EP1371035A1 - Verification of access compliance of subjects with objects in a data processing system with a security policy - Google Patents

Verification of access compliance of subjects with objects in a data processing system with a security policy

Info

Publication number
EP1371035A1
EP1371035A1 EP02713020A EP02713020A EP1371035A1 EP 1371035 A1 EP1371035 A1 EP 1371035A1 EP 02713020 A EP02713020 A EP 02713020A EP 02713020 A EP02713020 A EP 02713020A EP 1371035 A1 EP1371035 A1 EP 1371035A1
Authority
EP
European Patent Office
Prior art keywords
access
rules
given
security
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP02713020A
Other languages
German (de)
French (fr)
Inventor
Christophe Bidan
Mireille Pauliac
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SA
Original Assignee
Gemplus Card International SA
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA, Gemplus SA filed Critical Gemplus Card International SA
Publication of EP1371035A1 publication Critical patent/EP1371035A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones

Definitions

  • the present invention relates generally to the verification of the conformity of access conditions by first elements to second elements with security rules defining a security policy.
  • the first 0 elements are subjects constituting users or software modules of a data processing means.
  • the second elements are objects such as applications implemented in the data processing means. More particularly, the invention relates to conditions of access to applications implemented in a smart card, also known as a microcontroller or integrated circuit card, which comprises several applications relating to various services, such as 0 applications of electronic commerce, electronic wallet, loyalty service, etc.
  • the invention is therefore particularly directed towards the compliance of any operation relating to an application in a multi-application smart card 5 with security rules.
  • the operation can be a loading or a modification of the application, or modifications of the conditions of access to the application, or even a request for access to the application to perform an action on it.
  • each application has its own 5 data for which the provider the application defines access rights specific to the application.
  • Access rights are means of connection between external accesses which can be users of the card or else software modules, such as user interfaces, and internal accesses to the card such as applications, possibly via the through other applications or other application software elements in the card.
  • Control of access conditions is based on the authentication of subjects, such as users, which are "active" elements which manipulate information contained in objects, such as applications, which are "passive" elements containing data.
  • the access rights of subjects to objects are governed by access control rules between subjects and objects. Each rule includes a right of access, i.e. a link between a subject and an object in the form of an action which can be performed by the subject on the object.
  • the matrix MA relates to three subjects SI, S2 and S3, such as three users, and to three objects 01, 02 and 03, such as files and programs.
  • Each box of the matrix at the intersection of a row and a column contains access rights, that is to say privileged actions which can be performed by the respective subject on the respective object.
  • the access rights can be positive to authorize a predetermined action of a subject on a object, or can be negative to prohibit a predetermined action of a subject on an object.
  • subject S2 can read and execute object 02 but cannot write to this object
  • subject S3 can record and read object 03 but cannot execute object 03.
  • access control rules are generally treated according to two approaches.
  • the first approach consists of access control lists ACL (Access Control List) corresponding to the rows of the access matrix MA and each specifying the access rights of subjects to the object associated with the row.
  • ACL Access Control List
  • ACL access control lists define user access to files included in the card.
  • the second approach consists of capacities corresponding to the columns of the MA matrix and each specifying the access rights of the subject associated with the column on the objects.
  • access control relates to applet methods for multi-application smart cards of the JavaCard type in which programs in Java language have been written.
  • the capacities are in the form of pointers making it possible to make calls to objects, in predetermined applets constituting subjects.
  • the access rights are expressed in the form of access control rules. It is then necessary to verify and guarantee that the access rights are complete and consistent with respect to a policy, that is to say that they offer at least two properties, completeness and consistency.
  • the completeness of the access right ensures that for any subject and any object, there is at least one access right specifying whether the subject is authorized or not to access the object.
  • the consistency of the access rights guarantees that for any subject and any object, if several access rights to the object are defined, the access rights all specify the same type of positive or negative right.
  • the completeness of access rights vis-à-vis a security policy ensures that access rights define all the rights specified by the security policy.
  • the consistency of access rights vis-à-vis a policy ensures that access rights are limited to those defined by the security policy and do not define more rights.
  • the completeness and consistency properties of access rights with a security policy cannot be checked. The developer in charge of defining access rights is therefore unable to verify that the specified access rights correspond to the rules of the desired security policy.
  • the present invention aims to provide a method for verifying the conformity of the access rights of several subjects to several objects, such as applications in a multi-application card, with a global security policy which is implemented by the card manager who can be a different person from the developer of each application.
  • This process thus guarantees the completeness and consistency of the access rights vis-à-vis a security policy: the access rights define all the rights specified by the security policy according to the completeness property, and are limited to these security policy rights depending on consistency property.
  • a method for verifying a set of access rules from first elements to second elements in a data processing system each rule defining a right of a first element to perform an action on a second element, is characterized in that it comprises, a definition of security rules for the access of the first elements to the second elements, and for each operation relating to a second given element, a comparison of at least one access rule given to the second element given with the security rules so as to accept the operation when the access rule complies with all the security rules and to report the non-conformity of the operation when the access rule does not comply with one of the security rules.
  • the first elements are for example subjects such as users
  • the second elements are for example objects, such as applications in a multi-application smart card included in the processing system. data.
  • the data processing system comprises a portable electronic object in which at least the second elements are installed, and a security means external to the portable electronic object in which the security rules are installed and which performs the comparison.
  • the data processing system is a portable electronic object in which at least the second elements and the security rules are installed and which performs the comparison.
  • FIG. 1 is a diagram showing a control matrix between three subjects and three objects, already commented on according to the prior art
  • - Figure 2 is a schematic block diagram of a data processing system for the implementation of the conformity control method according to a first embodiment of the invention
  • - Figure 3 is an algorithm of the compliance verification method according to the invention.
  • An electronic data processing system as illustrated in FIG. 2 comprises a portable electronic object such as a smart card CA and a terminal TE equipped with a keyboard CL and a reader LE for reading the data in the menu.
  • the CA card "chip” is a microcontroller comprising a microprocessor PR and three memories MO, MNV and MA.
  • the MO type ROM memory includes an operating system OS of the card.
  • the MNV memory is a non-volatile memory of the programmable and erasable type, like an EEPROM memory.
  • the memory MNV contains data notably linked to the possessor and the supplier of the card and in particular AP applications constituting objects within the meaning of the invention and data linked to access to AP applications, such as access rules R and Su subjects.
  • the memory MA is of the RAM type and intended in particular to receive data from the terminal TE of the card. All the components PR, MO, MNV and MA are linked together by an internal bus BU. When the card CA is inserted into the reader LE of the terminal TE, the bus BU is connected to the terminal TE through a contact link LI when the card is of the type with electrical contacts.
  • a security policy defined by security rules RS relating to all the applications AP in the smart card CA is pre-stored in the terminal TE.
  • the TE terminal belongs to the distributor of the smart card, which may be different from each application developer responsible for definition of access rules for at least one respective application.
  • the terminal containing the security rules and verifying the compliance of the access rules with the security rules is a server connected by a telecommunications network to a reception terminal of the smart card.
  • the security rules RS defining the security policy are installed in the ROM memory MO of the smart card CA which constitutes the processing system for data.
  • EG ⁇ G1, ... Gp, ... GP ⁇ relating to subjects each having at least one access to the object Ob, a subject in a group having all the access rights granted to this group, and a subject that can belong to one or more groups,
  • a set of access right rule ER ⁇ RI, ... Re, ... RE ⁇ with 1 ⁇ e ⁇ E governing access subjects from the set ES and groups from the set EG to the given object Ob, and a set of security rules RS applicable to all the subjects from the set giving access to the object Ob and rules from security RS1 to RSP applicable respectively to groups Gl to GP to access the object Ob.
  • R (or RS) designates a right, that is to say an action such as reading, writing, execution or recording, which can be performed by any subject Su on any given object Ob
  • access control is governed by the following rules of positive law:
  • a first initial step ET1 defines a security policy PS which includes security rules RS which are common to all the objects 01 to OB of the set EO as well as security rules respectively for groups of subject predetermined and predetermined objects, and in particular for the groups G1 to GP associated with the given object Ob.
  • the security policy is implemented in the terminal TE, or in the memory MNV of the smart card CA.
  • the second initial step ET2 defines the four groups ES, EO, EG and ER to implement them in the memories MO and MNV of the smart card CA.
  • the next step ET3 concerns the triggering of an operation on the given object Ob.
  • This operation can be the loading of the given object Ob, for example as a new application, into the EEPROM memory MNV of the card CA, including the access rules specific to the application defined in a previous step ET2 and written in the MNV memory, or a modification of the access rule relating to the given object Ob.
  • the modification of an access rule can be a deletion or an addition of an access rule relating to a subject Su or a group Gp and of course to the given object Ob.
  • the operation on the given object Ob can simply be a request for right access to the object given by a subject Su or a group Gp of the type (SuROb) or (GpROb), or a modification of one or several subjects or a group having access to the given object Ob, that is to say a deletion or an addition of one or more subjects or a group.
  • Verification of conformity proper by comparison of access rules relating to the object given Ob to all security rules starts at step ET4.
  • this conformity check is carried out periodically, for example every twenty four hours when the smart card CA is used, or else all the M operations relating to the given object Ob, where M denotes an integer at least equal to 2 .
  • all the positive and negative access rules Re relating to the given object Ob and to any subject Sq for a direct right or to any group Gp for an indirect right have their conformity checked against all security rules RS and RSp whatever the index p defined by the security policy for the object Ob, as indicated in steps ET81, ET82, ET83 and ET9 which then directly follow the step ET4 through a negative response to intermediate step ET6 or after step ET7.
  • the verification of the compliance of an access rule results from a comparison of this rule with each of the security rules.
  • a security rule common to all subjects and groups relating to the Ob object may be a write ban on the Ob object
  • an RSp security rule for the Gp group may be an authorization to read the object given Ob by all the subjects belonging to the group Gp.
  • the method distinguishes operations relating only to a subject Su, such as a request for direct access from the subject Su to the object Ob or an addition of the subject Su, in step ET5, and a operation relating only to a given group Gp, such as a request for indirect access to the given object Ob or an addition or deletion of the subject or modification of the law relating to the Gp group, as indicated in step ET6. If none of the conditions of steps ET5 and ET6 is satisfied, the method goes directly from step ET4 to step ET81 already commented on.
  • step ET7 When the operation is related only to a subject Su and the object Ob, the ST5 is followed by a step in ET7 • Gp which all groups that contain the subject Su are detected.
  • step ET81 is replaced by step ET82 which checks the conformity of all the positive and negative access rules relating to the given object Ob and directly to the subject Su or indirectly to the groups Gp containing the subject Su . These access rules are compared with all the common security rules RS and with the security rules RS1 to RSp and in particular relating to the group Gp in step ET9.
  • steps ET7 and ET82 the method thus verifies that the capacity of a subject Su relative to the given object Ob complies with the security policy PS.
  • step ET6 When the operation on the given object Ob relates only to a group of subject Gp in step ET6, all the access right rules of positive type (GpROb) and negative non (GpROb) have their conformity verified by comparison with all the common security rules RS and the security rules RS1 to RSp relating to all the groups, and particularly relating to the given group Gp, at a step ET83.
  • the method verifies that the access control list concerning all the access rights of the subjects in a given group Gp is in accordance with the security policy PS.
  • step ET81, or ET82 or ET83 If after the step ET81, or ET82 or ET83, the compared access rules do indeed comply with the security rules, the operation requested in step ET3 is accepted in step ET10, and the method returns to step - ET3 for a conformity check relating to another operation on the Ob object, or to an operation on another object.
  • step ET11 refuses the operation requested in step ET3, and the method then returns to step ET3.
  • the refusal of the operation requested in step ET11 may be accompanied by a rejection of the smart card CA, or a deletion of the access right rule or rules which did not comply with the rules of security.
  • step ET1 defines two security rules RS1 and RS2.
  • the group Gl is not authorized to write on the objects of the set EO, and therefore including on the given object Ob.
  • group G2 is not authorized to read objects from the EO assembly.
  • steps ET6 and ET83 of the method according to FIG. 3 are carried out.
  • a Gl group read access request appear in step ET9 a conformity for the subject SI belonging only to the group Gl between the read access rule of the group Gl and the security rule in prohibition of writing of the group Gl, and a conformity for the subject S3 between the group G2 write access right rule and the group G2 read prohibition security rule.
  • step ET9 signals a lack of conformity for the subject S2 which belongs to both the groups Gl and G2.
  • the read access right rule relating to the group Gl does not comply with the read prohibition security rule for the group G2, and the write access right rule for the group.
  • G2 does not comply with the Gl group write security prohibition rule.
  • the step ET11 then proceeds to the removal of the read and write access rights of the subject S2 which retains only the access right in execution in common with the other subjects SI and S3.
  • FIG. 3 relates to the conformity of operations on a given object Ob, more generally, any operation relating to any of the objects 01 to OB of the set EO can cause a verification of conformity general of all access control lists and capacities relating to all objects 01 to OB in relation to all the security rules of the security policy. Such a general compliance check is preferably carried out at least during the commissioning and personalization of the CA smart card.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

The invention relates to access rules (R) of compliance of subjects (Su) with objects (Ob) with a predetermined security policy (PS) in a data processing system such as a chip card. Each access rule defines the right of a subject to carry out an action on an object. The security policy defines the security rules (RS) for access of the subjects to the objects. For an operation relating to a given object (Ob), at least one access rule relating to the given object is compared with the security rules in order to accept the operation when the access rule is in compliance with all the security rules; if this is not the case, the operation is refused. An operation can be the loading of an object such as an application, a modification of the access rules, or deletion or addition of a subject (s) or a request for access to a given object by a subject or a group of subjects.

Description

VERIFICATION DE LA CONFORMITE D ' ACCES DE SUJET DES OBJETS DANS UN SYSTEME DE TRAITEMENT DE DONNEES AVEC UNE POLITIQUE DE SECURITECHECKING THE CONFORMITY OF SUBJECT ACCESS OF OBJECTS IN A DATA PROCESSING SYSTEM WITH A SECURITY POLICY
5 La présente invention concerne d'une manière générale la vérification de la conformité de conditions d'accès par des premiers éléments à des deuxièmes éléments avec des règles de sécurité définissant une politique de sécurité. Les premiers 0 éléments sont des sujets constituant des utilisateurs ou modules logiciels d'un moyen de traitement de données. Les deuxièmes éléments sont des objets tels que des applications implémentées dans le moyen de traitement de données. Plus particulièrement, 5 l'invention est relative à des conditions d'accès à des applications implémentées dans une carte à puce, dite également carte à microcontrôleur ou à circuit intégré, qui comporte plusieurs applications relatives à divers services, tels que des 0 applications de commerce électronique, porte-monnaie électronique, service de fidélité, etc.The present invention relates generally to the verification of the conformity of access conditions by first elements to second elements with security rules defining a security policy. The first 0 elements are subjects constituting users or software modules of a data processing means. The second elements are objects such as applications implemented in the data processing means. More particularly, the invention relates to conditions of access to applications implemented in a smart card, also known as a microcontroller or integrated circuit card, which comprises several applications relating to various services, such as 0 applications of electronic commerce, electronic wallet, loyalty service, etc.
L'invention est ainsi particulièrement dirigée vers la conformité de toute opération relative à une application dans une carte à puce multi-applicative 5 avec des règles de sécurité. L'opération peut être un chargement ou une modification de l'application, ou des modifications des conditions d'accès à l'application, ou bien encore une demande d'accès à l'application pour accomplir une action sur celle-ci. 0The invention is therefore particularly directed towards the compliance of any operation relating to an application in a multi-application smart card 5 with security rules. The operation can be a loading or a modification of the application, or modifications of the conditions of access to the application, or even a request for access to the application to perform an action on it. 0
La coexistence et la coopération de plusieurs applications au sein d'une même carte à puce soulève de nombreux problèmes du point de vue de la sécurité. En particulier, chaque application possède ses 5 propres données pour lesquelles le fournisseur de l'application définit des droits d'accès propres à l'application. Les droits d'accès sont des moyens de liaison entre des accès externes qui peuvent être des utilisateurs de la carte ou bien des modules logiciels, comme des interfaces d'usager, et des accès internes à la carte tels que des applications, éventuellement par l'intermédiaire d'autres applications ou d'autres éléments logiciels d'application dans la carte. Le contrôle des conditions d'accès repose sur 1 ' authentification des sujets, tels que les utilisateurs, qui sont des éléments "actifs" qui manipulent des informations contenues dans des objets, tels que des applications, qui sont des éléments "passifs" contenant des données. Les droits d'accès des sujets aux objets sont régies par des règles de contrôle d'accès entre les sujets et les objets. Chaque règle comporte un droit d'accès, c'est-à-dire un lien entre un sujet et un objet sous la forme d'une action qui peut être accomplie par le sujet sur l'objet.The coexistence and cooperation of several applications within the same smart card raises many problems from a security point of view. In particular, each application has its own 5 data for which the provider the application defines access rights specific to the application. Access rights are means of connection between external accesses which can be users of the card or else software modules, such as user interfaces, and internal accesses to the card such as applications, possibly via the through other applications or other application software elements in the card. Control of access conditions is based on the authentication of subjects, such as users, which are "active" elements which manipulate information contained in objects, such as applications, which are "passive" elements containing data. The access rights of subjects to objects are governed by access control rules between subjects and objects. Each rule includes a right of access, i.e. a link between a subject and an object in the form of an action which can be performed by the subject on the object.
Il est connu de représenter les droits d'accès de sujets à des objets par une matrice d'accès MA dont les colonnes correspondent à des sujets et dont les lignes correspondent à des objets, comme montré à la figure 1. Par exemple, la matrice MA est relative à trois sujets SI, S2 et S3, tels que trois utilisateurs, et à trois objets 01, 02 et 03, tels que des fichiers et des programmes. Chaque case de la matrice à l'intersection d'une ligne et d'une colonne contient des droits d'accès, c'est-à-dire des actions privilégiées qui peuvent être accomplies par le sujet respectif sur l'objet respectif.It is known to represent the access rights of subjects to objects by an access matrix MA whose columns correspond to subjects and whose rows correspond to objects, as shown in FIG. 1. For example, the matrix MA relates to three subjects SI, S2 and S3, such as three users, and to three objects 01, 02 and 03, such as files and programs. Each box of the matrix at the intersection of a row and a column contains access rights, that is to say privileged actions which can be performed by the respective subject on the respective object.
Les droits d'accès peuvent être positifs pour autoriser une action prédéterminée d'un sujet sur un objet, ou peuvent être négatifs pour interdire une action prédéterminée d'un sujet sur un objet. Par exemple, le sujet S2 peut lire et exécuter l'objet 02 mais ne peut pas écrire dans cet objet, et le sujet S3 peut enregistrer et lire l'objet 03 mais ne peut pas exécuter l'objet 03.The access rights can be positive to authorize a predetermined action of a subject on a object, or can be negative to prohibit a predetermined action of a subject on an object. For example, subject S2 can read and execute object 02 but cannot write to this object, and subject S3 can record and read object 03 but cannot execute object 03.
Comme il est connu, les règles de contrôle d'accès sont généralement traitées suivant deux approches . La première approche consiste en des listes de contrôle d'accès ACL (Access Control List) correspondant aux lignes de la matrice d'accès MA et spécifiant chacune les droits d'accès de sujets à l'objet associé à la ligne. A titre d'exemple, dans une carte à puce multi-applicative du type WINDOWS (marque enregistrée), des listes de contrôle d'accès ACL définissent des accès d'utilisateurs à des fichiers inclus dans la carte.As is known, access control rules are generally treated according to two approaches. The first approach consists of access control lists ACL (Access Control List) corresponding to the rows of the access matrix MA and each specifying the access rights of subjects to the object associated with the row. For example, in a multi-application smart card of the WINDOWS type (registered trademark), ACL access control lists define user access to files included in the card.
A l'inverse, la deuxième approche consiste en des capacités correspondant aux colonnes de la matrice MA et spécifiant chacune les droits d'accès du sujet associé à la colonne sur les objets. Par exemple, le contrôle d'accès porte sur des méthodes d'applets pour cartes à puce multi-applicatives de type JavaCard dans lesquelles des programmes en langage Java ont été écrits. Les capacités sont sous la forme de pointeurs permettant d'effectuer des appels à des objets, dans des applets prédéterminés constituant des sujets.Conversely, the second approach consists of capacities corresponding to the columns of the MA matrix and each specifying the access rights of the subject associated with the column on the objects. For example, access control relates to applet methods for multi-application smart cards of the JavaCard type in which programs in Java language have been written. The capacities are in the form of pointers making it possible to make calls to objects, in predetermined applets constituting subjects.
Dans le domaine de la carte à microcontrôleur, la notion de politique de sécurité est généralement omise. En effet, les cartes étant jusqu'alors généralement mono-applicatives, ceci impose une unique politique de sécurité de taille raisonnable pour assurer que les droits d'accès correspondent bien au souhait du développeur ayant en charge la définition des droits d'accès.In the field of microcontroller cards, the notion of security policy is generally omitted. Indeed, the cards being hitherto generally mono-application, this imposes a single security policy of reasonable size to ensure that the access rights correspond to the wishes of the developer responsible for defining access rights.
Comme déjà précisé, les droits d'accès sont exprimés sous la forme de règles de contrôle d'accès. Il faut alors vérifier et garantir que les droits d'accès sont complets et consistants vis-à-vis d'une politique, c'est-à-dire qu'ils offrent au moins deux propriétés, la complétude et la consistance. La complétude de droit d'accès assure que pour tout sujet et tout objet, il existe au moins un droit d'accès spécifiant si le sujet est autorisé ou non à accéder à l'objet. La consistance des droits d'accès garantit que pour tout sujet et tout objet, si plusieurs droits d'accès à l'objet sont définis, les droits d'accès spécifient tous le même type de droit positif ou négatif. La complétude des droits d'accès vis-à-vis d'une politique de sécurité assure que les droits d'accès définissent tous les droits spécifiés par la politique de sécurité. La consistance des droits d'accès vis-à-vis d'une politique assure que les droits d'accès sont limités à ceux définis par la politique de sécurité et ne définissent pas plus de droits. Actuellement dans les cartes multi-applicatives, les propriétés de complétude et de consistance des droits d'accès avec une politique de sécurité ne peuvent pas être vérifié. Le développeur en charge de la définition des droits d'accès n'est donc pas en mesure de vérifier que les droits d'accès spécifiés correspondent aux règles de la politique de sécurité souhaitée .As already specified, the access rights are expressed in the form of access control rules. It is then necessary to verify and guarantee that the access rights are complete and consistent with respect to a policy, that is to say that they offer at least two properties, completeness and consistency. The completeness of the access right ensures that for any subject and any object, there is at least one access right specifying whether the subject is authorized or not to access the object. The consistency of the access rights guarantees that for any subject and any object, if several access rights to the object are defined, the access rights all specify the same type of positive or negative right. The completeness of access rights vis-à-vis a security policy ensures that access rights define all the rights specified by the security policy. The consistency of access rights vis-à-vis a policy ensures that access rights are limited to those defined by the security policy and do not define more rights. Currently in multi-application cards, the completeness and consistency properties of access rights with a security policy cannot be checked. The developer in charge of defining access rights is therefore unable to verify that the specified access rights correspond to the rules of the desired security policy.
L'introduction de cartes multi-applicatives complexifie le problème de la coexistence de plusieurs applications et donc la coexistence de plusieurs politiques de sécurité, la coopération entre les applications augmentant encore la complexité des politiques.The introduction of multi-application cards complicates the problem of the coexistence of several applications and therefore the coexistence of several security policies, cooperation between applications further increasing the complexity of policies.
La présente invention a pour objectif de fournir un procédé pour vérifier la conformité des droits d'accès de plusieurs sujets à plusieurs objets, tels que des applications dans une carte multi- applicative, avec une politique de sécurité globale qui est mise en oeuvre par le gestionnaire de la carte qui peut être une personne différente du développeur de chacune des applications. Ce procédé garantit ainsi la complétude et la consistance des droits d'accès vis-à-vis d'une politique de sécurité : les droits d'accès définissent tous les droits spécifiés par la politique de sécurité selon la propriété de complétude, et se limitent à ces droits de politique de sécurité selon la propriété de consistance .The present invention aims to provide a method for verifying the conformity of the access rights of several subjects to several objects, such as applications in a multi-application card, with a global security policy which is implemented by the card manager who can be a different person from the developer of each application. This process thus guarantees the completeness and consistency of the access rights vis-à-vis a security policy: the access rights define all the rights specified by the security policy according to the completeness property, and are limited to these security policy rights depending on consistency property.
Pour atteindre cet objectif, un procédé pour vérifier un ensemble de règles d'accès de premiers éléments à des deuxièmes éléments dans un système de traitement de données, chaque règle définissant un droit d'un premier élément à accomplir une action sur un deuxième élément, est caractérisé en ce qu'il comprend, une définition de règles de sécurité pour l'accès des premiers éléments aux deuxièmes éléments, et pour chaque opération relative à un deuxième élément donné, une comparaison d'au moins une règle d'accès donnée au deuxième élément donné avec les règles de sécurité de manière à accepter l'opération lorsque la règle d'accès est conforme à toutes les règles de sécurité et à signaler la non conformité de l'opération lorsque la règle d'accès n'est pas conforme à l'une des règles de sécurité.To achieve this objective, a method for verifying a set of access rules from first elements to second elements in a data processing system, each rule defining a right of a first element to perform an action on a second element, is characterized in that it comprises, a definition of security rules for the access of the first elements to the second elements, and for each operation relating to a second given element, a comparison of at least one access rule given to the second element given with the security rules so as to accept the operation when the access rule complies with all the security rules and to report the non-conformity of the operation when the access rule does not comply with one of the security rules.
Comme on le verra dans la suite, les premiers éléments sont par exemple des sujets tels que des utilisateurs, et les deuxièmes éléments sont par exemple des objets, tels que des applications dans une carte à puce multi-applicative incluse dans le système de traitement de données.As will be seen below, the first elements are for example subjects such as users, and the second elements are for example objects, such as applications in a multi-application smart card included in the processing system. data.
Selon une première réalisation, le système de traitement de données comprend un objet électronique portable dans lequel au moins les deuxièmes éléments sont implantés, et un moyen de sécurité externe à l'objet électronique portable dans lequel les règles de sécurité sont implantées et qui effectue la comparaison.According to a first embodiment, the data processing system comprises a portable electronic object in which at least the second elements are installed, and a security means external to the portable electronic object in which the security rules are installed and which performs the comparison.
Selon une deuxième réalisation, le système de traitement de données est un objet électronique portable dans lequel au moins les deuxièmes éléments et les règles de sécurité sont implantés et qui effectue la comparaison.According to a second embodiment, the data processing system is a portable electronic object in which at least the second elements and the security rules are installed and which performs the comparison.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels :Other characteristics and advantages of the present invention will appear more clearly on reading the following description of several preferred embodiments of the invention with reference to the corresponding appended drawings in which:
- la figure 1 est un diagramme montrant une matrice de contrôle entre trois sujets et trois objets, déjà commentée selon la technique antérieure- Figure 1 is a diagram showing a control matrix between three subjects and three objects, already commented on according to the prior art
- la figure 2 est un bloc-diagramme schématique d'un système de traitement de données pour la mise en oeuvre du procédé de contrôle de conformité selon une première réalisation de l'invention ; et - la figure 3 est un algorithme du procédé de vérification de conformité selon l'invention.- Figure 2 is a schematic block diagram of a data processing system for the implementation of the conformity control method according to a first embodiment of the invention; and - Figure 3 is an algorithm of the compliance verification method according to the invention.
Un système électronique de traitement de données tel qu'illustré à la figure 2 comprend un objet électronique portable telle qu'une carte à puce CA et un terminal TE doté d'un clavier CL et d'un lecteur LE pour lire les données dans la carte. La "puce" de la carte CA est un microcontrôleur comportant un microprocesseur PR et trois mémoires MO, MNV et MA. La mémoire MO de type ROM inclut un système d'exploitation OS de la carte. La mémoire MNV est une mémoire non volatile de type programmable et effaçable, comme une mémoire EEPROM. La mémoire MNV contient des données notamment liées au possesseur et au fournisseur de la carte et en particulier des applications AP constituant des objets au sens de l'invention et des données liées aux accès aux applications AP, telles que des règles d'accès R et des sujets Su. La mémoire MA est de type RAM et destinée à recevoir notamment des données du terminal TE de la carte. Tous les composants PR, MO, MNV et MA sont reliés entre eux par un bus interne BU. Lorsque la carte CA est introduite dans le lecteur LE du terminal TE, le bus BU est relié au terminal TE à travers une liaison de contacts LI lorsque la carte est du type à contacts électriques.An electronic data processing system as illustrated in FIG. 2 comprises a portable electronic object such as a smart card CA and a terminal TE equipped with a keyboard CL and a reader LE for reading the data in the menu. The CA card "chip" is a microcontroller comprising a microprocessor PR and three memories MO, MNV and MA. The MO type ROM memory includes an operating system OS of the card. The MNV memory is a non-volatile memory of the programmable and erasable type, like an EEPROM memory. The memory MNV contains data notably linked to the possessor and the supplier of the card and in particular AP applications constituting objects within the meaning of the invention and data linked to access to AP applications, such as access rules R and Su subjects. The memory MA is of the RAM type and intended in particular to receive data from the terminal TE of the card. All the components PR, MO, MNV and MA are linked together by an internal bus BU. When the card CA is inserted into the reader LE of the terminal TE, the bus BU is connected to the terminal TE through a contact link LI when the card is of the type with electrical contacts.
Selon cette première réalisation, une politique de sécurité définie par des règles de sécurité RS relative à toutes les applications AP dans la carte à puce CA est pré-mémorisée dans le terminal TE. Par exemple, le terminal TE appartient au distributeur de la carte à puce qui peut être différent de chaque développeur d'application ayant en charge la définition de règles d'accès à au moins une application respective.According to this first embodiment, a security policy defined by security rules RS relating to all the applications AP in the smart card CA is pre-stored in the terminal TE. For example, the TE terminal belongs to the distributor of the smart card, which may be different from each application developer responsible for definition of access rules for at least one respective application.
En variante, le terminal contenant les règles de sécurité et vérifiant la conformité des règles d'accès avec les règles de sécurité est un serveur relié par un réseau de télécommunication à un terminal d'accueil de la carte à puce.As a variant, the terminal containing the security rules and verifying the compliance of the access rules with the security rules is a server connected by a telecommunications network to a reception terminal of the smart card.
Selon une deuxième réalisation, au lieu que la politique de sécurité PS soit implantée dans le terminal TE, les règles de sécurité RS définissant la politique de sécurité sont implantées dans la mémoire ROM MO de la carte à puce CA qui constitue le système de traitement de données.According to a second embodiment, instead of the security policy PS being implemented in the terminal TE, the security rules RS defining the security policy are installed in the ROM memory MO of the smart card CA which constitutes the processing system for data.
La description ci-après du procédé de vérification de conformité selon l'invention est valable indifféremment pour ces deux réalisations présentées ci-dessus.The description below of the conformity verification method according to the invention is valid equally for these two embodiments presented above.
Les réalisations décrites ci-après du procédé de vérification de conformité d'accès de sujets à des objets avec une politique de sécurité se réfèrent aux cinq ensembles suivants :The embodiments described below of the method for verifying the conformity of access of subjects to objects with a security policy refer to the following five sets:
- un ensemble d'objet EO = {01, ... Ob, ... OB} avec 1 < b < B, - un ensemble de sujet ES = {SI, ... Su, ... SU} avec 1 < u < U relatif à des sujets ayant chacun au moins un accès à un objet donné Ob,- a set of object EO = {01, ... Ob, ... OB} with 1 <b <B, - a set of subject ES = {SI, ... Su, ... SU} with 1 <u <U relating to subjects each having at least one access to a given object Ob,
- un ensemble de groupe de sujet EG ={G1, ... Gp, ... GP} relatif à des sujets ayant chacun au moins un accès à l'objet Ob, un sujet dans un groupe ayant tous les droits d'accès accordés à ce groupe, et un sujet pouvant appartenir à un ou plusieurs groupes,- a set of subject group EG = {G1, ... Gp, ... GP} relating to subjects each having at least one access to the object Ob, a subject in a group having all the access rights granted to this group, and a subject that can belong to one or more groups,
- un ensemble de règle de droit d'accès ER = {RI, ... Re, ... RE} avec 1 < e < E régissant l'accès des sujets de l'ensemble ES et des groupes de l'ensemble EG à l'objet donné Ob, et un ensemble de règles de sécurité RS applicables à tous les sujets de l'ensemble donnant accès à l'objet Ob et de règles de sécurité RS1 à RSP applicables respectivement aux groupes Gl à GP pour accéder à l'objet Ob.- a set of access right rule ER = {RI, ... Re, ... RE} with 1 <e <E governing access subjects from the set ES and groups from the set EG to the given object Ob, and a set of security rules RS applicable to all the subjects from the set giving access to the object Ob and rules from security RS1 to RSP applicable respectively to groups Gl to GP to access the object Ob.
Si R (ou RS) désigne un droit, c'est-à-dire une action telle que lecture, écriture, exécution ou enregistrement, qui peut être accomplie par un sujet quelconque Su sur un objet donné quelconque Ob, le contrôle d'accès est régi par les règles de droit positif suivantes :If R (or RS) designates a right, that is to say an action such as reading, writing, execution or recording, which can be performed by any subject Su on any given object Ob, access control is governed by the following rules of positive law:
- (SuROb) : le sujet Su a le droit R sur l'objet Ob, c'est-à-dire est autorisé à accomplir l'action R sur l'objet donné Ob ;- (SuROb): the subject Su has the right R on the object Ob, that is to say is authorized to perform the action R on the given object Ob;
- (GpROb) : les sujets du groupe Gp ont le droit R sur l'objet Ob ; ainsi que par les règles de droit négatif suivantes : - non(SuROb) : le sujet Su n'a pas le droit R sur l'objet donné Ob, c'est-à-dire est interdit d'accomplir l'action R sur l'objet Ob ;- (GpROb): the subjects of the group Gp have the right R on the object Ob; as well as by the following negative law rules: - no (SuROb): the subject Su does not have the right R on the given object Ob, that is to say is prohibited to perform the action R on the Ob object;
- non(GpROb) : les sujets du groupe Gp n'ont pas le droit R sur l'objet Ob. Dans la suite, on appellera "droit direct" du sujet Su sur l'objet Ob, un droit obtenu directement par la règle (SuROb) , c'est-à-dire sans passer par l'intermédiaire d'un groupe ; et "droit indirect" du sujet Su sur l'objet Ob, un droit obtenu par la règle (GpROb) à travers un groupe Gp dans lequel est inclus le sujet Su.- no (GpROb): subjects in the Gp group do not have the R right on the Ob object. In the following, we will call "direct right" of the subject Su on the object Ob, a right obtained directly by the rule (SuROb), that is to say without going through a group; and "indirect right" of the subject Su on the object Ob, a right obtained by the rule (GpROb) through a group Gp in which the subject Su is included.
En référence maintenant à la figure 3, le procédé de vérification de conformité comprend principalement des étapes ET1 à ET8. Au début du procédé, une première étape initiale ET1 définit une politique de sécurité PS qui comporte des règles de sécurité RS qui sont communes à tous les objets 01 à OB de l'ensemble EO ainsi que des règles de sécurité respectivement pour des groupes de sujet prédéterminés et des objets prédéterminés, et en particulier pour les groupes Gl à GP associés à 'l'objet donné Ob. La politique de sécurité est implantée dans le terminal TE, ou dans la mémoire MNV de la carte à puce CA.Referring now to Figure 3, the compliance verification method mainly comprises steps ET1 to ET8. At the start of the method, a first initial step ET1 defines a security policy PS which includes security rules RS which are common to all the objects 01 to OB of the set EO as well as security rules respectively for groups of subject predetermined and predetermined objects, and in particular for the groups G1 to GP associated with the given object Ob. The security policy is implemented in the terminal TE, or in the memory MNV of the smart card CA.
La deuxième étape initiale ET2 définit les quatre groupes ES, EO, EG et ER pour les implémenter dans les mémoires MO et MNV de la carte à puce CA.The second initial step ET2 defines the four groups ES, EO, EG and ER to implement them in the memories MO and MNV of the smart card CA.
L'étape suivante ET3 concerne le déclenchement d'une opération sur l'objet donné Ob. Cette opération peut être le chargement de l'objet donné Ob, par exemple en tant que nouvelle application, dans la mémoire EEPROM MNV de la carte CA, y compris les règles d'accès propres à l'application définies à une étape antérieure ET2 et écrites dans la mémoire MNV, ou une modification de règle d'accès relative à l'objet donné Ob. La modification de règle d'accès peut être une suppression ou une adjonction d'une règle d'accès relative à un sujet Su ou un groupe Gp et naturellement à l'objet donné Ob. L'opération sur l'objet donné Ob peut être simplement une demande d'accès de droit à l'objet donné par un sujet Su ou un groupe Gp du type (SuROb) ou (GpROb), ou une modification d'un ou de plusieurs sujets ou d'un groupe ayant un accès sur l'objet donné Ob, c'est-à- dire une suppression ou une adjonction d'un ou de plusieurs sujets ou d'un groupe.The next step ET3 concerns the triggering of an operation on the given object Ob. This operation can be the loading of the given object Ob, for example as a new application, into the EEPROM memory MNV of the card CA, including the access rules specific to the application defined in a previous step ET2 and written in the MNV memory, or a modification of the access rule relating to the given object Ob. The modification of an access rule can be a deletion or an addition of an access rule relating to a subject Su or a group Gp and of course to the given object Ob. The operation on the given object Ob can simply be a request for right access to the object given by a subject Su or a group Gp of the type (SuROb) or (GpROb), or a modification of one or several subjects or a group having access to the given object Ob, that is to say a deletion or an addition of one or more subjects or a group.
La vérification de conformité proprement dite par comparaison de règles d'accès relatives à l'objet donné Ob à toutes les règles de sécurité débute à l'étape ET4. En variante, cette vérification de conformité est effectuée périodiquement par exemple toutes les vingt quatre heures lorsque la carte à puce CA est utilisée, ou bien toutes les M opérations relatives à l'objet donné Ob, où M désigne un entier au moins égal à 2.Verification of conformity proper by comparison of access rules relating to the object given Ob to all security rules starts at step ET4. As a variant, this conformity check is carried out periodically, for example every twenty four hours when the smart card CA is used, or else all the M operations relating to the given object Ob, where M denotes an integer at least equal to 2 .
D'une manière générale, selon une première réalisation, toutes les règles d'accès positives et négatives Re relatives à l'objet donné Ob et à un quelconque sujet Sq pour un droit direct ou à un quelconque groupe Gp pour un droit indirect ont leur conformité vérifiée par rapport à toutes les règles de sécurité RS et RSp quel que soit l'indice p défini par la politique de sécurité pour l'objet Ob, comme indiqué à des étapes ET81, ET82, ET83 et ET9 qui succèdent alors directement à l'étape ET4 à travers une réponse négative à l'étape intermédiaire ET6 ou après l'étape ET7. En pratique, la vérification de la conformité d'une règle d'accès résulte d'une comparaison de cette règle avec chacune des règles de sécurité. Par exemple, une règle de sécurité commune à tous les sujets et tous les groupes relatifs à l'objet Ob peut être une interdiction d'écrire dans l'objet Ob, et une règle de sécurité RSp pour le groupe Gp peut être une autorisation de lire l'objet donné Ob par tous les sujets appartenant au groupe Gp.In general, according to a first embodiment, all the positive and negative access rules Re relating to the given object Ob and to any subject Sq for a direct right or to any group Gp for an indirect right have their conformity checked against all security rules RS and RSp whatever the index p defined by the security policy for the object Ob, as indicated in steps ET81, ET82, ET83 and ET9 which then directly follow the step ET4 through a negative response to intermediate step ET6 or after step ET7. In practice, the verification of the compliance of an access rule results from a comparison of this rule with each of the security rules. For example, a security rule common to all subjects and groups relating to the Ob object may be a write ban on the Ob object, and an RSp security rule for the Gp group may be an authorization to read the object given Ob by all the subjects belonging to the group Gp.
Cependant, selon d'autres réalisations, le procédé distingue des opérations relatives seulement à un sujet Su, comme une demande d'accès direct du sujet Su à l'objet Ob ou une adjonction du sujet Su, à l'étape ET5, et une opération relative seulement à un groupe donné Gp, comme une demande d'accès de droit indirect à l'objet donné Ob ou un ajout ou suppression de sujet ou une modification de droit relative au groupe Gp, comme indiqué à l'étape ET6. Si aucune des conditions des étapes ET5 et ET6 n'est satisfaite, le procédé passe directement de l'étape ET4 à l'étape ET81 déjà commentée.However, according to other embodiments, the method distinguishes operations relating only to a subject Su, such as a request for direct access from the subject Su to the object Ob or an addition of the subject Su, in step ET5, and a operation relating only to a given group Gp, such as a request for indirect access to the given object Ob or an addition or deletion of the subject or modification of the law relating to the Gp group, as indicated in step ET6. If none of the conditions of steps ET5 and ET6 is satisfied, the method goes directly from step ET4 to step ET81 already commented on.
Lorsque l'opération est relative seulement à un sujet Su et à l'objet Ob, l'étape ET5 est suivie d'une étape ET7 au cours de laquelle tous les groupes Gp qui contiennent le sujet Su sont détectés. Dans cette réalisation, l'étape ET81 est remplacée par l'étape ET82 qui vérifie la conformité de toutes les règles d'accès positives et négatives relatives à l'objet donné Ob et directement au sujet Su ou indirectement aux groupes Gp contenant le sujet Su. Ces règles d'accès sont comparées à toutes les règles de sécurité communes RS et aux règles de sécurité RS1 à RSp et en particulier relatives au groupe Gp à l'étape ET9. Par l'intermédiaire des étapes ET7 et ET82, le procédé vérifie ainsi que la capacité d'un sujet Su relative à l'objet donné Ob est conforme à la politique de sécurité PS.When the operation is related only to a subject Su and the object Ob, the ST5 is followed by a step in ET7 Gp which all groups that contain the subject Su are detected. In this embodiment, step ET81 is replaced by step ET82 which checks the conformity of all the positive and negative access rules relating to the given object Ob and directly to the subject Su or indirectly to the groups Gp containing the subject Su . These access rules are compared with all the common security rules RS and with the security rules RS1 to RSp and in particular relating to the group Gp in step ET9. By means of steps ET7 and ET82, the method thus verifies that the capacity of a subject Su relative to the given object Ob complies with the security policy PS.
Lorsque l'opération sur l'objet donné Ob est relative seulement à un groupe de sujet Gp à l'étape ET6, toutes les règles de droit d'accès de type positif (GpROb) et négatif non (GpROb) ont leur conformité vérifiée par comparaison avec toutes les règles de sécurité communes RS et les règles de sécurité RS1 à RSp relatives à tous les groupes, et particulièrement relatives au groupe donné Gp, à une étape ET83. A travers les étapes ET6 et ET83, le procédé vérifie ainsi que la liste de contrôle d'accès concernant tous les droits d'accès des sujets dans un groupe donné Gp est en conformité avec la politique de sécurité PS. Si après l'étape ET81, ou ET82 ou ET83, les règles d'accès comparées sont bien conformes aux règles de sécurité, l'opération demandée à l'étape ET3 est acceptée à l'étape ET10, et le procédé revient à l'étape - ET3 pour une vérification de conformité relative à une autre opération sur l'objet Ob, ou à une opération sur un autre objet.When the operation on the given object Ob relates only to a group of subject Gp in step ET6, all the access right rules of positive type (GpROb) and negative non (GpROb) have their conformity verified by comparison with all the common security rules RS and the security rules RS1 to RSp relating to all the groups, and particularly relating to the given group Gp, at a step ET83. Through steps ET6 and ET83, the method thus verifies that the access control list concerning all the access rights of the subjects in a given group Gp is in accordance with the security policy PS. If after the step ET81, or ET82 or ET83, the compared access rules do indeed comply with the security rules, the operation requested in step ET3 is accepted in step ET10, and the method returns to step - ET3 for a conformity check relating to another operation on the Ob object, or to an operation on another object.
En revanche, si au moins l'une des règles de droit d'accès comparées et définies à l'une des étapes ET81, ET82 et ET83 n'est pas conformes avec l'une des règles de sécurité à l'étape ET9, l'étape ETll refuse l'opération demandée à l'étape ET3, et le procédé revient ensuite à l'étape ET3. Le refus de l'opération demandée à l'étape ETll peut être accompagné d'un rejet de la carte à puce CA, ou d'une suppression de la ou des règles de droit d'accès qui n'étaient pas conformes aux règles de sécurité.On the other hand, if at least one of the access right rules compared and defined in one of the steps ET81, ET82 and ET83 does not comply with one of the security rules in step ET9, l step ET11 refuses the operation requested in step ET3, and the method then returns to step ET3. The refusal of the operation requested in step ET11 may be accompanied by a rejection of the smart card CA, or a deletion of the access right rule or rules which did not comply with the rules of security.
A titre d'exemple, il est supposé qu'un premier groupe Gl composé de sujets SI et S2 ne possède que le droit d'accès en lecture sur l'objet donné Ob, un deuxième groupe G2 composé de sujets S2 et S3 ne possède que le droit d'accès en écriture sur l'objet Ob, et que les deux groupes Gl et G2 sont autorisés à exécuter l'objet Ob tel qu'une application. Par ailleurs, l'étape ET1 définit deux règles de sécurité RS1 et RS2. Selon la première règle RS1, le groupe Gl n'est pas autorisé à écrire sur les objets de l'ensemble EO, et donc y compris sur l'objet donné Ob. Selon la deuxième règle de sécurité RS2, le groupe G2 n'est pas autorisé à lire les objets de l'ensemble EO.As an example, it is assumed that a first group G1 composed of subjects SI and S2 has only read access rights to the given object Ob, a second group G2 composed of subjects S2 and S3 does not have that the write access right on the Ob object, and that the two groups Gl and G2 are authorized to execute the Ob object such as an application. Furthermore, step ET1 defines two security rules RS1 and RS2. According to the first rule RS1, the group Gl is not authorized to write on the objects of the set EO, and therefore including on the given object Ob. According to the second RS2 security rule, group G2 is not authorized to read objects from the EO assembly.
Pour cet exemple, les étapes ET6 et ET83 du procédé selon la figure 3 sont effectuées. Une demande d'accès en lecture du groupe Gl fait apparaître à l'étape ET9 une conformité pour le sujet SI appartenant seulement au groupe Gl entre la règle d'accès en lecture du groupe Gl et la règle de sécurité en interdiction d'écriture du groupe Gl, et une conformité pour le sujet S3 entre la règle de droit d'accès en écriture du groupe G2 et la règle de sécurité d'interdiction en lecture du groupe G2. Par contre, l'étape ET9 signale un défaut de conformité pour le sujet S2 qui appartient à la fois aux groupes Gl et G2. Pour le sujet S2 la règle de droit d'accès en lecture relative au groupe Gl n'est pas conforme à la règle de sécurité d'interdiction en lecture pour le groupe G2, et la règle de droit d'accès en écriture pour le groupe G2 n'est pas conforme avec la règle de sécurité d'interdiction en écriture du groupe Gl. L'étape ETll procède alors à la suppression des droits d'accès en lecture et écriture du sujet S2 qui ne conserve que le droit d'accès en exécution en commun avec les autres sujets SI et S3.For this example, steps ET6 and ET83 of the method according to FIG. 3 are carried out. A Gl group read access request appear in step ET9 a conformity for the subject SI belonging only to the group Gl between the read access rule of the group Gl and the security rule in prohibition of writing of the group Gl, and a conformity for the subject S3 between the group G2 write access right rule and the group G2 read prohibition security rule. On the other hand, step ET9 signals a lack of conformity for the subject S2 which belongs to both the groups Gl and G2. For subject S2, the read access right rule relating to the group Gl does not comply with the read prohibition security rule for the group G2, and the write access right rule for the group. G2 does not comply with the Gl group write security prohibition rule. The step ET11 then proceeds to the removal of the read and write access rights of the subject S2 which retains only the access right in execution in common with the other subjects SI and S3.
Bien que la figure 3 soit relative à la conformité d'opérations sur un objet donné Ob, d'une manière plus générale, toute opération relative à l'un quelconque des objets 01 à OB de l'ensemble EO peut provoquer une vérification de conformité générale de toutes les listes de contrôle d'accès et capacités relatives à tous les objets 01 à OB par rapport à toutes les règles de sécurité de la politique de sécurité. Une telle vérification de conformité générale est de préférence réalisée au moins lors de la mise en service et la personnalisation de la carte à puce CA. Although FIG. 3 relates to the conformity of operations on a given object Ob, more generally, any operation relating to any of the objects 01 to OB of the set EO can cause a verification of conformity general of all access control lists and capacities relating to all objects 01 to OB in relation to all the security rules of the security policy. Such a general compliance check is preferably carried out at least during the commissioning and personalization of the CA smart card.

Claims

REVENDICATIONS
1 - Procédé pour vérifier la conformité de règles d'accès (Re) définissant respectivement des droits autorisant et/ou interdisant des premiers éléments (Su) , tels que des utilisateurs, à accomplir des actions sur des deuxièmes éléments (Ob) , tels que des applications implantées dans un objet électronique portable (CA) , avec des règles de sécurité (RS) limitant les règles d'accès des premiers éléments aux deuxièmes éléments, caractérisé en ce qu'il comprend, pour chaque opération (ET3) relative à un deuxième élément donné (Ob) , telle que notamment un chargement du deuxième élément donné (Ob) ou une modification de règle d'accès relative au deuxième objet donné dans l'objet électronique portable (CA) , une comparaison (ET81, ET82, ET83, ET9) d'au moins une règle d'accès (Su/GpROb) au deuxième élément donné avec les règles de sécurité (RS) de manière à accepter (ET10) l'opération lorsque ladite règle d'accès (R) est conforme à toutes les règles de sécurité et à signaler la non conformité de l'opération lorsque ladite règle d'accès n'est pas conforme à l'une des règles de sécurité.1 - Method for verifying the conformity of access rules (Re) respectively defining rights authorizing and / or prohibiting first elements (Su), such as users, to perform actions on second elements (Ob), such as applications installed in a portable electronic object (CA), with security rules (RS) limiting the access rules from the first elements to the second elements, characterized in that it comprises, for each operation (ET3) relating to a second given element (Ob), such as in particular a loading of the second given element (Ob) or a modification of access rule relating to the second given object in the portable electronic object (CA), a comparison (ET81, ET82, ET83 , ET9) of at least one access rule (Su / GpROb) to the second element given with the security rules (RS) so as to accept (ET10) the operation when said access rule (R) complies at t all security rules and to report the non-compliance of the operation when said access rule does not comply with one of the security rules.
2 - Procédé conforme à la revendication 1, selon lequel ladite opération (ET3) est ou une suppression ou une adjonction d'une règle d'accès (R) relative au deuxième élément donné, ou une suppression ou une adjonction d'un premier élément (Su) ou de plusieurs premiers éléments (Gp) ayant accès à l'objet donné2 - Method according to claim 1, according to which said operation (ET3) is either a deletion or an addition of an access rule (R) relating to the second given element, or a deletion or an addition of a first element (Su) or several first elements (Gp) having access to the given object
(Ob) , ou une demande d'accès à l'objet donné (Ob) par un premier élément (Su) ou par un groupe (Gp) de premier élément. 3 - Procédé conforme à la revendication 1, selon lequel, lorsque l'opération (ET5) est relative seulement à un premier élément donné (Su) et au deuxième élément donné (Ob) , la comparaison (ET82) consiste à comparer toutes les règles d'accès (SuROb, Gp(Su)ROb) relatives au premier élément donné (Su) et au deuxième élément donné (Ob) avec toutes les règles de sécurité (RS) .(Ob), or a request for access to the given object (Ob) by a first element (Su) or by a group (Gp) of first element. 3 - Method according to claim 1, according to which, when the operation (ET5) relates only to a first given element (Su) and to the second given element (Ob), the comparison (ET82) consists in comparing all the rules access (SuROb, Gp (Su) ROb) relating to the first given element (Su) and the second given element (Ob) with all the security rules (RS).
4 - Procédé conforme à la revendication 1, selon lequel certains des premiers éléments appartiennent chacun à un ou plusieurs groupes de premier élément (Gp) , un premier élément dans un groupe ayant tous les droits d'accès accordés au groupe, caractérisé en ce que, lorsque l'opération (ET6) est relative à un groupe donné de premier élément (Gp) , la comparaison (ET83) consiste à comparer toutes les règles d'accès (GpROb) relatives au groupe donné et au deuxième élément donné (Ob) avec toutes les règles de sécurité (RS) .4 - Method according to claim 1, according to which some of the first elements each belong to one or more groups of first element (Gp), a first element in a group having all the access rights granted to the group, characterized in that , when the operation (ET6) relates to a given group of first element (Gp), the comparison (ET83) consists in comparing all the access rules (GpROb) relating to the given group and to the second given element (Ob) with all safety rules (RS).
5 - Procédé conforme à une quelconque des revendications 1 à 4, selon lequel la comparaison (ET81, ET82, ET83, ET9) est effectuée périodiquement.5 - Process according to any one of claims 1 to 4, according to which the comparison (ET81, ET82, ET83, ET9) is carried out periodically.
6 - Procédé conforme à une quelconque des revendications 1 à 5, selon lequel les règles de sécurité (RS) sont implantées dans un moyen de sécurité (TE) qui est externe à l'objet électronique portable (CA) et qui effectue la comparaison (ET81, ET82, ET83, ET9) .6 - Method according to any one of claims 1 to 5, according to which the security rules (RS) are implemented in a security means (TE) which is external to the portable electronic object (CA) and which performs the comparison ( ET81, ET82, ET83, ET9).
7 - Procédé conforme à une quelconque des revendications 1 à 5, selon lequel les règles de sécurité (RS) sont implantées dans l'objet électronique portable (CA) qui effectue la comparaison (ET81, ET82, ET83, ET9) . 7 - Method according to any one of claims 1 to 5, according to which the security rules (RS) are implanted in the object portable electronics (CA) which performs the comparison (ET81, ET82, ET83, ET9).
EP02713020A 2001-03-13 2002-03-08 Verification of access compliance of subjects with objects in a data processing system with a security policy Ceased EP1371035A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0103486 2001-03-13
FR0103486A FR2822256B1 (en) 2001-03-13 2001-03-13 VERIFICATION OF CONFORMITY OF ACCESS TO OBJECTS IN A DATA PROCESSING SYSTEM WITH A SECURITY POLICY
PCT/FR2002/000844 WO2002073552A1 (en) 2001-03-13 2002-03-08 Verification of access compliance of subjects with objects in a data processing system with a security policy

Publications (1)

Publication Number Publication Date
EP1371035A1 true EP1371035A1 (en) 2003-12-17

Family

ID=8861128

Family Applications (1)

Application Number Title Priority Date Filing Date
EP02713020A Ceased EP1371035A1 (en) 2001-03-13 2002-03-08 Verification of access compliance of subjects with objects in a data processing system with a security policy

Country Status (5)

Country Link
US (1) US20040172370A1 (en)
EP (1) EP1371035A1 (en)
CN (1) CN1507608B (en)
FR (1) FR2822256B1 (en)
WO (1) WO2002073552A1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040139021A1 (en) 2002-10-07 2004-07-15 Visa International Service Association Method and system for facilitating data access and management on a secure token
DE60329162C5 (en) * 2003-03-03 2016-08-11 Nokia Technologies Oy Security element control method and mobile terminal
EP1622009A1 (en) * 2004-07-27 2006-02-01 Texas Instruments Incorporated JSM architecture and systems
US20060047826A1 (en) * 2004-08-25 2006-03-02 International Business Machines Corp. Client computer self health check
EP1927956A1 (en) * 2006-11-30 2008-06-04 Incard SA Multi-applications IC Card with secure management of applications
US8881240B1 (en) * 2010-12-06 2014-11-04 Adobe Systems Incorporated Method and apparatus for automatically administrating access rights for confidential information
CN108073801A (en) * 2016-11-10 2018-05-25 北京国双科技有限公司 Right management method and device
FR3077150B1 (en) * 2018-01-23 2020-11-20 Idemia France METHOD OF CHECKING THE RULES OF DEPENDENCY OF OBJECTS UPDATED IN A MICROCIRCUIT, AND CORRESPONDING DEVICE

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5220604A (en) * 1990-09-28 1993-06-15 Digital Equipment Corporation Method for performing group exclusion in hierarchical group structures
FR2673476B1 (en) * 1991-01-18 1996-04-12 Gemplus Card Int SECURE METHOD FOR LOADING MULTIPLE APPLICATIONS INTO A MICROPROCESSOR MEMORY CARD.
FR2687816B1 (en) * 1992-02-24 1994-04-08 Gemplus Card International METHOD FOR PERSONALIZING A CHIP CARD.
FR2748834B1 (en) * 1996-05-17 1999-02-12 Gemplus Card Int COMMUNICATION SYSTEM ALLOWING SECURE AND INDEPENDENT MANAGEMENT OF A PLURALITY OF APPLICATIONS BY EACH USER CARD, USER CARD AND CORRESPONDING MANAGEMENT METHOD
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US6779113B1 (en) * 1999-11-05 2004-08-17 Microsoft Corporation Integrated circuit card with situation dependent identity authentication
US7225460B2 (en) * 2000-05-09 2007-05-29 International Business Machine Corporation Enterprise privacy manager
US7114168B1 (en) * 2000-09-29 2006-09-26 Intel Corporation Method and apparatus for determining scope of content domain

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DREYER L C J ET AL: "A workbench for privacy policies", COMPUTER SOFTWARE AND APPLICATIONS CONFERENCE, 1998. COMPSAC '98. PROC EEDINGS. THE TWENTY-SECOND ANNUAL INTERNATIONAL VIENNA, AUSTRIA 19-21 AUG. 1998, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 19 August 1998 (1998-08-19), pages 350 - 355, XP010305456, ISBN: 978-0-8186-8585-9, DOI: 10.1109/CMPSAC.1998.716679 *

Also Published As

Publication number Publication date
US20040172370A1 (en) 2004-09-02
FR2822256B1 (en) 2003-05-30
CN1507608A (en) 2004-06-23
CN1507608B (en) 2010-04-28
FR2822256A1 (en) 2002-09-20
WO2002073552A1 (en) 2002-09-19

Similar Documents

Publication Publication Date Title
EP1766588B1 (en) Security module component
FR2748834A1 (en) COMMUNICATION SYSTEM ALLOWING SECURE AND INDEPENDENT MANAGEMENT OF A PLURALITY OF APPLICATIONS BY EACH USER CARD, USER CARD AND CORRESPONDING MANAGEMENT METHOD
FR2800480A1 (en) Security system for protection of files in smart cards, uses rules sets for file access to maintain both confidentiality and integrity of data by controlling access and file operations
FR2686170A1 (en) MEMORY CARD FOR MICROCOMPUTER.
CN100377024C (en) Method and system for acquiring resource usage log and computer product
EP1371035A1 (en) Verification of access compliance of subjects with objects in a data processing system with a security policy
FR2820848A1 (en) DYNAMIC MANAGEMENT OF LIST OF ACCESS RIGHTS IN A PORTABLE ELECTRONIC OBJECT
CN114244598B (en) Intranet data access control method, device, equipment and storage medium
WO2002005511A1 (en) Security module
FR2833374A1 (en) METHOD AND DEVICE FOR CONTROLLING ACCESS IN AN ONBOARD SYSTEM
CN111245620B (en) Mobile security application architecture in terminal and construction method thereof
EP1368716B1 (en) Anti-cloning method
FR2757972A1 (en) METHOD FOR SECURING A SECURITY MODULE, AND RELATED SECURITY MODULE
EP2336938B1 (en) Method for controlling access to a contactless interface in an integrated circuit with double communication interface, with and without contact
CA2324303A1 (en) Chip card reader telecommunication terminal
FR2923041A1 (en) METHOD OF OPENING SECURED TO THIRDS OF A MICROCIRCUIT CARD.
EP3336789B1 (en) Method for accessing shared data in a file tree structure managed by a file system using a legacy mechanism
EP1609326A2 (en) Method of protecting a mobile-telephone-type telecommunication terminal
EP3648491B1 (en) Multi-configuration secure element and associated method
FR3062501A1 (en) METHOD FOR SECURING ELECTRONIC OPERATION
FR2822257A1 (en) VERIFICATION OF THE CONSISTENCY OF CONDITIONS OF ACCESS OF SUBJECTS TO OBJECTS IN A DATA PROCESSING MEANS
EP2812864B1 (en) Payment system, payment terminal of said system, and associated payment method
EP2280380A1 (en) Method for customising an electronic entity, and electronic entity implementing this method
FR2789774A1 (en) Security module for secure comparison of an authentication code with one stored in memory has additional auxiliary registers in which randomly chosen data words are placed for use in authenticating the code in the main registers
WO2003065181A1 (en) Method for controlling the use of digital contents by means of a security module or a chipcard comprising said module

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20031013

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

RIN1 Information on inventor provided before grant (corrected)

Inventor name: PAULIAC, MIREILLE

Inventor name: BIDAN, CHRISTOPHE

17Q First examination report despatched

Effective date: 20061204

17Q First examination report despatched

Effective date: 20061204

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GEMALTO SA

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20130605