则尤其可以
使用加密/解密的程序。同样可以实施收费标准的作业,其例如
是根据数据交换的流量或数量,或者还考虑到先前所实施的预
留。
本发明的方法同样使用户,例如是发话用户在一个或多个
目录服务器上登记及/或同样是借助于一个或多个目录服务器将
称为受话的另一个用户在互联网上寻址。芯片卡呈现网络客户/
服务器与公共网关接口信道的组合功能。此种设计使得芯片卡
与目录服务器直接通信。它允许将使用登记及/或寻址协议所需
的应用体储存。使得它能够有大的机动性。一个或多个用户信
息可以同样地储存于芯片卡中。用户不再被强迫使用具有上述
协议的应用结构的终端。
本发明的方法与现有的方法完全兼容。它不再要求发话或
受话的用户被登记在一个或多个目录服务器上以使用根据本发
明的方法,也不要求配备根据本发明所设有的芯片卡阅读机的
终端。在互联网上数据的传送是根据现行的协议而实施,并且
在用户终端之间的通信是使用根据本发明的方法,并且其芯片
卡要求上述ISO标准协议。因此可使用标准的芯片卡阅读机。
只需要在终端中存在应用软件层,其中只需要少许的修正,并
且可以一劳永逸的实施,不论是登记协议,寻址协议的数目及/
或芯片卡所具有用户信息,或其性质如何。它均是相同的代理
服务器过滤器,植入于芯片卡中。
最后,使得芯片卡能够安全的将数据交换进行处理
(transaction),并且可以做必要的确认。它同样能够协商数据
交换通路的切换及/或数据交换收费的制定。
本发明并不受限于所明确说明的实施例,尤其是,一方面
关于图3至图8,以及另外一方面关于图10至图12。
特别是不需要将两个系列的所有者软件PE与PL储存在芯
片卡中,虽然此种设计是特别地方便。作为非限制性的例子,
在登记阶段,在个一或多个目录服务器中可一劳永逸地实现,
或者至少在寻址阶段发生的较不频繁。因此可满足于在芯片卡
中只储存与最近作业有关的应用系统。同样地,如同所示,可
以在芯片卡中不登记用户信息PA(这些数据可以在用户登记时
在应用的目录服务器中以实时(real time)的方式提供),它还可
以只登记用户信息的一部分,此信息是以自动的方式提供。
最后,本发明并不受限于电话形式数据的管理。它更普遍
应用于其它形式多媒体数据的管理,尤其是视频电话数据的管
理。