[发明专利]用于经由互联网类型的网络与一个服务器通信的带有智能卡阅读器的安全终端

说明书

技术领域

发明涉及一种终端架构，更特别地，涉及到一种使用智能卡键盘和阅读器类型的终端，智能卡位于安全围栏内，并且它经由互联网类型的网络与一个服务器通信。

背景技术

一种该装置是公知的，例如，其商业名称为“安全垫(safepad)”。

在发明的范围内，术语“终端”必须以一般的意义来被理解。前述的终端可特别是由一个在不同的操作系统下，例如WINDOWS或UNIX(所有二者都是注册商标)，工作的个人计算机。它也可以由一个工作站，一个便携计算机或一个被称为专用的终端。

同样，在发明范围内，术语“互联网网络”除了准确所称的因特网网络外，还包括了公司的私有网络或类似的，称为“intranet(内部网)”，以及向外部延伸的网络，称为“extranet(外部网)”。

智能卡被用于不同的领域：银行应用，健康，如称为电子的“钱包”，等等。在一个智能卡上可以同时存在多个应用(多应用智能卡)。

对于这些应用类型，智能卡可有不同功能。特别地，它可以被用于安全的目的。术语“安全”必须在一般的意义上被理解：特别是站的使用者和/或智能卡本身所有者的保密和/或认证。

在该多个特殊应用的范围内，终端可以带有一个安全围栏，它包括一个智能卡阅读器，一个键盘以及可能的一个或多个其它的信息资源。

图1以特别简要的形式示出了根据现有技术的前述类型的终端。

为巩固概念，我们将假设终端1基于一个微型计算机而构成。它带有所有该信息设备所构成的常规部件以及使其良好运行的必要部件(它本没被示出)：中央单元，读写存储器，海量存储器(硬盘)，信息支持读取器(软盘，等等)，等等。在图1上所示的特殊情况中，终端1带有一个安全围栏(防火墙)3，它包括一个智能卡2读取器30和一个键盘31。键盘31特别是用于智能卡2所有者认证数据的输入：例如一个与智能卡2的标识相关的口令。不同的电路一方面允许在该围栏中所具有的安全部件之间通信，特别是键盘31和智能卡2(通过阅读器30)，以及另一方面在这些安全部件和终端1中所具有的非安全部件之间通信。

通常，终端在其非安全部分包括一个特殊应用10，在后面我们将其称为“marchande(交易者)”，保证终端1在管理中所允许的特殊交易的管理和控制。在该应用10和安全围栏3内部部件之间的通信通常以“RS232”类型的标准来执行的。在安全围栏3内部部件，特别是一个常驻应用300，和智能卡之间通过阅读器30的通信通常根据符合标准ISO7816-1到7816-4的协议来进行。

因此该架构类型具有重要缺陷，特别是下列缺陷：

-植入终端中的商家应用(非安全部分)和常驻于安全围栏内的应用是特定于该终端的；

-相关的信息程序通常是体积庞大的；并且

-灵活性和可靠性是受到限制的，因为这些程序的修改必须在终端(非安全部分)和安全围栏中重新装入，而且还要进行良好功能的测试执行，这就需要特殊人员存在。

通常，该后一操作对于大量终端必须被重复。

另外还必须保留这种想法，它已全部或部分安全涉及到应用。因此对于程序的使用，我们必须能够保证一个适于特定应用的确定的安全级别。

通常，终端1不是孤立的，在此意义上讲，它通过一个传输网络RI与一个或多个远程系统相连，图1上示出了其中的一个4。网络RI的状态根据所面临的应用(银行、健康等等应用)而有很大的不同。它特别是涉及到互联网网络或该类型的网络(内部网或外部网)，考虑到后一种网络类型以及其所使用的应用的快速发展。通常，整体架构是被称为“客户-服务器”的类型，“服务器”通常是远程系统4而“客户”是终端1.而在某些环境中，在一个交易时间中，角色可能被反转过来或被交换。

在一个该架构中，与特定应用10和应用300相关的程序，它存在一个其版本上的修改，为此原因，它可以从一个远程服务器上以集中化的方式被使用，例如服务器4。于是重大的缺陷就被避免了，更新通过远程处理来被执行。然而该操作需要使用良好调试的管理过程。此外，远程装入可以包括敏感数据或至少是不得允许装入终端不允许或对安全而言是危险的程序和/或过程(“特洛伊木马”，“逻辑炸弹”，病毒，等等)。

另外，由于互联网网络升级及世界化，需求显示出一方面要将前述本地植入在终端中的的特殊应用转移向远程服务器，后面将其称为“商家服务器”，另一方面从这些商家服务器直接与智能卡对话。

特别是该第二个需求不能为现有技术的终端所满足，下面我们将解释原因。