FR2885424A1 - Dispositif de traitement de donnees, terminal de telecommunications et procede de traitement de donnees au moyen d'un dispositif de traitement de donnees. - Google Patents
Dispositif de traitement de donnees, terminal de telecommunications et procede de traitement de donnees au moyen d'un dispositif de traitement de donnees. Download PDFInfo
- Publication number
- FR2885424A1 FR2885424A1 FR0513214A FR0513214A FR2885424A1 FR 2885424 A1 FR2885424 A1 FR 2885424A1 FR 0513214 A FR0513214 A FR 0513214A FR 0513214 A FR0513214 A FR 0513214A FR 2885424 A1 FR2885424 A1 FR 2885424A1
- Authority
- FR
- France
- Prior art keywords
- data
- processor
- processing device
- data processing
- data input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 title claims abstract description 106
- 238000003672 processing method Methods 0.000 title description 4
- 238000013479 data entry Methods 0.000 claims abstract description 43
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000008569 process Effects 0.000 claims abstract description 13
- 238000004590 computer program Methods 0.000 claims description 57
- 238000004891 communication Methods 0.000 claims description 26
- 238000004883 computer application Methods 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 5
- 230000002265 prevention Effects 0.000 claims description 2
- 230000000007 visual effect Effects 0.000 claims description 2
- 230000015654 memory Effects 0.000 description 49
- 230000002093 peripheral effect Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 13
- 230000004913 activation Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 7
- 238000012508 change request Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 241000283086 Equidae Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
Il est prévu une unité (103) d'entrée de données destinée à entrer des données ainsi qu'un premier processeur (101) et un deuxième processeur (102). Le premier processeur (101) est conçu pour recevoir et traiter des données qui sont entrées dans un premier mode d'entrée de données dans l'unité (103) d'entrée de données et le deuxième processeur (102) est conçu pour recevoir et traiter des données qui sont entrées dans l'unité (101) d'entrée de données dans un deuxième mode d'entrée de données de sécurité élevée.
Description
1 2885424 10
DISPOSITIF DE TRAITEMENT DE DONNEES, TERMINAL DE TELECOMMUNICATIONS ET PROCEDE DE TRAITEMENT DE DONNEES AU MOYEN D'UN DISPOSITIF DE TRAITEMENT DE DONNEES L'invention concerne un dispositif de traitement de données, un terminal de télécommunications ainsi qu'un procédé de traitement de données au moyen d'un dispositif de traitement de données.
Les aspects de sécurité, obtenus aussi bien dans des applications de réseau fixe que dans des applications mobiles, en particulier dans le cadre de la transmission de données et du traitement de données, d'une façon générale dans le cadre de la communication de données entre deux ou plusieurs terminaux de télécommunications, sont d'une importance croissante.
Il est de plus en plus important pour les utilisateurs d'un système de télécommunications de protéger leurs données personnelles sans mettre en danger leur sphère privée et le secret des données personnelles. De même, dans le cadre du commerce électronique, il est important de protéger de façon fiable les données et les biens commerciaux ainsi que leur information confidentielle et en particulier d'effectuer un accès à distance (Remote Access) de façon très sûre ainsi que de pouvoir réaliser des transactions commerciales électroniques de façon plus sûre.
De nombreuses tentatives de piratage d'ordinateurs ou de la communication entre ordinateurs reposent ou utilisent les points faibles qui sont inhérents en particulier à ce que l'on appelle des systèmes exploitation ouverts, notamment la possibilité dans un système d'exploitation ouverts de metre en uvre des programmes informatiques téléchargés (logiciel) sur un ordinateur respectif sur lequel est installé le système d'exploitation ouverts. Cela met notamment en danger des appareils, doté d'un tel ordinateur, qui disposent d'une interface hertzienne et dans lesquels est installé un système d'exploitation ouvert, comme par exemple un système d'exploitation Linux, un système d'exploitation Unix, un système d'exploitation Symbian, un système d'exploitation Windows ou une plateforme Java.
Étant donné que des programmes informatiques malveillants, c'est-à-dire qui provoquent des dommages, (également désignés par la suite par programmes informatiques nuisibles), comme par exemple des virus informatiques, des vers informatiques ou des chevaux de Troie, qui ont le pouvoir de se propager très rapidement dans un réseau de télécommunications, il est extrêmement important de prendre des mesures appropriées contre de telles menaces.
Dans de nombreux programmes d'application informatiques dans lesquels des transactions électroniques financières sont prévues entre un ou plusieurs utilisateurs, il est courant de demander les données d'authentification d'un utilisateur, par exemple ce que l'on appelle le code PIN (Personal Identification Number-Code), en d'autres termes une suite de nombres identifiant sans ambiguïté un utilisateur. Un exemple typique est un terminal de télécommunications de téléphonie mobile, par exemple un téléphone mobile GSM ou un téléphone mobile UMTS dans lequel l'utilisateur entre un code PIN dans le terminal de télécommunications et dans lequel le code entré est comparé à une valeur correspondante mémorisée sur une carte à puce (également désignée par Subscriber Identity 3 2885424 Module, SIM) et l'utilisateur n'accède aux fonctions du terminal de télécommunications de téléphonie mobile que lorsque le code entré concorde avec le code en mémoire. Dans d'autres programmes d'application informatiques, il peut être nécessaire de disposer de ce que l'on appelle un WIM (Wireless Identity Module) pour effectuer des operations cryptographiques en utilisant des clés cryptographiques secrètes.
Dès qu'ils s'agit de mettre en oeuvre un programme informatique, dont la sécurité est importante, au moyen d'un processeur, en d'autres termes d'un ordinateur, il est très important de garantir qu'aucun programme informatique nuisible, qui capte par exemple des données dans le cadre de la procédure d'authentification, d'une façon générale dans le cadre d'un service de sécurité affecté, n'est mis en uvre sur la plate-forme, c'està-dire par le processeur. Si on ne peut le garantir, les données d'identification captées peuvent alors être utilisées au moyen du programme informatique nuisible dans le cadre de transactions financières électroniques non souhaitées et interdites sans que l'utilisateur, autorisé en fait à n'effectuer que des transactions en utilisant les données d'identification, en est connaissance.
D'une façon générale, le problème décrit ci-dessus peut 25 être formulé de la façon suivante.
Comment une procédure d'authentification sûr peut-elle être obtenue dans un système à plusieurs processeurs dans lequel un système exploitation ouvert est installé dans au moins l'un des processeurs.
On connaît différentes solutions dans l'état de la technique.
D'une part, pour sécuriser l'authentification, il est prévu une politique de sécurité d'installation de logiciels permettant de réduire la probabilité de télécharger des programmes informatiques nuisibles. Cette solution repose 4 2885424 habituellement sur l'utilisation de ce que l'on appelle des certificats de programme informatique. Seuls des programmes informatiques présentant une signature numérique correcte (programmes d'application informatiques) peuvent être installés sur le système et être mis en uvre par le processeur respectif. Cela signifie que le système doit être en mesure de vérifier la signature numérique du programme informatique respectif et de vérifier la validité du certificat de logiciel associé au programme informatique.
L'inconvénient de ce mode opératoire est en particulier la complexité du modèle de sécurité utilisé. Un grand nombre d'entités différentes, que l'utilisateur ne peut pas percevoir, participent au processus de certification. Cela peut avoir finalement pour conséquence que l'utilisateur est dépassé en ce qui concerne la décision de se fier ou non à un certificat de logiciel respectif et donc à un programme informatique respectif.
Dans une autre solution, pour sécuriser un ordinateur contre des programmes informatiques nuisibles, on utilise ce que l'on appelle des logiciels antivirus, c'est-à-dire que l'on utilise des programmes informatiques qui détectent des programmes informatiques nuisibles et qui prennent des mesures appropriées pour lutter contre le programme informatique nuisible. Dans cette conception, on cherche à détecter et supprimer les programmes informatiques nuisibles qui ont déjà été téléchargés sur le système. Cette approche présente en particulier l'inconvénient que l'on ne peut s'attaquer qu'à des risques connus et donc à des programmes informatiques nuisibles connus. Dans le cas de programmes informatiques nuisibles qui ne sont pas encore connus du programme informatique antivirus, le système sur lequel le programme informatique antivirus est installé n'est pas protégé contre le risque venant du programme informatique nuisible tant que l'on n'a pas effectué une actualisation appropriée du programme informatique antivirus dans laquelle sont par 2885424 exemple contenues les nouvelles signatures du programme informatique nuisible et qui permet donc de détecter ce programme informatique nuisible puis de prendre des mesures appropriées.
En résumé, selon les deux solutions décrites ci-dessus, il est tout simplement impossible de garantir que des logiciels téléchargés sur un ordinateur ne compromettent pas la sécurité du système informatique.
Le document [1] enseigne une extension, désignée par Trust Zone , de la sécurité de l'architecture ARMV6 d'un microprocesseur de ARM. Dans ce document, ainsi que dans le document [4], il est décrit que, dans le cas d'un processeur individuel, celui-ci passe d'un mode d'exploitation de fable sécurité à un mode d'exploitation de sécurité élevée; dans le mode d'exploitation de sécurité élevée, des données, par exemple des mots de passe, peuvent être entrées, traitées et présentées sous une forme plus sûre. Dans les documents [1] et [4], un grand nombre d'instructions sont nécessaires pour passer dans le mode d'exploitation de sécurité élevée ou pour quitter celui-ci. Cela entraîne des limitations de la vitesse de traitement de données du système informatique respectif. En outre, dans ces approches, il est nécessaire de prévoir des mesures spéciales, par exemple la désactivation d'interruptions non fiables dans le microprocesseur de sorte que l'on ne peut pas quitter le mode d'exploitation de sécurité élevée pendant l'entrée ou le traitement des données de sécurité élevée. En ce qui concerne l'entrée de mots de passe ou d'autres données de sécurité élevée, il est nécessaire de garantir qu'un programme d'application informatique reconnaisse les touches pressées ou puisse accéder à celles-ci ou puisse manipuler la présentation des données entrées pour inciter l'utilisateur à entrer son mot de passe comme c'est le cas avec un cheval de Troie. Pour cette raison, il est nécessaire d'utiliser totalement dans le mode d'exploitation de sécurité élevée une unité d'entrée de 6 2885424 données ainsi qu'une unité de présentation de données pour garantir l'entrée ou la sortie sûre de données. Le mélange de données non fiables et de données de sécurité élevée sur la même unité de présentation, en particulier sur le même écran, n'est pas possible selon les documents [1] et [4]. Il n'est donc possible que de façon limitée, en ce qui concerne le programme d'application informatique dans le cadre de la présentation des données entrées, de procurer à l'utilisateur un sentiment d'utilisation Look and Feel lors de l'entrée des données de sécurité élevée dans un système informatique. En outre, selon ces approches, il n'est possible qu'avec une très grande difficulté et une très importante dépense technique, de développer un Interrupt-Handling approprié pour le microprocesseur de sorte que des tâches critiques en réel ne sont pas bloquées dans leur réalisation par exemple par une entrée de données faite par un utilisateur. Pour cette raison, il ne suffit pas de disposer simplement d'un mode d'exploitation de sécurité élevée mais il est nécessaire d'améliorer les capacités des appareils périphériques à entrer et délivrer des données dans un système informatique.
Pour sécuriser un ordinateur personnel tout en conservant son ouverture et sa flexibilité, on a créé le Trusted Computing Group (TCG). Le Trusted Computing Group s'intéresse à la spécification de domaines importants d'une solution de sécurité globale, notamment un Harware- Computerchip désigné par Trusted Platform Module (TMP), comme décrit dans le document [2]. Le Trusted Platform Module est un dispositif Harware permettant de disposer d'un lieu plus sûr, du point de vue cryptographique, pour mémoriser des informations et de disposer en outre d'un ensemble d'opérations cryptographiques qui sont réalisées dans un environnement de sécurité élevée et de mémoriser et informer en outre des métriques d'intégrité. Un Trusted Platform Module n'est qu'une partie de la solution de sécurité globale d'un système informatique. Les claviers et unités de présentation 7 2885424 de graphiques fiables actuels ainsi que des processeurs présentant des caractéristiques de sécurité améliorées et des jeux de circuits correspondants n'appartient pas à leurs centres d'intérêt. En outre, il faut mentionner qae le Trusted Computing Group s'intéresse à la spécification d'un Trusted Platform Module pour ordinateur personnel. Cependant, depuis quelques temps, le Trusted Computing Group commence également à définir des Trusted Platform Modules pour terminaux de télécommunications, pour ordinateurs portables et pour serveurs informatiques, comme il ressort par exemple du document [3].
Le document [4] enseigne en outre une indication d'un mode d'exploitation de sécurité élevée permettant d'informer l'utilisateur du système informatique du fait que l'ordinateur se trouve dans un mode d'exploitation de sécurité élevée. L'indication de sécurité est réalisée par une diode luminescente qui peut éventuellement ne pas être remarqué par un utilisateur.
Le document [5] décrit un système de mise à disposition d'une interface utilisateur fiable. Dans ce système, il est prévu un processeur de présentation de données fiable; le processeur et une mémoire fiables sont séparés physiquement et fonctionnellement du processeur et de la mémoire du système informatique proprement dit.
En outre, une console de jeu assistée par ordinateur est enseignée dans le document [6] dans lequel un contrôleur de sécurité met en oeuvre un programme informatique de jeux et transmet un flux d'instructions de présentation de données à un moteur de présentation de données qui réalise ensuite de son côté la représentation vidéo du jeu au moyen d'un signal de sortie vidéo. Le signal de sortie vidéo est transmis à un multiplexeur vidéo à l'intérieur du contrôleur de sécurité. Le multiplexeur vidéo choisit entre la sortie vidéo de jeu et une sortie vidéo de mode d'exploitation d'audit sous le contrôle d'une fonction de sélection de sorties. La fonction de 8 2885424 sélection de sorties est commandée par le contrôleur de sécurité. Cependant, dans le document [6], il n'est pas possible de diviser la sortie vidéo en différents domaines dans le cadre de la présentation de données, c'est-à-dire de la sortie vidéo délivrée à un utilisateur; les flux de données divisés peuvent être commandés par différentes sources.
Le document [7] décrit un dispositif d'entrée sûre de données au moyen d'un clavier en utilisant une interface utilisateur graphique; l'utilisateur entre un code de sécurité en déplaçant un curseur et en choisissant des caractères ou des symboles sur une présentation d'interface utilisateur graphique au moyen d'une souris, d'un écran interactif ou d'autres dispositifs appropriés. A chaque nouveau choix, les symboles et les caractères de l'interface utilisateur graphique sont re-disposés sur les écrans de sorte que l'entrée du code de sécurité ne peut pas être reconstruit même dans le cas où le déplacement du curseur sur l'écran est détecté par un utilisateur lors d'une entrée du code de sécurité.
Dans le système décrit dans le document [8], une unité d'entrée de données fiable est couplée à un coprocesseur et un clavier non fiable comporte une présentation d'information de sécurité pour indiquer un mode d'exploitation de sécurité élevée.
Le document [9] décrit un procédé d'entrée d'un mot de passe dans un terminal de télécommunications de téléphonie mobile. Dans ce procédé, on recherche dans une table de caractères de mot de passe des caractères déterminés qui correspondent à un nombre choisi d'éléments d'une touche de caractère spécifique.
Le document [10] décrit un agencement de clavier d'ordinateur comportant une interface de carte à puce et un contrôleur de carte à puce et de clavier; les signaux générés 9 2885424 par le clavier sont transmis par le contrôleur à un ordinateur personnel ou à une interface de carte à puce.
Le but de l'invention est de proposer une entrée sûre de données dans un dispositif de traitement de données.
Un dispositif de traitement de données suivant l'invention comporte une unité d'entrée de données destinée à entrer des données dans le dispositif de traitement de données. En outre, un premier processeur et un deuxième processeur sont prévus dans le dispositif de traitement de données. Le premier processeur est conçu de façon à recevoir et traiter dans un premier mode d'entrée de données, avantageusement de faible sécurité, les données entrées dans l'unité d'entrée de données. Le deuxième processeur est conçu de façon à recevoir et traiter dans un deuxième mode d'entrée de données de sécurité élevée les données entrées dans l'unité d'entrée de données.
Un terminal de télécommunications suivant l'invention comporte un dispositif de traitement de données décrit ci-dessus.
En outre, dans le cas d'un procédé de traitement de données suivant l'invention au moyen d'une unité d'entrée de données, les données sont entrées dans le dispositif de traitement de données. Les données entrées dans l'unité d'entrée de données sont reçues et traitées par un premier processeur dans un premier mode d'entrée de données, avantageusement de faible sécurité. Les données entrées dans l'unité d'entrée de données sont reçues par un deuxième processeur dans un deuxième mode d'entrée de données de sécurité élevée.
Contrairement au mode opératoire décrit ci-dessus de l'état de la technique, le but de l'invention n'est pas de détecter dans un environnement de système d'exploitation ouvert des programmes informatiques et des composants informatiques nuisibles, qui peuvent capter des données 2885424 entrées confidentielles, et de les supprimer d'un système informatique.
Contrairement à l'état de la technique, un aspect de l'invention repose concrètement sur le fait que l'entrée de données confidentielles et donc sensibles dans le système, c'est-à-dire dans le dispositif de traitement de données, est commandée par une instance fiable à l'intérieur du dispositif de traitement de données, avantageusement par le deuxième processeur. Étant donné que des programmes informatiques exclusivement fiables sont mis en oeuvre par le deuxième processeur, pour cette raison le deuxième processeur est également appelé processeur Trusted Core , l'implémentation selon l'invention permet de garantir que seuls des programmes informatiques fiables, c'est-à-dire que seuls des logiciels fiables qui sont utilisés pour la manipulation et le traitement de données confidentielles, peuvent être mis en uvre par le deuxième processeur.
En ce qui concerne l'utilisation générale de certificats de logiciels, la solution selon l'invention se caractérise par le fait que l'on a trouvé que seule une petite partie de programmes informatiques présente une sécurité importante de sorte que seule cette petite partie doit être protégée par des certificats correspondants ou d'autres moyens de sécurité, par exemple par le fait que le deuxième processeur a mémorisé, dans une mémoire accessible par lui seul, un petit nombre limité de programmes informatiques qu'il met en oeuvre; ces programmes informatiques réalisent et délivrent des services de sécurité élevée, comme expliqué plus en détail dans la suite. Il est ainsi garanti que seuls des logiciels présentant une intégrité de données prouvée et fiable sont mis en uvre par le deuxième processeur.
Concrètement, dans un aspect de l'invention, un mécanisme fiable d'entrée sûre de données de sécurité élevée, c'est-à- dire confidentielles, comme par exemple un code FIN ou un mot de passe, etc., est fourni à un utilisateur du système; ce 11 2885424 mécanisme est protégé contre le piratage dans un système d'exploitation ouvert, c'est-à-dire dans un environnement informatique ouvert. On dispose de moyens qui définissent et fournissent un fonctionnement du dispositif de traitement de données dans un mode d'exploitation de sécurité élevée (deuxième mode d'exploitation de données de sécurité élevée) et un mode d'exploitation de faible sécurité (premier mode d'entrée de données).
Le dispositif de traitement de données comporte de 10 préférence les composants suivants: - une unité d'entrée de données, par exemple un clavier, qui est associée dans le mode de fonctionnement normal (premier mode d'entrée de données) au premier processeur, de préférence conformé en processeur d'application, et qui est associée, c'est-à-dire affectée, temporairement au deuxième processeur (Trusted Core) à l'intérieur du dispositif de traitement de données.
- en variante, l'unité d'entrée de données peut transmettre dans le mode de fonctionnement normal le symbole entré (par exemple le symbole de données associé à la touche pressée) directement au processeur d'application. Après activation sur demande du deuxième processeur pour recevoir une entrée de données, l'unité d'entrée de données ne transmet pas les données à une entrée de données, comme dans le mode de fonctionnement normal, directement au processeur d'application, mais transmet, avantageusement pour chaque touche pressée, c'est-à-dire pour chaque symbole de données entré, un symbole de donnée/de caractère prédéterminé réglable, par exemple un symbole * à la place du symbole de données ou caractère réellement entré, au processeur d'application qui le délivre par exemple dans une zone d'entrée PIN dans un masque d'entrée qui est fourni par le processeur d'application et/ou le deuxième processeur à une interface utilisateur graphique. Dans ce cas, il est de préférence prévu que des touches de commande prédéterminées, 12 2885424 par exemple une touche de suppression, soient en outre transmises dans leur fonctionnalité au processeur d'application. Les données entrées, c'est-à-dire plus précisément chaque caractère ou symbole de données entré, sont accumulées, c'est-à-dire collectées, dans une mémoire ou dans une partie d'une mémoire; seul le deuxième processeur peut écrire ou lire dans cette mémoire ou la partie de la mémoire, c'est-à-dire que seul le deuxième processeur a accès à cette mémoire ou partie de la mémoire. À la fin de l'entrée des données confidentielles, la suite de données entrées est traitée par le deuxième processeur, par exemple comparée à une valeur correspondante ou à une pluralité de valeurs correspondantes dans un tableau de comparaison; la valeur ou les valeurs peuvent être mémorisées en texte clair ou même sous forme codée par exemple sur une carte à puce ou dans une mémoire flash. Si les données de comparaison sont mémorisées sous forme codée, le deuxième processeur a alors accès à une clef cryptographique correspondante, appropriée au décodage, et à un procédé de décodage. En ce qui concerne ces étapes de programme décrites ci- dessus, le mode d'interruption normale du microprocesseur est désactivé de façon à garantir que seul le service de sécurité fourni pour l'entrée de données confidentielles ne peut pas être interrompu et cette entrée de données est donc concrètement blindée . D'une façon générale, le service de sécurité, fourni à chaque fois, est ainsi blindé .
- Le deuxième processeur indique avantageusement sur une unité de présentation de données que le dispositif de traitement de données se trouve dans le deuxième mode d'entrée de données, par exemple visuellement (avantageusement au moyen d'une diode luminescente, par rétroéclairement des touches, etc. ou au moyen d'un symbole représenté sur l'unité de présentation de données (cachet)) ou par présentation d'une information audio (de préférence un signal d'alarme ou une suite de sons identifiant sans ambiguïté le deuxième mode 13 2885424 d'entrée de données) ; il est garanti que l'unité de présentation de données peut être commandée (graphiquement ou par la délivrance d'une information audio) seulement par le deuxième processeur et non par le premier processeur, c'est-à- dire non par le processeur d'application. Ainsi, l'utilisateur dispose, de façon simple et fiable, de l'information selon laquelle le dispositif de traitement de données se trouve dans le deuxième mode d'entrée de données et donc l'utilisateur peut également procéder sans réfléchir à l'entrée de données fiables ou confidentielles.
L'unité d'entrée de données peut être l'une des unités d'entrée de données suivantes.
- un clavier; - une interface de communication de données; - un bloc à effleurement (Touchpad) ; - une unité de présentation à effleurement (Touch-Screen) ; - une souris; ou - un microphone incluant une unité de reconnaissance vocale, par exemple une unité de reconnaissance vocale monolocuteur et/ou une unité de reconnaissance vocale multilocuteur.
Cela signifie que l'invention est appropriée à tout type d'entrée de données, que ce soit directement au niveau du dispositif de traitement de données ou bien par l'intermédiaire d'un réseau de télécommunications (réseau de télécommunications fixe ou réseau de télécommunications par téléphonie mobile). Dès qu'il faut protéger l'entrée de données de sécurité élevée, le dispositif de traitement de données destiné à recevoir et traiter les données confidentielles entrées commute sur le deuxième processeur qui est sécurisé et qui est destiné de façon appropriée au traitement fiable des données entrées.
Le premier processeur est avantageusement un processeur 35 d'application qui est destiné à mettre en uvre des programmes 14 2885424 d'application informatiques dans un système d'exploitation ouvert; un système d'exploitation ouvert est en ce sens un système d'exploitation qui comporte de préférence au moins une interface de communication extérieure au système d'exploitation et donc sensibles aux attaques extérieures, par exemple par un virus informatique, un cheval de Troie, un ver informatique ou, d'une façon générale, des programmes informatiques nuisibles.
Des exemples de système d'exploitation ouvert sont le système d'exploitation Windows, le système d'exploitation Linux, le système d'exploitation Unix, le système d'exploitation Symbian ou une plate-forme Java.
Dans une autre conformation de l'invention, il est prévu de conformer le deuxième processeur en ce que l'on appelle un processeur Trusted Core. Le deuxième processeur est ainsi concrètement conçu de façon à ne pouvoir mettre en oeuvre qu'un ou plusieurs programmes informatiques fiables. Ceci peut par exemple être réalisé en mémorisant, seulement chez le fabricant, une quantité déterminée de procédures réalisant un nombre prédéterminé de services de sécurité, sous la forme de programmes informatiques dans une mémoire accessible seulement par le deuxième processeur ou en vérifiant des certificats de logiciel qui sont appliqués au service de sécurité à réaliser à chaque fois, c'est-à-dire les certificats de logiciels associés aux programmes informatiques respectifs réalisant des services de sécurité, avec le deuxième processeur avant la mise en oeuvre respective et, en cas de vérification avec succès des certificats de logiciels, en mettant en oeuvre le programme avec le deuxième processeur.
Un programme informatique fiable est avantageusement un programme informatique dont l'intégrité est sécurisee, avantageusement dont l'intégrité est sécurisée par des moyens cryptographiques, lequel programme informatique réalise en particulier au moins un service de sécurité élevée de 2885424 préférence au moins un service cryptographique de sécurité élevée.
Le deuxième processeur est, en particulier dans la conformation du dispositif de traitement de données en terminal de télécommunications, notamment en terminal de télécommunications de téléphonie mobile, un processeur de signaux numériques qui est destiné à réaliser un ou plusieurs services de sécurité respectifs.
De préférence, le deuxième processeur est un microcontrôleur, par exemple dans le cas où plusieurs microcontrôleurs et éventuellement un processeur de signaux numériques supplémentaire, sont prévus dans le dispositif de traitement de données, c'est-à-dire par exemple un microcontrôleur pour applications, un microcontrôleur pour services fiables (Trusted Services), pour services par modem ou qu'un processeur de signaux numériques pourservice critiques en temps réel, notamment dans le cadre du traitement de signaux numériques.
A cet égard, il faut mentionner que l'on doit garantir que les opérations effectuées par le deuxième processeur fiable, c'est-à-dire trusted , ne doivent pas nuire au premier processeur (non fiable, c'est-à-dire untrusted ). Ceci peut être obtenu par exemple au moyen d'une mémoire principale dédiée aux deux processeurs ou, lorsque l'on utilise une mémoire principale commune, en employant un contrôleur de mémoire qui est commandé par le deuxième processeur trusted et qui peut attribuer des droits d'accès explicites à des zones d'adresse déterminées.
De préférence, le service de sécurité cryptographique est fourni en utilisant au moins une clé cryptographique, par exemple en utilisant au moins une clé cryptographique secrète (privée) et au moins une clé cryptographique publique.
En d'autres termes, cela signifie que le service de sécurité cryptographique peut être réalisé aussi bien en 16 2885424 utilisant un mécanisme de clé symétrique qu'un mécanisme de clé asymétrique dans le service de sécurité respectif.
Il est prévu comme service de sécurité cryptographique au moins l'un des services de sécurité suivant.
- une signature numérique; et/ou - un cachet numérique; et/ou -une authentification; et/ou - un codage de données; et/ou - un contrôle d'entrée; et/ou - un contrôle d'accès; et/ou - l'empêchement d'analyses de trafic dans le cadre d'une communication de données; et/ou - un procédé Hash.
Théoriquement, chaque service sécurité cryptographique, en particulier une entrée d'information de sécurité élevée et donc confidentielle de la part d'un utilisateur dans le dispositif de traitement de données au moyen de l'unité d'entrée de données, peut être réalisé sous la forme d'un programme informatique qui est mis en uvre par le deuxième processeur.
De cette façon, notamment en raison de la capacité de programmation du deuxième processeur, une capacité d'extension très flexible du dispositif de traitement de données concernant sa capacité d'utilisation cryptographique est réalisée tout en garantissant la sécurité de l'entrée de données par l'utilisateur.
Dans une autre conformation de l'invention, il est prévu une unité de présentation de données destinée à présenter au moins une partie des données entrées à un utilisateur.
De cette façon, l'utilisateur a en particulier un sentiment d'utilisation Look and Feel lors de l'entrée de données de sécurité élevée ou de données de faible sécurité dans le dispositif de traitement de données.
De préférence, le dispositif de traitement de données est 35 conçu de telle sorte que, dans le deuxième mode d'entrée de 17 2885424 données, le deuxième processeur reçoit les données entrées et transmet des données différentes des données d'entrée, de préférence avec le même nombre de symboles de donnée, au premier processeur et à l'unité de présentation de données. De cette façon, la capacité d'utilisation et notamment le sentiment d'utilisation Look and Feel pour l'utilisateur sont davantage améliorés car l'utilisateur est immédiatement informé de façon illustrée pour chaque entrée effectuée, par exemple pour chaque touche pressée, par un reçu, c'est-à-dire par une confirmation concernant l'entrée effectuée, même s'il n'est pas informé de façon illustre sur l'entrée qu'il a effectivement effectuée, c'est-à-dire par exemple sur la touche qu'il a effectivement appuyée.
Le dispositif de traitement de données est de préférence conçu de telle sorte que les données transmises par le deuxième processeur au premier processeur et/ou à l'unité de présentation de données est une suite de symboles de données prédéterminés, en particulier une suite d'un symbole de données prédéterminé, le nombre des symboles de données est égal au nombre des symboles de données des données entrées.
En outre, le deuxième processeur peut être conçu de façon à transmettre, dans le deuxième mode d'entrée de données, une information d'indication de mode de sécurité dans le premier processeur et/ou l'unité de présentation de données. En conséquence, l'utilisateur dispose de façon simple et fiable de l'information selon laquelle il peut entrer sans risque une information confidentielle au moyen de l'unité d'entrée de données dans le dispositif de traitement de données.
L'information d'indication de mode de sécurité est de 30 préférence une information visuelle et/ou une information auditive.
En outre, il peut être prévu une unité de communication de processus destinée à établir la communication entre le premier processeur et le deuxième processeur dans le cadre de la transmission de la commande de l'unité d'entrée de données du 18 2885424 premier processeur au deuxième processeur ou du deuxième processeur au premier processeur. En d'autres termes, cela signifie que, dans cette conformation de l'invention, la transmission de la commande de l'unité d'entrée de données ou de la réception et du traitement des données entrées est effectuée entre les deux processeurs au moyen d'une communication inter-processeurs.
Ce mode de réalisation présente en particulier l'avantage que, en raison de l'utilisation de mécanismes, connus en soi, de communication entre deux processeurs, la transmission de droits dans le cadre de l'entrée de données sûre peut être effectuée de façon simple et bon marché.
En outre, il peut être prévu une unité de gestion d'unité d'entrée de données, avantageusement conformée en programme 15 informatique, qui est conçue de telle sorte que - les données entrées dans le premier mode d'entrée de données sont transmises au premier processeur; et - les données entrées dans le deuxième mode d'entrée de données sont transmises au deuxième processeur.
Ainsi, dans cette conformation de l'invention, l'unité de gestion d'unité d'entrée de données représente une sorte d'aiguillage dans lequel il est décidé si les données entrées sont de type confidentiel et donc doivent être amenées au deuxième processeur ou bien si les données entrées ne sont pas à sécurité élevée, auquel cas les données sont transmises directement au premier processeur, avantageusement le processeur d'application.
L'unité de gestion d'unité d'entrée de données peut être conçue de telle sorte que des données différentes des données entrées dans le deuxième mode d'entrée de données sont transmises de préférence avec le même nombre de symboles de données au premier processeur et/ou à l'unité de présentation de données.
Dans cette conformation de l'invention, il est préféré que 35 les données transmises au premier processeur et/ou à l'unité 19 2885424 de présentation de données soient une suite de symboles de données prédéterminés, en particulier une suite, c'est à dire une pluralité d'un même symbole de données prédéterminé, le nombre de symboles de données étant égal au nombre de symboles de données des données entrées.
Dans une autre conformation de l'invention, le deuxième processeur est conformé en processeur de carte à puce, en d'autres termes le deuxième processeur est réalisé sur une carte à puce qui est mise en liaison de communication avec le premier processeur et l'unité d'entrée de données au moyen d'un lecteur de carte à puce qui est raccordé par exemple à un ordinateur personnel ou bien à un dispositif de télécommunications. De cette façon, même pour un ordinateur personnel courant, le processeur prévu sur une carte à puce utilise une entrée de données sûre en employant un lecteur de cartes à puce le plus souvent déjà existant, prévu en particulier dans le cadre d'une architecture de sécurité appropriée, pour garantir l'entrée de données sûre par exemple dans l'ordinateur personnel.
En particulier, dans le cas où le dispositif de traitement de données est conformé en terminal de télécommunications, notamment en terminal de télécommunications de téléphonie mobile, il est prévu dans une conformation de l'invention d'utiliser le processeur placé dans un module SIN[ (Subscriber Identity Module) comme deuxième processeur destiné à réaliser le service de sécurité à chaque fois prévu.
L'invention est particulièrement appropriée pour être utilisée dans le cadre de l'entrée d'un mot de passe ou d'un code PIN, c'est-à-dire d'une suite de symboles d'authentification qui est avantageusement connue d'un seul utilisateur, ou bien pour coder ou signer numériquement des données, par exemple pour coder ou signer numériquement un message électronique (Electronic Mail (Émail)) en utilisant un matériau cryptographique qui nécessite de la part de l'utilisateur d'effectuer une entrée sous la forme d'un code 2885424 PIN ou d'un mode passe. Le message électronique respectif peut être transmis à un récepteur au moyen d'un terminal de télécommunications, avantageusement par l'intermédiaire d'une interface aérienne, cependant il peut aussi être simplement mémorisé temporairement dans un système informatique lui-même dans un répertoire correspondant et, si l'utilisateur ou un autre utilisateur en a besoin, il peut être rappelé et le cas échéant décodé.
Des exemples de réalisation de l'invention sont expliqués 10 en détail dans la suite et sont représentés dans les figures dans lesquelles: la figure 1 représente un synoptique dans lequel est représentée l'architecture d'un dispositif de traitement de données selon un exemple de réalisation de l'invention; la figure 2 représente un schéma d'un terminal de télécommunications de téléphonie mobile selon un exemple de réalisation de l'invention; la figure 3 représente un schéma d'un terminal de télécommunications de téléphonie mobile selon un autre exemple 20 de réalisation de l'invention; la figure 4 représente un schéma d'un dispositif de traitement de données selon encore un autre exemple de réalisation de l'invention; la figure 5 représente un synoptique d'un autre dispositif 25 de traitement de données selon un autre exemple de réalisation de l'invention; la figure 6 représente un organigramme de messages dans lequel est représentée une variante de la commutation entre deux modes d'entrée de données; la figure 7 représente un organigramme dans lequel sont représentées des étapes opératoires individuelles destinées à fournir une entrée de données sûre dans le deuxième mode d'entrée de données selon un exemple de réalisation de l'invention; 21 2885424 la figure 8 représente un synoptique dans lequel est représentée une variante de réalisation d'un dispositif de traitement de données.
Des éléments similaires ou identiques portent dans les 5 figures éventuellement des références identiques.
La figure 2 représente un terminal de télécommunications de téléphonie mobile 200 qui est conçu pour la communication dans une norme de téléphonie mobile à base cellulaire, par exemple GSM, une norme 3GPP, par exemple UMTS, etc. Le terminal de télécommunications de téléphonie mobile 200 comporte un boîtier 201 dans lequel est montée une antenne 202 ainsi qu'un dispositif d'affichage (Display) 203, un haut-parleur 204, un microphone 205 ainsi que, dans une clavier de numérotation 206, un grand nombre de touches, dont des touches numérique ou des touches de symbole 207 destinées à entrer des chiffres, des symboles ou des lettres de façon connue en soi ainsi que des touches de fonction spéciales, telles qu'une touche d'établissement de liaison de communication 208 ainsi qu'une touche de fin de liaison de communication 209 destinées à établir ou terminer une liaison de télécommunications. En outre, il est prévu au moins une touche de fonction spéciale 210 à laquelle peuvent être associées des fonctions spéciales prédéterminées, par exemple l'appel d'un carnet d'adresses ou d'un annuaire mémorisé dans un terminal de télécommunications de téléphonie mobile 200.
En outre, le terminal de télécommunications de téléphonie mobile 200 contient une carte SIM (carte Subscriber Identity Module) 211 dans laquelle est mémorisé un élément identifiant sans ambiguïté un utilisateur, également désigné par User Identifier.
Le terminal de télécommunications de téléphonie mobile 200 comporte, comme expliqué en détail dans la suite, le processeur (non représenté), à savoir un premier processeur destiné à mettre en uvre des programmes d'application (également désigné dans la suite par processeur d'application) 22 2885424 ainsi qu'un processeur de signaux numériques (DSP) destiné à fournir en particulier les fonctions de l'interface physique, c'est-à-dire la fonctionnalité de la transmission de signaux hertziens, par exemple pour décoder des signaux de téléphonie mobile, etc. En outre, il est prévu une mémoire non représentée; les deux processeurs et la mémoire sont couplés l'un à l'autre par un bus informatique.
Dans une variante de conformation de l'invention, le terminal de télécommunications de téléphonie mobile 200 comporte un deuxième processeur conformé en microcontrôleur. En outre, dans ce mode de réalisation, il est encore prévu au moins un microcontrôleur supplémentaire et le cas échéant encore un processeur de signaux numériques supplémentaire. Les programmes d'application informatiques sont mis en oeuvre dans un microcontrôleur, les services fiables (Trusted Services) sont mis en oeuvre dans un autre microcontrôleur, le cas échéant en plus il est réalisé, c'est-à-dire fourni, des services de modem. En outre, il est encore prévu un processeur de signaux numériques pour services critiques en temps réel, en particulier dans le cadre du traitement de signaux numériques.
Si un utilisateur veut effectuer un appel après connexion du terminal de télécommunications de téléphonie mobile 200 auprès d'un réseau de communication de téléphonie mobile, l'utilisateur est prié par le terminal de télécommunications de téléphonie mobile 200 d'entrer un numéro d'identification personnelle (Personal Identification Number, PIN) au moyen du clavier 207. Dans ce cas, la fonction ou la procédure de sécurité élevée, décrite dans la suite, consiste à entrer un PIN dans le terminal de télécommunications de téléphonie mobile 200.
Le numéro d'identification personnel entré est comparé à l'identité de l'utilisateur (User IDentity, UID) en mémoire dans la carte SIM 211 et l'abonné est accepté par le réseau de communication de téléphonie mobile en tant qu'abonné autorisé 23 2885424 et est donc enregistré comme abonné autorisé auprès du réseau de communication de téléphonie mobile lorsque le numéro entré correspond à l'identité de l'utilisateur en mémoire dans la carte SIM 211.
Dans la suite, il est expliqué en détail la commutation selon l'invention entre les prépondérances de commande par les touches 207, 208, 209, 210, en particulier des touches numériques du clavier de numérotation 206 dans le cadre de la procédure d'appel.
La figure 3 décrit un terminal de télécommunications de téléphonie mobile 300 selon un deuxième exemple de réalisation de l'invention.
Le terminal de télécommunications de téléphonie mobile 300 a la même structure que le terminal de télécommunications de téléphonie mobile 200 du premier exemple de réalisation de l'invention, cependant avec la différence que le processeur de signaux numériques peut être omis facultativement et le deuxième processeur prévu dans le cadre de l'entrée de données de sécurité élevée du numéro d'identification personnel est contenu en tant que microprocesseur sur la carte SIM 301 qui comporte un microprocesseur 302 et une mémoire non volatile 303, tout comme la carte SIM 211 du premier exemple de réalisation ne comporte qu'une mémoire non volatile destinée à mémoriser l'identité de l'utilisateur.
Dans un troisième scénario d'application, il est représenté dans un synoptique 400 de la figure 4 un ordinateur personnel qui contient un processeur d'application (non représenté) ainsi qu'un ou plusieurs éléments de mémoire; le processeur et les mémoires sont couplés l'un à l'autre par un bus informatique ainsi que par des interfaces de communication externes et en outre une pluralité d'appareils périphériques, par exemple un clavier 402, une souris 403, un écran 404 servant d'unité de présentation de données ainsi qu'un lecteur de carte à puce 405 permettant de lire une carte à puce 406 et 24 2885424 donc l'information mémorisée dans la carte à puce et de transmettre celle-ci à l'ordinateur personnel 401.
Différents scénarios sont expliqués dans la suite en se référant au dispositif 400 représenté dans la figure 4.
- dans une première variante, le premier processeur est contenu dans l'ordinateur personnel 401 et le deuxième processeur est contenu dans le lecteur de carte à puce 405, les deux processeurs délivrant des services décrits dans la suite; - dans une variante de réalisation, la carte à puce 406 comporte un microprocesseur propre qui est utilisé comme deuxième processeur dans le cadre du procédé décrit dans la suite; - dans un autre mode de réalisation, deux processeurs sont 15 prévus dans l'ordinateur personnel 401.
- dans encore un autre mode de réalisation, il est prévu dans l'unité de présentation de données 404 un processeur qui est utilisé comme deuxième processeur dans le cadre de l'entrée sûre de données confidentielles.
Il faut mentionné que, selon le besoin, une ou plusieurs unités d'entrée de données, représentées dans la figure 4, peuvent être utilisées pour entrer des données de sécurité élevée dans l'ordinateur personnel 401 par une interface périphérique respective 407, 408, 409, 410.
Il faut mentionner que l'entrée de données peut être effectuée au moyen du clavier 402, de la souris 403, et du dispositif de données 404, le cas échéant conformé en écran à effleurement, ou du lecteur de carte à puce 405.
La figure 5 représente un autre agencement de dispositif 30 de traitement de données 500 dans un autre exemple de réalisation de l'invention.
Cet agencement 500 comprend un grand nombre d'ordinateurs clients 501, 502, 503, 504, 505 qui comportent chacun un clavier 506, 507, 508, 509, 510 et une souris (non représentée) utilisée comme unité d'entrée de données; les 2885424 ordinateurs clients 501, 502, 503, 504, 505 sont couplés à un ordinateur serveur 512 au moyen d'un réseau de télécommunications 511.
Dans ce cas, des données de sécurité élevée, en particulier des données d'authentification, sont transmises par le réseau de télécommunications, avantageusement l'Internet/Intranet 511 à l'ordinateur serveur 512 où elles sont utilisées dans le cadre de l'authentification d'un ordinateur clients 501 à 505. Dans ce cas, l'ordinateur serveur 512 comporte deux processeurs et l'unité d'entrée est l'interface entrée/sortie de l'ordinateur serveur 512 avec le réseau de télécommunications 511 car une suite de symboles de données est amenée à l'ordinateur serveur 512 par l'intermédiaire de cette interface.
Les modes opératoires décrits d'une façon générale dans la suite sont valables pour tous les scénarios d'application décrits ci-dessus; il suffit seulement qu'il y ait deux processeurs en communication l'un avec l'autre ou que les données entrées puissent être amenées éventuellement à l'un des deux processeurs prévus, au choix.
Comme décrit ci-dessus, l'unité d'entrée de données respective peut être un clavier, une interface de communication de données ou une interface entrée/sortie avec un réseau de communication ou un autre appareil périphérique du dispositif de traitement de données, un bloc à effleurement, une unité de présentation de données à effleurement, une souris ou microphone; des signaux vocaux, introduits dans le dispositif de traitement de données au moyen du microphone, sont convertis au moyen d'une unité de reconnaissance vocale en des symboles de données qui doivent être considérés comme les données entrées.
Ainsi, pour tous les scénarios d'application décrits ci-dessus et tous les agencements combinés à ces scénarios, on part de l'architecture de systèmes 100 représentée à titre d'exemple dans la figure 1.
26 2885424 La plupart des programmes d'applications informatiques, qui comportent également une interface utilisateur, par exemple l'interface entrée/sortie destinée à recevoir ou envoyer des données depuis respectivement à un appareil périphérique, sont mis en uvre par un processeur d'application 101 (premier processeur). Le processeur d'application 101 comporte un système d'exploitation ouvert, avantageusement un système d'exploitation Windows, en variante un système d'exploitation Linux, un système d'exploitation Unix, un système d'exploitation Symbian ou une plate-forme Java.
En outre, il est prévu un deuxième processeur 102 qui fonctionne dans un mode fiable (Truted Mode). Le deuxième processeur 102 est également désigné par processeur Trusted Core et fonctionne dans un environnement fiable protégé, avantageusement par des moyens cryptographiques, et est utilisé dans la suite pour fournir des services de sécurité élevée, en particulier des services de sécurité cryptographiques, en variante ou en complément également pour d'autres services, par exemple pour fournir des fonctions de l'interface physique dans le cadre d'une transmission de données, en particulier d'une transmission de données par téléphonie mobile. Dans le cas d'application dans lequel le dispositif de traitement de données est conformé en terminal de télécommunications de téléphonie mobile (cf. la figure 1 et la figure 2), ce terminal comporte habituellement deux processeurs, à savoir le processeur d'application et un processeur de signaux numériques (DSP).
Dans un premier mode d'exploitation (mode d'exploitation normal), le clavier 103, en général l'unité d'entrée de données, est associé au processeur d'application 101 et est commandé par celui-ci. Le processeur d'application 101 est donc responsable de la commande et du traitement des données 104, introduites au moyen d'un clavier 103, généralement une autre unité d'entrée de données décrite ci-dessus, au moyen 27 2885424 d'un bloc périphérique de clavier 105 qui est disposé avantageusement en commun avec le processeur d'application 101 et le deuxième processeur 102, couplés au moyen d'un bus de système 106, dans un circuit intégré de contrôleur de système commun 107.
Dans les scénarios d'application décrits ci-dessus dans lesquels le deuxième processeur 102 n'est pas prévu dans un circuit intégré 107 en commun avec le processeur d'application 101, les deux processeurs 101, 102 sont couplés l'un à l'autre par exemple au moyen d'un câble ou d'un autre type liaison de communication, par exemple une liaison de communication hertzienne.
Lorsque des données de sécurité élevée doivent être introduites par l'utilisateur dans le dispositif de traitement de données 100, par exemple dans le cadre d'une authentification d'un utilisateur, le contrôle de l'unité d'entrée de données, avantageusement le clavier 103, est alors transmis au deuxième processeur 102 jusqu'à ce que l'entrée des données confidentielles soit terminée. De cette façon, on peut obtenir que l'entrée de données confidentielles ne quitte pas l'environnement fiable du système 100.
Dans les modes de réalisation dans lesquels le dispositif de traitement de données est intégré dans un terminal de télécommunications de téléphonie mobile, les processeurs sont par exemple deux processeurs ARM926, en variante le processeur d'application est un processeur ARM11.
Dans la suite, il est représenté différentes variantes de réalisation d'un mode d'entrée de données de sécurité élevée à l'intérieur du dispositif de traitement de données.
Dans un premier mode de réalisation préféré, il est prévu une transmission explicite du contrôle de l'unité d'entrée de données, de préférence le clavier 103, du processeur d'application 101 au deuxième processeur fiable 102 et inversement de celui-ci au processeur d'application 101.
28 2885424 Dans ce cas, la détention, c'est-à-dire concrètement le contrôle de l'unité d'entrée de données, de préférence le clavier 103, est transmise du processeur d'application 101 au deuxième processeur 102 ou inversement ae celui-ci au processeur d'application 101 au moyen d'une communication inter-processeurs explicite.
Cela exige que les deux processeurs, par exemple aussi bien le processeur d'application 101 que le deuxième processeur 102, contiennent un programme informatique qu'ils puisses mettre en oeuvre et qui leur permet de déterminer qui détient effectivement en ce moment le contrôle de l'unité d'entrée de données 103, et un programme informatique qui réalise le transfert, en d'autres termes la transmission du contrôle de l'unité d'entrée de données 103 à l'autre processeur 101 respectivement 102.
Le processeur Trusted Core (deuxième processeur) 102 a, pour une durée limitée pendant le mode d'entrée de données de sécurité élevée, le contrôle de l'unité d'entrée de données 103 au moyen duquel les données de sécurité élevée, c'est-à- dire confidentielles, sont entrées dans le dispositif de traitement de données 100. Pendant ce temps, le processeur Trusted Core 102 active de préférence un dispositif d'indication d'entrée sûre permettant d'indiquer à un utilisateur que le dispositif de traitement de données 100 se trouve dans le deuxième mode d'entrée de données sûr. Différentes options de réalisation de l'indication du deuxième mode d'entrée de données, c'est-à-dire de sécurité élevée, sont expliquées en détail dans la suite.
À cet égard, il faut mentionner qu'il est souhaitable pour une indication fiable du deuxième mode d'entrée de données à l'utilisateur que, dans le cas où cette information est indiquée à l'utilisateur, le processeur d'application 101 ne puisse pas commander cette indication.
Dans un organigramme de message 600 de la figure 6, il est 35 représenté un exemple dans lequel un mot de passe est 29 2885424 introduit sous la forme d'une suite de symboles de données confidentielles dans le dispositif de traitement de données et qui est utilisé pour signer numériquement un fichier.
Dans le processus représenté dans l'organigramme 600, une activation implicite du deuxième mode d'entrée de données (Secure Input Mode) est déclenchée dans le processeur Trusted Core 102 par la réception d'un message de requête commandant de signer un fichier électronique.
Comme représenté dans la figure 6, un message de requête de signature 601 est généré dans cet exemple par le processeur d'application 101 et est transmis au deuxième processeur, c'est-à-dire le processeur Trusted Core 102, avantageusement sur le bus de système 106. Dans le message de requête de signature 601, il est indiqué le service de sécurité demandé, c'est-à-dire la réalisation des signatures numériques (Sign) 602 d'un fichier électronique ainsi que, comme paramètres du service demandé, le fichier électronique à signer numériquement (text) 603 et un élément d'identification de clé (key ID) 604.
À la réception du message de requête de signature 601, le processeur Trusted Core 102 demande à une mémoire non volatile 605, accessible par lui seul, un profil de clé privée 606 et vérifie le message de requête de signature 601 en utilisant le profil de clé privée lu 606 (étape 607).
Jusqu'à cet instant, le dispositif de traitement de données 100 se trouveencore dans le premier mode d'entrée de données, c'est-à-dire dans un mode d'entrée de données de faible sécurité, dans lequel le processeur d'application 101 a encore le contrôle de l'unité d'entrée de données 103.
Ceci est indiqué à l'utilisateur sur un écran au moyen d'une première indication de mode d'entrée de données 608, caractérisant le premier mode d'entrée de données.
Ensuite, le mode d'entrée de données du dispositif de traitement de données 100 passe dans le deuxième mode d'entrée 35 de données de sécurité élevée.
2885424 Dans une étape suivante, le processeur Trusted Core 102 envoie un premier message de requête de changement de mode 609 au processeur d'application 101; le changement de mode d'entrée de données du premier mode d'entrée de données dans le deuxième mode d'entrée de données est demandée par le processeur d'application 101 au moyen du premier message de requête de changement de mode 609.
Après réception du premier message de requête de changement de mode 609, le processeur d'application 1C1 libère le contrôle de l'unité d'entrée de données 103, en particulier du clavier 103 (étape 610).
La libération de la commande de clavier est transmise au processeur Trusted Core 102 par le processeur d'application 101 au moyen d'un premier message de confirmation de changement de mode 611.
À la réception du premier message de confirmation de changement de mode 611, le processeur Trusted Core 102 transmet le contrôle de l'unité d'entrée de données 103, en particulier du clavier 103 (étape 612).
Ensuite, le processeur Trusted Core 102 active l'indication de mode d'entrée de données et place celui-ci à une deuxième indication de mode d'entrée de données 614 permettant d'indiquer que le dispositif de traitement de données se trouve dans le deuxième mode d'entrée de données (étape 613). Cette activation est effectuée exclusivement en commandant le processeur Trusted Core 102, c'est-à-dire que le processeur d'application 101 n'a aucun accès aux indications de mode d'entrée de données 601, 614 ni aucune possibilité de commander ceux-ci.
Ensuite, le processeur Trusted Core 102 collecte les caractères ou les symboles de données qui sont été entrés successivement par l'utilisateur et qui représentent les données confidentielles entrées (étape 614). Par exemple, les symboles individuels du mot de passe demandé sont mémorisés provisoirement l'un après l'autre dans une mémoire non 31 2885424 volatile, par exemple dans la mémoire non volatile 605 du processeur Trusted Core 102.
Le mot de passe dans la mémoire non volatile doit être protégé contre tout accès de la part du premier processeur untrusted . Le processeur untrusted , c'est-à-dire le deuxième processeur, comporte pour cela une mémoire non volatile réservée et dédiée. De préférence, le mot de passe dans la mémoire non volatile est mémorisé de façon codée et ne peut être décodé qu'avec une clé que possède exclusivement le deuxième processeur, ce qui est par exemple garanti par un ou plusieurs composants matériels spéciaux. Cela signifie que seul le deuxième processeur a accès à la clé de décodage du mot de passe.
Dans une variante de réalisation ou en complément du mode de réalisation ci-dessus, pour augmenter l'efficacité de traitement, il est prévu d'effectuer la mémorisation intermédiaire de mot de passe dans une mémoire volatile. Pour cela, la mémoire volatile doit être protégée contre toute manipulation de la partie premier processeur untrusted .
En d'autres termes, cela signifie qu'il faut garantir que les opérations du deuxième processeur fiable, c'est-à-dire trusted , ne doivent pas être entravées par le premier processeur non fiable, c'est-à-dire trusted . Ceci peut être réalisé par exemple par des mémoires principales dédiées destinées aux deux processeurs ou, lorsque l'on utilise une mémoire principale commune, par l'emploi d'un contrôleur de mémoire qui est commandé par le deuxième processeur trusted et qui peut délivrer des droits d'accès explicites pour des zones d'adresse déterminées.
Dans une étape suivante (étape 615), le mot de passe lu est comparé par le processeur Trusted Core 102 au mot de passe secret 616 préalablement mémorisé dans la mémoire non volatile 605.
Si le mot de passe entré concorde avec le mot de passe 616 35 mémorisé dans la mémoire non volatile 605 et destiné à la clé 32 2885424 secrète de l'utilisateur, le processeur Trusted Core 102 lit ensuite dans la mémoire non volatile 605 la clé privée, c'est-à-dire secrète, 617 de l'utilisateur et signe le texte 603, indiqué dans le message de requête, en utilisant la clé secrète de l'utilisateur (étape 618).
Ensuite, le processeur Trusted Core 102 libère de nouveau le contrôle de l'unité d'entrée de données 103 (étape 619) et désactive la deuxième indication de mode de données 614 permettant d'indiquer le deuxième mode d'entrée de données de sorte que désormais le premier mode d'entrée de données destiné à entrer des données non confidentielles est indiqué à l'utilisateur au moyen de l'indication de mode de données 608 (étape 620).
Ensuite, le processeur Trusted Core 102 envoie un deuxième message de requête de changement de mode 621 au processeur d'application 601 et demande alors un nouveau changement de mode d'entrée de données, mais cette fois-ci du deuxième mode d'entrée de données de sécurité élevée au premier mode d'entrée de données, c'est-à-dire le mode de fonctionnement normal destiné à entrer des données non confidentielles dans le dispositif de traitement de données 100.
À la réception du deuxième message de requête de changement de mode 621, le processeur d'application 101 prend de nouveau en charge le contrôle de l'unité d'entrée de données 103 (622).
La fin du nouveau transfert du contrôle de l'unité d'entrée de données 103 est transmise par le processeur d'application 101 au processeur Trusted Core 102 au moyen du deuxième message de confirmation de changement de mode 623 indiquant que le deuxième mode d'entrée de données est terminé (symbolisé dans la figure 6 par la référence 624).
Ensuite, le processeur moyen 102 transmet au processeur d'application 101 le résultat du service de sécurité demandée, dans cet exemple la signature numérique 625 du fichier 33 2885424 électronique 6 103 indiqué dans le message de requête de signatures 601.
Dans une variante de réalisation, il est prévu que l'unité d'entrée de données, en particulier le clavier 103, soit utilisé de façon transparente pour le processeur d'application 101 aussi bien par le processeur d'application 101 qu'éventuellement par le processeur moyen 102.
Dans ce mode de réalisation, il n'est pas indiqué au processeur d'application 101 que l'unité d'entrée de données 103 est utilisées temporairement par le processeur moyen 102 dans le cadre du deuxième mode d'entrée de données. En d'autres termes, il n'est pas transmis au processeur d'application 101 qu'un transfert du mode d'entrée de données du premier mode d'entrée de données au deuxième mode d'entrée de données et inversement ses produits.
Pendant le deuxième mode d'entrée de données, c'est-à-dire tant que l'entrée des données confidentielles n'est pas terminée, un programme informatique de gestion de l'unité d'entrée de données, avantageusement un programme informatique de gestion de clavier qui est implémenté dans l'environnement sécurisé du processeur Trusted Core 102 et qui est mis en uvre par le processeur Trusted Core 102, permet de disposer du mécanisme suivant destiné à traiter et recevoir tout caractère ou symbole de données entré dans le dispositif de traitement de données au moyen de l'unité d'entrée de données 103, : 1. La liaison entre l'unité d'entrée de données 103 et le processeur d'application 101 est coupée ( disconnect ).
2. Dans le deuxième mode d'entrée de données (Secure 30 Input Mode) , on lit un symbole de données lu.
3. On écrit dans un registre périphérique de clavier prévu un symbole prédéterminé, avantageusement un symbole * , pour simuler l'entrée d'un symbole de données pour le processeur d'application 101.
34 2885424 La liaison entre l'unité d'entrée de données 103 et le processeur d'application 101 est rétablie ( ccnnect ).
Il faut mentionner que l'on utilise de préférence à l'étape 3 le bloc périphérique d'unité d'entrée de données 801, représenté dans la figure 8, de l'agencement 800.
La mise en oeuvre ci-dessus, et illustrée dans la suite conjointement avec la figure 7, par le processeur Trusted Ccre 102 a pour effet que, du point de vue du processeur d'application 101, dans le deuxième mode d'entrée de données, un caractère prédéterminé seulement est entré, c'est- à-dire une touche prédéterminée est pressée, par exemple la touche portant le symbole * . Le processeur d'application 101 indique ainsi sur l'unité de présentation de données le symbole * qu'il reçoit du programme informatique de gestion de clavier. L'utilisateur a ainsi un sentiment d'utilisation Look and Feel lors de l'entrée d'un code PIN ou d'un mot de passe.
Pendant que le dispositif de traitement de données 100 se trouve dans un deuxième mode d'entrée de données, il est prévu de façon optimale de fournir une information d'indication de mode de sécurité correspondante à l'unité de présentation de données, après quoi l'unité de présentation de données délivre à l'utilisateur une indication de mode d'entrée de données correspondante 614. Les différentes possibilités de représenter le mode d'entrée de données existant ou activé sont expliquées en détail ci-dessous.
La figure 7 représente dans un organigramme 700 le mode opératoire selon le deuxième mode de réalisation décrit ci-dessus.
Après activation du deuxième mode d'entrée de données (étape 701), le processeur Trusted Core 102 désactive, dans le cas du processeur d'application, la mise en oeuvre ou le déclenchement d'interruptions d'unité d'entrée de données, en particulier d'interruptions de clavier (702), et l'accès au bloc périphérique de clavier 801 par le processeur 2885424 d'application 101 (cf. la figure 8) (d'une façon générale le bloc périphérique d'unité d'entrée de données) est également désactivé (étape 703).
Ensuite, les registres de bloc de clavier, dans lescuels sont mémorisées les informations sur les touches pressées, sont interrogés par le deuxième processeur, c'est-à-dire par le processeur Trusted Core 102 (étape 704).
Si une touche de fin de mode d'entrée de données de sécurité élevée, avantageusement prévue dans le clavuer, est pressée, ce qui est vérifié dans une étape de vérification 705, on suppose alors que l'entrée de données de sécurité élevée est terminée et une ou plusieurs valeurs de données d'entrée confidentielles sont générées à partir des valeurs de registre demandées (étape 706).
Ensuite, le processeur d'application 101 a de nouveau la possibilité d'accéder au bloc périphérique de clavier 801 (étape 707) et les interruptions de clavier sont également réactivées pour le processeur d'application 101 (étape 708).
Le deuxième mode d'entrée de données est ainsi de nouveau désactivé (étape 709).
Cependant, tant que la touche de fin de mode d'entrée de données de sécurité élevée n'est pas pressée, la valeur représentant la touche pressée respective est mémorisée pour chaque touche pressée dans une mémoire accessible au seul processeur Trusted Core 102 (étape 710).
Ensuite, un symbole * est écrit dans les registres de bloc de clavier pour chaque symbole entré (étape 711) et le processeur d'application 101 a de nouveau accès au bloc périphérique de clavier (712) et enfin les interruptions de clavier sont de nouveau libérées pour le processeur d'application 101 (étape 713). Puis, on attend que le processeur d'application 101 ait terminé la lecture du symbole * dans le registre de bloc périphérique de clavier (étape 714) et on passe à l'étape 702. En d'autres termes, il est 6 2885424 garanti que le processeur d'application 101 a lu le symbole * dans le registre de bloc périphérique de clavier.
Comme il ressort de la figure 8, il est prévu dans le bloc périphérique de clavier modifié 801 une logique d'antirebond de touches et d'analyse 802 ainsi qu'une unité d'interrupteur 803 permettant d'amener le symbole entré de la logique antirebond de touche et d'analyse 802, dans une première position d'interrupteur (A) de l'unité d'interrupteur 803, à un registre de résultat d'analyse 804 ou, dans une deuxième position d'interrupteur (B) de l'unité d'interrupteur 803, directement à l'interface de bus informatique 805 qui est couplée en plus à la sortie du registre de résultat d'analyse 804. L'interface de bus informatique 805 est en outre couplée à un registre de commande 806; les données mémorisées dans le registre de commande 806 génèrent le cas échéant un signal de commande d'état d'interrupteur 807 et commandent au moyen de ce signal l'unité d'interrupteur 803.
Dans un troisième mode de réalisation, il est prévu que, dans le mode d'entrée de données normal, le clavier ou le Keypad transmette l'information relative à la touche pressée directement au processeur d'application 101.
Après activation réussie du deuxième mode d'entrée de données (mode d'entrée de données de sécurité élevée) et après demande de la part du processeur Trusted Core 102 d'entrer les symboles de données confidentielles, le dispositif de gestion de périphérique de clavier délivre à la place de l'information relative à la touche pressée une caractéristique de caractère/symbole de données de remplacement prédéterminée, par exemple le symbole * , qui est présenté à l'utilisateur par exemple dans la zone d'entrée PIN sur l'interface utilisateur graphique de l'unité de présentation de données 103.
Lorsque les touches numériques sont pressées par l'utilisateur, cette information est transmise, sans remplacer 35 l'information de touche, directement au processeur 37 2885424 d'application 101. Le processeur d'application 101 reçoit ainsi toujours une information de touche valide que celui-ci peut présenter à l'utilisateur dans l'interface utilisateur graphique, c'est-à-dire sur l'unité de présentation de données et peut donc délivrer à l'utilisateur un sentiment d'utilisation Look and Feel . Les touches d'entrée effectivement utilisées sont mémorisées séquentiellement dans une mémoire ou une partie d'une mémoire; la mémoire ou la partie de la mémoire n'est accessible qu'au seul processeur Tructed Core 102.
Le processeur d'application 101 n'a pas accès à cette mémoire ou à cette partie de la mémoire. Une fois que l'entrée de l'information confidentielle est achevée, la suite de données entrées est en outre traitée par le processeur Trusted Core 102 pour être validées.
La suite de données entrées est alors comparée par exemple à une valeur correspondante mémorisée sur une carte à puce ou dans une mémoire flash.
Dans ce mode de réalisation, il n'est pas nécessaire de désactiver toute interruption quelconque dans le processeur d'application 101 pendant l'entrée des caractères/symboles de données confidentielles, de préférence pendant l'entrée du mot de passe ou pendant l'entrée du PIN. Les interruptions doivent être désactivées seulement pendant la vérification du mot passe par le processeur Trusted Core 102. La vérification du mot de passe ou du code PIN peut cependant être effectuée dans un bloc supplémentaire protégé par des moyens cryptographiques. De cette façon, le mot de passe ne peut pas être transmis directement par le processeur d'application 101, en d'autres termes ce processeur n'a pas accès au mot de passe qui est mémorisé dans le bloc cryptographique.
Le mot de passe ne peut pas être détecté par le processeur d'application 101, en d'autres termes ce processeur n'a pas accès au mot de passe qui est mémorisé dans le bloc cryptographique.
38 2885424 La gestion du clavier ou la gestion du keypad ou sa fonctionnalité peut être réalisée directement sous forme matérielle, c'est-à-dire au moyen d'un circuit électronique spécial, par exemple au moyen d'un FPGA ou d'un ASIC ou dans un environnement multiprocesseur sous forme logicielle, au moyen d'un programme informatique ou sous une forme hybride quelconque, c'est-à-dire dans des proportions quelconques sous forme logicielle et matérielle. Lorsque la fonctionnalité de gestion est réalisée au moyen d'un programme informatique, le programme informatique est mis en oeuvre par le processeur Trusted Core 102 et l'information relative à la touche pressée ou au caractère de remplacement de la touche pressée est transmise au processeur d'application 101 en utilisant la communication inter-processeur (IPC).
Différentes variantes d'activation du deuxième mode d'entrée de données sont décrites dans la suite.
Dans une première variante, il est prévu une activation implicite du deuxième mode d'entrée de données. Dans le cas de l'activation implicite du deuxième mode d'entrée de données, aucune action propre du côté de l'utilisateur n'est nécessaire pour faire passer le dispositif de traitement de données dans le deuxième mode d'entrée de données. Le logiciel mis en oeuvre par le processeur Trusted Core 102 active le deuxième mode d'entrée de données automatiquement dès qu'une fonction est appelée qui contient un service de sécurité (en variante, la fonction peut être le service de sécurité lui-même), dans le cadre duquel est traitée une information confidentielle entrée par l'utilisateur. Ceci peut être provoque par le processeur Trusted Core 102 par exemple en recevant du processeur d'application 101 un message de requête correspondant, comme expliqué en se référant à l'organigramme 500 de la figure 5.
Dans une variante de conformation, une activation explicite du deuxième mode d'entrée de données ou sa désactivation est prévue en utilisant une touche de changement de mode d'entrée de données spéciale prévue pour cela. Dans ce 39 2885424 cas, un changement de mode d'entrée de données est réalisé par l'utilisateur en pressant une touche spéciale; la touche est sous le contrôle exclusif du processeur Trusted Core 102, c'est-àdire en d'autres termes que seul le processeur Trusted Core 102 peut recevoir et traiter une information indiquant que cette touche spéciale a été pressée. Dans ce cas, le programme d'application informatique demande à l'utilisateur, en utilisant une interface utilisateur graphique correspondante, d'entrer un mot de passe ou un code PIN. Après avoir été invité de façon illustrée à entrer des données confidentielles, l'utilisateur presse la touche spéciale et provoque ainsi le passage du dispositif de traitement de données du premier mode d'entrée de données dans le deuxième mode d'entrée de données de sécurité élevée et transfère ainsi le contrôle ou la détention du clavier, d'une façon générale l'unité d'entrée de données, du processeur d'application 101 au processeur Trusted Core 102. Le processeur Trusted Ocre 102 active, comme décrit ci-dessus en se référant à différents modes de réalisation, une indication de mode d'entrée de données correspondante par exemple en utilisant une diode luminescente prévue en plus ou au moyen d'un symbole qui est représenté sur l'unité de présentation de données, et l'utilisateur peut ensuite entrer le mot de passe dans le dispositif de traitement de données dans un environnement sécurisé.
Il est décrit dans la suite différentes possibilités et variantes de réalisation de l'indication du deuxième mode d'entrée de données, c'est-àdire du mode d'entrée de données de sécurité élevée pour le dispositif de traitement de 30 données, à l'utilisateur lui-même.
Dans une première implémentation, comme décrit dans le document [4] , le processeur Trusted Core 102 utilise une diode luminescente spécialement prévue pour cela (ou un autre dispositif de sortie approprié) pour indiquer à l'utilisateur 2885424 que le deuxième mode d'entrée de données de sécurité élevée est activé.
À cet égard, il est souhaitable que le dispositif de sortie de données utilisé à chaque fois ne puisse être commandé et contrôlé que par le processeur Trusted Core 102 mais pas par le processeur d'application 101. L'indication du mode d'entrée de données de sécurité élevée est présentée à l'utilisateur tant que le deuxième mode d'entrée de données est activé.
Dans une variante de réalisation, il est prévu d'utiliser un dispositif d'affichage sécurisé (Display), en variante une interface utilisateur graphique sécurisée ou une partie sécurisée d'une interface utilisateur graphique pour indiquer le deuxième mode de présentation de données du dispositif de traitement de données.
Ceci peut être réalisé de la façon suivante: - si on utilise par exemple un terminal de télécommunications de téléphonie mobile, il est demandé à l'utilisateur d'entrer un code personnel (une suite de chiffres ou un mot de passe) dans le terminal de télécommunications de téléphonie mobile; le code entré est mémorisé dans une mémoire flash externe, avantageusement sous forme codée, et un drapeau est placé dans la mémoire flash externe de sorte qu'un état d'initialisation est détecté. Ce procédé d'entrée sécurisé des données confidentielles est maintenant initialisé et est prêt à être utilisé. Tout ceci est effectué sous le contrôle du processeur Trusted Core 102; - dès qu'il est prêt à être utilisé, le même procédé est 30 mis en uvre comme décrit dans le document [4], avec la différence suivante: lorsque l'utilisateur souhaite effectuer une transaction sécurisée, le terminal de télécommunications de téléphonie mobile indique son mode d'entrée de données de sécurité élevée en présentant à l'utilisateur, sur l'unité de présentation de 41 2885424 données, le code personnel ou le mot de passe propre à l'utilisateur, au lieu d'activer une diode luminescente.
L'utilisateur peut maintenant effectuer une transaction sécurisée.
Dans encore une autre variante de conformation, il est prévu d'utiliser un dispositif d'affichage fiable (Trusted Display) pour indiquer le mode d'entrée de données de sécurité élevée du dispositif de traitement de données.
Dans ce mode de réalisation, il est prévu une unité de présentation de données unique destinée à présenter des données d'application fiables et à indiquer si le mode d'entrée de données de sécurité élevée est activé.
Si le mode d'entrée de données de sécurité élevée est activé, il est alors prévu que seul une sous-région programmable prédéterminée de l'unité de présentation de données, avantageusement une interface utilisateur graphique ou toute l'unité de présentation de données, avantageusement toute l'interface utilisateur graphique, puisse être commandée par le seul processeur Trusted Core 102, c'est-à-dire seul ce processeur a accès à celles-ci. Le processeur d'application 101 ne possède pas de droits d'accès au contenu de l'information présentée dans l'unité de présentation de données ou dans l'interface utilisateur graphique ou dans les sous-régions choisies à chaque fois. Cela évite qu'un code de programme informatique nuisible, qui est installé sur le processeur d'application 101, par exemple un programme informatique de type cheval de Troie, puisse lire ou manipuler l'information confidentielle présentée sur l'unité de présentation de données ou l'interface utilisateur graphique.
Pour que le processeur d'application 101 puisse accéder aux zones correspondantes, il est prévu d'empêcher d'utiliser un code de programme informatique, mis en oeuvre par le processeur d'application 101, pour écrire dans l'unité de présentation de données ou les sous-régions sécurisées correspondantes de l'unité de présentation de données ou de l'interface 42 2885424 utilisateur graphique par exemple avec un type quelconque d'invitation faite à l'utilisateur d'effectuer des entrées. Ceci peut être effectué de la façon suivante: - si on utilise un terminal de télécommunications de téléphonie mobile, l'utilisateur est alors invité à entrer un code personnel (par exemple une suite de chiffres ou un mot de passe) au moyen de l'unité d'entrée de données dans le terminal de télécommunications de téléphonie mobile et en plus, de façon optimale, à choisir un symbole représentant un cachet numérique permettant d'indiquer à l'utilisateur le deuxième mode d'entrée de données (Trusted Input Mode). Une fois effectuée, l'entrée demandée du côté de l'utilisateur est mémorisée dans une mémoire flash externe, avantageusement sous forme codée, et un drapeau est placé dans la mémoire externe pour indiquer l'état d'initialisation. Le procédé d'entrée de données sécurisé est alors initialisé et est prêt à être utilisé. Tout ceci se fait sous le contrôle du processeur Trusted Core 102. Le processeur d'application 101 ne peut pas accéder à ces données.
- si le deuxième mode d'entrée de données est activé, le procédé, identique au procédé décrit dans le document [4], est utilisé avec la différence suivante: lorsque l'utilisateur souhaite effectuer une transaction sécurisée, le processeur Trusted Core 102 indique son état sécurisé dans lequel il affiche le code personnel de l'utilisateur ou le mot de passe personnel de l'utilisateur ou le symbole, choisi par l'utilisateur et représentants le cachet numérique, dans la région de l'unité de présentation de données qui peut être commandée exclusivement par le processeur Trusted Core 102, en d'autres termes dans la région seulement accessible par le processeur Trusted Core 102.
Pour présenter à l'utilisateur les zones de la région fiable sur l'unité de présentation de données ou l'interface utilisateur graphique, le symbole ou le code personnel peut être utilisé sous la forme d'une trame pour la ligne frontière 43 2885424 de la région fiable ou il peut être une couleur, modifiée de façon correspondante, ou une trame, modifiée de façon correspondante, du fond de l'unité de présentation de données ou de l'interface utilisateur graphique dans la région sécurisée. Dans le document 5, ces indications sans réaliser par exemple en utilisant une image fiable.
En variante, on peut utiliser un curseur (masque). L'image du curseur peut être programmée ou être commandée dans cette conformation seulement par le processeur Trusted Core. L'image dépend de la position du curseur à l'intérieur de l'unité de présentation de données ou bien à l'intérieur de l'interface utilisateur graphique, et de l'appartenance ou non de la position à la région fiable. Si le curseur se trouve dans la région fiable, c'est-à-dire dans la région de sécurité élevée, le curseur a alors l'aspect qui l'utilisateur e choisi pour indiquer le mode d'entrée de données de sécurité élevée et, si le curseur se trouve à l'extérieur de la région de sécurité élevée, un curseur préréglé, permettant d'indiquer le mode d'entrée de données normal, est présenté à l'utilisateur.
Dans un deuxième mode d'entrée de données, l'entrée de données effectuée par l'utilisateur est traitée exclusivement par le processeur Trusted Core 102.
Dans une autre conformation, il est prévu de présenter sur l'unité de présentation de données une carte de points d'image représentant l'image fiable ou de prévoir des instructions de présenter l'image à unutilisateur à chaque fois de façon différente selon que les données, qui sont entrées par un utilisateur, sont entrées dans un mode d'entrée de données de faible sécurité et donc amenées au processeur d'application 101 ou que les données sont entrées dans un mode d'entrée de données de sécurité élevées et amenées seulement au processeur Trusted Core 102.
Si on utilise des interfaces utilisateurs graphiques programmables (masques) qui représentent sans ambiguïté un mode d'entrée de données respectives en fonction de l'aspect, 44 2885424 il est possible de prévoir à l'intérieur de l'unité de présentation de données une région de sécurité élevée et une région de faible sécurité pour l'entrée de données.
Ensuite, l'utilisateur peut effectuer sa transaction sécurisée en entrant les données confidentielles dans le dispositif de traitement de données ou bien il peut être sûr de se fier à l'information présentée sur l'écran, d'une façon générale l'unité de présentation de données.
Les publications suivant sont citées dans ce document: [1] Tom R. Halfill, ARM Dons Armor Microprocessor Report 25 août 2003 [2] TPM Main Part 1 Design Principals, Specification Version 1.2, Revision 62, 2 octobre 2003 [3] R. Meinschein, Trusted Computing Group Helping Intel 15 Secure the PC, technology Intel Magazine, 12 janvier 2004 [4] EP 1 329 787 A2 [5] EP 1 056 014 Al [6] US 2002/0068627 Al [9] US 2003/110402 [10] US 5 920 730
LISTE DES REFERENCES
100 Dispositif de traitement de données 101 Processeur d'application 102 Processeur Trusted Core 103 Clavier 104 Données 105 Bloc périphérique de clavier 106 Bus de système 107 Contrôleur de système intégré Terminal de télécommunications de téléphonie mobile 201 Boîtier 2885424 202 Antenne 203 Unité de présentation de données 204 Haut-parleur 205 Microphone 206 Clavier de numérotation 207 Touche numérique 208 Touche de connexion 209 Touche de déconnexion 210 Touche de fonction spéciale 10 211 Carte SIM 300 Terminal de téléphonie mobile 301 Carte SIM 302 Processeur de carte SIM 303 Mémoire de carte SIM 400 Dispositif de traitement de données 401 Ordinateur personnel 402 Clavier 20 403 Souris 404 Écran 405 Lecteur de carte à puce 406 Carte à puce 407 Interface 408 Interface 409 Interface 410 Interface 500 Dispositif de traitement de données 501 Ordinateur client 502 Ordinateur client 503 Ordinateur client 504 Ordinateur client 505 Ordinateur client 506 Clavier 46 2885424 507 Clavier 508 Clavier 509 Clavier 510 Clavier 511 Réseau de télécommunications 512 Ordinateur serveur 600 Organigramme de message 601 Message de requête de signature 602 Requête de signature 603 Élément de fichier électronique 604 Élément d'identification de clé 605 Mémoire non volatile 606 Profil de clé secrète 607 Étape opératoire 608 Indication de premier mode d'entrée de données 609 Premier message de requête de changement de mode d'entrée de données 610 Étape opératoire 611 Message de confirmation 612 Étape opératoire 613 Étape opératoire 614 Indication de deuxième mode d'entrée de données 615 Étape opératoire 25 616 Clé secrète 617 Étape opératoire 618 Étape opératoire 619 Étape opératoire 620 Deuxième message de changement de mode d'entrée de données 621 Étape opératoire 622 Deuxième message de confirmation 623 Signature numérique 700 Organigramme 701 Étape opératoire 47 2885424 702 Étape opératoire 703 Étape opératoire 704 Étape opératoire 705 Étape de vérification 706 Étape opératoire 707 Étape opératoire 708 Étape opératoire 709 Étape opératoire 710 Étape opératoire 711 Étape opératoire 712 Étape opératoire 713 Étape opératoire 714 Étape opératoire 800 Dispositif de traitement de données 801 Bloc périphérique de clavier modifié 802 Logique d'antirebond et d'analyse 803 Unité d'interrupteur 804 Registre de résultat d'analyse 20 805 Interface de bus informatique 806 Registre de commande 807 Signal de sélection traduction de la figure 7 701: Activation du deuxième mode d'entrée de données 702: Désactivation des interruptions d'unités d'entrée de données 703: Désactivation de l'accès du processeur d'application au bloc périphérique d'unités d'entrée de données 704: Interrogation du registre de bloc de clavier 705: La touche de confirmation de mode d'entrée de données a-t- elle été pressée ? 706: Formation de valeurs de données d'entrée confidentielles à partir des valeurs de registre mémorisées 48 2885424 707 Activation de l'accès du processeur d'application au bloc périphérique d'unité d'entrée de données 708 Activation des interruptions d'unité d'entrée de données 709: Le deuxième mode d'entrée de données est désactivé 5 710: Mémoriser valeur de touche 711: Écrire le symbole dans le registre de bloc de clavier 712: Activer l'accès du processeur d'application au bloc périphérique d'unité d'entrée de données 713 Activer les interruptions d'unité d'entrée de données 714 Attendre la lecture de * dans le registre de bloc de clavier 49 2885424
Claims (28)
1. Dispositif (100) de traitement de données, caractérisé en ce qu'il comporte - une unité (103) d'entrée de données destinée à entrer 5 des données dans le dispositif (100) de traitement de données; - un premier processeur (101) ; - un deuxième processeur (102) ; - le premier processeur (101) étant conçu de façon à recevoir et traiter dans un premier mode d'entrée de données les données entrées dans l'unité d'entrée de données et le premier processeur ayant dans le premier mode d'entrée de données le contrôle de l'unité d'entrée de données; - le deuxième processeur (102) étant conçu de façon à recevoir et traiter dans un deuxième mode d'entrée de données de sécurité élevée les données entrées dans l'unité d'entrée de données et le deuxième processeur ayant dans le deuxième mode d'entrée de données le contrôle de l'unité d'entrée de données.
2. Dispositif de traitement de données selon la revendication 1, caractérisé en ce que l'unité d'entrée de données est l'une des unités d'entrée de données suivantes: - un clavier; - une interface de communication de données; - un bloc à effleurement (Touchpad) ; - une unité de présentation à effleurement; - une souris; - un microphone.
3 Dispositif de traitement de données selon la revendication 1 ou 2, caractérisé en ce que le premier processeur est conformé en processeur d'application destiné à mettre en oeuvre des programmes d'application informatiques.
4. Dispositif de traitement de données selon l'une des revendications 1 à 3, caractérisé en ce que un système 2885424 d'exploitation ouvert est mis en oeuvre car le premier processeur.
5. Dispositif de traitement de données selon la revendication 4, caractérisé en ce que le système d'exploitation ouvert comporte au moins une interface de communication extérieure au système d'exploitation.
6. Dispositif de traitement de données selon la revendication 4 ou 5, caractérisé en ce que le système d'exploitation ouvert est - un système d'exploitation Windows, - un système d'exploitation Linux, - un système d'exploitation Unix, - un système d'exploitation Symbian, ou -une plateforme Java.
7. Dispositif de traitement de données selon l'une des revendications 1 à 6, caractérisé en ce que le deuxième processeur est conçu de façon à pouvoir mettre en uvre seulement un ou plusieurs programmes informatiques fiables.
8. Dispositif de traitement de données selon la revendication 7, caractérisé en ce que un programme informatique fiable est un programme informatique dont l'intégrité est sécurisée.
9. Dispositif de traitement de données selon la revendication 8, caractérisé en ce que un programme informatique dont l'intégrité est sécurisée est un programme informatique dont l'intégrité est sécurisée par des moyens cryptographiques.
10. Dispositif de traitement de données selon l'une des revendications 7 à 9, caractérisé en ce que un programme informatique fiable est destiné à fournir au moins un service de sécurité élevée.
11. Dispositif de traitement de données selon la revendication 10, caractérisé en ce que le service de sécurité élevée est un service de sécurité cryptographique.
12. Dispositif de traitement de données selon la revendication 11, caractérisé en ce que le service de sécurité 51 2885424 cryptographique est fourni en utilisant au moins une clé cryptographique.
13. Dispositif de traitement de données selon la revendication 12, caractérisé en ce que le service de sécurité cryptographique est fourni en utilisant au moins une clé cryptographique secrète et/ou au moins une clé cryptographique publique.
14. Dispositif de traitement de données selon l'une des revendications 11 à 13, caractérisé en ce que le service de sécurité cryptographique est l'un des services de sécurité suivants.
une signature numérique, un cachet numérique, une authentification, un codage de données, un contrôle d'entrée, un contrôle d'accès, l'empêchement d'analyses de trafic dans le cadre d'une communication de données, - un procédé Hash.
15. Dispositif de traitement de données selon l'une des revendications 1 à 14, caractérisé en ce qu'il comporte une unité de présentation de données destinée à présenter au moins une partie des données entrées.
16. Dispositif de traitement de données selon la revendication 15, caractérisé en ce que, dans le deuxième mode d'entrée de données, le deuxième processeur reçoit les données entrées et transmet des données différentes des données entrées, de préférence avec le même nombre de symboles de données, au premier processeur et/ou à l'unité de présentation de données.
17. Dispositif de traitement de données selon la revendication 16, caractérisé en ce que les données transmises par le deuxième processeur au premier processeur et/ou à l'unité de présentation de données est une suite de symboles de données prédéterminée, en particulier une suite d'un symbole de 52 2885424 données prédéterminé, le nombre de symboles de données étant égal au nombre de symboles des données entrées.
18. Dispositif de traitement de données selon l'une des revendications 15 à 17, caractérisé en ce que le deuxième processeur est conçu de façon à transmettre, dans le deuxième mode de l'entrée de données, au premier processeur et/ou à l'unité de présentation de données une information d'indication de mode de sécurité.
19. Dispositif de traitement de données selon la revendication 18, caractérisé en ce que l'information d'indication de mode de sécurité est une information visuelle et/ou une information auditive.
20. Dispositif de traitement de données selon l'une des revendications 1 à 19, caractérisé en ce qu'il comporte une unité de communication interprocesseur destinée à établir la communication entre le premier processeur et le deuxième processeur dans le cadre du transfert de la commande de l'unité d'entrée de données du premier processeur au deuxième processeur ou du deuxième processeur au premier processeur.
21. Dispositif de traitement de données selon l'une des revendications 1 à 19, caractérisé en ce qu'il comporte une unité de gestion d'unité d'entrée de données qui est conçue de telle sorte que -les données entrées dans le premier mode d'entrée de 25 données sont transmises au premier processeur; et - les données entrées dans le deuxième mode d'entrée de données sont transmises au deuxième processeur.
22. Dispositif de traitement de données selon la revendication 21, caractérisé en ce que l'unité de gestion d'unité d'entrée de données est conçue de telle sorte que des données différentes des données entrées dans le deuxième mode d'entrée de données sont transmises, de préférence avec le même nombre de symboles de données, au premier processeur et/ou à l'unité de présentation de données.
23. Dispositif de traitement de données selon la revendication 22, caractérisé en ce que les données transmises au premier processeur et/ou à l'unité de présentation de données sont une suite de symboles de données prédéterminés, en particulier une suite d'un symbole de données prédéterminé, le nombre de symboles de données étant égal au nombre de symboles des données entrées.
24. Dispositif de traitement de données selon l'une des revendications i à 23, caractérisé en ce que le deuxième processeur est conformé en processeur de traitement de signaux numériques.
25. Dispositif de traitement de données selon l'une des revendications 1 à 23, caractérisé en ce que le deuxième processeur est conformé en processeur de carte à puce.
26. Dispositif de traitement de données selon l'une des revendications 1 à 23, caractérisé en ce que le deuxième processeur est intégré dans un module d'identification d'abonnés d'un terminal de télécommunications.
27. Terminal de télécommunications caractérisé en ce qu'il 20 comporte un dispositif de traitement de données selon l'une des revendications 1 à 26.
28. Procédé de traitement de données au moyen d'un dispositif de traitement de données, caractérisé en ce que - des données sont entrées dans le dispositif de 25 traitement de données au moyen d'une unité d'entrée de données; - les données entrées dans l'unité d'entrée de données sont reçues et traitées par un premier processeur dans un premier mode d'entrée de données, le premier processeur ayant dans le premier mode d'entrée de données le contrôle de l'unité d'entrée de données; et - les données entrées dans l'unité d'entrée de données sont reçues et traitées par un deuxième processeur dans un deuxième mode d'entrée de données de sécurité élevée, le 54 2885424 deuxième processeur ayant dans le deuxième mode d'entrée de données le contrôle de l'unité d'entrée de données.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004062203A DE102004062203B4 (de) | 2004-12-23 | 2004-12-23 | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2885424A1 true FR2885424A1 (fr) | 2006-11-10 |
| FR2885424B1 FR2885424B1 (fr) | 2011-08-05 |
Family
ID=35841177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0513214A Expired - Fee Related FR2885424B1 (fr) | 2004-12-23 | 2005-12-23 | Dispositif de traitement de donnees, terminal de telecommunications et procede de traitement de donnees au moyen d'un dispositif de traitement de donnees. |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20060195907A1 (fr) |
| JP (2) | JP2006179011A (fr) |
| KR (1) | KR100774013B1 (fr) |
| CN (1) | CN1794256A (fr) |
| DE (1) | DE102004062203B4 (fr) |
| FR (1) | FR2885424B1 (fr) |
| GB (1) | GB2421610A (fr) |
Families Citing this family (82)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621242B2 (en) * | 2004-06-11 | 2013-12-31 | Arm Limited | Display of a verification image to confirm security |
| EP1605330A1 (fr) | 2004-06-11 | 2005-12-14 | ARM Limited | Indicateur d'opération sûre |
| US8051052B2 (en) * | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
| US8601283B2 (en) * | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
| US8504849B2 (en) * | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
| US20070168292A1 (en) * | 2004-12-21 | 2007-07-19 | Fabrice Jogand-Coulomb | Memory system with versatile content control |
| US7748031B2 (en) * | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
| EP1788507A3 (fr) * | 2005-11-16 | 2010-04-07 | Ingenico SA | Terminal de transaction électronique pouvant fonctionner en mode sécurisé et en mode non sécurisé, ainsi que méthode adaptée au dispositif |
| US7765399B2 (en) * | 2006-02-22 | 2010-07-27 | Harris Corporation | Computer architecture for a handheld electronic device |
| US7779252B2 (en) * | 2006-03-21 | 2010-08-17 | Harris Corporation | Computer architecture for a handheld electronic device with a shared human-machine interface |
| US8127145B2 (en) * | 2006-03-23 | 2012-02-28 | Harris Corporation | Computer architecture for an electronic device providing a secure file system |
| US8060744B2 (en) * | 2006-03-23 | 2011-11-15 | Harris Corporation | Computer architecture for an electronic device providing single-level secure access to multi-level secure file system |
| US8041947B2 (en) * | 2006-03-23 | 2011-10-18 | Harris Corporation | Computer architecture for an electronic device providing SLS access to MLS file system with trusted loading and protection of program execution memory |
| US7979714B2 (en) * | 2006-06-02 | 2011-07-12 | Harris Corporation | Authentication and access control device |
| US8266711B2 (en) * | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
| US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
| US8639939B2 (en) * | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
| US8613103B2 (en) * | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
| US8140843B2 (en) * | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
| US8245031B2 (en) | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
| AT504196B1 (de) * | 2006-09-15 | 2012-04-15 | Frequentis Gmbh | Verfahren und system zur übertragung von vertraulichen und nicht vertraulichen daten |
| US20090064273A1 (en) * | 2007-08-31 | 2009-03-05 | Broadcom Corporation | Methods and systems for secure data entry and maintenance |
| US8842836B2 (en) * | 2007-11-26 | 2014-09-23 | Koolspan, Inc. | System for and method of cryptographic provisioning |
| WO2009145767A1 (fr) * | 2008-05-29 | 2009-12-03 | Hewlett-Packard Development Company, L.P. | Procédé et système destinés à transmettre et à vérifier des signatures d'une façon sans fil |
| FR2934910B1 (fr) * | 2008-08-05 | 2013-08-16 | Inside Contactless | Procede de securisation d'une transaction executee au moyen d'un dispositif portable programmable. |
| US8108908B2 (en) | 2008-10-22 | 2012-01-31 | International Business Machines Corporation | Security methodology to prevent user from compromising throughput in a highly threaded network on a chip processor |
| US8595491B2 (en) * | 2008-11-14 | 2013-11-26 | Microsoft Corporation | Combining a mobile device and computer to create a secure personalized environment |
| US9104618B2 (en) * | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
| US9065812B2 (en) * | 2009-01-23 | 2015-06-23 | Microsoft Technology Licensing, Llc | Protecting transactions |
| JP5266160B2 (ja) * | 2009-08-11 | 2013-08-21 | フェリカネットワークス株式会社 | 情報処理装置、プログラム、および情報処理システム |
| US20130102285A1 (en) * | 2010-06-29 | 2013-04-25 | Junko Suginaka | Mobile communication terminal, startup method thereof, and network communication system |
| KR101064143B1 (ko) * | 2010-08-20 | 2011-09-15 | 주식회사 파수닷컴 | Drm 환경에서의 클립보드 보호 시스템 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| DE102010052666B4 (de) | 2010-11-26 | 2019-01-03 | Trustonic Ltd. | Verfahren zur sicheren mobilen Transaktionsdurchführung |
| US20120278236A1 (en) * | 2011-03-21 | 2012-11-01 | Qualcomm Incorporated | System and method for presentment of nonconfidential transaction token identifier |
| US9183373B2 (en) | 2011-05-27 | 2015-11-10 | Qualcomm Incorporated | Secure input via a touchscreen |
| CN102393886B (zh) * | 2011-06-29 | 2014-11-26 | 北京数码视讯科技股份有限公司 | 移动终端的安全控制方法、装置及系统 |
| CN102984285A (zh) * | 2011-09-07 | 2013-03-20 | 启碁科技股份有限公司 | 通信装置、数据处理方法及路由模块 |
| DE102011115135A1 (de) | 2011-10-07 | 2013-04-11 | Giesecke & Devrient Gmbh | Mikroprozessorsystem mit gesicherter Laufzeitumgebung |
| DE102011116489A1 (de) * | 2011-10-20 | 2013-04-25 | Giesecke & Devrient Gmbh | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts |
| WO2013158060A1 (fr) * | 2012-04-16 | 2013-10-24 | Intel Corporation | Exécution évolutive sécurisée |
| EP2839422B1 (fr) * | 2012-04-17 | 2018-11-14 | Intel Corporation | Interaction sécurisée de service |
| KR20140023606A (ko) * | 2012-08-16 | 2014-02-27 | 삼성전자주식회사 | 트러스트 존에 의한 실행 환경에서 결제 요청을 처리하는 디바이스 및 방법 |
| US10147090B2 (en) | 2012-10-01 | 2018-12-04 | Nxp B.V. | Validating a transaction with a secure input without requiring pin code entry |
| CN103870098B (zh) * | 2012-12-13 | 2017-06-23 | 腾讯科技(深圳)有限公司 | 界面显示的控制方法、装置及移动终端 |
| EP2951746B1 (fr) * | 2013-01-29 | 2019-10-30 | BlackBerry Limited | Système et procédé d'amélioration de la sécurité d'un dispositif sans fil par détection du type d'utilisation |
| CA2911834A1 (fr) | 2013-05-10 | 2014-11-13 | Uberfan, Llc | Systeme de gestion de contenu multimedia lie a un evenement |
| US20150007346A1 (en) * | 2013-06-26 | 2015-01-01 | International Business Machines Corporation | Protecting confidential content in a user interface |
| CN103402013A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103402017B (zh) * | 2013-07-30 | 2015-08-12 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391190A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103390142B (zh) * | 2013-07-30 | 2016-09-21 | 东莞宇龙通信科技有限公司 | 一种终端 |
| WO2015014015A1 (fr) * | 2013-07-30 | 2015-02-05 | 宇龙计算机通信科技(深圳)有限公司 | Terminal |
| CN103369524A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103440437B (zh) * | 2013-07-30 | 2017-02-15 | 东莞宇龙通信科技有限公司 | 终端和用户界面的显示控制方法 |
| CN103391371A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391191A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103402019B (zh) * | 2013-07-30 | 2016-04-06 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103369724B (zh) * | 2013-07-30 | 2017-05-17 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103402014B (zh) * | 2013-07-30 | 2016-12-28 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391189A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103369148B (zh) * | 2013-07-30 | 2016-10-05 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103354495B (zh) * | 2013-07-30 | 2016-12-28 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103402018A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| FR3016456B1 (fr) * | 2014-01-13 | 2017-06-23 | Morpho | Procede de saisie de donnees confidentielles sur un terminal |
| EP2894588B1 (fr) * | 2014-01-13 | 2018-08-15 | Nxp B.V. | Dispositif de traitement de données, procédé d'exécution d'une application et produit de programme informatique |
| JP2015171105A (ja) * | 2014-03-10 | 2015-09-28 | パナソニックIpマネジメント株式会社 | 決済端末装置 |
| US11809610B2 (en) | 2014-06-16 | 2023-11-07 | Texas Instruments Incorporated | Hardware protection of inline cryptographic processor |
| US9471799B2 (en) * | 2014-09-22 | 2016-10-18 | Advanced Micro Devices, Inc. | Method for privileged mode based secure input mechanism |
| CN104360800A (zh) * | 2014-10-23 | 2015-02-18 | 深圳市金立通信设备有限公司 | 一种解锁模式调整方法 |
| CN104346074A (zh) * | 2014-10-23 | 2015-02-11 | 深圳市金立通信设备有限公司 | 一种终端 |
| CN104573445A (zh) * | 2015-01-22 | 2015-04-29 | 陆忠敏 | 一种密码输入方法及其装置 |
| CN104834877B (zh) * | 2015-02-10 | 2018-08-28 | 数据通信科学技术研究所 | 一种基于高保证内核的可信输入装置及方法 |
| US10019605B2 (en) * | 2015-03-30 | 2018-07-10 | Square, Inc. | Systems, methods and apparatus for secure peripheral communication |
| DE102015226315A1 (de) * | 2015-12-21 | 2017-06-22 | Cherry Gmbh | Vorrichtung und Verfahren zur Erkennung einer Schalterbetätigung |
| CN107092839A (zh) * | 2016-02-17 | 2017-08-25 | 深圳市维申斯科技有限公司 | 基于随机虚位密码的密码键盘防盗输入方法 |
| DE102017103418B4 (de) * | 2017-02-20 | 2019-01-24 | Infineon Technologies Ag | Verfahren zum Bestimmen von Informationen über eine Integrität von Signalverarbeitungskomponenten innerhalb eines Signalpfades, Signalverarbeitungsschaltung und elektronische Steuerungseinheit |
| KR101997254B1 (ko) * | 2017-05-10 | 2019-07-08 | 김덕우 | 고립된 사용자컴퓨팅부를 갖는 컴퓨터 |
| US10699033B2 (en) | 2017-06-28 | 2020-06-30 | Advanced Micro Devices, Inc. | Secure enablement of platform features without user intervention |
| JP7056446B2 (ja) * | 2018-07-30 | 2022-04-19 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
| KR102092575B1 (ko) * | 2018-09-06 | 2020-03-24 | 주식회사 에스에프에이 | 둘 이상의 핸드를 구비하는 이송 장치 및 그 동작 방법 |
| US10895597B2 (en) | 2018-11-21 | 2021-01-19 | Advanced Micro Devices, Inc. | Secure coprocessor assisted hardware debugging |
| US11057381B1 (en) * | 2020-04-29 | 2021-07-06 | Snowflake Inc. | Using remotely stored credentials to access external resources |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2983391B2 (ja) * | 1992-09-17 | 1999-11-29 | 株式会社東芝 | ポータブルコンピュータ |
| US7124302B2 (en) * | 1995-02-13 | 2006-10-17 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| EP0763791A1 (fr) * | 1995-09-14 | 1997-03-19 | Hewlett-Packard Company | Unité de clavier d'ordinateur avec une interface de carte à puce |
| US5664099A (en) * | 1995-12-28 | 1997-09-02 | Lotus Development Corporation | Method and apparatus for establishing a protected channel between a user and a computer system |
| AUPO959897A0 (en) * | 1997-10-02 | 1997-10-30 | Compucat Research Pty Limited | Data switch |
| US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
| WO2000045241A2 (fr) | 1999-01-29 | 2000-08-03 | General Instrument Corporation | Generation automatique de certificats faisant appel a un microprocesseur dans un dispositif permettant de transferer des informations numeriques |
| EP1056014A1 (fr) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Système pour fournir une interface utilisateur à mérite de confiance |
| SE515327C2 (sv) * | 1999-08-27 | 2001-07-16 | Ericsson Telefon Ab L M | Anordning för att utföra säkra transaktioner i en kommunikationsanordning |
| US6950949B1 (en) * | 1999-10-08 | 2005-09-27 | Entrust Limited | Method and apparatus for password entry using dynamic interface legitimacy information |
| KR100358705B1 (ko) * | 1999-11-25 | 2002-10-30 | 주식회사 소프트 프로텍 | Pc 기반의 유.에스.비. 보안 모듈과 암호칩을 사용한정보 보호 장치 |
| JP2001185542A (ja) * | 1999-12-27 | 2001-07-06 | Hitachi Ltd | プラズマ処理装置及びそれを用いたプラズマ処理方法 |
| FR2815204B1 (fr) * | 2000-10-10 | 2003-01-10 | Gemplus Card Int | Procede de protection contre la fraude dans un reseau par choix d'une icone |
| AUPR188200A0 (en) * | 2000-12-04 | 2001-01-04 | Aristocrat Technologies Australia Pty Limited | Gaming video overlay |
| DE10061998A1 (de) * | 2000-12-13 | 2002-07-18 | Infineon Technologies Ag | Kryptographieprozessor |
| US7185174B2 (en) * | 2001-03-02 | 2007-02-27 | Mtekvision Co., Ltd. | Switch complex selectively coupling input and output of a node in two-dimensional array to four ports and using four switches coupling among ports |
| WO2003021861A1 (fr) * | 2001-08-31 | 2003-03-13 | Hamilton Jon W | Systeme et procede de protection du contenu de produits cinematographiques numeriques |
| KR100450940B1 (ko) * | 2001-12-07 | 2004-10-02 | 삼성전자주식회사 | 이동 통신 단말의 패스워드 입력 방법 |
| EP1329787B1 (fr) * | 2002-01-16 | 2019-08-28 | Texas Instruments Incorporated | Indicateur de mode protégé pour téléphones intelligents et pour assistants numériques personnels (PDA) |
| US7069442B2 (en) * | 2002-03-29 | 2006-06-27 | Intel Corporation | System and method for execution of a secured environment initialization instruction |
| KR100455990B1 (ko) * | 2002-08-22 | 2004-11-08 | 삼성전자주식회사 | 사용자 인식 카드 공용 메모리카드를 가지는 이동 무선단말기 |
| KR100774531B1 (ko) * | 2003-10-24 | 2007-11-08 | (주) 미석이노텍 | 암호화 칩을 이용한 저장매체 데이터 보안 장치 |
| US20050275661A1 (en) * | 2004-06-10 | 2005-12-15 | Cihula Joseph F | Displaying a trusted user interface using background images |
-
2004
- 2004-12-23 DE DE102004062203A patent/DE102004062203B4/de not_active Expired - Fee Related
-
2005
- 2005-12-22 KR KR1020050127669A patent/KR100774013B1/ko not_active IP Right Cessation
- 2005-12-23 FR FR0513214A patent/FR2885424B1/fr not_active Expired - Fee Related
- 2005-12-23 US US11/317,640 patent/US20060195907A1/en not_active Abandoned
- 2005-12-23 CN CNA2005101358541A patent/CN1794256A/zh active Pending
- 2005-12-23 GB GB0526370A patent/GB2421610A/en not_active Withdrawn
- 2005-12-26 JP JP2005373541A patent/JP2006179011A/ja active Pending
-
2009
- 2009-10-08 JP JP2009234157A patent/JP2010092485A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060073474A (ko) | 2006-06-28 |
| DE102004062203A1 (de) | 2006-07-13 |
| CN1794256A (zh) | 2006-06-28 |
| KR100774013B1 (ko) | 2007-11-08 |
| JP2006179011A (ja) | 2006-07-06 |
| US20060195907A1 (en) | 2006-08-31 |
| GB0526370D0 (en) | 2006-02-01 |
| FR2885424B1 (fr) | 2011-08-05 |
| JP2010092485A (ja) | 2010-04-22 |
| GB2421610A (en) | 2006-06-28 |
| DE102004062203B4 (de) | 2007-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2885424A1 (fr) | Dispositif de traitement de donnees, terminal de telecommunications et procede de traitement de donnees au moyen d'un dispositif de traitement de donnees. | |
| US20200404019A1 (en) | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements | |
| US11367054B2 (en) | Biological recognition technology-based mobile payment device, method and apparatus, and storage medium | |
| US20180295121A1 (en) | Secure element authentication | |
| US11494754B2 (en) | Methods for locating an antenna within an electronic device | |
| US8370899B2 (en) | Disposable browser for commercial banking | |
| US11550950B2 (en) | Individual data unit and methods and systems for enhancing the security of user data | |
| WO2011138558A2 (fr) | Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service | |
| EP2619941A1 (fr) | Procede, serveur et systeme d'authentification d'une personne | |
| CN108027853B (zh) | 多用户强认证令牌 | |
| FR2823400A1 (fr) | Dispositif securise d'echange de donnees | |
| FR3026207A1 (fr) | Terminal a affichage securise | |
| US20170169213A1 (en) | Electronic device and method for running applications in different security environments | |
| EP3022867A1 (fr) | Procéde d'authentification forte | |
| CN117751551A (zh) | 用于安全互联网通信的系统和方法 | |
| EP3113056B1 (fr) | Sécurisation d'une validation d'une séquence de caractères, procédé, dispositif et produit programme d'ordinateur correspondants | |
| EP3570518B1 (fr) | Systeme et procede d'authentification utilisant un jeton a usage unique de duree limitee | |
| GB2421093A (en) | Trusted user interface | |
| FR3060171B1 (fr) | Procede de securisation de saisie de donnees, terminal de communication et programme correspondant. | |
| FR2888437A1 (fr) | Procede et systeme de controle d'acces a un service d'un fournisseur d'acces implemente sur un serveur multimedia, module, serveur, terminal et programmes pour ce systeme | |
| WO2024069088A1 (fr) | Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage logiciel de l'afficheur du smartphone | |
| FR3140688A1 (fr) | Procédé de gestion de données d’authentification permettant l’accès à un service d’un utilisateur depuis un terminal | |
| CN115545713A (zh) | 一种资源转移方法、装置及设备 | |
| CN116886367A (zh) | 安全认证的方法、装置、电子设备及存储介质 | |
| Παχύγιαννης | Smartphone forensics & data acquisition |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TP | Transmission of property |
Owner name: INTEL MOBILE COMMUNICATIONS GMBH, DE Effective date: 20120228 |
|
| CD | Change of name or company name |
Owner name: INTEL DEUTSCHLAND GMBH, DE Effective date: 20160126 |
|
| ST | Notification of lapse |
Effective date: 20160831 |