EP1362276A1 - Gestion dynamique de listes de droits d'acces dans un objet electronique portable - Google Patents
Gestion dynamique de listes de droits d'acces dans un objet electronique portableInfo
- Publication number
- EP1362276A1 EP1362276A1 EP02702467A EP02702467A EP1362276A1 EP 1362276 A1 EP1362276 A1 EP 1362276A1 EP 02702467 A EP02702467 A EP 02702467A EP 02702467 A EP02702467 A EP 02702467A EP 1362276 A1 EP1362276 A1 EP 1362276A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- list
- access
- acl
- access rights
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
Definitions
- the present invention relates generally to the management of access rights by subjects constituting users or software modules of a data processing means, to objects such as applications implemented in the data processing means . More particularly, the invention relates to the administration of access to resources in a portable electronic object, such as a smart card also called a microcontroller card or an integrated circuit, constituting the data processing means, in particular when the smart card is a multi-application card.
- a portable electronic object such as a smart card also called a microcontroller card or an integrated circuit
- access to a processing resource is carried out by transmitting from a smart card reception terminal at least one command constituting a APDU application protocol data unit
- Access Protocol Data Unit which contains data or a reference to data present and to be processed in the card.
- access to a resource in the card can be carried out at a higher level by invoking a method of an object present in the card when the latter contains applications written in a high-level oriented programming language.
- object such as Java language.
- each application has its own data for which the developer of the application defines access rights specific to the application.
- the access conditions are means of connection between external accesses which can be users of the card or else software modules, such as user interfaces, and internal accesses to the card such as applications, possibly via the through other applications or other application software elements in the card.
- the control of access conditions is based on the identification of subjects Su, such as users, who are "active" elements which manipulate information contained in Ob objects, such as applications, which are "passive” elements. containing data.
- subjects Su such as users
- Ob objects such as applications, which are "passive” elements. containing data.
- the conditions of access of subjects Su to objects Ob are governed by rules of access control between subjects and objects. Each rule has a right of access, i.e. a link between a subject and an object under the form of an action that can be performed by the subject on the object.
- the matrix MA relates to three subjects SI, S2 and S3, such as three users, and to three objects 01, 02 and 03, such as files and programs.
- Each box of the matrix at the intersection of a row and a column contains access rights, that is to say privileged actions which can be performed by the respective subject on the respective object. Access rights can be positive to authorize a predetermined action of a subject on an object, or can be negative to prohibit a predetermined action of a subject on an object.
- subject S2 can read and execute object 02 but cannot write to this object
- subject S3 can read object 01 but cannot save and write object 01.
- the first approach consists of access control lists ACL (Access Control List) corresponding to the rows of the access matrix MA and each specifying access rights of subjects to the object associated with the row.
- ACL Access Control List
- ACLs define user access to files included in the card.
- the second approach consists of capacities corresponding to the columns of the MA matrix and each specifying the access rights of the subject associated with the column on the objects.
- access control relates to applet methods for multi-application smart cards of the JavaCard type in which programs in Java language have been written. Capabilities are in the form of pointers making calls to access methods constituting objects, in predetermined applets constituting subjects.
- Access control lists and capacities should be considered as lists of access rights between at least one subject and at least one object.
- the modification of the access control lists is reserved for a single administration authority of the card.
- the authority orders modifications to the access control lists, for example by adding or removing lists, by adding or removing subjects from a list, or by adding or removing access rights of a subject in relation to an object.
- the present invention aims to make possible the dynamic management of access control lists, or capacities, in a portable electronic object, of the smart card type, in order to refine the management of these lists or capacities and thus allow an increase in the number of administrators authorized to intervene securely on modifications to access control lists or capacities.
- a method for managing lists of access rights between subjects and objects, stored in a data processing means from an external administrator entity comprises the following steps : initially associate keys of administrator entities with lists of access rights and provide a security algorithm in the data processing means, and
- - to access a list of access rights from the entity sign the list of access rights in the entity by applying determined data from the list and the key to the security algorithm in order to produce a signature , transmit the signature from the entity to the data processing means, and compare the signature received in the data processing means with signatures determined according to the data applications determined from lists of access rights contained in the means of processing of data and keys respectively associated with these lists with the algorithm of securing, and authorize the entity's access to a list of access rights found only in correspondence with a signature found among the signatures determined in the data processing means and identical to the signature received.
- any authorized administrator accesses a list of access rights constituting an access control list or a capacity in a data processing means constituted for example by the microcontroller of a portable electronic object.
- a right of access authorizes or prohibits one or more subjects to perform an action on a subject, or else a subject to perform an action on one or more objects.
- This access control list or capacity is then managed dynamically by each administrator, by forcing him beforehand to sign the access control list or the capacity to which he wishes to access, so as to be recognized in the object. electronic by signing the access control list or capacity.
- the management of access rights lists is thus decentralized to external administrator entities by means of data processing.
- the duration of application of a list of access rights is limited. More precisely, before authorizing the entity's access to the checklist, a lifetime parameter of the list of access rights found is updated in order to erase the list of access rights. found when the updated lifetime setting exceeds a maximum limit and to allow access to the rights list found to the entity when the updated lifetime parameter is less than the maximum limit.
- the limited lifespan of a list of access rights then incites the subject or subjects concerned by this list which has become obsolete and now deleted, to come back to the administrator (s) of this list to ask them again for access rights.
- the invention also relates to a means of data processing in particular in a portable electronic object, memorizing lists of access rights managed from at least one external administrator entity, implementing the method of the invention. It is characterized in that it includes:
- the data processing means may further comprise means for storing a lifetime parameter and a maximum duration limit for each list of access rights, and means for updating the duration parameter of the list found in order to clear the list of access rights found when the updated lifetime parameter exceeds the maximum limit and in order to authorize access to the list of access rights found in the entity when the updated lifetime setting is less than the maximum limit.
- FIG. 2 is a schematic block diagram of a telecommunications system between an administrator server and a portable electronic object of the smart card type for the implementation of the management method according to the invention.
- FIG. 3 is an algorithm of steps of the dynamic management method of access rights lists according to the invention.
- the data processing means is a controller, such as the microcontroller of a smart card CA which contains several applications constituting objects to which subjects, such as users or software units or means, can access according to access rights.
- the microcontroller of the smart card CA comprises a microprocessor PR, a memory MO of the ROM type, a non-volatile memory MNV of the programmable and erasable type, such as an EEPROM memory, and a memory MA of the RAM type receiving in particular data from a TE card reception terminal.
- memory MO In memory MO are included including an operating system OS of the card, communication applications AP, one of authentication and service constituting Ob objects and a security algorithm AS used to recognize signatures administrator and an algorithm for managing AG access rights lists according to the invention.
- the MNV memory contains data notably linked to the card owner and the card supplier, as well as ACL (Ob) access control lists, or capacities.
- Each access control list relating to a respective object Ob contains, as shown in FIG. 1, a list of subjects Su each associated with a list of positive access rights authorizing and / or negative prohibiting the performance of actions on the respective object Ob.
- the memory MNV thus contains a set of subject ES, a set of object EO, that is to say a set of reference to applications, and a set of access rule ER.
- the memory MNV also contains a group set of subject EG.
- Each group Gp brings together subjects Su each having at least one predetermined access to a predetermined object Ob; thus a subject in a Gp group has all the access rights granted to this group, and a subject can belong to one or more groups.
- An access rule R to an Ob object relates to an action, such as for example reading, writing, execution or recording, which is authorized or prohibited to a subject Su or to a group of subject Gp on an object Ob. Consequently, an ACL access control list (Ob) relates to access rules for predetermined subjects and / or predetermined groups on the respective object Ob.
- each AD administrator is defined by a respective administrator key KAD which is associated with one or more ACL access control lists to which the AD administrator has access.
- Each ACL access control list is associated with an administrator sublist made up of the corresponding KAD administrator keys.
- the list of KAD administrator keys is completed by a signature list of SGAD administrator.
- a signature is representative of the ACL access control list signed by the respective administrator according to the AS security algorithm.
- the KAD administrator keys and preferably the SGAD administrator signatures are previously written in the non-volatile memory. MRV of the CA smart card in correspondence with the ACL access control lists.
- FIG. 2 is also shown diagrammatically an administrator entity external to the card CA in the form of an administrator server SAD connected to the smart card through a telecommunication network RT and the reception terminal TE.
- the RT telecommunication network designates any type of telecommunication network, or combination of networks, such as radiotelephony network, switched telephone network, digital network with ISDN service integration, broadband network of ATM type, internet network, packet transmission network, etc.
- the SAD server is representative of an administrator or of several administrators. Other administrators can be located on other remote servers (not shown).
- the administrator AD is for example the distributor of the smart card CA, or a partner associated commercially with this distributor, or even the developer of one or more AP applications constituting Ob objects implemented in the smart card CA.
- an administrator himself has a smart card which is housed in an additional reader of the SAD server so that the SAD server reads the administrator's references from the smart card, such as an IAD administrator identifier. and a KAD administrator key.
- the reception terminal TE is provided with a keyboard CL and a reader LE for receiving the smart card CA and for connecting to it by a link with electrical contacts LI according to this achievement.
- the TE reception terminal is for example a implementation of a smart card, a bank terminal, or a point of sale terminal, or else a mobile radiotelephone terminal in which the smart card CA constitutes a removable subscriber identity module SIM (Subscriber Identity Module) or a additional smart card when the mobile terminal is equipped with an additional card reader.
- SIM Subscriber Identity Module
- the management method according to the invention preferably comprises a second initial step ET02 during which administrator signatures SGAD are determined.
- the step ET02 is also implemented for an ACL list which has just been modified or introduced into memory MNV in the card CA.
- Each SGAD signature of an SAD administrator depends on the administrator's KAD key and on the data determined from an ACL access control list with which the KAD key is associated.
- the data determined from the ACL access control list essentially depend on the characteristics of the object Ob and of the subjects Su and / or of the groups of subject Gp ' each having at least one right of access to the object Ob, as well as the case may be characteristics of access rights.
- the ACL list and the KAD key are applied to the AS security algorithm, the result of which constitutes the signature of the SGAD administrator.
- the management method shown in FIG. 3 mainly comprises steps ET2 to ET14 triggered by a first step ET1 during which the administrator server SAD requests the establishment of a call with the reception terminal TE containing the card chip CA through the telecommunication network RT, so as to initiate a access control list management session with CA smart card.
- the card CA attempts to authenticate the administrator server SAD in step ET2.
- Authentication is conventional and essentially consists in transmitting a random number by the CA smart card to the SAD server and in comparing in the CA smart card the results of the application of this random number and a pre-authentication key. - stored in the CA card and the SAD server, performed both in the CA card and the SAD server.
- the SAD server authenticates the CA smart card.
- the authentication is mutual and includes an authentication of the server SAD by the card CA and an authentication of the card CA by the server SAD. If the authentication or one of the authentications at step ET2 gives different results in the server SAD and the smart card CA, the call is broken at a final step ET14.
- the management method does not include any authentication.
- the administrator server SAD selects an ACL access control list which it manages locally in an access control list table, in the next step ET3, although the the administrator can only manage an ACL access control list.
- the SAD server then signs the selected ACL access control list by applying the determined data from the ACL list and the KAD key of the SAD administrator server to the AS security algorithm so as to produce an SGAD administrator signature. in step ET4.
- the SAD server instead of signing the ACL access rights list itself and producing the SGAD administrator signature, receives this SGAD signature transmitted by another principal administrator entity, such as a server d main administrator connected to the telecommunication network RT, after the main administrator server has authenticated the SAD server.
- the signature SGAD constituting the selected access control list ACL signed is transmitted by the server SAD to the smart card CA through the network RT and the terminal TE in the form of a message suitable for step ET5.
- This message can contain other data such as an IAD administrator identifier which designates a table of respective TACL access control lists in the CA smart card.
- the TACL table contains identifiers of access control lists to which the SAD administrator server has access, and preferably contains signatures of these access control lists signed by the SAD administrator server.
- the microprocessor PR in the smart card CA searches for an access control list which is capable of being signed by the administrator server SAD. This search may consist in determining all the administrator signatures respectively associated with the access control lists contained in the CA smart card, then in comparing the determined signatures with the SGAD signature received by the CA card.
- the processor PR of the smart card CA preferably has prior to at least step ET5, determined the SGAD signatures corresponding to all the administrators respectively associated with the ACL access control lists and wrote them in EEPROM MNV memory.
- the processor PR compares the signature SGAD received in step ET5 only with the signatures previously determined and classified in the table TACL. If the processor PR does not find any administrator signature in memory MNV identical to the signature SGAD transmitted by the server SAD, the processor PR invites the reception terminal TE to break the communication in step ET14.
- the processor PR when the administrator identifiers IAD are provided in the memory MNV, the processor PR only compares the signature received SGAD with the signatures contained in the table TACL designated by the identifier received IAD and associated with the key KAD, c that is, signatures associated with access control lists to which the SAD administrator server has access.
- step ET6 an ACL access control list corresponding to the administrator signature received SGAD is found in order to process it by the server SAD, as indicated in step ET7.
- step ET7 is followed by a step ET10 allowing the access of the administrator server SAD to the access control list ACL previously found, the invention provides intermediate steps ET8 and ET9 to during which a lifetime parameter pdv of the list of access rights found ACL is updated and compared to a maximum limit PDV.
- the pdv parameter and the POS limit are written to the card's MRV memory.
- POS limit expresses lifetime of checklist of ACL access found in step ET7 and is stored in the memory MNV in the initial step ET01, during the manufacturing or putting into service of the CA card, or during an addition of the ACL list, as we will see later.
- the lifetime parameter pdv is set to zero so that it is incremented each time the step ET8 is executed.
- the lifetime parameter pdv can be a cumulative duration of sessions of use of the smart card CA expressed in hours and minutes as the POS limit.
- the pdv parameter is a cumulative duration of absolute time expressed in date and time, the PDV limit then designating a maximum predetermined duration or an expiry date of the determined list ACL.
- the duration can be updated in the CA card by interrogating a trusted parking meter, for example included in the TE terminal, or in the administrator server SAD.
- the lifetime parameter pdv is a number of sessions for using the CA smart card, or a number of sessions implementing the list of access rights found ACL, the limit ACL being a maximum number of sessions.
- the lifetime parameter pdv is a number of APDU commands received by the smart card CA, the PDV limit then being a maximum number of commands.
- the lifetime parameter is a synchronization value changed periodically in the administrator servers and transmitted to the card by any SAD administrator server in each message which contains the signature SGAD of the list of rights access sought ACL, in step ET5, the PDV limit being at the maximum number.
- the step ET8 thus increments the lifetime parameter according to its nature, the increment being notably a duration or a date difference, or a unit, or a number of commands.
- step ET9 the processor PR deletes the access control list ACL which was found in step ET7 and all the data associated with the list ACL at l step ET13, and breaks the communication with the server SAD in step ET14.
- step ET13 only partially erases the list found, for example by erasing only the positive or negative access rights therein.
- the administrator server SAD is authorized to effectively access the access control list ACL found, in step ET10.
- the SAD server modifies the access control list found ACL. This modification consists for example in completely erasing the access control list ACL in the memory MNV, or in modifying one of the data in the list found ACL, in particular in deleting or adding a subject Su in the control list found with corresponding access rights R, or to delete or add at least one access right R relating to a subject Su included in the list found.
- the modification can also consist of adding a new administrator key to associate with the list found and included in the message transmitted in step ET5.
- step ET11 the access control list found ACL has not been modified or has been deleted, the process goes directly to breaking the communication in step ET14.
- the processor PR determines, at step ET12, new signatures of administrator SGADm resulting from the application of the determined data from the modified access control list ACLm and respectively of the administrator keys KAD associated with the list, to the security algorithm AS.
- the SGADm signatures replace the previous SGAD signatures so that during a next list management session, the SAD administrator server can access the ACLm checklist thus modified in the memory MNV of the CA card.
- steps ET1 to ET5 are executed, the message transmitted in step ET5 further containing the ACL to add with the KAD administrator keys associated with the list.
- the processor PR determines and stores the signatures SGAD of the list received in the respective list tables TACL in the card CA.
- the respective signature SGAD results from the application of the determined data from the list and from the respective key KAD received to the security algorithm AS.
- the PR processor compares the determined signatures to the signature received, as shown in a step ET15 in dotted lines in FIG. 3.
- the recording of the list received and of the keys and associated administrator signatures in the memory MNV is validated in a step ET16 when one of the signatures determined is identical to the signature received. Otherwise, step ET14 breaks the communication between the SAD server and the CA card.
- the SAD server is an entity delegated by another administrator server which has transmitted to it information on IDR delegation rights.
- Information on the right of delegation IDR has been previously stored in the memory MNV of the smart card CA in the initial step ET01, and is transmitted in the message containing the signature of the administrator SGAD in step ET5.
- the smart card CA authorizes access to the access control list ACL when both the signature SGAD is recognized in the table TACL associated with the key KAD of the server SAD and the IDR delegation right information is detected in association with the ACL list recognized in the card's TACL table. Otherwise the communication is broken at step ET14.
- the invention has been described in relation to a smart card containing access control lists associated respectively with signatures, the smart card can also contain unsigned access control lists.
- an SAD administrator server can decide to erase all the access control lists loaded into the CA smart card and associated with the KAD key of the SAD server, by transmitting the corresponding signatures in step ET4.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
Des listes de droits d'accès (ACL) telles que des listes de contrôle d'accès ou des capacités sont gérées dynamiquement dans un moyen de traitement de données tel que carte à puce (CA) depuis un serveur d'administrateur (SAD). Pour accéder à une liste de droits d'accès (ACL) depuis le serveur, la liste est signée (ET4) dans le serveur afin de transmettre (ET5) une signature (SGAD) à la carte. La carte compare (ET6) la signature reçue à des signatures déterminées en fonction de listes de droits d'accès contenues dans la carte et de clés respectivement associés à ces listes. L'accès du serveur n'est autorisé à une liste trouvée (ACL) qu'en correspondance avec une signature trouvée parmi les signatures déterminées dans la carte et identique à la signature reçue.
Description
GESTION DYNAMIQUE DE LISTES DE DROITS D'ACCES DANS UN OBJET ELECTRONIQUE PORTABLE
La présente invention concerne d'une manière générale la gestion de droits d'accès par des sujets constituant des utilisateurs ou modules de logiciels d'un moyen de traitement de données, à des objets tels que des applications implementees dans le moyen de traitement de données. Plus particulièrement, l'invention a trait à l'administration des accès à des ressources dans un objet électronique portable, tel qu'une carte à puce dite également carte à microcontrôleur ou à circuit intégré, constituant le moyen de traitement de données, notamment lorsque la carte à puce est une carte multi-applicative.
A cause du nombre de plus en plus élevé des applications de plus en plus complexes introduites dans une carte à puce, la gestion des applications constituant les ressources principales de la carte à puce sont de plus en plus difficilement gérables. Les difficultés de gestion sont également dues aux nombreux partenaires intervenant dans l'attribution des accès aux applications et dont les intérêts divergent parfois. Ces partenaires peuvent être le fabricant de la carte à puce, le distributeur ou l'opérateur de la carte à puce, et les développeurs des applications dans la carte à puce.
Néanmoins, malgré cette complexité, l'accès aux ressources de la carte à puce doit être contrôlé et sécurisé .
Actuellement, l'accès à une ressource de traitement, telle qu'une application, est effectuée en transmettant depuis un terminal d'accueil de la carte à puce au moins une commande constituant une
unité de données de protocole applicatif APDU
(Application Protocol Data Unit) qui contient des données ou une référence à des données présentes et à traiter dans la carte. Selon une autre variante, l'accès à une ressource dans la carte peut être effectué à un niveau supérieur en invoquant une méthode d'un objet présent dans la carte lorsque celle-ci contient des applications écrites en un langage de programmation de haut niveau orienté objet tel que le langage Java.
La coexistence et la coopération de plusieurs applications au sein d'une même carte à puce soulève de nombreux problèmes du point de vue de la sécurité. En particulier, chaque application possède ses propres données pour lesquelles le développeur de l'application définit des droits d'accès propres à l'application. Les conditions d'accès sont des moyens de liaison entre des accès externes qui peuvent être des utilisateurs de la carte ou bien des modules logiciels, comme des interfaces d'usager, et des accès internes à la carte tels que des applications, éventuellement par l'intermédiaire d'autres applications ou d'autres éléments logiciels d'application dans la carte.
Le contrôle des conditions d'accès repose sur l'identification des sujets Su, tels que les utilisateurs, qui sont des éléments "actifs" qui manipulent des informations contenues dans des objets Ob, tels que des applications, qui sont des éléments "passifs" contenant des données. Les conditions d'accès des sujets Su aux objets Ob sont régies par des règles de contrôle d'accès entre les sujets et les objets. Chaque règle comporte un droit d'accès, c'est-à-dire un lien entre un sujet et un objet sous
la forme d'une action qui peut être accomplie par le sujet sur l'objet.
Il est connu de représenter les conditions d'accès de sujets Su à des objets Ob par une matrice d'accès MA dont les colonnes correspondent à des sujets et dont les lignes correspondent à des objets, comme montré à la figure 1. Par exemple, la matrice MA est relative à trois sujets SI, S2 et S3, tels que trois utilisateurs, et à trois objets 01, 02 et 03, tels que des fichiers et des programmes. Chaque case de la matrice à l'intersection d'une ligne et d'une colonne contient des droits d'accès, c'est-à-dire des actions privilégiées qui peuvent être accomplies par le sujet respectif sur l'objet respectif. Les droits d'accès peuvent être positifs pour autoriser une action prédéterminée d'un sujet sur un objet, ou peuvent être négatifs pour interdire une action prédéterminée d'un sujet sur un objet. Par exemple, le sujet S2 peut lire et exécuter l'objet 02 mais ne peut pas écrire dans cet objet, et le sujet S3 peut lire l'objet 01 mais ne peut pas enregistrer et écrire l'objet 01.
Comme il est connu, les règles de contrôle d'accès sont généralement traitées suivant deux approches.
La première approche consiste en des listes de contrôle d'accès ACL (Access Control List) correspondant aux lignes de la matrice d'accès MA et spécifiant chacune des droits d'accès de sujets à l'objet associé à la ligne. A titre d'exemple, dans une carte à puce multi-applicative du type WINDOWS
(marque enregistrée), des listes de contrôle d'accès
ACL définissent des accès d'utilisateurs à des fichiers inclus dans la carte.
A l'inverse, la deuxième approche consiste en des capacités correspondant aux colonnes de la matrice MA et spécifiant chacune les droits d'accès du sujet associé à la colonne sur les objets. Par exemple, le contrôle d'accès porte sur des méthodes d'applets pour cartes à puce multi-applicatives de type JavaCard dans lesquelles des programmes en langage Java ont été écrits. Les capacités sont sous la forme de pointeurs effectuant des appels pour accéder à des méthodes constituant des objets, dans des applets prédéterminés constituant des sujets.
Pour plus de simplicité, on se référera dans la suite à la gestion de listes de contrôle d'accès bien que l'invention se rapporte également à la gestion de capacités. Les listes de contrôle d'accès et les capacités sont à considérer comme des listes de droits d'accès entre au moins un sujet et au moins un objet.
Pour une carte à puce actuelle, la modification des listes de contrôle d'accès est réservée à une seule autorité d'administration de la carte. Après authentification de l'autorité d'administration par la carte, l'autorité commande des modifications des listes de contrôle d'accès, par exemple en ajoutant ou en supprimant des listes, en ajoutant ou supprimant des sujets dans une liste, ou en ajoutant ou supprimant des droits d'accès d'un sujet par rapport à un objet.
Cette unique autorité d'administration doit bien sûr respecter les exigences des différents partenaires intervenant dans l'élaboration et la gestion des différentes ressources applicatives dans la carte à puce.
La présente invention a pour objectif de rendre possible la gestion dynamique de listes de contrôle d'accès, ou de capacités, dans un objet électronique portable, de type carte à puce, afin d'affiner la gestion de ces listes ou capacités et ainsi de permettre une augmentation du nombre des administrateurs autorisés à intervenir de manière sécuritaire sur des modifications des listes de contrôle d'accès ou capacités.
Pour atteindre cet objectif, un procédé pour gérer des listes de droits d'accès entre des sujets et des objets, mémorisées dans un moyen de traitement de données depuis une entité d'administrateur externe, est caractérisé en ce qu'il comprend les étapes suivantes : initialement associer des clés d'entités d'administrateur à des listes de droits d'accès et fournir un algorithme de sécurisation dans le moyen de traitement de données, et
- pour accéder à une liste de droits d'accès depuis l'entité : signer la liste de droits d'accès dans l'entité en appliquant des données déterminées de la liste et la clé à l'algorithme de sécurisation afin de produire une signature, transmettre la signature depuis l'entité au moyen de traitement de données, et comparer la signature reçue dans le moyen de traitement de données à des signatures déterminées en fonction des applications de données déterminées de listes de droits d'accès contenues dans le moyen de traitement de données et de clés respectivement associées à ces listes à l'algorithme de
sécurisation, et n'autoriser l'accès de l'entité à une liste de droits d'accès trouvée qu'en correspondance avec une signature trouvée parmi les signatures déterminées dans le moyen de traitement de données et identique à la signature reçue.
Ainsi selon l'invention, tout administrateur autorisé accède à une liste de droits d'accès constituant une liste de contrôle d'accès ou une capacité dans un moyen de traitement de données constitué par exemple par le microcontrôleur d'un objet électronique portable. Un droit d'accès autorise ou interdit un ou plusieurs sujets à accomplir une action sur un sujet, ou bien un sujet à accomplir une action sur un ou plusieurs objets. Cette liste de contrôle d'accès ou capacité est alors gérée dynamiquement par chaque administrateur, en l'obligeant préalablement à signer la liste de contrôle d'accès ou la capacité à laquelle il souhaite accéder, de manière à se faire reconnaître dans l'objet électronique par sa signature de la liste de contrôle d'accès ou de la capacité.
La gestion des listes de droits d'accès est ainsi décentralisée dans des entités d'administrateur externes au moyen de traitement de données.
Selon un autre caractéristique de l'invention, la durée d'application d'une liste de droits d'accès est limitée. Plus précisément, avant d'autoriser l'accès de l'entité à la liste de contrôle, un paramètre de durée de vie de la liste de droits d'accès trouvée est mis à jour afin d'effacer la liste de droits d'accès trouvée lorsque le paramètre de durée de vie mis à jour excède une limite maximale et afin d'autoriser l'accès à la liste de droits
d'accès trouvée à l'entité lorsque le paramètre de durée de vie mis à jour est inférieur à la limite maximale. La durée de vie limitée d'une liste de droits d'accès incite alors le ou les sujets concernés par cette liste devenue périmée maintenant effacée, à revenir vers le ou les administrateurs de cette liste pour leur demander à nouveau des droits d' accès .
L'invention concerne également un moyen de traitement de données notamment dans un objet électronique portable, mémorisant des listes de droits d'accès gérées depuis au moins une entité d'administrateur externe, mettant en oeuvre le procédé de l'invention. Il est caractérisé en ce qu'il comprend :
- un moyen pour mémoriser des clés d'entités d'administrateur en association à des listes de droits d'accès, - un moyen pour implémenter un algorithme de sécurisation,
- un moyen pour déterminer des signatures en fonction des applications de données déterminées des listes de droits d'accès et de clés respectivement associées à ces listes à l'algorithme,
- un moyen pour comparer une signature reçue d'une liste de droits d'accès qui résulte, dans l'entité, de l'application de données déterminées de la liste et de la clé de l'entité à l'algorithme et qui est transmise par l'entité, auxdites signatures déterminées, et
- un moyen pour autoriser l'accès de l'entité à une liste de droits d'accès trouvée qu'en correspondance avec une signature trouvée parmi les
signatures déterminées et identique à la signature reçue .
Le moyen de traitement de données peut comprendre, en outre, un moyen pour mémoriser un paramètre de durée de vie et une limite maximale de durée pour chaque liste de droits d'accès, et un moyen pour mettre à jour le paramètre de durée de la liste trouvée afin d'effacer la liste de droits d'accès trouvée lorsque le paramètre de durée de vie mis à jour excède la limite maximale et afin d'autoriser l'accès à la liste de droits d'accès trouvée à l'entité lorsque le paramètre de durée de vie mis à jour est inférieur à la limite maximale.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels : - la figure 1 est un diagramme montrant une matrice de contrôle entre trois sujets et trois objets, déjà commentée selon la technique antérieure
- la figure 2 est un bloc-diagramme schématique d'un système de télécommunication entre un serveur d'administrateur et un objet électronique portable de type carte à puce pour la mise en oeuvre du procédé de gestion selon 1 ' invention ; et
- la figure 3 est un algorithme d'étapes du procédé de gestion dynamique de listes de droits d'accès selon l'invention.
En référence à la figure 2, le moyen de traitement de données est un contrôleur, tel que le microcontrôleur d'une carte à puce CA qui contient
plusieurs applications constituant des objets auxquels des sujets, tels que des utilisateurs ou des unités ou moyens logiciels, peuvent accéder en fonction de droits d'accès. De manière connue, le microcontrôleur de la carte à puce CA comporte un microprocesseur PR, une mémoire MO de type ROM, une mémoire non volatile MNV de type programmable et effaçable, comme une mémoire EEPROM, et une mémoire MA de type RAM recevant notamment des données d'un terminal d'accueil TE de la carte.
Dans la mémoire MO sont inclus notamment un système d'exploitation OS de la carte, des applications AP de communication, d1 authentification et de service constituant des objets Ob, ainsi qu'un algorithme de sécurité AS utilisé pour reconnaître des signatures d'administrateur et un algorithme de gestion de listes de droits d'accès AG selon 1 ' invention. La mémoire MNV contient des données notamment liées au possesseur de la carte et au fournisseur de la carte, ainsi que des listes de contrôle d'accès ACL(Ob), ou bien des capacités.
Chaque liste de contrôle d'accès relative à un objet respectif Ob, à laquelle référence est faite ci-après en tant que liste de droits d'accès, contient, comme montré à la figure 1, une liste de sujets Su associés chacun à une liste de droits d'accès positifs autorisant et/ou négatifs interdisant l'accomplissement d'actions sur l'objet respectif Ob. La mémoire MNV contient ainsi un ensemble de sujet ES, un ensemble d'objet EO, c'est- à-dire un ensemble de référence à des applications, et un ensemble de règle d'accès ER. De préférence, la mémoire MNV contient également un ensemble de groupe
de sujet EG. Chaque groupe Gp réunit des sujets Su ayant chacun au moins un accès prédéterminé à un objet prédéterminé Ob ; ainsi un sujet dans un groupe Gp a tous les droits d'accès accordés à ce groupe, et un sujet peut appartenir à un ou plusieurs groupes. Une règle d'accès R à un objet Ob concerne une action, telle que par exemple lecture, écriture, exécution ou enregistrement, qui est autorisée ou interdite à un sujet Su ou à un groupe de sujet Gp sur un objet Ob. Par conséquent, une liste de contrôle d'accès ACL(Ob) est relative à des règles d'accès de sujets prédéterminés et/ou de groupes prédéterminés sur l'objet respectif Ob.
Selon l'invention, lors de la fabrication de la carte, ou avant la mise en service de la carte CA, c'est-à-dire avant la remise de celle-ci au propriétaire de la carte, des administrateurs des listes ACL contenues dans la carte sont définies à une étape initiale ET01. Chaque administrateur AD est défini par une clé d'administrateur respective KAD qui est associée à une ou plusieurs listes de contrôle d'accès ACL auxquelles l'administrateur AD a accès. Chaque liste de contrôle d'accès ACL est associée à une sous-liste d'administrateur constituée par les clés d'administrateur correspondantes KAD. Comme on le verra dans la suite, de préférence la liste de clés d'administrateur KAD est complétée par une liste de signature d'administrateur SGAD. Une signature est représentative de la liste de contrôle d'accès ACL signée par l'administrateur respectif selon l'algorithme de sécurité AS. Ainsi selon l'invention, les clés d'administrateur KAD et de préférence les signatures d'administrateur SGAD sont préalablement écrites dans la mémoire non volatile
MNV de la carte à puce CA en correspondance avec les listes de contrôle d'accès ACL.
Dans la figure 2 est également schématisée une entité d'administrateur externe à la carte CA sous la forme d'un serveur d'administrateur SAD relié à la carte à puce à travers un réseau de télécommunication RT et le terminal d'accueil TE. Le réseau de télécommunication RT désigne n'importe quel type de réseau de télécommunication, ou combinaison de réseaux, tel que réseau de radiotéléphonie, réseau téléphonique commuté, réseau numérique à intégration de service RNIS, réseau à haut débit de type ATM, réseau internet, réseau de transmission par paquets, etc. Le serveur SAD est représentatif d'un administrateur ou bien de plusieurs administrateurs. D'autres administrateurs peuvent être situés au niveau d'autres serveurs distants (non représentés). L'administrateur AD est par exemple le distributeur de la carte à puce CA, ou un partenaire associé commercialement à ce distributeur, ou bien encore le développeur d'une ou plusieurs applications AP constituant des objets Ob implémentés dans la carte à puce CA. En variante, un administrateur possède lui- même une carte à puce qui est logée dans un lecteur additionnel du serveur SAD afin que le serveur SAD lise dans la carte à puce les références de l'administrateur, telles qu'un identificateur d'administrateur IAD et une clé d'administrateur KAD. Comme montré schématiquement également à la figure 2, le terminal d'accueil TE est doté d'un clavier CL et d'un lecteur LE pour recevoir la carte à puce CA et se connecter à celle-ci par une liaison à contacts électriques LI selon cette réalisation. Le terminal d'accueil TE est par exemple un terminal de
mise en service de carte à puce, un terminal bancaire, ou un terminal point de vente, ou bien un terminal radiotéléphonique mobile dans lequel la carte à puce CA constitue un module d'identité d'abonné amovible SIM (Subscriber Identity Module) ou une carte à puce additionnelle lorsque le terminal mobile est doté d'un lecteur de carte additionnel.
Après l'étape initiale ET01, le procédé de gestion selon l'invention comprend de préférence une deuxième étape initiale ET02 au cours de laquelle des signatures d'administrateur SGAD sont déterminées. L'étape ET02 est également mise en oeuvre pour une liste ACL qui vient d'être modifiée ou introduite en mémoire MNV dans la carte CA. Chaque signature SGAD d'un administrateur SAD dépend de la clef KAD de l'administrateur et des données déterminées d'une liste de contrôle d'accès ACL à laquelle est associée la clé KAD. Les données déterminées de la liste de contrôle d'accès ACL dépendent essentiellement les caractéristiques de l'objet Ob et des sujets Su et/ou des groupes de sujet Gp 'ayant chacun au moins un droit d'accès à l'objet Ob, ainsi que le cas échéant des caractéristiques des droits d'accès. La liste ACL et la clé KAD sont appliquées à 1 ' algorithme de sécurisation AS dont le résultat constitue la signature d'administrateur SGAD.
Le procédé de gestion montré à la figure 3 comprend principalement des étapes ET2 à ET14 déclenchées par une première étape ETl au cours de laquelle le serveur d'administrateur SAD demande l'établissement d'un appel avec le terminal d'accueil TE contenant la carte à puce CA à travers le réseau de télécommunication RT, de manière à initier une
session de gestion de liste de contrôle d'accès avec la carte à puce CA.
Au début de cette session la carte CA tente d'authentifier le serveur d'administrateur SAD à l'étape ET2. L' authentification est classique et consiste essentiellement à transmettre un nombre aléatoire par la carte à puce CA au serveur SAD et à comparer dans la carte à puce CA les résultats de l'application de ce nombre aléatoire et d'une clé d' authentification pré-mémorisée dans la carte CA et le serveur SAD, effectuée à la fois dans la carte CA et le serveur SAD. Inversement, le serveur SAD authentifie la carte à puce CA. Selon une autre variante, 1 ' authentification est mutuelle et comprend une authentification du serveur SAD par la carte CA et une authentification de la carte CA par le serveur SAD. Si 1 ' authentification ou l'une des authentifications à l'étape ET2 donne des résultats différents dans le serveur SAD et la carte à puce CA, l'appel est rompu à une étape finale ET14.
En variante, le procédé de gestion ne comprend aucune authentification.
Lorsque 1 ' authentification a réussi, le serveur d'administrateur SAD sélectionne une liste de contrôle d'accès ACL qu'il a en gestion localement dans une table de listes de contrôle d'accès, à l'étape suivante ET3, bien que l'administrateur ne peut gérer qu'une liste de contrôle d'accès ACL. Le serveur SAD signe ensuite la liste de contrôle d'accès sélectionnée ACL en appliquant les données déterminées de la liste ACL et la clé KAD du serveur d'administrateur SAD à l'algorithme de sécurité AS de manière à produire une signature d'administrateur SGAD à l'étape ET4.
En variante, au lieu de signer lui-même la liste de droits d'accès ACL et produire la signature d'administrateur SGAD, le serveur SAD reçoit cette signature SGAD transmise par une autre entité d'administrateur principal, tel qu'un serveur d'administrateur principal relié au réseau de télécommunication RT, après que le serveur d'administrateur principal ait authentifié le serveur SAD. Puis la signature SGAD constituant la liste de contrôle d'accès sélectionnée ACL signée est transmise par le serveur SAD à la carte à puce CA à travers le réseau RT et le terminal TE sous la forme d'un message approprié à l'étape ET5. Ce message peut contenir d'autres données telles qu'un identificateur d'administrateur IAD qui désigne une table de listes de contrôle d'accès respective TACL dans la carte à puce CA. La table TACL contient des identificateurs de listes de contrôle d'accès auxquelles le serveur d'administrateur SAD a accès, et de préférence contient des signatures de ces listes de contrôle d'accès signées par le serveur d'administrateur SAD.
A l'étape suivante ET6, en réponse à la signature d'administrateur SGAD, le microprocesseur PR dans la carte à puce CA recherche une liste de contrôle d'accès qui est susceptible d'être signée par le serveur d'administrateur SAD. Cette recherche peut consister à déterminer toutes les signatures d'administrateur respectivement associées aux listes de contrôle d'accès que contient la carte à puce CA, puis à comparer les signatures déterminées avec la signature SGAD reçue par la carte CA.
Toutefois, comme cela a été indiqué à l'étape ET02, le processeur PR de la carte à puce CA a, de préférence, préalablement au moins à l'étape ET5,
déterminé les signatures SGAD correspondant à tous les administrateurs respectivement associés aux listes de contrôle d'accès ACL et les a écrites en mémoire EEPROM MNV. Le processeur PR ne compare alors la signature SGAD reçue à l'étape ET5 qu'avec les signatures préalablement déterminées et classées dans la table TACL. Si le processeur PR ne trouve aucune signature d'administrateur en mémoire MNV identique à la signature SGAD transmise par le serveur SAD, le processeur PR invite le terminal d'accueil TE à rompre la communication à l'étape ET14.
En variante, lorsque les identificateurs d'administrateur IAD sont prévus dans la mémoire MNV, le processeur PR ne compare la signature reçue SGAD qu'aux signatures contenues dans la table TACL désignée par l'identificateur reçu IAD et associée à la clé KAD, c'est-à-dire qu'aux signatures associées à des listes de contrôle d'accès auxquelles le serveur d'administrateur SAD a accès.
Ainsi après l'étape ET6, une liste de contrôle d'accès ACL correspondant à la signature d'administrateur reçue SGAD est trouvée afin de la traiter par le serveur SAD, comme indiqué à l'étape ET7. Bien que selon une variante simple, l'étape ET7 est suivie par une étape ET10 permettant l'accès du serveur d'administrateur SAD à la liste de contrôle d'accès ACL précédemment trouvée, l'invention prévoit des étapes intermédiaires ET8 et ET9 au cours desquelles un paramètre de durée de vie pdv de la liste de droits d'accès trouvée ACL est mis à jour et comparé à une limite maximale PDV.
Le paramètre pdv et la limite PDV sont écrits dans la mémoire MNV de la carte. La limite PDV exprime la durée de vie de la liste de contrôle
d'accès ACL trouvée à l'étape ET7 et est prémémorisée dans la mémoire MNV à l'étape initiale ET01, lors de la fabrication ou de la mise en service de la carte CA, ou lors d'une adjonction de la liste ACL, comme on le verra par la suite. A l'étape initiale ET01, le paramètre de durée de vie pdv est mis à zéro de manière à ce qu'il soit incrémenté chaque fois que l'étape ET8 est exécutée.
Le paramètre de durée de vie pdv peut être une durée cumulée de sessions d'utilisation de la carte à puce CA exprimée en heure et minute comme la limite PDV. Selon une deuxième variante, le paramètre pdv est une durée cumulée de temps absolu exprimée en date et heure, la limite PDV désignant alors une durée prédéterminée maximale ou une date de péremption de la liste déterminée ACL. La mise à jour de la durée peut être effectuée dans la carte CA en interrogeant un horodateur de confiance, par exemple inclus dans le terminal TE, ou dans le serveur d'administrateur SAD.
Selon d'autres variantes, le paramètre de durée de vie pdv est un nombre de sessions d'utilisation de la carte à puce CA, ou un nombre de sessions mettant en oeuvre la liste de droits d'accès trouvée ACL, la limite ACL étant un nombre maximal de sessions.
Selon encore une autre variante, le paramètre de durée de vie pdv est un nombre de commandes APDU reçues par la carte à puce CA, la limite PDV étant alors un nombre maximal de commandes. Selon encore une autre variante, le paramètre de durée de vie est une valeur de synchronisation changée périodiquement dans les serveurs d'administrateur et transmise à la carte par tout serveur d'administrateur SAD dans chaque message qui contient la signature SGAD de la liste de droits
d'accès recherchée ACL, à l'étape ET5, la limite PDV étant au nombre maximal.
L'étape ET8 incrémenté ainsi le paramètre de durée de vie selon sa nature, l'incrément étant notamment une durée ou une différence de date, ou une unité, ou un nombre de commandes.
Si à l'étape ET9 le paramètre de durée de vie pdv excède la limite PDV, le processeur PR efface la liste de contrôle d'accès ACL qui a été trouvée à l'étape ET7 et toutes les données associées à la liste ACL à l'étape ET13, et rompt la communication avec le serveur SAD à l'étape ET14. En variante, l'étape ET13 n'efface que partiellement la liste trouvée, par exemple en n'y effaçant que les droits d'accès positifs ou négatifs.
Si la durée de vie n'est pas encore atteinte à l'étape ET9, le serveur d'administrateur SAD est autorisé à accéder effectivement à la liste de contrôle d'accès ACL trouvée, à l'étape ET10. Le serveur SAD procède alors à une modification de la liste de contrôle d'accès trouvée ACL. Cette modification consiste par exemple à effacer totalement la liste de contrôle d'accès ACL dans la mémoire MNV, ou à modifier l'une des données dans la liste trouvée ACL, en particulier à supprimer ou à ajouter un sujet Su dans la liste de contrôle d'accès trouvée avec des droits d'accès correspondants R, ou bien à supprimer ou ajouter au moins un droit d'accès R relatif à un sujet Su inclus dans la liste trouvée. La modification peut également consister en l'adjonction d'une nouvelle clé d'administrateur à associer à la liste trouvée et incluse dans le message transmis à l'étape ET5.
Si à l'étape ET11, la liste de contrôle d'accès trouvée ACL n'a pas été modifiée ou a été effacée, le
procédé passe directement à la rupture de la communication à l'étape ET14. En revanche, si la liste de contrôle d'accès trouvée ACL a été modifiée par le serveur SAD, cette liste modifiée étant désignée par ACLm, le processeur PR détermine, à l'étape ET12, de nouvelles signatures d'administrateur SGADm résultant de l'application des données déterminées de la liste de contrôle d'accès modifiée ACLm et respectivement des clés d'administrateur KAD associées à la liste, à l'algorithme de sécurisation AS. Les signatures SGADm remplacent les signatures précédentes SGAD afin que lors d'une prochaine session de gestion de liste, le serveur d'administrateur SAD puisse accéder à la liste de contrôle ACLm ainsi modifiée dans la mémoire MNV de la carte CA.
Puis le procédé de gestion se termine par la rupture de la communication entre le serveur SAD et la carte CA à l'étape ET14.
Lorsqu'une liste de contrôle d'accès établie dans le serveur d'administrateur SAD est à ajouter dans la mémoire MNV de la carte à puce CA, les étapes ETl à ET5 sont exécutées, le message transmis à l'étape ET5 contenant en outre la liste ACL à ajouter avec les clés d'administrateur KAD associées à la liste. Puis, à la place des étapes ET6 à ET13, le processeur PR détermine et mémorise les signatures SGAD de la liste reçue dans les tables de liste respectives TACL dans la carte CA. Pour chaque administrateur associé à la liste, la signature respective SGAD résulte de l'application des données déterminées de la liste et de la clé respective KAD reçues à l'algorithme de sécurisation AS. Le processeur PR compare les signatures déterminées à la
signature reçue, comme montré à une étape ET15 en traits pointillés à la figure 3. L'enregistrement de la liste reçue et des clés et signatures d'administrateur associées dans la mémoire MNV est validé à une étape ET16 lorsque l'une des signatures déterminées est identique à la signature reçue. Sinon, l'étape ET14 rompt la communication entre le serveur SAD et la carte CA.
Suivant une variante de la réalisation décrite ci-dessus, le serveur SAD est une entité déléguée par un autre serveur d'administrateur qui lui a transmis une information de droit de délégation IDR. Une information de droit de délégation IDR a été préalablement mémorisée dans la mémoire MNV de la carte à puce CA à l'étape initiale ET01, et est transmise dans le message contenant la signature d'administrateur SGAD à l'étape ET5. A l'étape ET6,' la carte à puce CA autorise l'accès à la liste de contrôle d'accès ACL lorsqu'à la fois la signature SGAD est reconnue dans la table TACL associée à la clé KAD du serveur SAD et l'information de droit de délégation IDR est détectée en association avec la liste ACL reconnue dans la table TACL de la carte. Sinon la communication est rompue à l'étape ET14.
Bien que 1 ' invention a été décrite en relation avec une carte à puce contenant des liste de contrôle d'accès associées respectivement à des signatures, la carte à puce peut contenir également des listes de contrôle d'accès non signées. Ainsi un serveur d'administrateur SAD peut décider d'effacer toutes les listes de contrôle d'accès chargées dans la carte à puce CA et associées à la clé KAD du serveur SAD,
en transmettant les signatures correspondantes à l'étape ET4.
Comme déjà dit, tout ce qui a été décrit ci- dessus pour des listes de contrôle d'accès dans la carte à puce CA, ou dans tout autre objet électronique portable tel qu'assistant ou organisateur électronique personnel, porte-monnaie électronique, jeton ou calculette, est applicable à une liste de droits d'accès faisant correspondre plusieurs sujets à un objet, comme une capacité.
Claims
REVENDICATIONS
1 - Procédé pour gérer des listes de droits d'accès (ACL) entre des sujets et des objets, mémorisées dans un moyen de traitement de données (CA) depuis une entité d'administrateur externe (SAD), caractérisé en ce qu'il comprend les étapes suivantes :
- initialement associer (ET01 ; ET15) des clés (KAD) d'entités d'administrateur (SAD) à des listes de droits d'accès (ACL) et fournir un algorithme de sécurisation (AS) dans le moyen de traitement de données (CA) , et
- pour accéder à une liste de droits d'accès (ACL) depuis l'entité (SAD) : signer (ET4) la liste de droits d'accès (ACL) dans l'entité en appliquant des données déterminées de la liste et la clé à l'algorithme de sécurisation (AS) afin de produire une signature (SGAD), transmettre (ET5) la signature (SGAD) depuis l'entité au moyen de traitement de données, et comparer (ET6) la signature (SGAD) reçue dans le moyen de traitement de données à des signatures déterminées en fonction des applications de données déterminées de listes de droits d'accès contenues dans le moyen de traitement de données et de clés respectivement associées à ces listes à l'algorithme (AS), et n'autoriser (ET10) l'accès de l'entité (SAD) à une liste de droits d'accès trouvée (ACL) qu'en correspondance avec une signature trouvée parmi les signatures déterminées dans le moyen de traitement de données et identique à la signature reçue.
2 - Procédé conforme à la revendication 1, selon lequel l'association des clés (KAD) aux listes de
droits d'accès (ACL) est préalablement effectuée (ET01) dans le moyen de traitement (CA) lors de la fabrication ou avant la mise en service du moyen de traitement de données (CA) (ET01) . 5
3 - Procédé conforme à la revendication 1 ou 2, selon lequel l'association de clés (KAD) à une liste de droits d'accès (ACL) à ajouter dans le moyen de traitement de données (CA) est effectuée par
10 transmission (ET5) de la liste avec les clés depuis l'entité (SAD) vers le moyen de traitement de données (CA) , et détermination (ET15) de signatures (SGAD) de la liste reçue dans le moyen de traitement de données en appliquant les données déterminées de la liste
15. reçue et des clés reçues à l'algorithme (AS), et validation (ET16) de l'enregistrement de la liste reçue dans le moyen de traitement de données lorsque l'une des signatures déterminées est identique à la signature reçue.
20
4 - Procédé conforme à l'une quelconque des revendications 1 à 3, selon lequel l'étape de signer (ET4) est remplacée par la réception dans l'entité (SAD) , de ladite signature (SGAD) transmise par une
25 autre entité.
5 - Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel une information de délégation (IDR) est transmise avec la signature
30 (SGAD), et l'accès de l'entité (SAD) à la liste trouvée (ACL) n'est autorisé lorsqu'en outre, l'information de délégation est détectée en association avec la liste trouvée dans le moyen de traitement de données (CA) .
35
6 - Procédé conforme à l'une quelconque des revendications 1 à 5, selon lequel les signatures à comparer à la signature reçue (SGAD) sont déterminées dans le moyen de traitement de données (CA) préalablement (ET02) à l'étape de transmettre (ET5) .
7 - Procédé conforme à l'une quelconque des revendications 1 à 6, comprenant, avant d'autoriser l'accès de l'entité (ET10) à la liste de contrôle, une mise à jour (ET8) d'un paramètre de durée de vie (pdv) de la liste de droits d'accès trouvée afin d'effacer (ET13) la liste de droits d'accès trouvée (ACL) lorsque le paramètre de durée de vie mis à jour excède une limite maximale (PDV) et afin d'autoriser l'accès à la liste de droits d'accès trouvée à l'entité (SAD) lorsque le paramètre de durée de vie mis à jour est inférieur à la limite maximale.
8 - Procédé conforme à la revendication 7, selon lequel le paramètre de durée de vie (pdv) est une durée cumulée de sessions d'utilisation du moyen de traitement de données (CA) ou une durée cumulée de temps absolu.
9 - Procédé conforme à la revendication 7, selon lequel le paramètre de durée de vie (pdv) est un nombre de sessions d'utilisation du moyen de traitement de données (CA) , ou un nombre de sessions mettant en oeuvre la liste de droits d'accès trouvée (ACL) .
10 - Procédé conforme à la revendication 7, selon lequel le paramètre de durée de vie (pdv) est un nombre de commandes reçues par le moyen de traitement de données (CA) .
11 - Procédé conforme à la revendication 7, selon lequel le paramètre de durée de vie (pdv) est une valeur de synchronisation changée périodiquement dans des entités d'administrateur externes (SAD) et transmise (ET5) avec la signature (SGAD) de la liste de droits d'accès.
12 - Procédé conforme à l'une quelconque des revendications 1 à 11, selon lequel les signatures
(SGADm) de la liste d'accès (ACLm) associées aux clés de cette liste sont de nouveau déterminées (ET12) dans le moyen de traitement de données (CA) si la liste de droit d'accès trouvée (ACL) a été modifiée par l'entité (SAD).
13 - Procédé conforme à l'une quelconque des revendications 1 à 12, selon lequel les données déterminées de la liste (ACL) qui sont appliquées à l'algorithme de sécurisation (AS) dépendent de caractéristiques d'au moins un sujet et/ou d'au moins un groupe de sujet et/ou d'au moins un objet et/ou d'au moins un droit d'accès d'un sujet à un objet relatif à la liste.
14 - Moyen de traitement de données (CA) mémorisant des listes de droits d'accès (ACL) gérées depuis au moins une entité d'administrateur externe
(SAD) , pour la mise en oeuvre du procédé conforme à l'une quelconque des revendications 1 à 13, caractérisé en ce qu'il comprend :
- un moyen (MNV) pour mémoriser des clés (KAD) d'entités d'administrateur (SAD) en association à des listes de droits d'accès (ACL),
- un moyen (MO) pour implémenter un algorithme de sécurisation (AS) , un moyen (PR, MO) pour déterminer des signatures en fonction des applications de données déterminées des listes de droits d'accès et de clés respectivement associées à ces listes à l'algorithme
(AS), un moyen (PR) pour comparer une signature reçue (SGAD) d'une liste de droits d'accès (ACL) qui résulte, dans l'entité, de l'application de données déterminées de la liste (ACL) et de la clé (KAD) de l'entité à l'algorithme (AS) et qui est transmise par l'entité, auxdites signatures déterminées, et un moyen (PR) pour autoriser l'accès de l'entité (SAD) à une liste de droits d'accès trouvée
(ACL) qu'en correspondance avec une signature trouvée parmi les signatures déterminées et identique à la signature reçue.
15 - Moyen de traitement de données conforme à la revendication 14, comprenant un moyen (MNV) pour mémoriser un paramètre de durée de vie (pdv) et une limite maximale de durée (PDV) pour chaque liste de droits d'accès, et un moyen (PR) pour mettre à jour le paramètre de durée de la liste trouvée (ACL) afin d'effacer la liste de droits d'accès trouvée (ACL) lorsque le paramètre de durée de vie mis à jour excède la limite maximale (PDV) et afin d'autoriser l'accès à la liste de droits d'accès trouvée à l'entité (SAD) lorsque le paramètre de durée de vie mis à jour est inférieur à la limite maximale.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0101962A FR2820848B1 (fr) | 2001-02-13 | 2001-02-13 | Gestion dynamique de listes de droits d'acces dans un objet electronique portable |
| FR0101962 | 2001-02-13 | ||
| PCT/FR2002/000496 WO2002065254A1 (fr) | 2001-02-13 | 2002-02-08 | Gestion dynamique de listes de droits d'acces dans un objet electronique portable |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP1362276A1 true EP1362276A1 (fr) | 2003-11-19 |
Family
ID=8859970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP02702467A Withdrawn EP1362276A1 (fr) | 2001-02-13 | 2002-02-08 | Gestion dynamique de listes de droits d'acces dans un objet electronique portable |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7434250B2 (fr) |
| EP (1) | EP1362276A1 (fr) |
| CN (1) | CN1307501C (fr) |
| FR (1) | FR2820848B1 (fr) |
| WO (1) | WO2002065254A1 (fr) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7240194B2 (en) * | 2002-03-22 | 2007-07-03 | Microsoft Corporation | Systems and methods for distributing trusted certification authorities |
| WO2005079038A1 (fr) * | 2004-01-14 | 2005-08-25 | France Telecom | Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile |
| US7623518B2 (en) * | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
| JP4717464B2 (ja) * | 2005-02-18 | 2011-07-06 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US7155213B1 (en) | 2005-09-16 | 2006-12-26 | James R. Almeda | Remote control system |
| US20070100830A1 (en) * | 2005-10-20 | 2007-05-03 | Ganesha Beedubail | Method and apparatus for access control list (ACL) binding in a data processing system |
| CN101039318A (zh) * | 2006-03-17 | 2007-09-19 | 雅斯拓(北京)智能卡科技有限公司 | 用于至少两个安全环境及其不同访问条件的个人安全令牌 |
| EP1873728B1 (fr) * | 2006-06-29 | 2013-11-27 | Incard SA | Procédé de configuration d'une carte IC afin de recevoir des commandes de personnalisation |
| JP4598857B2 (ja) * | 2006-09-11 | 2010-12-15 | パナソニック株式会社 | Icカード、およびそのアクセス制御方法 |
| JP4740926B2 (ja) * | 2007-11-27 | 2011-08-03 | フェリカネットワークス株式会社 | サービス提供システム、サービス提供サーバ、及び情報端末装置 |
| US9286293B2 (en) * | 2008-07-30 | 2016-03-15 | Microsoft Technology Licensing, Llc | Populating and using caches in client-side caching |
| US8255991B1 (en) * | 2009-08-17 | 2012-08-28 | Google Inc. | Computer application pre-permissioning |
| US8447974B2 (en) * | 2009-11-19 | 2013-05-21 | Nokia Corporation | Method and apparatus for managing access rights to information spaces |
| EP2336936A1 (fr) * | 2009-12-18 | 2011-06-22 | Gemalto SA | Système de gestion de midlets mis en oeuvre dans un réseau de radiotéléphonie mobile et procédé correspondant |
| US8719923B1 (en) * | 2010-02-05 | 2014-05-06 | Netapp, Inc. | Method and system for managing security operations of a storage server using an authenticated storage module |
| CN103377261A (zh) * | 2012-04-28 | 2013-10-30 | 瑞昱半导体股份有限公司 | 管理存取控制清单的装置、执行装置以及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19960977A1 (de) * | 1998-12-23 | 2000-07-06 | Ibm | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5224163A (en) * | 1990-09-28 | 1993-06-29 | Digital Equipment Corporation | Method for delegating authorization from one entity to another through the use of session encryption keys |
| US5701458A (en) * | 1995-09-20 | 1997-12-23 | International Business Machines Corporation | System and method for managing arbitrary subsets of access control lists in a computer network |
| JP3090021B2 (ja) * | 1996-02-14 | 2000-09-18 | 富士ゼロックス株式会社 | 電子文書管理装置 |
| US5825877A (en) * | 1996-06-11 | 1998-10-20 | International Business Machines Corporation | Support for portable trusted software |
| EP0818761A1 (fr) * | 1996-07-12 | 1998-01-14 | Koninklijke KPN N.V. | Carte à puce, module d'application sécurisé, système comportant un module d'application sécurisé et un terminal et une méthode pour commander des actions de service exécutées par le module d'application sécurisé dans la carte à puce |
| US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| US6385723B1 (en) * | 1997-05-15 | 2002-05-07 | Mondex International Limited | Key transformation unit for an IC card |
| US6742120B1 (en) * | 1998-02-03 | 2004-05-25 | Mondex International Limited | System and method for controlling access to computer code in an IC card |
| US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| FR2791159B1 (fr) * | 1999-03-15 | 2001-05-04 | Bull Cp8 | Procede d'acces a un objet a l'aide d'un navigateur de type "web" cooperant avec une carte a puce et architecture pour la mise en oeuvre du procede |
| US6711679B1 (en) * | 1999-03-31 | 2004-03-23 | International Business Machines Corporation | Public key infrastructure delegation |
| EP1055990A1 (fr) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Enregistrement d'évènements sur une plate-forme d'ordinateur |
-
2001
- 2001-02-13 FR FR0101962A patent/FR2820848B1/fr not_active Expired - Fee Related
-
2002
- 2002-02-08 EP EP02702467A patent/EP1362276A1/fr not_active Withdrawn
- 2002-02-08 US US10/467,763 patent/US7434250B2/en not_active Expired - Fee Related
- 2002-02-08 CN CNB028080548A patent/CN1307501C/zh not_active Expired - Fee Related
- 2002-02-08 WO PCT/FR2002/000496 patent/WO2002065254A1/fr not_active Application Discontinuation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19960977A1 (de) * | 1998-12-23 | 2000-07-06 | Ibm | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf |
Non-Patent Citations (1)
| Title |
|---|
| See also references of WO02065254A1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1502071A (zh) | 2004-06-02 |
| FR2820848B1 (fr) | 2003-04-11 |
| US7434250B2 (en) | 2008-10-07 |
| US20060059348A1 (en) | 2006-03-16 |
| FR2820848A1 (fr) | 2002-08-16 |
| WO2002065254A1 (fr) | 2002-08-22 |
| CN1307501C (zh) | 2007-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1190399B1 (fr) | Procede de pre-controle d'un programme contenu dans une carte a puce additionnelle d'un terminal | |
| WO2002065254A1 (fr) | Gestion dynamique de listes de droits d'acces dans un objet electronique portable | |
| EP0100260B1 (fr) | Procédé pour certifier la provenance d'au moins une information enregistrée dans une mémoire d'un premier dispositif électronique et transmise à un deuxième dispositif électronique | |
| EP1805965B1 (fr) | Procede et systeme de communiction entre un dispositif de stockage securise d'informations et au moins un tiers, entite, dispositif et tiers correspondants | |
| FR2802666A1 (fr) | Systeme informatique pour application a acces par accreditation | |
| EP1688818A1 (fr) | Procédé de gestion sécurisée de l'éxécution d'une application | |
| FR2748834A1 (fr) | Systeme de communication permettant une gestion securisee et independante d'une pluralite d'applications par chaque carte utilisateur, carte utilisateur et procede de gestion correspondants | |
| WO1997033415A1 (fr) | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede | |
| EP2041942B1 (fr) | Partage contrôlé de données personnelles | |
| EP1336287B1 (fr) | Appel depuis un terminal radiotelephonique | |
| EP3520453A1 (fr) | Gestion d'une offre multi-sim a codes d'activation multiples | |
| FR2832825A1 (fr) | Procede de securisation d'un acces a une ressource numerique | |
| EP1142193A1 (fr) | Procede de chargement securise de donnees entre des modules de securite | |
| WO2002073552A1 (fr) | Verification de la conformite d'acces de sujet a des objets dans un systeme de traitement de donnees avec une politique de securite | |
| WO2002067212A1 (fr) | Procede de stockage securise de donnees personnelles et de consultation, carte a puce, terminal et serveur pour la mise en oeuvre du procede | |
| EP1413158B1 (fr) | Procede d'acces a un service specifique propose par un operateur virtuel et carte a puce d'un dispositif correspondant | |
| WO2002011363A1 (fr) | Securisation de session avec un moyen de traitement de donnees sous la commande de plusieurs entites | |
| CA2647239C (fr) | Procede et serveur pour l'acces a un coffre-fort electronique via plusieurs entites | |
| EP1049968B1 (fr) | Systeme et procede de gestion de securite d'applications informatiques | |
| WO2005050419A1 (fr) | Procede de securisation d'une image d'une donnee biometrique d'authentification et procede d'authentification d'un utilisateur a partir d'une image d'une donnee biometrique d'authentification | |
| FR3114714A1 (fr) | Procédé d’accès à un ensemble de données d’un utilisateur. | |
| WO2022184726A1 (fr) | Procédé pour permettre à des utilisateurs de déployer des contrats intelligents dans une chaîne de blocs au moyen d'une plateforme de déploiement | |
| FR2819909A1 (fr) | Procede pour la creation de fichiers de donnees, prives securises et carte a puce comportant un fichier prive securise | |
| FR3023039A1 (fr) | Authentification d'un utilisateur |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| 17P | Request for examination filed |
Effective date: 20030915 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR |
|
| AX | Request for extension of the european patent |
Extension state: AL LT LV MK RO SI |
|
| RIN1 | Information on inventor provided before grant (corrected) |
Inventor name: GIRARD, PIERRE |
|
| 17Q | First examination report despatched |
Effective date: 20090618 |
|
| RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: GEMALTO SA |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
| 18D | Application deemed to be withdrawn |
Effective date: 20140902 |