CA2264896A1 - Module de securite comportant des moyens de creation de liens entre des fichiers principaux et des fichiers auxiliaires - Google Patents

Abstract

L'invention concerne un module de sécurité coopérant avec un dispositif de traitement de l'information et comportant des moyens de traitement de l'information et des moyens de stockage de l'information, ces derniers stockant plusieurs fichiers. Selon l'invention, le module de sécurité comprend: des moyens de création de liens agencés pour créer un lien entre au moins un fichier principal (30) et un fichier auxiliaire (31), le fichier principal ayant un contenu déterminé (33) et étant rendu accessible aux moyens de traitement dans les moyens de stockage grâce à des données de localisation (RFC), les moyens de création de lien associant au fichier auxiliaire (31) lesdites données de localisation; et des moyens de branchement agencés pour mettre à disposition des moyens de traitement, lorsque ceux-ci exécutent une demande d'accès visant à accéder au fichier auxiliaire (31), ledit contenu (33) du fichier principal (30) en utilisant lesdites données de localisation (RFC).

Description

202530CA 02264896 1999-02-25WO 99100774 PCT/FR98/013441Module de sécurité comportant des moyens de creation de liens entre des fichiersprincipaux et des fichiers auxiliairesL’invention est relative a un module de sécurité agencé pour coopéreravec un dispositif de traitement de l'information et comportant des moyens detraitement de l'information et des moyens de stockage de l’information, lesmoyens de stockage stockant plusieurs fichiers.Le terme "module de sécurite" doit étre pris, soit dans son sens classiquedans lequel ll designe un dispositif ayant vocation, dans un réseau decommunication ou d'information, a étre détenu par un organisme supervisant leréseau et a stocker de facon protégée des parametres secrets et fondamentauxdu réseau tels que des clés cryptographiques, soit comme désignant plussimplement un dispositif attribué a divers usagers du réseau et permettant achacun d'eux d'avoir accés a celui—ci, ce dernier dispositif étant lui aussisusceptible de détenir des parametres secrets. Le module de sécurité pourraprendre la forme d'un objet portatif du type carte a puce.La présente invention concerne notamment les cartes a micro-circuit et, plusgénéralement les objets portatifs dotés de circuits intégrés comportant au moins unmicroprocesseur, une mémoire morte (ROM) contenant un systéme d'exp|oitationde la carte et une ou plusieurs mémoires non volatiles, programmables par lemicroprocesseur. Ces mémoires non volatiles permettent de stocker des donnéeset du code.Le microprocesseur controle le transfert des informations et, le caséchéant mémorise les donnees recues de l'extérieur ou les lit pour les transmettrea l'extérieur. Ces objets possedent un ou plusieurs moyens de communication. Lesmémoires peuvent étre de technologie EPROM, EEPROM, FeRAM, SRAM ouFLASH.Grace a l’évolution de la technologie, la taille de la mémoire ROM contenantle programme est de plus en plus importante ; ainsi les concepteurs de ceprogramme peuvent introduire de plus en plus de fonctions. Certaines de cesfonctions se rapportent directement a l’organisation de la mémoire programmable.Cette mémoire, dont la taille a aussi augmenté, est organisée hiérarchiquement enfichiers indépendants, cette organisation est décrite notamment dans la norme ISO7816-4.202530CA 02264896 1999-02-25WO 99/00774 PCT/FR98/013442De nos jours, les cartes peuvent servir a de multiples applications et pourcela elles posse-dent souvent deux ou trois niveaux hiérarchiques appelés parexemple : CARTE, APPLICATION et SERVICE. A chaque niveau, les informationsse rapportant a une méme affectation sont regroupées en fichiers, ces fichierscomprenant deux niveaux de stockage , a savoir des "REPERTOlRES" et, danschaque repertoire, des informations de méme nature stockées dans des"FICHIERS DE DONNEES Cette architecture définie en plusieurs niveaux s'élabore généralement lorsde la personnalisation de la carte, c'est-a—dire avant son utilisation. ll est possiblecependant de rajouter en utilisation d'autres répertoires ou d'autres fichiers dedonnées , mais cela dépend de la place disponible restant dans la mémoire nonvolatile programmable. Cette mémoire étant de taille limitée, il est important de nepas gaspiller d'emplacement et de définir lors de la personnalisation uniquement laplace nécessaire et suffisante au bon fonctionnement des répertoires et desfichiers de données .Un excellent moyen de ne pas perdre de place consiste a ne pas dupliquerles informations. Ainsi, il faut éviter que les memes informations utiles a plusieursrépertoires soient écrites de facon identique dans plusieurs endroits de lamémoire. Malheureusement, l'architecture hiérarchisée des répertoires empéchede partager un méme fichier de données entre plusieurs répertoires. Si deuxrépertoires doivent posséder les mémes informations, il n’existe a ce jour que lasolution de créer deux fichiers de données comportant ces mémes informations al'intérieur. La présente invention résout ce probleme en évitant la duplicationd'informations communes, tout en conservant les liens hiérarchisés entre fichiersde données et répertoires.Un autre probleme est celui de la mise a jour de fichiers presents enplusieurs endroits de la mémoire : il faut en effet effectuer les modificationsnecessaires en chaque endroit. Outre le fait que cette operation est longue, ellepeut étre perturbée par une interruption accidentelle du fonctionnement de la carte, avec pour consequence probable une mise a jour incomplete de l’ensemble deces fichiers , c'est-a-dire une mise a jour de certains fichiers, et pas des autres. Lacoherence entre tous ces fichiers ne serait plus assurée.Par ailleurs, la structure en plusieurs niveaux peut pénaliser les tempsd'acces a des fichiers de données ou répertoires de bas niveaux. En effet, pour15202530CA 02264896 1999-02-25W0 99/00774 PCT/FR98/013443atteindre des donnees d'un repertoire d'un niveau inferieur, ll faut dans denombreux cas selectionner tous les repertoires principaux de niveau supérieur.Par exemple, pour passer d’un repertoire a un autre de meme niveau, il fautremonter une arborescence jusqu‘a un premier repertoire commun puisredescendre, ceci en selectionnant des repertoires intermediaires. Ce mecanismede selection successive est lourd et penalisant en temps.La presente invention vise a resoudre ces differents problemes : elleprocure un moyen d'eviter la duplication en memoire de donnees identiques ; elleassure la coherence d’informations partagees entre plusieurs fichiers ; enfin, elleoptimise la recherche d’informations dans des repertoires distants, dansl‘arborescence des fichiers de la memoire.Elle concerne a cet effet un module de securite du genre cite au debut del’expose, qui comprend :-des moyens de creation de lien agences pour creer un lien entre au moinsun fichier principal et un fichier auxiliaire, le fichier principal ayant un contenu —determine et etant rendu accessible aux moyens de traitement dans les moyens destockage grace a des donnees de localisation, les moyens de creation de lienassociant au fichier auxiliaire lesdites donnees de localisation ;~des moyens de branchement agences pour mettre a disposition desmoyens de traitement, lorsque ceux—ci executent une demande d’acces visant aacceder au fichier auxiliaire , ledit contenu du fichier principal en utilisant lesditesdonnees de localisation.D'autres details et avantages de la presente invention apparaitront aucours de la description suivante d'une forme de realisation prefere mais nonlimitative, au regard des dessins annexes sur lesquels :La figure 1 presente une arborescence de plusieurs niveaux hierarchiquesdans une carte ;La figure 2 presente une organisation typique de repertoires et de fichiersde donnees dans une carte ;La figure 3 presente la structure detaillee de deux categories fondamentalesde fichiers utilises dans |’invention ;La figure 4 est un organigramme detaillant les etapes d'une procedure decreation de fichier selon l’invention ; et202530CA 02264896 1999-02-25WO 99/00774 PCT/FR98/013444La figure 5 est le schema d’un module de securite auquel est destineel’invention , cooperant avec un disposltif de traitement de l’information.Le dispositif de traitement de l'information 51 represente sur la figure 5comprend de facon connue en soi un microprocesseur 52 auquel sont relies unemémoire ROM 53, et une memoire RAM 54, des moyens 55 pour cooperer, avecou sans contact physique, avec un module de securite 58, et une interface detransmission 57 permettant au dispositif de traitement de l'information decommuniquer avec un autre dispositif semblable, soit directement_ soit au traversd’un reseau de communication.Le dispositif 51 peut en outre etre equipe de moyens de stockage tels quedes disquettes ou disques amovibles ou non, de moyens de saisie (tels.qu‘unclavier et/ou un dispositif de pointage du type souris) et de moyens d'affichage, cesdifferents moyens n'etant pas représentés sur la figure 5.Le dispositif de traitement de l'information peut etre constitue par toutappareil informatique installe sur un site prive ou public et apte 2 fournir desmoyens de gestion de l'information ou de delivrance de divers biens ou services,cet appareil etant installe a demeure ou portable. ll peut notamment s'agir aussid’un appareil de telecommunications. _Par ailleurs, le module de securite 58 inclut des moyens de traitement del'information 59, une mémoire non volatile 60, une mémoire volatile de travail RAM64, et des moyens 63 pour cooperer avec le dispositif de traitement del'information. Ce module est agencé pour definir, dans la mémoire 60, une zonesecrete 61 dans laquelle des informations une fois enregistrees, sont inaccessiblesdepuis lexterieur du module mais seulement accessibles aux moyens detraitement 59, et une zone libre 62 qui est accessible depuis |'exterieur du modulepour une lecture et/ou une ecriture d'informations. Chaque zone de la memoire nonvolatile 60 peut comprendre une partie non modifiable ROM et une partiemodifiable EPROM, EEPROM, ou constituee de mémoire RAM du type "flash",c'est-a-dire presentant Ies caracteristiques d'une memoire EEPROM avec en outredes temps d'acces identiques e ceux d'une RAM classique.En tant que module de securite 58, on pourra notamment utiliser unmicroprocesseur a mémoire non volatile autoprogrammable, tel que decrit dans lebrevet americain n° 4.382.279 au nom de la Demanderesse. Comme indique enU:202530CA 02264896 1999-02-25W0 9.9/-00774 PCT/FR98/013445colonne 1, lignes 13-25 de ce brevet, Ie caractere autoprogrammable de lamemoire correspond a la possibilite pour un programme fi situe dans cettememoire, de modifier un autre programme fj situe egalement dans cette memoireen un programme gj. Bien que les moyens a mettre en oeuvre pour realiser cetteautoprogrammation puissent varier selon Ia technique utilisee pour concevoir lesmoyens de traitement de l'information 59, on rappelle que, dans le cas ou cesmoyens de traitement sont constitues par un microprocesseur associe a unememoire non volatile et selon le brevet precite, ces moyens peuvent inclure :-des memoires tampon de donnees et d'adresses, associees a la memoire ;-un programme d'ecriture dans la memoire, charge dans celle-ci etcontenant notamment les instructions permettant le maintien d'une part de latension de programmation de la memoire, et d'autre part des donnees a eccire etde leurs adresses, pendant un temps suffisant, ce programme d'ecriture pouvanttoutefois etre remplace par un automate d'ecriture a circuits Iogiques.Dans une variante, le microprocesseur du module de sécurité 58 estremplace -ou tout du moins complete- par des circuits Iogiques implantés dans unepuce a semi-conducteurs. En effet, de tels circuits sont aptes a effectuer descalculs, notamment dauthentification et de signature, grace a de l'electroniquecéblee, et non microprogrammee. lls peuvent notamment étre de type ASIC (del’anglais « Application Specific Integrated Circuit >>). A titre d'exemple, on peut citerle composant de la societe SIEMENS commercialise sous la reference SLE 4436et celui de la sociéte SGS-THOMSON commercialise sous la reference ST 1335.Avantageusement, le module de securite 58 sera concu sous formemonolithique sur une seule puce.En variante au microprocesseur a memoire non volatile autoprogrammabledecrit ci-dessus, le caractere securitaire du module de sécurité pourra résulter desa localisation dans une enceinte inviolable.La memoire non volatile des cartes est organisee en fichiers qui peuventetre, comme rappele precedemment, de deux types repertoire ou fichierélementaire de donnees. Chaque fichier elementaire comprend un en-tete et uncorps contenant des informations. Le niveau de hierarchisation est precise dansi'en—téte, on y trouve egalement les references du fichier, l'etat ou phase de vie de202530CA 02264896 1999-02-25WO 99/00774 PCT/FR98/013446la carte, les conditions d'acces et la taille. En regle générale, l'en-téte contientl'ensemb|e des informations qui permettent de gérer les informations stockéesdans le corps. Deux ou trois niveaux sont actuellement utilises. En reference a lafigure 1, et en général, le niveau supérieur est appelé "CARTE", et les niveauxinférieurs "APPLICATION" ou "SERVICE". On peut parfaitement envisager descartes avec plus de trois niveaux ; dans l'exemple cité, trois niveaux sont décrits.A titre d'exempIe, une méme carte peut étre utilisée pour diversesapplications telles que : la banque, la municipalité, le dossier médical, leradiotéléphone cellulaire, qui sont représentées par des répertoires de niveauAPPLICATION. Dans l'application municipale, on trouve des parties telles que lestransport publics, l'accés a la piscine et a la bibliotheque, Ie paiement dustationnement, qui sont représentées par des répertoires de niveau SERVICE‘La figure 2 illustre un exemple des liens hierarchisés entre des fichiers dansla mémoire programmable d'une carte. Le répertoire CARTE contient deuxrépertoires APPLICATION 1 et 2 et le fichier élémentaire C1. Le répertoire .APPLICATION 1 contient deux répertoires SERVICE A1—S1 et A1-S2 et Ie fichierélémentaire A1-1. Le répertoire SERVICE A1-S2 possede un seul fichier: A1S1-1. Le répertoire APPLICATION 2 possede deuxrépertoires SERVICE A2-S1 et A2-S2. Le répertoire SERVICE A2-S1 possédedeux fichiers élémentaires de données : A2S1—1 et A2S1—2. Le répertoire SERVICEA2-S2 posséde un fichier élémentaire de données : A2S2-1. Tous ces fichiersoccupent une place non négligeable dans la mémoire limitée de la carte, il estélémentaire de donnéesdonc important d'optimiser I'occupation mémoire et d'éviter de dupliquer les memesinformations dans plusieurs emplacements différents.Dans certains cas, les mémes informations sont utilisées par deuxrépertoires différents. Par exemple, les coordonnées bancaires d'un individuporteur d'une carte: nom et adresse du porteur, nom et coordonnées de labanque, numéro de compte, information sur le. crédit ...etc. peuvent étre stockéesdans un fichier élémentaire, inclus dans le répertoire correspondant a l‘appIicationbancaire, dans lepar exemple le fichier élémentaire A1-1APPLICATION 1, décrit dans la figure 2.La carte peut aussi servir de carte-ville ; cette application est gérée par lerépertoire APPLICATION 2. Elle permet notamment de payer les transports enrepertoirecommun, d'accéder a la bibliotheque municipale et a certaines activités culturelles202530CA 02264896 1999-02-25W0 9.9/00774 PCT/FR98/013447payantes (theatre, cinema...) Ces services sont geres par les deux répertoiresSERVICE A2-SI etAPPLICATION 2. Lorsque la carte sert de moyen de paiement, pour payer parA2-S2, hierarchiquement dependants du repertoireexemple Ies trajets effectues dans les transports en commun, I'argent est debitedirectement sur le compte bancaire dont Ies coordonnees sont precisees dans Iefichier elementaire A1-1. II faut donc rendre accessible depuis Ie repertoireSERVICE A2-S1 du repertoire APPLICATION 2, Ies informations du fichierelementaire A1-1 de APPLICATION 1. Cet acces est symbolise par la fleche sur lafigure 2. La solution consistant a reproduire Ies donnees n'est pas satisfaisante.Un autre exemple concerne Ies cles secretes et les codes confidentiels :Ieurs valeurs peuvent etre identiques Iors de l'acces a differentes repertoires quine sont pas hierarchiquement dependants. Le probleme est important si des clesde type RSA ( des inventeurs Rivest, Shamir et Adleman) stockees sur plus de1024 bits sont utilisees. Un dernier exemple concerne les fichiers elementaires deratification ces fichiers elementaires servent a memoriser les bonnes oumauvaises presentations de cles ou codes. Le regroupement de plusieurs fichierselementaires de ratification correspondent a des cles differentes permet de gagnerde la place et d‘accroitre Ia securite.Une facon de realiser |'invention consiste a creer et gerer des fichiers dits"Lien" dont Ie corps est confondu avec celui d'autres fichiers. L'invention consiste apouvoir partager un meme corps de fichier entre plusieurs fichiers. Ceci peut etrerealise en indiquant, soit dans I'en-tete du fichier, soit dans son corps, l'adresse ouse situent effectivement Ies donnees.Sur la figure 3, sont representes deux fichiers, a savoir un fichier—cibIe 30 etun fichier-lien 31. La description qui suit concerne aussi bien Ie cas ou ces fichierssont des fichiers de donnees et celui ou ils representent des répertoires. Cesrépertoires contiennent soit une arborescence de sous—repertoires donnant accesa des fichiers de donnees, soit des fichiers de donnees qui Ieur sont directementrattaches, soit les deux. Le terme « donnees » regroupe a la fois des donnees nonexecutables et des donnees executables ou programmes.Le fichier-cible 30 est organise, dans cet exemple, en deux partiescomprenant un en-tete 32 et un corps 33. L’en-tete 32 inclut un premier groupe deparametres connus en eux-memes, a savoir :202530CA 02264896 1999-02-253 W0 99/00774 PCT/FR98/013448-un type, qui indique si ie fichier est un repertoire ou bien un fichier dedonnées;-un identifiant qui désigne Ie fichier au sein d’un repertoire qui Ie contient ; iis’agit par exemple d’un nom ou d‘un numéro ; et—des conditions d’acces qui donnent une iiste de droits d’acces an ce fichierdéterminé, pour tout usager : elles précisent par exemple si ie fichier estaccessible ou non en lecture ou écriture ; de fagon connue en soi, ladélivrance de ces droits peut étre subordonnée 2 la presentation de clés oumots de passe.L'en—téte 32 inclut un second groupe de paramétres qui sont spécifiques aVinvention: a savoir :-un parametre <Lien> qui peut prendre deux valeurs : soit Ia vaieur 1, quiindique que ce fichier est un fichier-lien soit Ia valeur O qui indique qu’i| n’estpas un fichier-lien ; ici, ce parametre a la valeur O ;-un parametre >Lien< qui peut prendre deux valeurs I soit Ia valeur 1, quiindique que ce fichier est un fichier-cible, soit la valeur 0 qui indique qu’iln’est pas un fichier—cibie ; ici, oe parametre a la valeur 1 ;-un parametre A—Lien qui peut prendre deux valeurs : soit la valeur 1, quiindique que ce fichier peut étre lie a un fichier-lien , soit Ia valeur 0 qui |’enempéche ; et-un parametre CA-Lien qui définit des conditions de création que Vusagerdevra respecter iorsqu’i| voudra creer un lien entre ce fichier et un fichier-lien : elles pourront par exemple definir des clés ou mots de passe apresenter par l’usager.L’en—téte 32 comporte enfin une référence RC indiquant au microprocesseurde la carte une valeur binaire d’une adresse mémoire RC a partir de laquelie eststocké ie corps 33 précité.Dans une variante, le corps 33 est stocké en mémoire immédiatement a lasuite de l’en—téte 32, de sorte que la mention de la référence RC n’est pasnécessaire.Par ailieurs, si ie fichier cible 30 est du type « repertoire » , le corps 33contient soit une arborescence de sous-répertoires donnant accés a des fichiersUn202530CA 02264896 1999-02-25W0 99/00774 PCT/FR98/013449de donnees, soit des fichiers de donnees qui lui sont directement rattaches, soitles deux ;Si au contraire le fichier-cible 30 est du type « fichier de donnees », le corps33 contient un ensemble de donnees directement accessibles pour lecture oumodification, ou executables par le microprocesseur de la carte .En variante , l'organisation du fichier-cible 30 pourra etre differente de celleen deux parties (en—téte et corps) presentee sur la figure 3. Ainsi par exemple , lesparametres de |’en-téte 32 pourront etre repartis en des endroits specifiques ducorps.Quant au fichier—lien 31, ll ne comprend qu'une seule partie, a savoir un en-tete qui presente la meme structure que celui 32 du fichier-cible 30, mais a uncontenu qui en differe de la facon suivante :-s’agissant d’un fichier-lien , et non d’un fichier-cible, les parametres A-Lienet CA-Lien ne sont en general pas utilises, sauf dans le cas particulier décrit plusloin ;-par ailleurs, la « reference» n’est pas celle relative a un eventuel corpsrattache au fichier-lien , mais une reference RFC precisant la localisation enmémoire d'un fichier-cible ainsi lie a ce fichier-lien. Dans cet exemple , c’est lefichier-cible 30. La reference RFC est soit de preference « physique » et constitueepar une valeur binaire d’une adresse mémoire a partir de laquelle est stocke Iefichier-cible 32 precité, soit en variante « logique » et constituee par un chemind’acces precisant les identifiants d‘un ou plusieurs repertoires a partir desquels lefichier-cible 32 est accessible.Dans le cas tres particulier d'une gestion dynamique de la mémoire de lacarte, celle-ci peut etre re—organisee par le microprocesseur afin d'optimiserl'occupation de la mémoire. L'emplacement des fichiers peut donc fluctuer, ainsipar consequent que leurs adresses d'imp|antation. Dans ce cas, seule la referencelogique du fichier-cible est facilement utilisable car les adresses physiquesrisquent de constamment changer. En prenant comme exemple le cas evoqueprecedemment, la reference logique est : [CARTE -) APPLICATION 1 -) Fichier dedonnees A1 -1].ll apparait donc qu’un fichier—lien est depourvu de corps, mais est lie a unfichier-cible determine, dont le corps sera ainsi mis é disposition du fichier—|ien.202530CA 02264896 1999-02-25, W0 99/00774 PCT/FR98/0134410On notera que, dans un cas particulier, un second fichier—lien, different dufichier-lien 31, pourrait étre lie, non pas directement a un fichier—cible , mais parexemple au fichier-lien 31. La situation serait alors la suivante :-la reference contenue dans le second fichier-lien serait celle du fichier-lien31 ;-le parametre CA—Lien serait avantageusement utilise dans I'en-téte dupremier fichier-lien pour controler les conditions de creation du second fichier—|ien .En fonctionnement, lors de la seiection d'un fichier par l‘usager , unprogramme du microprocesseur lit son en-téte et teste son parametre <Lien>. S'ilest egal a 0, le fonctionnement est conforme a |'art antérieur le corpsestdirectement rattache a cet en-téte.Si <Lien> est egal a 1, le fichier est un fichier-lien. Le programme lit enconsequence la reference RFC de ce fichier-lien precisant I'adresse ou Ie chemind’acces d’un fichier-cible contenant un corps indirectement rattache a l’en-téte dufichier-lien. Avant de mettre a disposition de l'usager ou du microprocesseur lecontenu du corps du fichier—cible , le programme effectue les verificationssuivantes, en consultant les en-tétes respectifs du fichier-lien et du fichier-cible :-lors de la creation du fichier-lien, il verifie que le type du fichier—cibleidentifié est identique a celui du fichier-lien ; dans la negative, la procedured’acces au fichier-lien est interrompue ;-lors de chaque acces au fichier—cible, il verifie le respect des conditionsd'acces selon une procedure qui sera precisee plus loin.Ces verifications etant effectuees, le programme poursuit sa procedured’acces au contenu du fichier—|ien.Si la taille du corps du fichier—cible est « zerooctet» , c’est—a-dire s’il ne contient rien, le programme s'interrompt et la carterenvoie un message d'erreur. Sinon, le programme recherche les informationscontenues dans ce corps, a partir de l’adresse RC.. En reprenant l’exemple de lafigure 2, on suppose que le fichier A1-1 du repertoire de l'application 1 a ete creesous forme de fichier—cible, et que les fichiers A231-1, A281-2, A282-1 desrepertoires service A2-S1 et A2-S2 ont ete crees sous forme de fichiers-lien. Enconsequence, la selection d’un fichier-lien tel que A2S1—1 donnera acces aucontenu du fichier—cible A1 -1.U:2025CA 02264896 1999-02-25WO 99/00774 PCT/FR98/0134411Les conditions d’acces au corps du fichier-Cible, definies dans l'en-tete decelui-ci, doivent dans tous les cas étre respectees, lors de l'execution d’un lienentre fichier-lien et fichier-cible . Plusieurs strategies sont possibles. La plussimple consiste a obeir aux conditions d'acces définies dans l'en-tete du fichier-Cible zainsi l'acces des informations dans le fichier—Cible via le fichier—lien n'estaccordé que si les conditions d'acces du fichier-Cible sont respectées.Une autre strategie consiste 2 prendre en compte les conditions d'acces dufichier-Cible lors de la creation du fichier-lien. ll faut alors verifier que lesconditions d'acces inscrites dans l'en—tete du fichier-lien incluent toutes lesconditions d'accés du fichier-Cible auquel il va étre lie.Une troisieme strategie est applicable lorsque les conditions d’access‘expriment sous la forme d’une valeur binaire : elle consiste a cumuler les deuxconditions d'acces. Concretement, cette operation peut étre realisee en effectuantun ET logique entre les deux valeurs. L'acces des informations dans le fichier-Cible via le fichier-lien n'est accordé que si, 2‘: la fois, les conditions d'acces desfichiers-Cible e_t lien sont respectées.A travers ces differentes strategies, le lecteur comprend que l'objectif, auniveau du controle d'acces, consiste a proscrire toute possibilite de contourner lesconditions d'acces d'un fichier en le liant a un fichier qui posséde des conditionsd'acces plus favorables. D’autres strategies, connues de |’homme du metier,pourront étre utilisees pour assurer la securite d'acces.Un perfectionnement important concernant la securite consiste a utiliser leparamétre A-Lien d’un fichier—cib|e pour |’empécher d‘étre lie a un autre fichier . Sila valeur de ce paramétre est lors de la creation d’un fichier—lien rattache a cefichier-cible , l'operation est menee a bien et le contenu du corps du fichier—Cibleest bien accessible par le fichier—lien. Si en revanche la valeur de ce champ est ce fichier—cib|e ne peut étre lie at aucun autre. Lors d'une tentative de creationd'un fichier-lien designant un fichier dont le champ A-Lien egal a l'operation estrefusee et la carte rend un message d'erreur.Un probleme se pose lors de l'effacement, c’est-a-dire de la suppression defichiers Lien/Cible. Si un fichier-Cible est efface, l'acces par des fichiers-Liens auxinformations qu'il contenait n'est plus possible. Les consequences d‘un tel202530CA 02264896 1999-02-25W0 9&9/00774 PCT/FR98/0134412effacement ne sont donc pas uniquement limitees au repertoire qui contenait cefichier, mais peuvent se repercuter dans d‘autres repertoires. La solution consistesoit a interdire l'effacement du fichier-Cible auquel est rattaché un ou plusieursfichiers-Lien , soit 2 avertir l'uti|isateur de la carte que certains fichiers ne sont plusoperationnels apres cet effacement. Un premiere methode consiste done a testerla valeur >Lien<. Si cette valeur est 1, le fichier que l'on est en train d'effacer estun fichier—Cible.L‘operation est alors soit interdite , soit menee a bien mais avec unavertissement ; dans ce dernier cas, le terminal de commande de la carte doiteffacer tous les fichiers-Lien lies au fichier-cible efface.Pour effacer un fichier-Cible sans perturber le reste de la memoire, il fautdonc prealablement effacer tous les fichiers-Lien qui Iui sont rattaches. Lorsque Iedernier fichier-Lien est efface, l'indicateur >Lien< prend Ia valeur "O" 1 il ne.-s'agitdonc plus d'un fichier-Cible. Un simple indicateur binaire n'est donc pas suffisantpour comptabiliser Ie nombre de fichiers-Lien sans devoir balayer chaque foistoute la memoire non volatile de la carte . Une solution consiste a prevoir uncompteur Cp-Lien a la place du parametre >Lien<. Avantageusement, ce compteurest de 8 bits, ce qui autorise l'existence de 255 fichiers-Liens au maximum : cenombre parait largement suffisant pour des applications courantes. Ce compteurest incorpore dans l‘en-tete du fichier-cible .Lors de la creation du fichier-cible, le compteur Cp-Lien est mis a "0O". Achaque nouvelle creation d'un fichier-Lien qui est rattaché au fichier-cible , lecompteur est incremente. A chaque effacement d'un fichier-Lien qui Iui estrattache, le compteur est decremente. Avantageusement, lors de la selection de cefichier-cible, Ia valeur du compteur peut etre émise avec les autres informationd'en-tete : l'utilisateur peut ainsi connaitre le nombre de fichiers-Lien rattaches aufichier-cible selectionne.Pour resoudre le probleme de Peffacement d'un fichier—Cible de facon plusadroite, le programme de la carte est equipe d'une commande, activable del'exterieur de la carte, permettant d'echanger Ies statuts respectifs « lien » et« cible » de deux fichiers. Ainsi, un fichier-Cible devenu un fichier-Lien peut etreefiace sans consequence pour les autres fichiers-Lien. Le contenu du nouveaufichier-Cible est alors constitue par celui de I'ancien fichier-cible . Cette operationest particulierement facile lorsque Ies corps de fichiers sont physiquement separes202530CA 02264896 1999-02-25WO 99/00774 PCT/FR98/0134413des en-tetes. Pour des raisons de securite, l'execution de cette commande estsoumise a la verification des conditions d’acces definies dans l’en-tete de i'ancienfichier-cible, et eventuellement a la verification des conditions de creation de liensentre fichiers, definies par le parametre CA-Lien dans le repertoire du nouveaufichier—cible . Lors de l'execution de cette commande d’echange, la valeur ducompteur CP-Lien de |'ancien fichier-Cible est memorisee dans le compteur CP-Lien du nouveau fichier-Cible.La figure 4 illustre un procede de creation d'un fichier, qu’il s’agisse d'unfichier-lien ou non. ll inclut, outre des etapes specifiques a l’invention et relativesau fichier-lien , certaines etapes connues en elles-memes et relatives a la creationde tout fichier, quelle que soit sa nature. A l'etape 1, un ordre de creation de fichierest recu par la carte, accompagne de données de creation " ces donnéesdefinissent notamment le type et l’identifiant du fichier a creer et, s’il s’agit d'unfichier-lien , Ia reference RFC (figure 3) d'un fichier-cible auquel il doit etre lie.Ensuite, le systeme d'exploitation de la carte verifie que la creation d'unnouveau fichier est possible dans le repertoire actuel, appele aussi "courant"(etape 2). En effet, la creation d'un nouveau fichier est eventuellement soumise ala bonne presentation prealable de cles definies par les conditions d’acces de l’en-tete du repertoire courant. Puis, on verifie qu'il reste suffisamment de memoiredans le repertoire courant pour contenir le nouveau fichier (etape 3). Si un de cestests est negatif, l'ordre de creation est interrompu (etape 13), et la carte renvoiealors un message correspondant a |'origine de l'arrét.Le systeme d'exploitation teste ensuite s'il s’agit de la creation d’un fichiernormal ou de la creation d'un fichier-Lien (etape 4). Une difference importanteentre un fichier normal et un fichier-lien, et sur laquelle peut porter le test residedans les données de creation, et principalement dans |'indication precise de lalocalisation du fichier-Cible (adresse physique ou logique). Si ce n'est pas unfichier-Lien, le programme saute directement a l'etape 12 decrite ci-apres. Dans lecas contraire, les informations correspondant au fichier-Cible designe sontrecherchees et analysées a |'etape 5 ; puis le systeme d'exploitation effectue uncertain nombre de tests pour s'assurer que le lien entrele fichier—cible designe et lefichier-lien a creer est possible.202530CA 02264896 1999-02-25W0 99/00774 PCT/FR98/0134414Tout d'abord, on vérifie a |'aide des données de creation que Ie fichier-Cibleexiste bien (etape 6). Si par contre, ces données ne correspondent a aucun fichier,Poperation de creation est interrompue et la carte envoie un message d'erreur(etape 13). A I‘etape 7, ie parametre A-Lien du fichier Cibie _|ocalise est testé. Sisa vaieur est "1", I‘operation peut etre menée a bien. Sinon, le fichier-Cible ne peutetre lie 2:1 aucun autre. L'operation de creation est alors interrompue et la carteenvoie un message d'erreur. A I‘etape 8, le systeme d'exp|oitation teste si leséventuelles cles definies dans les conditions de creation du fichier-Lien, c'est adire definies par Ie parametre CA-Lien du fichier-Cible, ont ete prealablementprésentées. Si ce n'est pas le cas, I‘operation de creation est interrompue.A I‘etape 9, le systeme d'exp|oitation de la carte verifie que les types defichiers etsles conditions d’acces aux informations sont Compatibles. Pour ce_|a, leparamétre TYPE du fichier-Cibie est compare a celui transmis dans les donnéesde creation. Si les valeurs sont differentes, ou du moins incompatibles, comme parexemple dans le cas d’un ordre de creation visant a faire un lien entre un fichier dedonnées et un repertoire, ou un lien entre un fichier de données de type "pubiic"et un fichier de données de type "secret", alors I‘operation de creation estinterrompue et la carte envoie un message d'erreur. Ce test est facultatif car uneautre solution consiste a forcer les données recues pour Ie fichier-Lien a creer, a lameme valeur que celles du fichier Cible designe : la compatibilite est dans ce cascertaine.Enfin, un dernier test effectue porte sur les conditions d'acces auxinformations contenues dans le fichier-Cible (etape10). II s'agit d‘eviter decontourner les conditions d'acces du fichier-Cibie par un fichier-Lien quiposséderait des conditions d‘acces plus favorables. Une des strategies decritesprecedemment consiste 2 interdire la creation d'un fichier-Lien possédant desconditions d'acces moins restrictives que celles du fichier-Cible : I‘operation decreation est alors interrompue et la carte envoie un message d'erreur (etape 13).Une autre strategie consiste a aménager, et donc modifier, des conditions d'accestrop favorables du fichier—iien pour les rendre au moins aussi restrictives que cellesdu fichier—CibIe. Dans ce cas, ie test de I‘etape 10 devient une operation de calculavec modification, si besoin. des conditions d'accés transmises dans lacommande.20CA 02264896 1999-02-25W0 99/00774 PCT/FR98/0134415Une fois les etapes de test franchies, la creation du fichier—Lien peutintervenir. A l’etape 11, l‘en-tete du fichier—Cible est mise a jour. Cela concerneprincipalement le parametre >Lien< ou Cp-Lien, S'il s’agit du parametre >Lien<, ,le programme verifie qu'il possede la valeur a "1", ou sinon le met a cette valeur.S'i| s’agit au contraire du compteur Cp-Lien, , celui-ci est incremente d'une unite.Enfin a l‘etape 12, un nouveau fichier est effeotivement cree, et les valeursdes parametres d'en-tete de ce fichier sont determinees en memoire de travail apartir des donnees de creation, Ces valeurs sont ecrites en memoireprogrammable non volatile. Si c'est un fichier-Lien qui est Cree, une reference lieea la localisation du fichier-Cible (adresse physique ou logique) est ecrite. Une foistoutes ces etapes franchies, la carte rend un message d'etat correct et le fichiernouvellement cree est operationnel.Le cas de la creation d'un fichier-Cible ne sera pas detaille, puisque, lors desa creation, ce fichier est analogue a un fichier classique. Ce n’est qu’au momentoil: il est lie a un fichier-lien qu’i| devient un fichier-cible effectif.Une application particulierement intéressante de l’invention et relative auxrepertoires-lien est celle ou un repertoire porte-monnaie electronique est utilise parla carte pour permettre des paiements. Ce repertoire contient des fichiersélémentaires contenant des cles, des zones debit—credits, des zones de validationde mot de passe, etc... Un tel repertoire peut etre utilise dans diverses applications(transport, restaurant, centrale d'achats) : chacune d’elles doit donc contenir unrepertoire-lien lie au repertoire porte-monnaie electronique, lequel devient alors unrepertoire-cible.

Claims (6)

REVENDICATIONS

1. Module de sécurité agencé pour coopérer avec un dispositif de traitement de l'information et comportant des moyens de traitement de l'information et des moyens de stockage de l'information, les moyens de stockage stockant plusieurs fichiers, caractérisé en ce qu'il comprend:
-des moyens de création de lien agencés pour créer un lien entre au moins un fichier principal (30) et un fichier auxiliaire (31), le fichier principal ayant un contenu déterminé (33) et étant rendu accessible aux moyens de traitement dans les moyens de stockage grâce à des données de localisation (RFC), les moyens de création de lien associant au fichier auxiliaire (31) lesdites données de localisation;
~ es moyens de branchement agencés pour mettre à disposition des moyens de traitement, lorsque ceux-ci exécutent une demande d'accès visant à
accéder au fichier auxiliaire (31), ledit contenu (33) du fichier principal (30) en utilisant lesdites données de localisation (RFC).

2. Module de sécurité selon la revendication 1, dans lequel le fichier auxiliaire (31) contient un paramètre (<lien>) indiquant qu'il contient des données de localisation d'un fichier principal (30).

3. Module de sécurité selon la revendication 1, dans lequel le fichier principal (30) contient un paramètre (>lien<) indiquant que ses données de localisation (RFC) sont associées à au moins un fichier auxiliaire (31).

4. Module de sécurité selon la revendication 3, dans lequel ledit paramètre (>lien<) est une valeur d'un compteur (Cp-Lien) agencé pour compter un nombre de fichiers auxiliaires.(31) qui sont liés à ce fichier principal (30).

5. Module de sécurité selon la revendication 1, dans lequel le fichier principal (30) contient un paramètre (A-Lien) indiquant si la mise à disposition de son contenu lors d'une demande d'accès au fichier auxiliaire (31) est autorisée ou non.

6. Module de sécurité selon la revendication 1, dans lequel le fichier principal (30) contient un paramètre (CA-Lien) définissant des conditions de création à respecter par les moyens de traitement lors de la création d'un lien avec un fichier auxiliaire (31) déterminé.