FR3125897A1 - Procédé pour optimiser un fonctionnement d’un élément sécurisé - Google Patents
Procédé pour optimiser un fonctionnement d’un élément sécurisé Download PDFInfo
- Publication number
- FR3125897A1 FR3125897A1 FR2108329A FR2108329A FR3125897A1 FR 3125897 A1 FR3125897 A1 FR 3125897A1 FR 2108329 A FR2108329 A FR 2108329A FR 2108329 A FR2108329 A FR 2108329A FR 3125897 A1 FR3125897 A1 FR 3125897A1
- Authority
- FR
- France
- Prior art keywords
- memory
- operations
- secure element
- list
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000015654 memory Effects 0.000 claims abstract description 104
- 238000012217 deletion Methods 0.000 claims description 8
- 230000037430 deletion Effects 0.000 claims description 8
- 238000009434 installation Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 12
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/023—Free address space management
- G06F12/0238—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
- G06F12/0246—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
- G06F12/1441—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/145—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7211—Wear leveling
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Read Only Memory (AREA)
- Storage Device Security (AREA)
Abstract
La présente invention concerne un procédé pour optimiser un fonctionnement d’un élément sécurisé, l’élément sécurisé comprenant une mémoire, l’élément sécurisé étant configuré par une liste d’opérations autorisées, le procédé comprenant : a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées. Le procédé comprend en outre : c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste. [Fig. 4]
Description
La présente invention concerne le domaine de la gestion d’une mémoire, notamment la gestion de la mémoire non volatile d’un élément sécurisé.
Les éléments sécurisés traditionnellement utilisés pour s’authentifier sur les réseaux de téléphonie mobile incluent les cartes de circuit intégré universelles UICC (pour « Universal Integrated Circuit Card »), notamment les cartes SIM (pour « Subscriber Identity Module » – ou module d’identité d’abonné). Chaque carte comprend des données de souscription, par exemple un identifiant IMSI (pour « International Mobile Subscriber Identity »), des clés cryptographiques et des algorithmes, spécifiques à un abonnement fourni par un opérateur de téléphonie mobile.
Des cartes eUICC (pour « embedded UICC » – ou UICC embarquée) ont également vu le jour, lesquelles permettent une flexibilité plus grande dans la gestion des abonnements. Les principales spécifications d'une carte eUICC sont définies par le groupe GSMA (pour « Global System for Mobile Communications Association »), notamment dans le standard GSMA SGP.02 v3.2 intitulé « Remote Provisioning Architecture for Embedded UICC - Technical Specification - Version 4.0 » en date du 25 février 2019. Une carte (ou module) eUICC est un élément matériel sécurisé, généralement de petite taille, pouvant être intégré dans un terminal mobile hôte afin de mettre en œuvre les fonctions d'une carte SIM traditionnelle. Le terminal mobile hôte (ou « dispositif hôte ») peut être par exemple un téléphone portable, un téléphone intelligent (ou « smartphone » en anglais), ou tout autre terminal de communication mobile, par exemple une tablette.
Les cartes eUICC sont reprogrammables et permettent de charger plusieurs profils d’abonné (ou profils de communication) au sein de la même carte eUICC, ainsi que de mettre à jour et/ou supprimer un ou plusieurs de ces profils d’abonné. Chaque profil d’abonné est contenu dans un conteneur sécurisé, noté ISD-P (pour « Issuer Security Domain - Profile ») dans le standard GSMA. Ce conteneur sécurisé est typiquement stocké dans une mémoire non volatile de la carte eUICC et contient, comme une carte SIM classique, les données permettant, lorsqu’un profil d’abonné est actif, de s’authentifier auprès d’un réseau correspondant de téléphonie mobile pour accéder à un service (par exemple de voix ou de données). En changeant le profil d’abonné actif dans la carte eUICC, il est possible de changer d'opérateur ou de modifier l'accès à des services associés (services voix et/ou de données par exemple).
Pour ajouter un nouveau profil d’abonné, modifier un profil d’abonné existant, ou lancer une application à partir d’un profil d’abonné existant, il est nécessaire d’effacer et/ou d’écrire des données dans la mémoire non volatile de l’élément sécurisé (eUICC ou autre). Plus précisément, la mémoire non volatile est généralement composée d’une pluralité de blocs mémoires, chaque bloc mémoire comprenant un ensemble de pages mémoires qui peuvent être effacées et/ou (ré)écrites. Dans ce qui suit, une « page mémoire » correspond à l’unité minimale de la mémoire pour l’effacement de données (c’est-à-dire qu’un effacement de données ne peut avoir lieu que pour une ou plusieurs pages complète(s), et non sur une partie de page seulement). L’écriture (ou « programmation ») peut quant à elle être effectuée sur seulement une partie de page. Il est noté que le vocabulaire employé pour désigner ces éléments peut varier d’un type de mémoire à l’autre ou selon le fabricant de la carte mémoire. Par exemple, le terme « secteur » est parfois utilisé pour désigner l’unité minimale de la mémoire pour l’effacement de données. La personne du métier n’aura bien entendu aucune difficulté à appliquer les enseignements suivants à des cartes fournies par des fabricants utilisant une autre terminologie que celle employée ici.
Toute page d’une mémoire volatile a une certaine capacité d’endurance (ou simplement « endurance »), qui correspond au nombre maximal de fois que l’on peut effacer et (ré)écrire la page mémoire. Une fois que ce nombre maximal est atteint, la page mémoire est « usée » et peut ne plus être apte à restituer, en lecture, les données qui y ont été préalablement écrites et/ou à permettre une (ré)écriture de données et/ou à permettre un (ré)effacement de données. La capacité d’endurance peut varier d’une page à l’autre. Lorsque toutes les pages mémoires sont usées, le fonctionnement correct de la mémoire n’est plus assuré. La capacité d’endurance « globale » (i.e. en tenant compte de l’ensemble des pages mémoires) est très variable selon le type de mémoire non volatile (flash, EEPROM - de l'anglais « Electrically Erasable Programmable Read Only Memory », etc.). Elle peut aller de quelques milliers de cycles d’écritures et d’effacements pour certaines mémoires non volatiles à plusieurs centaines de milliers de cycles pour d’autres.
Certaines opérations nécessitent plus d’effacements et d’écritures que d’autres, et « usent » davantage la mémoire. Par exemple, le téléchargement d’un nouveau profil d’abonné requiert généralement plus d’effacements et d’écritures que l’utilisation ou la mise à jour d’une application déjà installée sur un profil d’abonné existant. Si de telles opérations sont effectuées alors que la mémoire a atteint un état d’usure trop avancé, il est possible que tout ou partie des effacements / écritures ne puissent être effectués sur la mémoire. Cela peut engendrer des défaillances au niveau de l’utilisation de la carte eUICC ou autre, voire une interruption totale du fonctionnement de la carte.
Il y a donc un besoin pour gérer de manière efficace l’écriture et l’effacement de données sur une mémoire, typiquement une mémoire non volatile d’un élément sécurisé, en fonction de son état d’usure. La présente invention vient améliorer la situation.
À cet effet, l’invention propose d’évaluer l’état d’usure de la mémoire d’un élément sécurisé (par exemple, la mémoire volatile d’une carte eUICC) lors de la réception d’une commande d’écriture de données (par exemple, le téléchargement d’un nouveau profil d’abonné, la mise à jour d’un profil d’abonné, le lancement d’une application, etc.), avant de commencer à effacer ou écrire des données sur la mémoire. Si la mémoire présente un état d’usure trop important, l’élément sécurisé bascule en un mode de fonctionnement restreint, dans lequel certaines opérations seulement sont autorisées (par exemple, les opérations d’authentification auprès du réseau d’un opérateur ou auprès d’un service proposé sur un réseau de télécommunication ou bien encore, par exemple, des opérations de gestion à distance de contenu ou d’applications de l’élément sécurisé bien connues, respectivement, sous les noms de RFM (pour « remote file management » en anglais) ou RAM (pour « remote application management » en anglais), ou bien des opérations d’audit de l’élément sécurisé, ou bien des opérations de résolution de système de noms de domaine connu sous le nom de « DNS resolver » (DNS signifiant « domain name system » en anglais). La commande reçue n’est alors exécutée que si elle correspond à l’une de ces opérations autorisées.
En outre, l’invention propose, dans certains modes de réalisation, d’envoyer une alerte vers un serveur externe (typiquement le serveur de l’opérateur téléphonique rattaché à la carte) pour l’informer que la carte arrive en fin de vie en termes d’usure. Selon l’invention, l’envoi de cette alerte est avantageusement géré de façon d’une part à ne pas user davantage la mémoire, et d’autre part à ne pas saturer le réseau (notamment en évitant d’envoyer simultanément des alertes à un même serveur pour toute une flotte d’éléments sécurisés rattachés à un même opérateur, qui atteindraient un état d’usure avancé en même temps).
Il est ainsi proposé un procédé mis en œuvre par un processeur d’un élément sécurisé pour optimiser un fonctionnement de l’élément sécurisé, l’élément sécurisé comprenant une mémoire, l’élément sécurisé étant configuré par une liste d’opérations autorisées, dans lequel le procédé peut comprendre :
a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et
b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées ;
dans lequel le procédé peut en outre comprendre :
c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et
d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste.
a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et
b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées ;
dans lequel le procédé peut en outre comprendre :
c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et
d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste.
Par « liste d’opérations autorisées », il est entendu un ensemble d’opérations (ou commandes) accessibles et/ou exécutables par l’élément sécurisé. Par exemple, une telle opération peut correspondre à l’utilisation, la mise à jour, l’installation ou la suppression d’une application, à l’installation ou la suppression d’un profil d’abonné, ou encore à des commandes pour authentifier l’élément sécurisé auprès d’un réseau de télécommunications, etc. Cette liste d’opérations autorisées définit un mode de fonctionnement de l’élément sécurisé. Lorsque la liste d’opérations autorisées est réduite, i.e. que certaines opérations sont retirées de la liste, l’élément sécurisé fonctionne en mode plus restreint, en ce sens qu’il a accès à un ensemble plus limité d’opérations. Par « exécuter » la commande reçue, il est entendu écrire et/ou effacer les données correspondant à la commande. Par « indicateur d’un état d’usure globale de la mémoire », il est entendu un indicateur utilisé pour quantifier le degré d’usure de la mémoire dans son ensemble – par exemple, le pourcentage de pages mémoire ayant atteint leur capacité d’endurance.
Grâce à un tel procédé, dès qu’il est déterminé que l’usure globale de la mémoire dépasse un seuil prédéfini, la liste d’opérations autorisées est avantageusement mise à jour en retirant certaines opérations, par exemple les opérations nécessitant davantage d’écritures / d’effacements de données. Cela évite de commencer à exécuter des commandes alors que la mémoire est dans un état d’usure trop avancé qui ne permet pas leur exécution correcte, et/ou qui compromettrait l’utilisation de l’élément sécurisé (par exemple, si, à l’issue de l’exécution de la commande, la mémoire est trop usée pour pouvoir accéder à des opérations de base telles que l’authentification auprès d’un réseau de télécommunications).
Dans un ou plusieurs modes de réalisation, en réponse à l’étape a, les étapes c et d peuvent être mises en œuvre avant l’étape b, et à l’étape b, la commande reçue peut être exécutée uniquement si elle correspond à une opération autorisée de la liste d’opérations autorisées obtenue à l’étape d.
Alternativement, en réponse à l’étape a, l’étape b peut être mise en œuvre avant les étapes c et d, et à l’étape b, la commande reçue est exécutée uniquement si elle correspond à une opération autorisée de la liste d’opérations autorisées avant toute réduction éventuelle de ladite liste à l’étape d.
Dans un ou plusieurs modes de réalisation, la mémoire peut comprendre une pluralité de pages mémoires principales et une pluralité de pages mémoires de remplacement, et, lorsque toutes les pages mémoires principales sont utilisées, une page mémoire principale déterminée comme étant usée peut être redirigée vers une page mémoire de remplacement vierge. L’indicateur de l’état d’usure globale de la mémoire peut alors être déterminé à partir d’un nombre de pages de remplacement non vierges ou à partir d’un nombre de pages de remplacement vierges.
Par « pages mémoires principales » (aussi appelées « pages de travail » par la suite) il est entendu des pages mémoires utilisées de manière prioritaire. A contrario, les « pages mémoires de remplacement » sont des pages mémoires de réserve, utilisées lorsqu’il ne reste plus de page mémoire principale disponible, typiquement de page mémoire principale vierge dès lors qu’une des pages mémoire principales devient inutilisable en ayant atteint sa capacité d’endurance maximale (page usée). Par page mémoire « vierge », il est entendu une page mémoire dans laquelle aucune donnée n’a encore été écrite et/ou effacée. Par « redirigée » il est entendu que le contenu d’une page mémoire, généralement usée, est copié sur une page de remplacement disponible, typiquement vierge, puis renvoyé (par exemple à l’aide d’un pointeur) vers cette page de remplacement. Par « utilisée » il est entendu que la page mémoire est « non vierge », i.e. que des données ont déjà été écrites et/ou effacées. Par « usée » il est entendu que la page mémoire est considérée avoir atteint sa capacité d’endurance, i.e. son cycle d’écritures/effacements maximale et ne peut plus être utilisée correctement. Une page mémoire peut donc être utilisée, i.e. non vierge, mais pas encore usée.
Dans un ou plusieurs modes de réalisation, les étapes a à d peuvent être réitérées pour une pluralité de seuils prédéfinis successifs distincts les uns des autres.
Il est ainsi possible de définir des modes de fonctionnement successifs correspondant à la pluralité de seuils, chaque mode de fonctionnement étant associé à une liste respective d’opérations autorisées. À chaque fois que l’état d’usure globale de la mémoire atteint un seuil parmi la pluralité de seuils prédéfinis, l’élément sécurisé entre dans un mode de fonctionnement plus restreint que le précédent (i.e. la liste d’opérations autorisées associées est limitée par rapport à la précédente). Cela permet avantageusement d’adapter la liste d’opérations autorisées à l’état d’usure globale de la mémoire.
Dans un ou plusieurs modes de réalisation, lors d’une mise en œuvre de l’étape d, au moins une opération parmi : installation d’un nouveau profil d’abonné, suppression d’un profil d’abonné existant, installation d’une nouvelle application et suppression d’une application, peut être retirée de la liste d’opérations autorisées.
De telles opérations sont particulièrement coûteuses en termes d’écritures/effacements de données, et usent davantage la mémoire que d’autres opérations et/ou peuvent utiliser un nombre élevé de pages mémoires au risque de ne plus avoir suffisamment de pages mémoires disponibles.
Alternativement ou en complément, lors d’une mise en œuvre de l’étape d, la liste d’opérations autorisées est réduite uniquement à une ou plusieurs opérations parmi : opérations relatives à une authentification auprès d’un réseau de télécommunications rattaché à l’élément sécurisé ; opérations de gestion à distance de contenus de fichiers de l’élément sécurisé ; opérations de gestion à distance d’applications de l’élément sécurisé ; opérations liées à une session de résolution de système de noms de domaine et opérations liées à une session de communication par voie aérienne initiée par l’élément sécurisé.
Ces opérations comprennent un ensemble d’opérations « minimales » pour garantir l’accès à un réseau de télécommunications et l’utilisation des fonctionnalités de base, telles que d’accéder à des services proposés par le réseau de télécommunications, passer un appel téléphonique, ainsi que des opérations d’accès à distance de données de l’élément sécurisé (afin, par exemple, de déterminer quelle commande précédente a usé la mémoire de manière inhabituelle et excessive).
La liste d’opérations autorisées peut être réduite à une ou plusieurs opérations de la liste ci-dessus lors de la mise en œuvre de l’étape d dans le cas où les étapes a à d sont mises en œuvre une seule fois, ou lors de la mise en œuvre de l’une des étapes d lorsque les étapes a à d mises en œuvre de manière itérative. Ainsi, par exemple, lors d’une itération, au moins une opération parmi : installation d’un nouveau profil d’abonné, suppression d’un profil d’abonné existant, installation d’une nouvelle application et suppression d’une application, est retirée de la liste d’opérations autorisées ; et lors d’une itération ultérieure, la liste d’opérations autorisées est réduite uniquement à une ou plusieurs opérations parmi : opérations relatives à une authentification auprès d’un réseau de télécommunications (par exemple, un réseau de téléphonie) rattaché à l’élément sécurisé ; opérations de gestion à distance de contenus de fichiers de l’élément sécurisé ; opérations de gestion à distance d’applications de l’élément sécurisé ; opérations liées à une session de résolution de système de noms de domaine et opérations liées à une session de communication par voie aérienne initiée par l’élément sécurisé.
Dans de tels modes de réalisation les opérations de gestion à distance de contenus de fichiers de l’élément sécurisé et/ou les opérations de gestion à distance d’applications de l’élément sécurisé de la liste d’opérations autorisées peuvent exclure toute opération nécessitant une écriture ou un effacement de données sur la mémoire de l’élément sécurisé.
En outre, lors d’une mise en œuvre de l’étape d, la liste d’opérations autorisées est réduite et le procédé peut en outre comprendre : envoyer une alerte à un serveur distant comprenant une information relative à l’état d’usure global de la mémoire de l’élément sécurisé.
Ainsi, lorsque la mémoire atteint un degré critique d’usure globale, le serveur – par exemple un serveur de l’opérateur téléphonique ou du réseau de télécommunications auquel est rattaché l’élément sécurisé – en est informé. L’opérateur téléphonique ou une entité du réseau de télécommunications peut alors prendre les mesures nécessaires, par exemple envoyer un message à l’utilisateur pour l’informer qu’il doit changer d’élément sécurisé.
Dans un ou plusieurs modes de réalisation, l’alerte peut être envoyée lorsqu’un nombre courant d’authentifications de l’élément sécurisé auprès d’un réseau de télécommunications est supérieur ou égal à une valeur critique.
Par « nombre d’authentifications de l’élément sécurisé auprès d’un réseau de télécommunications », il est entendu un nombre de fois où une procédure a été mise en œuvre pour authentifier l’élément sécurisé auprès d’un réseau auquel il est rattaché. Le terme « courant » signifie qu’il est tenu compte de la valeur de ce nombre lors de la mise en œuvre de l’étape d.
De telles procédures (appelées « Network Authentication Algorithms » en anglais) sont standardisées, et décrites notamment dans les documents techniques « ETSI TS 131 102 V13.5.0 » ou « ETSI 133 102 V5.1.0 ». Elles comprennent notamment des échanges des données entre le réseau d’infrastructure (ou « core network » en anglais) et l’élément sécurisé, telles que des vecteurs et de clés d’authentifications. Ces procédures standardisées prévoient la présence d’un compteur comptabilisant le nombre d’authentifications de l’élément sécurisé auprès du réseau cellulaire, ce compteur étant stocké dans la mémoire de l’élément sécurisé. Ainsi, l’envoi ou non d’une alerte repose avantageusement sur l’utilisation d’un compteur qui est déjà imposé par les standards, et la procédure d’alerte ne nécessite pas de stocker et mettre à jour une valeur additionnelle dans la mémoire de l’élément sécurisé, ce qui userait davantage celle-ci.
Avantageusement, la valeur critique peut être déterminée après ladite mise en œuvre de l’étape d, par un tirage aléatoire parmi un ensemble d’entiers naturels dont une valeur minimum est strictement supérieure au nombre courant d’authentifications de l’élément sécurisé auprès d’un réseau de télécommunications.
Ainsi, l’envoi de l’alerte repose sur une procédure aléatoire et n’est pas fait de façon systématique dès que le nombre d’authentifications atteint un nombre déterministe prédéfini. Cela permet d’éviter de saturer le réseau de télécommunications. En effet, il peut arriver qu’une opération (par exemple une mise à jour importante d’une application) soit mise en œuvre de manière quasi-simultanée sur l’ensemble d’une flotte d’éléments sécurisés rattachés au réseau, et que cette opération use de manière inhabituelle et excessive les mémoires de ces éléments sécurisés. En utilisant une valeur critique déterministe prédéfinie, des alertes seraient envoyées au serveur en très grand nombre de manière quasi-simultanée (i.e. pendant un intervalle de temps très court par rapport au nombre d’éléments de la flotte), ce qui saturerait le réseau cellulaire. En introduisant une détermination aléatoire d’une valeur critique spécifique à chaque élément sécurisé, l’envoi des alertes est avantageusement réparti dans le temps, ce qui évite une telle saturation du réseau.
Un autre aspect de l’invention concerne un élément sécurisé comprenant un processeur et une mémoire, l’élément sécurisé étant configuré par une liste d’opérations autorisées. Le processeur peut être configuré pour : a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées. Le processeur peut en outre être configuré pour : c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste.
Par exemple, la mémoire peut être une mémoire non volatile par exemple réinscriptible de type FLASH.
Un autre aspect de l’invention concerne un terminal hôte comprenant un élément sécurisé tel que défini précédemment.
La présente invention vise également un programme informatique comportant des instructions pour la mise en œuvre du procédé ci-dessus, lorsque ce programme est exécuté par un processeur.
Ce programme peut utiliser n’importe quel langage de programmation (par exemple, un langage objet ou autre), et être sous la forme d’un code source interprétable, d’un code partiellement compilé ou d’un code totalement compilé.
La décrite en détail ci-après peut former l’organigramme de l’algorithme général d’un tel programme informatique, selon un mode de réalisation.
L’invention vise également un support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé ci-dessus, lorsque ce programme est exécuté par un processeur.
D’autres caractéristiques, détails et avantages de l’invention apparaîtront à la lecture de la description détaillée ci-après. Celle-ci est purement illustrative et doit être lue en regard des dessins annexés, sur lesquels :
Fig. 1
Fig. 2a, 2b, 2c
Fig. 3
Fig. 4
Fig. 5
Claims (16)
- Procédé mis en œuvre par un processeur d’un élément sécurisé pour optimiser un fonctionnement de l’élément sécurisé, l’élément sécurisé comprenant une mémoire, l’élément sécurisé étant configuré par une liste d’opérations autorisées, le procédé comprenant :
a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et
b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées ;
dans lequel le procédé comprend en outre :
c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et
d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste. - Procédé selon la revendication 1, dans lequel, en réponse à l’étape a, les étapes c et d sont mises en œuvre avant l’étape b, et dans lequel, à l’étape b, la commande reçue est exécutée uniquement si elle correspond à une opération autorisée de la liste d’opérations autorisées obtenue à l’étape d.
- Procédé selon la revendication 1, dans lequel, en réponse à l’étape a, l’étape b est mise en œuvre avant les étapes c et d, et dans lequel, à l’étape b, la commande reçue est exécutée uniquement si elle correspond à une opération autorisée de la liste d’opérations autorisées avant toute réduction éventuelle de ladite liste à l’étape d.
- Procédé selon l’une des revendications 1 à 3, dans lequel la mémoire comprend une pluralité de pages mémoires principales et une pluralité de pages mémoires de remplacement, dans lequel, lorsque toutes les pages mémoires principales sont utilisées, une page mémoire principale déterminée comme étant usée est redirigée vers une page mémoire de remplacement vierge,
l’indicateur de l’état d’usure globale de la mémoire étant déterminé à partir d’un nombre de pages de remplacement non vierges ou d’un nombre de pages de remplacement vierges. - Procédé selon l’une des revendications 1 à 4, dans lequel les étapes a à d sont réitérées pour une pluralité de seuils prédéfinis successifs distincts les uns des autres.
- Procédé selon l’une des revendications 1 à 5, dans lequel, lors d’une mise en œuvre de l’étape d, au moins une opération parmi : installation d’un nouveau profil d’abonné, suppression d’un profil d’abonné existant, installation d’une nouvelle application et suppression d’une application, est retirée de la liste d’opérations autorisées.
- Procédé selon des revendications 1 à 5, dans lequel, lors d’une mise en œuvre de l’étape d, la liste d’opérations autorisées est réduite uniquement à une ou plusieurs opérations parmi : opérations relatives à une authentification auprès d’un réseau de télécommunications rattaché à l’élément sécurisé ; opérations de gestion à distance de contenus de fichiers de l’élément sécurisé ; opérations de gestion à distance d’applications de l’élément sécurisé ; opérations liées à une session de résolution de système de noms de domaine et opérations liées à une session de communication par voie aérienne initiée par l’élément sécurisé.
- Procédé selon la revendication 7, dans lequel les opérations de gestion à distance de contenus de fichiers de l’élément sécurisé et/ou les opérations de gestion à distance d’applications de l’élément sécurisé de la liste d’opérations autorisées excluent toute opération nécessitant une écriture ou un effacement de données sur la mémoire de l’élément sécurisé.
- Procédé selon l’une des revendications précédentes, dans lequel, lors d’une mise en œuvre de l’étape d, la liste d’opérations autorisées est réduite, le procédé comprenant en outre : envoyer une alerte à un serveur distant comprenant une information relative à l’état d’usure global de la mémoire de l’élément sécurisé.
- Procédé selon la revendication 9, dans lequel l’alerte est envoyée lorsqu’un nombre courant d’authentifications de l’élément sécurisé auprès d’un réseau de télécommunications est supérieur ou égal à une valeur critique.
- Procédé selon la revendication 10, dans lequel la valeur critique est déterminée après ladite mise en œuvre de l’étape d, par un tirage aléatoire parmi un ensemble d’entiers naturels dont une valeur minimum est strictement supérieure au nombre courant d’authentifications de l’élément sécurisé auprès d’un réseau de télécommunications.
- Elément sécurisé comprenant un processeur et une mémoire, l’élément sécurisé étant configuré par une liste d’opérations autorisées, le processeur étant configuré pour :
a. recevoir une commande d’effacement ou d’écriture de données dans la mémoire ; et
b. exécuter la commande reçue uniquement si la commande reçue correspond à une opération autorisée de la liste d’opérations autorisées ;
dans lequel le processeur est en outre configuré pour :
c. déterminer un indicateur d’un état d’usure globale de la mémoire ; et
d. si l’indicateur déterminé indique que l’état d’usure globale de la mémoire est supérieur à un seuil prédéfini, réduire la liste d’opérations autorisées en retirant des opérations de ladite liste. - Elément sécurisé selon la revendication 12, dans lequel la mémoire est une mémoire non volatile.
- Terminal hôte comprenant un élément sécurisé selon l’une des revendications 12 et 13.
- Produit programme informatique comportant des instructions pour la mise en œuvre du procédé selon l’une des revendications 1 à 11, lorsque ce programme est exécuté par un processeur.
- Support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé selon l’une des revendications 1 à 11 lorsque ce programme est exécuté par un processeur.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2108329A FR3125897A1 (fr) | 2021-07-30 | 2021-07-30 | Procédé pour optimiser un fonctionnement d’un élément sécurisé |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2108329 | 2021-07-30 | ||
| FR2108329A FR3125897A1 (fr) | 2021-07-30 | 2021-07-30 | Procédé pour optimiser un fonctionnement d’un élément sécurisé |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR3125897A1 true FR3125897A1 (fr) | 2023-02-03 |
Family
ID=78649378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR2108329A Pending FR3125897A1 (fr) | 2021-07-30 | 2021-07-30 | Procédé pour optimiser un fonctionnement d’un élément sécurisé |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3125897A1 (fr) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2977047A1 (fr) | 2011-06-22 | 2012-12-28 | Starchip | Procede de gestion de l'endurance de memoires non volatiles. |
| WO2019114477A1 (fr) * | 2017-12-15 | 2019-06-20 | C-Sky Microsystems Co., Ltd. | Appareil permettant d'ajouter une fonction de protection pour contrôleur de mémoire à accès indirect |
| US20200293205A1 (en) * | 2019-03-13 | 2020-09-17 | Micron Technology, Inc. | Techniques for secure writes by non-privileged users |
| EP3832469A1 (fr) * | 2019-12-06 | 2021-06-09 | Thales | Système électronique sécurisé comportant un processeur et un composant mémoire ; composant programmable associé |
-
2021
- 2021-07-30 FR FR2108329A patent/FR3125897A1/fr active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2977047A1 (fr) | 2011-06-22 | 2012-12-28 | Starchip | Procede de gestion de l'endurance de memoires non volatiles. |
| FR2977047B1 (fr) | 2011-06-22 | 2013-08-16 | Starchip | Procede de gestion de l'endurance de memoires non volatiles. |
| WO2019114477A1 (fr) * | 2017-12-15 | 2019-06-20 | C-Sky Microsystems Co., Ltd. | Appareil permettant d'ajouter une fonction de protection pour contrôleur de mémoire à accès indirect |
| US20200293205A1 (en) * | 2019-03-13 | 2020-09-17 | Micron Technology, Inc. | Techniques for secure writes by non-privileged users |
| EP3832469A1 (fr) * | 2019-12-06 | 2021-06-09 | Thales | Système électronique sécurisé comportant un processeur et un composant mémoire ; composant programmable associé |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8533369B2 (en) | Smart card driven device configuration changes | |
| FR3019347A1 (fr) | Securisation du chargement de donnees dans une memoire non-volatile d'un element securise | |
| EP2047698B1 (fr) | Personnalisation d ' un terminal de radiocommunication | |
| FR3125897A1 (fr) | Procédé pour optimiser un fonctionnement d’un élément sécurisé | |
| WO2018060583A1 (fr) | Gestion d'une offre multi-sim a codes d'activation multiples | |
| EP3531729B1 (fr) | Configuration d'un module d'identité de souscripteur embarqué | |
| CN110390194B (zh) | 应用权限的展示、确定方法、装置及设备 | |
| KR100677227B1 (ko) | 이동단말기의 갱신속도 개선 방법 | |
| CN110780820A (zh) | 一种连续存储空间确定方法、装置及电子设备和存储介质 | |
| EP3195638B1 (fr) | Procédé d'administration de cycles de vie de profils de communication | |
| WO2015092307A1 (fr) | Procédé de test et de mise à jour du système d'un terminal par un module d'identité de souscripteur et dispositifs associés | |
| CN111125771B (zh) | 保护设备隐私的方法及装置、电子设备、存储介质 | |
| FR2881604A1 (fr) | Presentation d'un indicateur d'operateur | |
| FR3046017A1 (fr) | Procede de gestion des connexions entre un ensemble d'elements securises et un serveur | |
| CN106649069B (zh) | 一种用户行为统计方法及系统 | |
| FR3012655A1 (fr) | Compteur en memoire flash | |
| EP3671519A1 (fr) | Sécurisation d'une transaction au moyen d'une carte à puce et carte à puce | |
| FR3138536A1 (fr) | Procédé de gestion d’une mémoire d’un élément sécurisé | |
| US11070968B2 (en) | System, method, and computer program for protecting against unintentional deletion of an ESIM from a mobile device | |
| FR3062017A1 (fr) | Procede de changement de reseau de communication cellulaire pour un objet mettant en oeuvre une carte a puce uicc, ne necessitant ni changement ni reprogrammation de la carte a puce | |
| FR3046016A1 (fr) | Procede de gestion des connexions entre un element securise et un serveur | |
| EP3298765A1 (fr) | Marquage en filigrane de la photo d'un document identitaire electronique lors de sa lecture | |
| FR3021143A1 (fr) | Element securise et procede mis en œuvre dans un tel element securise | |
| FR3090262A1 (fr) | Procédé de détermination d’un chemin de transmission de données, et dispositif correspondant. | |
| CN116483882A (zh) | 一种数据处理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20230203 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |