WO2006053958A1 - Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau - Google Patents

Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau Download PDF

Info

Publication number
WO2006053958A1
WO2006053958A1 PCT/FR2005/002751 FR2005002751W WO2006053958A1 WO 2006053958 A1 WO2006053958 A1 WO 2006053958A1 FR 2005002751 W FR2005002751 W FR 2005002751W WO 2006053958 A1 WO2006053958 A1 WO 2006053958A1
Authority
WO
WIPO (PCT)
Prior art keywords
personal
user
file
memory
cle
Prior art date
Application number
PCT/FR2005/002751
Other languages
English (en)
Other versions
WO2006053958A9 (fr
Inventor
David Fauthoux
Original Assignee
David Fauthoux
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR0412199A external-priority patent/FR2878047B1/fr
Application filed by David Fauthoux filed Critical David Fauthoux
Priority to EP05815148A priority Critical patent/EP1836636A1/fr
Publication of WO2006053958A1 publication Critical patent/WO2006053958A1/fr
Publication of WO2006053958A9 publication Critical patent/WO2006053958A9/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the invention relates to a portable personal mass storage medium and a computer system enabling each user with such personal medium to securely access a user's own computer space, via a network such as the Internet, securely and from any host computer station not previously specifically configured or dedicated to manage this user space or allow access to this user space.
  • USB key universal serial bus
  • Password symmetric key (s)
  • US-2004/0001088 discloses a portable device such as a USB key for transporting the personal computing environment of a user, in the form of files stored on the non-volatile memory of this USB key.
  • This personal environment contains favorites, emails, contacts, "cookies", digital signatures, wallpapers, desktop icons, calendars and diaries, toolbar configurations , audio configurations, graphics, game options ...
  • This environment can be defined by downloading from a website whose address is stored on the USB key.
  • This system is therefore to use the memory of the USB key to transfer a computer environment from one computer to another. But, to do this, each computer must be compatible with such an environment, and must be independently and previously programmed to perform the transfer of the personal environment from the information on the portable medium.
  • this document does not describe a computer system making it possible to access a user space contained in whole or in part on a device other than its personal computers and that the personal medium, and this, from any station initially not specifically configured for such access.
  • no known solution allows a user to instantly access a user space that may include not only personal data and information, but also data or information shared by other users, application programs installed in executable form, this user space being managed remotely on one or more server (s), and this, from any computer station not previously configured or adapted for this purpose and may contain none of the digital information (programs or data) corresponding to this user space.
  • the object of the invention is generally to provide a solution to this problem.
  • the invention also aims to allow such access in a secure manner, but without the loss of the personal medium then makes it impossible to access the user space, nor that the mere possession of the personal medium allows this access by a person other than the authentic user.
  • the invention also aims to provide such a personal support and such a computer system with which the user space information is automatically updated and synchronized, without risk of data loss, reliably, including in case of Sudden connection break from a station to network.
  • the invention further aims to provide a computer system that is efficient in terms of speed of reaction for the user, simple and ergonomic to use, and very low cost.
  • - mass memory any non-volatile rewritable computer memory for storing digital information in a sustainable manner regardless of the technology implemented (magnetic, optical, electronic ...) to achieve it, - computer system: combination of hardware ( s), software (s), information, files and / or databases, digital data, capable of performing predetermined computer functions,
  • - user a natural or legal person or a group of natural and / or legal persons
  • - portable means any object that can be handled by humans, carried with one hand, and easily transported continuously, for example in the format of pocket,
  • - file this term is used in its logical sense designating a set of digital information referenced by a computer address; for example, it may be one or more physical file (s), or one or more data table (s) or part of a physical file or data table ,
  • - user space A set of computer resources, data, software or other information adapted to provide specific user-specific computer services, including the recording of specific information specific to a user, and the provision of that user's predetermined data and software;
  • the user space comprises not only data or information created or managed by a user, but also data, information and programs in executable form shared by other users or providers of computing resources.
  • the invention therefore relates to a portable mass storage medium, said personal medium, comprising:
  • At least one mass memory said personal memory
  • digital processing means with microprocessor (s) and associated random memory (s),
  • connection means conjugated to those of the personal medium, so that at least a portion of the personal memory of the personal medium can be accessed read / write by a host station when the connection means are active,
  • this gateway process adapted to be loaded into the RAM of a host station to which the personal medium is connected, this gateway process comprising:
  • an authentication module by the host station, of any human user making the connection of the personal medium to this host station, adapted to determine whether it is an authorized user, and to authorize access to the user space corresponding to the user identification data stored in the personal memory only if an authorized user is identified and authenticated,
  • a file query filtering module adapted to be able to recognize any request involving at least one file, said CLE file, belonging to a user space of the authorized user, comprising digital information stored in a part of personal memory, so-called local cache, and / or in at least one mass memory of at least one server separate from the host station and to which the host station equipped with connection means and access to at least one digital network can be connected via such network,
  • a module for processing each request on a file CLE adapted to be able to create a file CLE and / or access any file CLE and allow the processing of a corresponding request by the operating system and file management of the host station in the same way as if it were a query on a file specific to this host station.
  • the invention extends to a computer system for secure access to a network by users, comprising:
  • digital processing means with microprocessor (s) and associated random memory (s),
  • conjugated connecting means connecting means of at least one portable mass storage medium, said personal medium, so that at least a portion of the mass memory of the personal medium can be accessed read / write by the host station when the connection means are active,
  • At least one server comprising at least one mass memory, called server memory, and means of connection to at least one public digital network, in particular the Internet, and adapted to allow read / write access to at least one part of this server memory via such a public digital network,
  • each personal medium comprising:
  • memory personal At least one mass memory, called memory personal
  • a file query filtering module adapted to be able to recognize any request pertaining to at least one file, said CLE file, belonging to a user space of the authorized user, comprising digital information stored in a part of the personal memory, called cache local, and / or in at least one server memory of at least one server separate from the host station,
  • a computer system according to the invention therefore constitutes a computer system for secure access via a network - in particular a public network such as the Internet - by users to user spaces.
  • Each user space is unique to a single user and contains files that can be fully managed and used by the user, including the gateway process.
  • a computer system comprises a plurality of personal media corresponding to the plurality of users of the system.
  • Any portable mass storage medium may be used as a personal medium in accordance with the invention. It may be in particular mass storage media magnetic, optical, electronic, electro-optical, ... the invention is not limited to a specific technology for the realization of personal media. It should be noted, however, that the personal medium contains at least one mass memory, which is therefore in particular of the rewritable type, accessible for reading and writing. As such, a specificity of the invention is to provide an extremely high level of security particularly regarding the information of each user space, while implementing rewritable personal media.
  • each user has a personal support of its own, and different users can be provided with personal media all made according to the same technology, or, conversely, according to different technologies.
  • the same portable personal support incorporates several mass memories, different technologies, the information and data contained on this personal medium being duplicated on these different mass memories, so that the personal medium is compatible with different technologies of connection to host stations.
  • the personal media can be more or less complex and in particular incorporate digital data processing means such as a microprocessor or other.
  • digital data processing means such as a microprocessor or other.
  • the personal media are free of digital processing means other than those necessary, if necessary, the establishment and operation of connection means between the personal media and host stations.
  • Personal media may in particular be exempt from microprocessor, associated random access memory and any versatile information processing and / or calculation unit.
  • they are also free of human / machine interface (screen, keyboard, pointer ...) and host stations have a human / machine interface.
  • personal media can thus be reduced to only the elements forming their mass memory and standard connection functions with a host station.
  • connection means between the personal media and the host stations can be made in any known form, including in particular a wired connection, an infrared remote radio frequency connection, a connection by inserting the personal medium in a suitable reader (for example if the personal medium is a cassette, a tape, a floppy disk or a disc).
  • a suitable reader for example if the personal medium is a cassette, a tape, a floppy disk or a disc.
  • the means for connecting a personal medium to a host station are of the type made active by bringing together and / or connecting personal media and the host station.
  • a personal medium according to the invention can advantageously be made in the form of a simple USB key thus making it possible to reduce the investment cost for each user to a minimum.
  • the invention also applies to more sophisticated personal media (such as portable personal digital assistants (PDAs) or portable computers or portable mass-storage phones ...) that can thus incorporate processing means.
  • microprocessor information and / or a human / machine interface in this case, however, these information processing means are not useful in the context of the present invention.
  • the human / machine interface of such a medium can partly or completely replace that of a host station.
  • USB connection can be envisaged, alternatively or in combination, for example a wired link, or a wireless radio frequency link (WI-FI or other) or infrared.
  • WI-FI wireless radio frequency link
  • Every user with personal support can access his user space from any host station to which he can connect his personal support.
  • the invention thus allows a simple, fast and nomadic access by each user to his user space.
  • a system according to the invention comprises, stored in personal memory of each personal medium, ROOT_ID data identifying at least one root file recorded on a server, this root file comprising at least a portion of the architecture of the CLE files of the user space.
  • this part of the architecture, or this architecture is not necessarily itself stored on the personal media (except possibly duplicated on the local cache of the personal medium) nor on the host stations.
  • other CLE files in the user space may contain, in the same way, part of the user space architecture.
  • the data describing the architecture of the user space are not necessarily gathered in one and the same root file, but can be distributed in several files, namely one (or more) specifically dedicated root file (s) ( s) the recording of these data and / or one (or more) CLE file (s) that may contain other information or data.
  • this root file is a CLE file (that is to say a file of the corresponding user space) and managed as such.
  • the host stations are chosen from:
  • portable digital processing devices including PDA PDAs or mobile phones -.
  • the host stations may be arbitrary and more or less sophisticated, as long as they make it possible to provide information processing and file management means, and preferably at least in part, the human / machine interface.
  • these host stations can be as well as the user's personal home computers at home and at work, a user's laptop, a PDA-like personal assistant, and public access Internet access terminals (such as those provided by the user). available in public places such as train stations, airports, media libraries, shopping malls, cybercafé ...) or a computer or personal assistant of a friend or colleague ...
  • each user has instant access to all the files, data and application programs of its user space, from any location, without having to previously specifically configure a computer manually (especially without requiring the prior installation of software or a operating system on the host station), with the help of only its personal support, in a perfectly secure way. This results in extremely great management comfort for users at a negligible cost.
  • Such storage architecture and secure network access to user spaces has many other advantages related to the complete disruption of the habits and methods of modern computing that the invention involves.
  • the various updates and evolutions of data and / or application programs can be performed directly on the servers by the providers of these data and / or application programs themselves, and no longer require any approach (such as a download and / or installation) from each user.
  • the implementation and use of the invention are not dependent on a particular operating system or technology.
  • the invention can be made compatible (as described below) with all operating systems proposed by publishers or manufacturers.
  • User space files are viewed and managed from any host station as files specific to that host station. Therefore, the software applications offered by the editors or manufacturers under these operating systems work without modification with the files of the user space.
  • This universal and systematic aspect of the invention represents extremely great ergonomics and appeal for users and publishers.
  • the processing module is adapted to be executed in a memory area dedicated to the application programs and accessible in user mode of the RAM of a host station.
  • the authentication module is adapted to authenticate an authorized user by input by the latter on a man / machine interface - in particular on the human / machine interface of the host station to which the support personnel is connected to a code, said user personal code, enabling validation of the identity of the user by the authentication module, and for storing the user personal code in the host station's RAM
  • the process gateway is adapted to transmit the user personal code to each server to which the host station is connected for the purpose of transmitting digital information.
  • This personal user code may be a user password entered on a keyboard, for example the keyboard of a host station, or a digital code representative of a biometric characteristic (fingerprint) entered by a sensor attached to a host station or personal support, or whatever.
  • each server is adapted to check the validity of the user personal code before authorizing the establishment of a link between the server and a host station to which a corresponding personal medium is connected.
  • a computer system comprises at least one server, said central server, comprising for each user at least one record, said user account, comprising said user identification data associated with the user personal code stored in said registration in form not understandable by the man.
  • said user identification data stored in personal memory of a personal medium include a code individually identifying a user and data identifying a central server.
  • the processing module includes at least one encryption sub-module with a symmetrical key generated by the processing module from a code provided by the processing module.
  • each personal medium comprises, recorded in personal memory, an asymmetric encryption public key corresponding to a private key of a central server, this private key being stored in a mass memory of the central server.
  • the processing module is adapted for:
  • the processing module is adapted to save by default any CLE file of the user space that is digitally processed by the host station in the local cache of the personal memory of the personal support.
  • the operations performed by the user during a work session are saved on the local cache of the personal medium, and kept even in case of sudden break of the connection to the public network or that between the personal medium and the host station.
  • the CLE files are identified by a low level identifier compatible with all the operating systems and the file management systems, and all the servers, all the host stations (and their file management system (s)) and all personal media.
  • the module of processing is adapted to create each file CLE with an identifier record of this file CLE 5 said INFO ID, comprising:
  • INFOJ ⁇ further comprises:
  • the encryption mode can be chosen from: an encryption, said automatic encryption, with a symmetric key; an encryption, said manual encryption, by a code entered specifically by the user for the file CLE; and a lack of encryption.
  • This encryption mode can be determined automatically during the generation of the files, for example by a configuration file which associates the modes of encryption with names or parts of file names, this configuration being able to be modified by the user.
  • the synchronization mode determines how the CLE file is updated on a server.
  • This mode of synchronization can be chosen from: a mode, called synchronized mode, in which one reads a file CLE from the local cache if it is present and up to date, and since the server in the opposite case, and one always writes the CLE file in the local cache, the processing module including an automatic update sub-module of the FILESERV ID server when the connections are present; and a mode, said remote mode, in which all reading and writing of a CLE file are performed from and on the corresponding FILESERV_ID server only.
  • the remote mode is used for example for user identification data, or for command files, or for CLE files that the user does not wish to keep on his local cache.
  • each personal medium comprises, recorded in personal memory, a file said file
  • ID_GENERATION comprising data adapted to allow the processing module to generate digital codes individually identifying the CLE files created by the user.
  • the invention further relates to a personal medium and a computer system characterized in combination by all or some of the features mentioned above or below.
  • FIG. 1 is a general diagram of a computer system according to the invention
  • FIG. 2 is a block diagram of an exemplary embodiment of a personal medium according to the invention in the form of a USB key
  • FIG. 3 is a diagram illustrating the operation of a personal medium according to the invention and of a host station in a computer system according to the invention
  • FIG. 4 is a flowchart illustrating steps of referencing a medium; according to the invention in the file management system of a host station,
  • FIG. 5 is a flowchart illustrating steps for managing requests on CLE files of a user space corresponding to a personal medium according to the invention in a computer system according to the invention
  • FIG. 6 is a flowchart illustrating steps implemented for a request to read a CLE file from a user space corresponding to a personal medium according to the invention in a computer system according to the invention
  • FIG. 7 is a flowchart similar to FIG. 6 illustrating steps implemented for a write request on a CLE file of the user space
  • Figure 8 is a flowchart similar to Figure 6 illustrating steps implemented for the creation of a new CLE file in the user space.
  • the computer system according to the invention constitutes a personal information network storage computer architecture allowing secure access to such personal information by any authorized and authenticated user carrying a portable mass storage medium. , says personal support 1, which is his own.
  • Such a personal medium 1 comprises at least one mass memory, called personal memory 2, which can be made in any known form, especially in the form of an electronic hard disk and / or magnetic and / or optical or other .
  • This personal memory 2 has the property of keeping the information stored in this personal memory 2, permanently, especially when the personal medium 1 is worn by a user between two uses.
  • Each personal medium 1 also comprises means 3, 4 for connection to any computer station, said host station 5, itself equipped with microprocessor-based digital processing means) and associated random memory (s) and at least one operating system and file management.
  • Each host station is also provided with connecting means 6, 7 conjugated with those of the personal supports 1, so that at least part of the personal memory 2 of each personal medium 1 can be accessed in read and write by a host station 5 when the means 3, 4, 6, 7 of connection are active.
  • each personal medium 1 may be connected to any host station 5 allowing the user to execute operations on a computer user space from that particular host station 5.
  • own, including information and / or files representing data and / or software, stored on remote machines such as servers 9 separate host stations 5 and personal media 1.
  • the different host stations 5 to which a given user can connect from his personal medium 1 to perform operations on his user space are not servers, and it is not necessary, nor in general useful, to save all or part of the user space information on a mass memory of a host station 5.
  • the personal medium 1 may be, as represented in FIG. 1, a USB key ("universal serial bus") 1a, or a portable device Ib communicating by radio frequency with a host station (it may be a mobile telephone, or a personal digital assistant PDA type wireless connection, or an electronic memory card with wireless connection means, for example of the type called WI-FI ).
  • a USB key (“universal serial bus") 1a
  • a portable device Ib communicating by radio frequency with a host station (it may be a mobile telephone, or a personal digital assistant PDA type wireless connection, or an electronic memory card with wireless connection means, for example of the type called WI-FI ).
  • any other portable device can be used and considered as a personal support 1 according to the invention since this portable device can easily be worn by a user (pocket size), it is provided with a mass memory and connecting means to the host stations.
  • a personal medium 1 may also be equipped with other functionalities, and in particular information processing means or means of communication via satellite or mobile telephony ... Nevertheless, it is an advantage of the invention that to allow to distribute low cost personal media 1 such as USB sticks or simple electronic cards to allow users to access their user space.
  • Such personal media 1 reduced to their simplest expression are not only inexpensive, but lightweight and compatible with many computer standards that can be encountered in host stations 5 scattered throughout the territory. In general, the personal medium 1 does not have a man / machine interface (screen, keyboard, etc.).
  • a host station 5 is generally equipped with such a man / machine interface.
  • the invention is of course applicable in the case where at least a portion of the various personal media 1 are equipped with such a man / machine interface. In the latter case, the user can alternatively use either the man / machine interface of his personal support 1, or that of a host station 5 he encounters and to which he connects.
  • any host station 5 having connection means compatible with those of a personal medium 1, information processing means and a connection to a public digital network such as the Internet can be used by a user. to access his user space.
  • Such host stations 5 meet very frequently in various public or private places. It can be the user's different personal computers (in the office, at home ...); computers that the user can meet in the places he visits (customers, suppliers, friends, ...); or even public access stations (Internet access terminals at airports, railway stations, restaurants or cafés ).
  • all the information corresponding to a user space is stored on remote servers 9 and accessed remotely via a public digital network such as the Internet from any host station connected to that network.
  • not all of the user's personal information is stored on the personal medium 1 or on a host station 5 to which this personal medium 1 is connected.
  • all of the user space information is stored only on remote servers 9 and not on the personal medium 1 or the host station 5, except for the most recent information not yet synchronized with those stored on the servers 9, and which can be temporarily saved only on the personal medium 1, in a part of the memory personal 2 reserved for this purpose, called local cache 8, accessible for reading and writing.
  • Each personal medium 1 also comprises data, called user identification data, identifying at least one human user, said authorized user, authorized to use the corresponding personal medium 1, and these identification data are recorded in personal memory 2.
  • each personal medium 1 comprises, stored in personal memory, data forming a process, said gateway process P, adapted to be loaded into the RAM of any host station 5 to which the personal medium 1 is connected, and to configure this any host station to allow the user to access his user space.
  • This gateway process P essentially and functionally comprises three modules (these three modules can be implemented as independent programs or subprograms or on the contrary integrated in the same program), namely: an authentication module A by each host station 5 of any human user connecting a personal medium 1 to this host station 5, this authentication module A being adapted to determine whether it is an authorized user and to allow access to the user space corresponding to the user identification data stored in the personal memory of the personal medium 1 only if a corresponding authorized user is identified and authenticated; this authentication module A has the function, in its simplest embodiment, of managing a user personal code (such as a user password) entered by the user on a human / machine interface (for example the one of the host station 5), then to check if the user personal code is the correct one each time the user enters this code,
  • a user personal code such as a user password
  • a filter module D for file queries adapted to be able to recognize any request pertaining to at least one file, called a CLE file, belonging to a user space of the authorized user,
  • a personal medium 1 according to the invention can thus be free of digital processing means other than those necessary, the case the establishment and operation of means 3, 4, 6, 7, for connection with the host stations 5.
  • a personal medium 1 according to the invention may be free of microprocessor and associated random access memory, or more generally, central processing unit and information processing.
  • a personal medium 1 according to the invention can be free of human / machine interface.
  • the user identification data are only part of the set of data enabling authentication of a user authorized by the authentication module A executed by a host station 5.
  • these user identification data stored in personal memory 2 of the personal medium 1 are adapted to be insufficient to allow a user to access his user space.
  • a user carrying a personal medium 1 must, in order to access his user space, not only connect his personal medium 1 to any host station 5, but also provide additional authentication information. , ie the personal user code that must be entered on the man / machine interface at his disposal, in particular that of the corresponding host station 5.
  • the user personal code is used by the authentication module A to validate the identity of the authorized user. It can be a user password entered by the user on a keyboard (for example the keyboard of a host station 5). But it can be any other code that can be provided by the user, for example a digital code representative of a biometric characteristic, delivered by a sensor that can be integral with the host station 5 or the personal support 1.
  • the personal medium 1 may be equipped with a fingerprint sensor or other. It should be noted however that in any case the validation of the identity using this personal user code is performed by the authentication module A and executed by the host station 5, and not by an electronic circuit personal support 1.
  • connection means 3, 4, 6, 7 between a personal medium 1 and a host station 5 are made active by bringing the personal medium 1 and the host station 5 closer together and / or by connecting the personal medium 1 to a corresponding socket of the host station 5.
  • the authentication module A and the processing module C of a gateway process P are adapted to be executed in a memory area dedicated to the application programs of a host station 5, and therefore accessible In this way, these modules A and C can be written in a way that is not dependent on the operating system of the host station 5, which can be arbitrary. their loading according to the operating system detected on the host station 5. This detection can be performed by means of a well-known command integrated in the gateway process P, for example the "System.getProperty" command of the JAVA® language.
  • a personal medium 1 may comprise a plurality of filter modules D 5 each being compatible with one of the commonly used operating systems (WINDOWS®, UNIX®, LINUX® ).
  • the different user spaces can be stored in mass memories of a plurality of servers 9 separate from the host stations 5 and connected to the public digital network 10 to which these host stations 5 are themselves connected, in particular to the Internet network.
  • These various servers 9 are at least partially made up of servers specific to the invention, but may, for the most part, consist of standard servers for providing data and / or information and / or programs by content providers. the corresponding network 10.
  • At least one of the servers is used for the management of the computer architecture and therefore of the computer system according to the invention, in particular for the management of the different user accounts, in particular different identification data. users of the computer system according to the invention.
  • the user identification data stored in personal memory 2 of each personal medium 1 advantageously comprise, on the one hand, a code individually identifying a user, and, on the other hand, data identifying a central server 9a on the mass memory of which the user code identifying the user, and other information concerning his user space, can be stored.
  • the personal code (password) entered by the user can be registered, preferably in illegible form by the man, associated with the identification code of the user, on the corresponding central server 9a.
  • the authentication module A is thus adapted to authenticate an authorized user by entering the user's personal code, in particular a user password, on a man / machine interface (in particular the keyboard 25 of the host station 5 to which the personal medium 1 is connected), and to store this user personal code in the RAM of the host station 5, so that the personal user code can then be communicated to each server 9 to which the host station 5 wants to access.
  • the gateway process P 3 namely the processing module C, is also adapted to transmit the personal user code to each server 9 to which the host station 5 is connected for the purpose of transmitting digital information between this server 9 and the server. host station 5 in one direction or the other.
  • FIG. 2 represents an exemplary embodiment of a personal medium 1 in the form of a USB key comprising a housing 20 enclosing the personal memory 2 in the form of an electronic memory, and an interface 21 with a USB link, the housing 20 carrying a plug 22 for such a USB link.
  • This plug 22 can be plugged into a corresponding female port 6 of a host station 5.
  • the personal memory 2 comprises an area dedicated to forming the local cache 8, an area 23 containing the gateway process P in a form ready to be executed by any host station 5, and a zone 24 containing configuration files. of the host station 5.
  • the zone 24 may include a file AUTORUN.BAT automatic launch of the gateway process P by the host station 5, an IP_PORT_SC.XML file containing the network address and the connection port of the central server 9a, a PCK.DATA file containing a central public key PCK used for encryption as indicated below, a LAK.DATA file containing a symmetric key LAK used for the automatic encryption of files, as indicated below, a file IDJJENERATION_DATA for generating file identification codes as shown below, and a ROOT ID.XML file containing a root file identifier ROOT_ ID for the user as shown below.
  • Such a personal medium 1 is not personalized, that is to say does not contain the user identification data.
  • Such a support 1 can be distributed and marketed at low cost in large series. When a user acquires such personal support 1 and wishes to use it to access its user space, it is sufficient to connect it to a host station 5.
  • gateway process P and the configuration files can be registered beforehand (on production) on the personal memory 2 of the personal medium 1.
  • the personal media can be registered beforehand (on production) on the personal memory 2 of the personal medium 1.
  • gateway process P can be downloaded to the personal memory 2, upon request of the user, from a remote server or from a removable memory medium such as an optical disk.
  • a removable memory medium such as an optical disk.
  • only a portion of this information is recorded prior to manufacture on the personal medium 1, the other being downloaded.
  • the gateway process P is started by the host station 5, either automatically (if the operating system of the host station 5 allows the automatic launch of such a process), or on command of the user if necessary .
  • the operating system of the host station 5 then loads and executes the user mode P gateway process, and this gateway process P loads and executes the processing module C which performs the following actions.
  • the processing module C reads the network address of the corresponding central server 9a. It should be noted that, alternatively, this network address may not be stored on the personal medium 1, but may be directly recorded in the code of the gateway process P itself, or on a specific server whose address itself is known from the gateway process P.
  • the processing module C is adapted to create each file
  • INFO_ID including:
  • FILESERV_ID a code identifying a server, called FILESERV_ID, where this file CLE was initially registered and where it remains always registered
  • This INFO_ID record also preferably includes:
  • the code identifying the user creator of this CLE file in the INFO_ID record of a CLE file corresponds to the USER_ID code of this user.
  • the FILESERV_ID code identifying the file creation server can only consist of the network address of this server.
  • the numerical code individually identifying the CLE file is a number, for example on 64 bits.
  • this code can be generated by the processing module C from the file ID_GENERATION.DATA stored in the personal memory 2 of the personal medium 1.
  • This file ID_GENERATION.DATA comprises an initial number which is incremented at each creation of file CLE by the processing module C.
  • the code determining the encryption mode for a file CLE can identify an encryption mode among at least three modes of encryption, namely: a total absence of encryption (the file is not encrypted and is accessible to the public); manual encryption by which the contents of the file is encrypted by the host station 5 with a code specific to this CLE file which must be entered by the user, for example a password entered using the keyboard (in this encryption mode, the file is lost if the user loses this specific code); automatic encryption by a symmetric LAK key generated by the processing module C from a pseudo-random code and encrypted with the user's personal code when it is stored in the file LAK.DATA on the personal memory 2.
  • the CLE file is saved on the local cache 8 of the personal support 1 in encrypted form and is decrypted during playback. It is communicated via the network in decrypted form and is encrypted again during a new write.
  • the user can modify his personal user code without losing the files stored on the local cache 8.
  • said symmetric key LAK having been decrypted with the old code user's personal code, is encrypted with the new user's personal code, and then stored encrypted on the personal memory 2.
  • This symmetric key LAK is created and stored in the personal memory 2 as soon as the user enters for the first time his personal code for the creating his personal user account.
  • the code determining the mode of synchronization of a file CLE allows to indicate the way with which this file CLE is synchronized, that is to say updated.
  • the processing module C furthermore includes an update management sub-module which allows, according to predetermined periods of time or according to a method known per se, to regularly update the files recorded on the servers 9.
  • the CLE files are saved only on the servers 9 and are never saved in the local cache 8 of the personal memory 2 of the personal medium 1.
  • the CLE file must be read from the server 9 on which it is registered.
  • the update management sub-module not being useful in this case.
  • This synchronization mode where the files are not synchronized is used for password files or specific command files or CLE files declared as such by the user.
  • synchronized mode is used for most other CLE files in the user area, and in particular it allows you to save the changes made by a user to CLE files, even in the event of a sudden break in the network connection or connection between the personal support 1 with the host station 5.
  • the processing module tries to read a ROOTJD root file identifier, in the ROOTJD.XML file saved on the personal memory 2.
  • the root file identifier ROOT_ID is constructed like any INFO-ID identifier , with the USER_ID user identification code, and the SERVER ID code identifying the server 9 on which this root file is registered.
  • the file ROOTJ ⁇ XML containing the identifier ROOT_ID does not appear on the personal memory 2.
  • the processing module C asks the user whether a new account should be created, and, if so, , establishes a connection with the central server 9a and requests this central server 9a to prepare a new user with a user identification code designated USER ID.
  • the processing module C then asks the user to enter a personal code (password) user of his choice.
  • the user's personal code For example, entered on the keyboard 25 of the host station 5 is stored by the processing module C in the random access memory 26 of the host station 5, in a data storage area 27 of this random access memory 26.
  • the processing module C After receiving the USERJD user identification code from the central server 9a, the processing module C requests a confirmation from the human user, then chooses an available server 9, creates a root file identifier ROOTJD (with the user code USERJD and the SERVERJD code of the selected server) and returns the confirmation composed of the entered personal code (password), and the ROOTJD identifier thus created.
  • the processing module C Before sending this data to the central server 9a, the processing module C performs encryption of the user's personal code at least, and preferably all of this data transmitted to the central server 9a. To do this, the processing module C is adapted to generate a symmetric key CS from a pseudo-random code provided by a pseudo-random code generator.
  • This symmetric key CS is then used to encrypt the data during transmission between the servers 9 and a host station 5, in general, and this, thanks to an encryption sub-module incorporated in the processing module C.
  • the public key Encryption PCK stored in the PCK.DATA configuration file in the personal memory 2 is an asymmetric encryption public key corresponding to a private key which is itself stored on the central server 9a.
  • the processing module C is then adapted to encrypt the symmetric key CS with this public key PCK, transmit this symmetric key thus encrypted to the central server 9a, itself adapted to decrypt the symmetric key with the corresponding asymmetric private key; and encrypting the ROOTJD root file identifier and the user personal code with this symmetric key CS, and this, before transmitting them to the central server 9a.
  • the central server 9a receiving the user identification data creates a user account, then sends a command to the processing module C for the latter to register the root file identifier ROOTJD in the file ROOTJ ⁇ XML on the personal memory 2 of the personal medium 1.
  • the personal medium 1 is configured to be used by a predetermined human user (or a group of human users having the same USERJD user identification code).
  • the authentication module A again requests the user personal code to the human user, which the latter can enter via the keyboard 25 and / or the corresponding screen, and / or in any other way (for example by voice input).
  • the personal code entered by the user is then checked by the authentication module A. If the personal code is not compliant, access is denied to the user. If, on the contrary, the personal code is consistent with that registered in the central server 9a, access is allowed.
  • a symmetric key CS is generated by the processing module C, encrypted with the public key PCK, then the user ID user ID of the authenticated user and his personal user code are encrypted with this symmetric key CS, then the whole (the symmetric key CS encrypted with the public key PCK, the user code USER_ID and the personal code encrypted with the symmetric key CS) is sent to the server 9 contacted.
  • the latter decrypts the symmetric key CS with the private key corresponding to the public key PCK, then decrypts the user code USER_ID and the personal code with the symmetric key CS, then verifies the validity of the user by checking the personal code corresponding to the USER_ID user code. This verification is done directly by a central server 9a; if the server 9 is not a central server, it contacts a central server so that it authenticates the user.
  • All the data being sent subsequently by this established connection can be advantageously encrypted with the symmetric key CS so that it can not be scanned by a malicious user of the network 10.
  • this technique takes into account the fact that a symmetric encryption is much faster than an asymmetric encryption: that is why only the symmetric key CS is asymmetrically encrypted.
  • the data sent by the server 9 and received by the host station 5 can be encrypted with the symmetric key CS.
  • the gateway process P realizes a configuration of the host station 5 so that the latter can access the CLE files of the user space, and this, in accordance with the steps shown in FIG. 4.
  • the filtering module D compatible with the detected operating system is loaded into the RAM of the host station 5.
  • WINDOWS® type operating system for example WINDOWS XP®.
  • This filtering module D comprises a dynamic library incorporating the functions of the operating system necessary for filtering and processing file queries.
  • the filtering module D starts the function of establishing the list of machines present on the local network of the host station 5, then adds a local machine corresponding to the name of the personal medium 1, namely for example CLE_XX, to this list of machines on the local network of the host station 5.
  • the filtering module D loads in the RAM of the host station 5 a request processing task on the machine CLE_XX, which is a task that then executes permanently, and described hereinafter more in detail.
  • the filtering module D searches in the list of virtual units of the host station 5, a free virtual unit of format U :. For example, the filtering module can start such a search from the last one, that is to say from Z:. The filtering module D then associates this virtual unit with a file path of the type ⁇ CLE_XX ⁇ AAA ⁇ , the directory AAA being defined by the filtering module D by default.
  • the host station 5 is configured to satisfy requests on files of the virtual unit U: corresponding to the user space of the authorized user of the personal medium 1.
  • FIG. shows in greater detail the step 43 of processing requests by the filtering module D.
  • step 51 the filtering module D is placed in the blocking reading state by a known function (for example "Netbios" under WINDOWS®). In this state, the filter module is waiting for a reading of a request arriving on the machine ⁇ CLE_XX.
  • a known function for example "Netbios” under WINDOWS®.
  • the subsequent step 52 corresponds to the arrival of a request for the machine ⁇ CLE_XX, as detected by the filtering module D.
  • the latter then initiates a step 53 of interpretation SMB / CIFS of the request to translate it. according to a protocol adapted to the processing module C.
  • the filtering module D calls a function corresponding to the request for its processing by the processing module C.
  • the subsequent step 55 corresponds to the execution of this function by the processing module C and will be described in more detail below.
  • the filtering module D is then placed in a waiting state of the response of the function performed by the processing module C, and this, in step 56.
  • this response is received by the filtering module D, it builds the byte packet corresponding to this response in step 57, according to the protocol (CIFS in the example of WINDOWS®) corresponding to the operating system of the host station 5.
  • the module filtering D returns the answer corresponding to the request and coming from the machine ⁇ CLE_XX. This answerback is also a known system function incorporated into "Netbios”.
  • the filtering module D returns to the blocking read state of the initial step 51.
  • the filtering module D can be implemented in the form of a module of similar structure to that of a device driver, and adapted to be inserted into the core of the operating system in RAM and to directly receive requests on the virtual unit U :.
  • the architecture of the different directories and files CLE of each user can be organized in a standard way in the form of a tree structure, and this architecture is stored in the root file identified by ROOT_ID on a server 9 (and not on the personal medium 1 or on a host station 5).
  • each file CLE is identified in this architecture by its path, and, moreover, by the corresponding INFOJDD identifier as described above.
  • FIGS. 6, 7 and 8 illustrate the different steps performed by the processing module C to perform various functions that can be performed on CLE files, namely respectively a file read, a file write, and the creation of a file. new file.
  • FIG. 6 represents, for example, a reading of a file CLE belonging to a user designated USERl and whose path is USER1 ⁇ DIR1 ⁇ FFF1.
  • the processing module C determines which is the user space architecture of USERl. To do this, the processing module C searches for the contents of the root file of USERl. To know the ROOT-ID1 identifier of the root file of the USERl user, if the authorized user connected is not USERl 5 the processing module C asks in step 61 this identifier ROOT_ID1 by the network to the central server 9a.
  • ROOTJDl can be read directly in this step 61 in the file ROOT_ID.XML of the personal support 1 of USERl.
  • the processing module C reads, in the identifier ROOTJD1, the identifier SERVERJD1 of the server 9 where this root file is recorded, then, during step 63, the processing module C reads the architecture contained in the root file identified by ROOTJDl, in the server SERVERJDl which contains it or in the local cache 8, which makes it possible to know the identifier INFOJDl of the file DIRlMFFFl by association during step 64. The module of processing C can then read the contents of this INFOJDl file during step 65.
  • requests for information (request for identifier, reading of a file content, request to write the contents of a file) on a server 9 are made by any known transfer technique.
  • information on the network 10 for example a specific bilateral network link ("Socket")) to which the encryption protocol of the information sent and received as described above applies, the information being encrypted with a symmetric key CS, itself encrypted with the PCK asymmetric public key.
  • Socket bilateral network link
  • the processing module C When writing (FIG. 7) to a CLE file of the user USER1 whose path is USERl ⁇ DIR1 ⁇ FFF2, the processing module C also determines, as before, the architecture of the files of the user space of USER1, by performing the series of preliminary steps described above. The processing module C then searches in step 71 for the identification code INFO JD2 of the file corresponding to DIR1 ⁇ FFF2.
  • step 72 is to write this file.
  • this writing is performed in the local cache 8 of the personal medium 1, then, the update management sub-module is launched in step 73 by the processing module C to update this file, if necessary.
  • Fig. 8 shows a method for creating a new CLE file of the USER1 user whose path is USER1 ⁇ DIR1 ⁇ FFF3.
  • the processing module C creates a new identifier corresponding to this new file DIR1VFFF3, that is to say an identifier designated INFO_ID3.
  • this new record INFO_ID3 is added to the content of the user space USERl with a specified name (in this case DIR1 ⁇ FFF3).
  • the processing module C then writes during step 83, the new version of the file architecture of this user in the local cache 8 of the personal medium 1, then launches, in step 84. the submodule update management which allows, at an appropriate time, to update this file on the corresponding central server 9a.
  • the update management sub-module can be provided a specific file stored in the local cache 8 of the personal memory 2, in which are recorded the records identifying the various CLE files that have been subject changes by the user and then to be checked for updates by the update management sub-module.
  • the processing module C can see in the central server 9a a file identifying the different servers and in which the rate of occupation of each server 9 is stored in real time.
  • the different servers 9 can themselves be identified in a computer system according to the invention as specific users, that is to say in a strictly identical manner to the personal supports 1 of the point logical view.
  • their network address can be stored in a specific file of their mass memory and updated by synchronization in the same way as the files of the local cache 8 of a personal medium 1.
  • any CLE file of the user space that is digitally processed by the host station 5 is saved in the local cache 8 of the personal memory 2.
  • the user can nevertheless avoid such writing. in the local cache 8, for example by specifying that the file is of the unsynchronized type. The risk exists that this file is lost if the connection to the network or the connection between the personal medium 1 and the host station 5 is suddenly interrupted.
  • the update management sub-module determines whether an update is necessary by consulting the metadata associated with each file, including the date of the last modification made to the file. Such an update management sub-module is known in itself and does not have to be detailed.
  • the invention thus represents a considerable advance and a radical change in work habits with computer systems.
  • users can, through the invention, manage all of their personal data or personal or personalized information, not on a portable medium that contains this information or from a workstation of their own and that contains this information, but remotely via a network such as the public Internet network and only through a personal support 1 which can reliably identify them, and save files being modified in synchronization, and on the other hand, from any standard host stations to which they can connect and which are automatically configured by the personal medium 1.
  • a network such as the public Internet network
  • each user sees his user space transparently as a directory of the host station 5 to which he is connected and accesses the corresponding CLE files in the traditional way, as if these files were stored on the mass memory of the host station 5.
  • read / write access or creation of new files are performed in a perfectly reliable and secure manner.
  • a personal support 1 If a personal support 1 is lost or stolen, it suffices for the user to acquire a new personal medium 1, if necessary to provide it with the gateway process P and download configuration files. In this case, the P gateway process will not find the ROOT_ID.XML file, and ask the user for a choice between creating an account or restoring an account.
  • the user In the case of a restoration, the user enters his USER_ID code and his personal user code, which are sent to the central server 9a. The latter checks their validity, and returns the root file identifier ROOT_ID of this user, who can then access his user space again.
  • the invention makes it possible not only to access data, but also to make available to different users specific programs and applications, automatically updated by the suppliers of these specific programs and applications, without the user having itself to download updates or install these updates on any computer.
  • a software consisting of executable files can be registered on the user space of the editor of this software. This user space is made accessible either free of charge or under condition of a subscription to a specific service by any client user wishing to access it.
  • These files making up the software are subsequently imported directly into the RAM of the host station 5 to which the personal support 1 of the client user is connected and executed on the host station 5, without the client user having to perform any installation procedure.
  • the invention also makes it possible in the same way to propose software rentals or updates of software or specific data depending on the users, and to manage the payments of the different users to access these software or updates or specific data. .
  • the invention allows each user to have all his user space, and from any location, permanently, and perfectly reliable and synchronized. It also results in users no longer being encouraged to illegally hack software or data, since they do not have to install them themselves. same.
  • the invention makes it possible to reliably and flexibly manage access to different information, data and programs that are common or individually customized by the different users or groups of users. Indeed, it is possible for an authenticated user to allow access to his user space to other authenticated users by configuring the servers 9 to allow access to this user space for these other users.
  • the invention can be the subject of numerous applications for the storage and provision of information and various personal data such as software, word processing documents, tables, calendars, Internet favorites or others.
  • the different files are identified by the INFO_ID records which remain identical throughout the life of the file and do not depend on the operating systems and recording technologies.
  • the file names are thus always valid at all times regardless of the technological platforms implemented and used on the servers and / or the host stations 5.
  • the different servers 9 for storing files require only a very small digital processing capacity, in reality limited to the recording of the various files and their reading. They are therefore essentially mass memories and, unlike the standard computer architectures known to date, in a computer system according to the invention, the computer processing is completely deported at the level of the host stations 5 and not at the level of the servers themselves. -Same.
  • the various servers 9 are machines that can be very light and that the interfaces between the host stations 5 and the different servers 9 are particularly simple since they only convey actions on the files and not on the files and directories.
  • the coherence of the local caches 8 with the host stations 5 and the personal supports 1 is ensured.
  • the invention involves a disruption of habits related to the use of computer data.
  • a software can, without having to be modified according to the client user, adapt to it.
  • the software can read configuration files on the user space on which it is saved (user space of the editor) but it can also read additional configuration files on the user space of the client user. running.
  • software can load its graphical appearance on a file of the user's user space of the user and, for example if the user is visually impaired, adapt the colors to his preferences.
  • a website can, in the same way, adapt its appearance, without the need to request and save user preferences in a database specific to this website. All that is needed is to read a file (for example a cascading style sheet CSS file) on the user space of the user visiting this site.
  • a file for example a cascading style sheet CSS file
  • the CLE files of the users are not duplicated on all the stations where they must be used but are accessible in a simple and universal way on demand (for example by double-clicking on the icon representing them). It is therefore not necessary to exchange the files by manually transferring them from station to station or by sending them by e-mail.
  • the quality of the use of the files is improved because the recipient user no longer has to accept to receive, nor to receive a file when a sender user sends him such a file. It is sufficient that the recipient user accesses this file when it actually needs it.
  • the data generated by the use of computer resources (documents, letters, contacts, software, images, music, various digital creations, Internet sites, databases, etc.) are globally classified and accessible in a simple and direct way by the users without suffering from penalties related to their storage on a single station (possible destruction if destruction of the station, dependence of data on the operating system present on the station, limit of the recording space, etc.).
  • the invention defines universal access to data from any host station to which the user connects his personal medium 1.
  • the invention thus rests on a clear separation between the recording and the interpretation of the data.
  • Interpreting the data according to the host stations increases the potential for using the data.
  • an address book managed on a host station type personal computer can be classified and completed very simply with the keyboard and mouse of said host station.
  • a user can also use this address book on a mobile-type host station when he plugs his personal support to the latter, thus allowing the mobile phone to know numbers useful to this user, and whatever the type or owner of the phone. portable proper.
  • a user can memorize his favorite radio stations by connecting his personal support to a home theater-type host station and listen to them by connecting his personal support to a radio-type host station, or still on a more advanced type host station such as an interactive seat equipped with headphones.
  • the invention makes it possible to create multiple access points to a user space. Instead of being grouped in a personal computer serving In all the tasks, the functionalities are conversely everywhere where the user needs them, the multiple host stations being each able to interpret at least part of the data of the user.
  • the shopping list of a housewife can be interpreted by a refrigerator (host station) when it approaches with its own support identifying it.
  • the refrigerator can calculate which foods are missing or even offer a recipe based on the family's tastes previously entered on a personal website of the house.
  • the light, the heating, the operation of accessories can adapt in a living room or work depending on the user (s) present (s).
  • a user can share a specific file of his user space interpreted by a host station type building door, for example the door of his home, with another user so that it can enter the same building (home), the door allowing this way access to it when it connects his personal support.
  • the invention makes it possible to take into account the increasing importance that computing takes in everyday life, to alleviate the problem of the growing complication that currently exists for users with known systems: their data is scattered (servers, personal computers, telephones laptops, etc.), of various formats (for example, it is difficult to save a mobile phone address book on a personal computer) and difficult to access (the digital machine must be available and available to interpret them) .
  • the user space information is clearly and simply accessible, independent of the execution host stations, always synchronized (up to date), and yet recorded disseminated on the servers, this which implies that the quality and durability of the recording are much higher than those obtained with personal computers.
  • the invention also makes it possible to implement a recurring process for backing up the servers 9 making it possible to securely store the data of the user areas in the long term.
  • filtering modules D compatible with other operating systems than WINDOWS® can be made in a manner similar to the example given above, and incorporated in the gateway process P.
  • the IT functionalities, architectures and structures described above can be realized by simple programming of known computing devices, in particular for example using the JAVA language making it possible to write a program in a way that is not dependent on the operating system, in particular useful in the case of the treatment module C.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un support de mémoire portatif, dit support personnel (1), comprenant une mémoire de masse personnelle dans laquelle sont enregistrées des données et formant un processus passerelle (P) adapté pour pouvoir être chargé en mémoire vive d'une station hôte (5), et pour configurer cette station hôte (5) auquel le support personnel (1) est connecté. L'invention s'étend à un système informatique comprenant des supports personnels (1), des stations hôtes (5), et des serveurs (9) sur lesquels sont enregistrées des informations correspondant à des espaces utilisateurs propres aux utilisateurs titulaires des supports personnels (1).

Description

SUPPORT PERSONNEL DE MÉMOIRE DE MASSE PORTATIF ET SYSTÈME INFORMATIQUE D'ACCÈS SÉCURISÉ A UN ESPACE UTILISATEUR VIA UN
RÉSEAU
L'invention concerne un support personnel de mémoire de masse portatif et un système informatique permettant à chaque utilisateur doté d'un tel support personnel d'accéder de façon sécurisée à un espace informatique utilisateur qui lui est propre, via un réseau tel que Internet, de façon sécurisée et à partir d'une station informatique hôte quelconque non préalablement spécifiquement configurée ou dédiée pour gérer cet espace utilisateur ou permettre l'accès à cet espace utilisateur.
Différents systèmes connus proposent l'utilisation d'un support personnel tel qu'une clé USB (« universal sériai bus ») pour contrôler l'accès d'un utilisateur à un ordinateur, ou plus généralement à des ressources informatiques, par un ou plusieurs mot(s) de passe (clé(s) symétrique(s)) enregistré(s) sous forme cryptée sur le support. On peut citer par exemple les systèmes SECURIKEY® ou WIBU-KEY®
(commercialisés par WIBU-SYSTEMS, Karlsruhe, Allemagne). Ces systèmes ne permettent néanmoins pas à un utilisateur d'accéder à des ressources informatiques de façon personnalisée (espace utilisateur) pouvant comprendre des documents, fichiers, données, programmes,... depuis une station informatique quelconque non préalablement configurée à cet effet et connectée à un réseau.
En outre, avec ces systèmes connus, tous les moyens de vérification d'identité ou d'authentifïcation, y compris le logiciel, sont mémorisés sur la clé, de sorte que l'accès aux ressources informatiques personnelles est impossible pour un utilisateur qui a perdu son support personnel. A l'inverse, un tiers en possession du support personnel peut accéder à ces ressources s'il peut relire le(les) mot(s) de passe depuis le support, ce qui n'est techniquement pas impossible.
US-2004/0001088 décrit un dispositif portable tel qu'une clé USB permettant de transporter l'environnement informatique personnel d'un utilisateur, sous forme de fichiers mémorisés sur la mémoire non volatile de cette clé USB. Cet environnement personnel contient les favoris, les courriers électroniques, les contacts, les « cookies » (programmes mouchards), les signatures numériques, les fonds d'écran, les icônes de bureau, les calendriers et agendas, les configurations de barres d'outils, les configurations audio, graphiques, les options de jeux... Cet environnement peut être défini par téléchargement à partir d'un site Internet dont l'adresse est mémorisée sur la clé USB. Ce système consiste donc à utiliser la mémoire de la clé USB pour transférer un environnement informatique d'un ordinateur à l'autre. Mais, pour ce faire, chaque ordinateur doit être compatible avec un tel environnement, et doit être indépendamment et préalablement programmé pour pouvoir réaliser le transfert de l'environnement personnel à partir des informations contenues sur le support portatif. Ainsi, ce document ne décrit pas un système informatique permettant d'accéder à un espace utilisateur contenu en tout ou partie sur un dispositif autre que ses ordinateurs personnels et que le support personnel, et ce, à partir d'une station quelconque initialement non spécifiquement configurée pour un tel accès.
Par ailleurs, d'autres solutions (par exemple US-2002/0133561) ont proposé la réalisation d'un disque virtuel sur Internet pour le stockage, l'extraction, l'accès, le contrôle et la manipulation de fichiers à distance par un utilisateur depuis n'importe quel terminal. Mais l'accès à ce disque virtuel suppose que le terminal utilisé soit lui-même préalablement configuré pour permettre cet accès, contienne une partie de l'espace utilisateur, et soit compatible avec la technologie et le système d'exploitation utilisés pour stocker les fichiers distants. En particulier, chaque terminal doit être doté d'un navigateur Internet compatible avec la technologie utilisée pour réaliser le disque virtuel. Ainsi, toutes les solutions antérieures proposées pour la gestion d'un espace utilisateur personnel géré sur un réseau (et non sur un poste informatique spécifique) se heurtent au fait qu'elles sont étroitement dépendantes du système d'exploitation sur lequel elles se fondent et de la mise en œuvre pratique spécifique qu'elles requièrent (programmation, et/ou architecture de stockage des données et/ou technologies spécifiques). Or, les différentes ressources informatiques pouvant composer un espace utilisateur sont aujourd'hui très variées et ne sont pas nécessairement compatibles avec les techniques de programmation, les architectures, les programmes applicatifs ou les systèmes d'exploitation requis dans les solutions connues.
Ainsi, aucune solution connue ne permet à un utilisateur d'accéder instantanément à un espace utilisateur pouvant comprendre non seulement des données et informations personnelles, mais également des données ou informations partagées par d'autres utilisateurs, des programmes applicatifs installés sous forme exécutable, cet espace utilisateur étant géré à distance sur un ou plusieurs serveur(s), et ce, à partir d'une station informatique quelconque non préalablement configurée ou adaptée à cette fin et pouvant ne contenir aucune des informations numériques (programmes ou données) correspondant à cet espace utilisateur.
L'invention vise de façon générale à fournir une solution à ce problème.
Elle vise donc à proposer un support de mémoire de masse portatif et un système informatique grâce auxquels un utilisateur peut accéder à un espace informatique utilisateur qui lui est propre à partir d'une station informatique quelconque non spécifiquement préalablement configurée à cet effet et pouvant elle- même ne contenir aucune des informations numériques (programmes ou données numériques) correspondant à cet espace utilisateur.
L'invention vise aussi à permettre un tel accès de façon sécurisée, mais sans que la perte du support personnel rende ensuite impossible l'accès à l'espace utilisateur, ni que la seule possession du support personnel permette cet accès par une personne autre que l'utilisateur authentique.
L'invention vise de surcroît à proposer un tel support personnel et un tel système informatique avec lesquels les informations de l'espace utilisateur sont automatiquement mises à jour et synchronisées, sans risque de pertes de données, de façon fiable, y compris en cas de rupture soudaine de connexion d'une station au réseau.
L'invention vise de surcroît à proposer un système informatique performant en termes de vitesse de réaction pour l'utilisateur, simple et ergonomique à utiliser, et de très faible prix de revient. Dans tout le texte, on adopte la terminologie suivante :
- mémoire de masse : toute mémoire informatique non volatile réinscriptible permettant de stocker des informations numériques de façon durable quelle que soit la technologie mise en œuvre (magnétique, optique, électronique...) pour la réaliser, - système informatique : combinaison de matériel(s), logiciel(s), informations, fichiers et/ou bases de données, données numériques, apte à réaliser des fonctions informatiques prédéterminées,
- utilisateur : une personne physique ou morale ou un groupe de personnes physiques et/ou morales, - portatif : désigne tout objet pouvant être manipulé par l'homme, porté d'une seule main, et transporté aisément en permanence, par exemple au format de poche,
- fichier : ce terme est utilisé en son sens logique désignant un ensemble d'informations numériques référencées par une adresse informatique ; il peut s'agir par exemple d'un ou plusieurs fichier(s) physique(s), ou d'une ou plusieurs table(s) de données ou d'une partie d'un fichier physique ou d'une table de données,
- espace utilisateur : ensemble de ressources informatiques, données, logiciels ou autres informations adapté pour pouvoir fournir des services informatiques propres à un utilisateur prédéterminé, comprenant l'enregistrement d'informations spécifiques propres à un utilisateur, et la mise à disposition de cet utilisateur de données et logiciels prédéterminés ; l'espace utilisateur comprend non seulement des données ou informations créées ou gérées par un utilisateur, mais également des données, informations et programmes sous forme exécutable partagés par d'autres utilisateurs ou fournisseurs de ressources informatiques. L'invention concerne donc un support de mémoire de masse portatif, dit support personnel, comprenant :
- au moins une mémoire de masse, dite mémoire personnelle,
- des moyens de connexion à toute station informatique, dite station hôte, dotée :
. de moyens de traitement numérique à microprocesseur(s) et mémoire(s) vive(s) associée(s),
. d'au moins un système d'exploitation et de gestion de fichiers, . de moyens de connexion conjugués de ceux du support personnel, de telle sorte qu'au moins une partie de la mémoire personnelle du support personnel puisse être accédée en lecture/écriture par une station hôte lorsque les moyens de connexion sont actifs,
- enregistrées en mémoire personnelle, des données, dites données d'identification utilisateur, d'identification d'au moins un utilisateur humain, dit utilisateur autorisé, autorisé à utiliser ce support personnel, caractérisé en ce qu'il comprend, enregistrées en mémoire personnelle, des données formant un processus, dit processus passerelle, adapté pour pouvoir être chargé en mémoire vive d'une station hôte auquel le support personnel est connecté, ce processus passerelle comprenant :
. un module d'authentification, par la station hôte, de tout utilisateur humain réalisant la connexion du support personnel à cette station hôte, adapté pour déterminer s'il s'agit d'un utilisateur autorisé, et pour n'autoriser l'accès à l'espace utilisateur correspondant aux données d'identification utilisateur enregistrées dans la mémoire personnelle que si un utilisateur autorisé est identifié et authentifié,
. un module de filtrage de requêtes sur fichiers adapté pour pouvoir reconnaître toute requête intéressant au moins un fichier, dit fichier CLE, appartenant à un espace utilisateur de l'utilisateur autorisé, comprenant des informations numériques enregistrées dans une partie de mémoire personnelle, dite cache local, et/ou dans au moins une mémoire de masse d'au moins un serveur distinct de la station hôte et auquel la station hôte dotée de moyens de connexion et d'accès à au moins un réseau numérique peut être reliée via un tel réseau,
. un module de traitement de chaque requête sur un fichier CLE adapté pour pouvoir créer un fichier CLE et/ou accéder à tout fichier CLE et permettre le traitement d'une requête correspondante par le système d'exploitation et de gestion de fichiers de la station hôte de la même façon que s'il s'agissait d'une requête sur un fichier propre à cette station hôte.
L'invention s'étend à un système informatique d'accès sécurisé à un réseau par des utilisateurs, comprenant :
- des stations informatiques, dites stations hôtes, dotée chacune :
. de moyens de traitement numérique à microprocesseur(s) et mémoire(s) vive(s) associée(s),
. d'au moins un système d'exploitation et de gestion de fichiers,
. de moyens de connexion conjugués de moyens de connexion d'au moins un support de mémoire de masse portatif, dit support personnel, de telle sorte qu'au moins une partie de la mémoire de masse du support personnel puisse être accédée en lecture/écriture par la station hôte lorsque les moyens de connexion sont actifs,
. de moyens de connexion et d'accès à au moins un réseau numérique public -notamment le réseau Internet-,
- au moins un serveur comprenant au moins une mémoire de masse, dite mémoire serveur, et des moyens de connexion à au moins un réseau numérique public -notamment le réseau Internet-, et adapté pour permettre l'accès en lecture/écriture à au moins une partie de cette mémoire serveur via un tel réseau numérique public,
- chaque support personnel comprenant :
. au moins une mémoire de masse, dite mémoire personnelle,
. des moyens de connexion à toute station hôte, . enregistrées en mémoire personnelle, des données, dites données d'identification utilisateur, d'identification d'au moins un utilisateur humain, dit utilisateur autorisé, autorisé à utiliser ce support personnel, caractérisé en ce que chaque support personnel comprend, enregistrées en mémoire personnelle, des données formant un processus, dit processus passerelle, adapté pour pouvoir être chargé en mémoire vive d'une station hôte auquel le support personnel est connecté, ce processus passerelle comprenant : . un module d'authentification, par la station hôte, de tout utilisateur humain réalisant la connexion du support personnel à cette station hôte, adapté pour déterminer s'il s'agit d'un utilisateur autorisé, et pour n'autoriser l'accès à l'espace utilisateur correspondant aux données d'identification utilisateur enregistrées dans la mémoire personnelle que si un utilisateur autorisé est identifié et authentifié, . un module de filtrage de requêtes sur fichiers adapté pour pouvoir reconnaître toute requête intéressant au moins un fichier, dit fichier CLE, appartenant à un espace utilisateur de l'utilisateur autorisé, comprenant des informations numériques enregistrées dans une partie de la mémoire personnelle, dite cache local, et/ou dans au moins une mémoire serveur d'au moins un serveur distinct de la station hôte,
. un module de traitement de chaque requête sur un fichier
CLE adapté pour pouvoir créer un fichier CLE et/ou accéder à tout fichier CLE et permettre le traitement d'une requête correspondante par le système d'exploitation et de gestion de fichiers de la station hôte de la même façon que s'il s'agissait d'une requête sur un fichier propre à cette station hôte. Un système informatique conforme à l'invention constitue donc un système informatique d'accès sécurisé, via un réseau - notamment un réseau public tel que le réseau Internet- par des utilisateurs à des espaces utilisateurs. Chaque espace utilisateur est propre à un utilisateur unique et contient des fichiers qui peuvent être entièrement gérés et utilisés par l'utilisateur, grâce notamment au processus passerelle.
Un système informatique selon l'invention comprend une pluralité de supports personnels correspondant à la pluralité d'utilisateurs du système. Tout support de mémoire de masse portatif peut être utilisé à titre de support personnel conformément à l'invention. Il peut s'agir en particulier de supports de mémoire de masse de type magnétique, optique, électronique, électro-optique,... l'invention n'étant pas limitée à une technologie spécifique pour la réalisation des supports personnels. Il est à noter cependant que le support personnel contient au moins une mémoire de masse, qui est donc en particulier de type réinscriptible, accessible en lecture et en écriture. À ce titre, une spécificité de l'invention consiste à procurer un niveau de sécurité extrêmement important en ce qui concerne notamment les informations de chaque espace utilisateur, tout en mettant en oeuvre des supports personnels réinscriptibles.
Dans un système informatique selon l'invention, chaque utilisateur est doté d'un support personnel qui lui est propre, et les différents utilisateurs peuvent être dotés de supports personnels tous réalisés selon une même technologie, ou, au contraire, selon des technologies différentes. Rien n'empêche de prévoir également qu'un même support personnel portatif incorpore plusieurs mémoires de masse, de technologies différentes, les informations et données contenues sur ce support personnel étant dupliquées sur ces différentes mémoires de masse, de sorte que le support personnel est compatible avec différentes de technologies de connexion aux stations hôtes.
Les supports personnels peuvent être plus ou moins complexes et notamment incorporer eux-mêmes des moyens de traitement numérique de données telles qu'un microprocesseur ou autre. Néanmoins, avantageusement et selon l'invention, les supports personnels sont exempts de moyens de traitement numérique autres que ceux nécessaires, le cas échéant, à l'établissement et au fonctionnement des moyens de connexion entre les supports personnels et les stations hôtes.
Les supports personnels peuvent en particulier être exempts de microprocesseur, mémoire vive associée et de toute unité polyvalente de traitement d'informations et/ou de calcul. Avantageusement et selon l'invention, ils sont aussi exempts d'interface homme/machine (écran, clavier, pointeur...) et les stations hôtes sont dotées d'une interface homme/machine. Les supports personnels peuvent ainsi être réduits aux seuls éléments formant leurs fonctions de mémoire de masse et de connexion standard avec une station hôte.
Les moyens de connexion entre les supports personnels et les stations hôtes peuvent être réalisées sous toutes formes connues, incluant notamment une connexion par branchement filaire, une connexion à distance radiofréquence infrarouge, une connexion par insertion du support personnel dans un lecteur approprié (par exemple si le support personnel est une cassette, une bande, une disquette ou un disque)... Avantageusement et selon l'invention, les moyens de connexion d'un support personnel à une station hôte sont du type rendus actifs par rapprochement et/ou branchement du support personnel et de la station hôte. Selon un mode de réalisation, un support personnel selon l'invention peut être réalisé avantageusement sous forme d'une simple clé USB permettant ainsi de réduire au strict minimum le coût d'investissement pour chaque utilisateur.
L'invention s'applique néanmoins aussi à des supports personnels plus sophistiqués (tels que des assistants numériques personnels portatifs (PDA) ou des ordinateurs portatifs ou des téléphones portatifs à mémoire de masse...) pouvant ainsi incorporer des moyens de traitement d'informations à microprocesseur(s) et/ou une interface homme/machine ; dans ce cas néanmoins, ces moyens de traitement d'informations n'ont pas d'utilité dans le cadre de la présente invention. L'interface homme/machine d'un tel support peut en partie ou en totalité remplacer celle d'une station hôte.
D'autres types de connexion qu'une liaison USB peuvent être envisagés, en variante ou en combinaison, par exemple une liaison filaire, ou une liaison sans fil radiofréquence (WI-FI ou autre) ou infrarouge.
Quoi qu'il en soit, chaque utilisateur doté d'un support personnel peut accéder à son espace utilisateur à partir de n'importe quelle station hôte à laquelle il peut connecter son support personnel. L'invention permet ainsi un accès simple, rapide, et nomade par chaque utilisateur à son espace utilisateur.
En outre, avantageusement et selon l'invention, un système selon l'invention comprend, enregistrées en mémoire personnelle de chaque support personnel, des données ROOT_ID identifiant au moins un fichier racine enregistré sur un serveur, ce fichier racine comprenant au moins une partie de l'architecture des fichiers CLE de l'espace utilisateur. De la sorte, cette partie de l'architecture, ou cette architecture, n'est pas nécessairement elle-même mémorisée sur les supports personnels (sauf éventuellement dupliquée sur le cache local du support personnel) ni sur les stations hôtes. Il est à noter également que d'autres fichiers CLE de l'espace utilisateur peuvent contenir, de la même façon, une partie de l'architecture de l'espace utilisateur. Autrement dit, les données décrivant l'architecture de l'espace utilisateur ne sont pas nécessairement rassemblées dans un seul et même fichier racine, mais peuvent être réparties dans plusieurs fichiers, à savoir un (ou plusieurs) fichier(s) racine spécifiquement dédié(s) à l'enregistrement de ces données et/ou un (ou plusieurs) fichier(s) CLE pouvant contenir d'autres informations ou données.
Selon l'invention, de préférence, ce fichier racine est un fichier CLE (c'est-à-dire un fichier de l'espace utilisateur correspondant) et géré comme tel. Par ailleurs, avantageusement, dans un système informatique selon l'invention, les stations hôtes sont choisies parmi :
- des ordinateurs personnels du type fixe,
- des ordinateurs personnels du type portable,
- des dispositifs de traitement numérique portatifs -notamment des assistants personnels numériques PDA ou des téléphones mobiles-.
Les stations hôtes peuvent être quelconques et plus ou moins sophistiquées, dès lors qu'elles permettent de fournir des moyens de traitement d'informations et de gestion de fichiers, et, de préférence, au moins en partie, l'interface homme/machine. Pour chaque utilisateur, ces stations hôtes peuvent être ainsi des ordinateurs fixes personnels de l'utilisateur situés à son domicile et sur son lieu de travail, un ordinateur portable de l'utilisateur, un assistant personnel de type PDA, des terminaux d'accès à Internet à accès public (tels que ceux mis à disposition dans les lieux publics tels que les gares, aéroports, médiathèques, galeries commerciales, cybercafé...) ou un ordinateur ou assistant personnel d'un ami ou d'un collègue... Grâce à l'invention, chaque utilisateur a ainsi instantanément accès à l'ensemble des fichiers, données et programmes applicatifs de son espace utilisateur, à partir d'un lieu quelconque, sans avoir à configurer préalablement spécifiquement manuellement un ordinateur (notamment sans nécessiter l'installation préalable de logiciels ou d'un système d'exploitation sur la station hôte), et ce, avec l'aide uniquement de son support personnel, de façon parfaitement sécurisée. Il en résulte un confort de gestion extrêmement grand pour les utilisateurs à un coût négligeable.
Une telle architecture de stockage et d'accès sécurisé en réseau à des espaces utilisateurs présente de nombreux autres avantages liés au bouleversement complet des habitudes et des méthodes de l'informatique moderne qu'implique l'invention. En particulier, les différentes mises à jour et évolutions de données et/ou programmes applicatifs peuvent être effectuées directement sur les serveurs par les fournisseurs de ces données et/ou programmes applicatifs eux-mêmes, et ne nécessitent plus aucune démarche (comme par exemple un téléchargement et/ou une installation) de la part de chaque utilisateur. En outre, la mise en œuvre et l'utilisation de l'invention ne sont pas dépendantes d'un système d'exploitation ou d'une technologie particulière. En effet, l'invention peut être rendue compatible (comme décrit ci-après) avec tous les systèmes d'exploitation proposés par les éditeurs ou constructeurs. Les fichiers de l'espace utilisateur sont vus et gérés à partir de toute station hôte comme des fichiers propres à cette station hôte. Dès lors, les applications logicielles proposées par les éditeurs ou constructeurs sous ces systèmes d'exploitation fonctionnent sans modification avec les fichiers de l'espace utilisateur. Cet aspect universel et systématique de l'invention représente une ergonomie et un attrait extrêmement grands pour les utilisateurs et les éditeurs. Ainsi, avantageusement et selon l'invention, le module de traitement est adapté pour être exécuté dans une zone mémoire dédiée aux programmes applicatifs et accessible en mode utilisateur de la mémoire vive d'une station hôte.
Par ailleurs, avantageusement et selon l'invention, le module d'authentifîcation est adapté pour authentifier un utilisateur autorisé par saisie par ce dernier sur une interface homme/machine -notamment sur l'interface homme/machine de la station hôte à laquelle le support personnel est connecté- d'un code, dit code personnel utilisateur, permettant la validation de l'identité de l'utilisateur par le module d'authentifîcation, et pour mémoriser le code personnel utilisateur en mémoire vive de la station hôte, et le processus passerelle est adapté pour transmettre le code personnel utilisateur à chaque serveur auquel la station hôte est reliée en vue d'une transmission d'informations numériques. Ce code personnel utilisateur peut être un mot de passe utilisateur saisi sur un clavier, par exemple le clavier d'une station hôte, ou un code numérique représentatif d'une caractéristique biométrique (empreinte digitale) saisi par un capteur solidaire d'une station hôte ou d'un support personnel, ou autre.
Le code personnel utilisateur n'étant pas enregistré sur le support personnel, la perte ou le vol de ce dernier est quasiment sans conséquence pour l'utilisateur qui pourra accéder à nouveau à son espace utilisateur avec un autre support personnel. Avantageusement et selon l'invention, chaque serveur est adapté pour vérifier la validité du code personnel utilisateur avant d'autoriser l'établissement d'une liaison entre le serveur et une station hôte à laquelle un support personnel correspondant est connecté.
Par ailleurs, avantageusement, un système informatique selon l'invention comprend au moins un serveur, dit serveur central, comprenant pour chaque utilisateur au moins un enregistrement, dit compte utilisateur, comprenant lesdites données d'identification utilisateur associées au code personnel utilisateur mémorisé dans ledit enregistrement sous forme non compréhensible par l'homme. Avantageusement et selon l'invention, lesdites données d'identification utilisateur enregistrées en mémoire personnelle d'un support personnel comprennent un code identifiant individuellement un utilisateur et des données identifiant un serveur central.
Avantageusement et selon l'invention, le module de traitement inclut au moins un sous-module de cryptage par une clé symétrique générée par le module de traitement à partir d'un code fourni par le module de traitement.
En outre, avantageusement et selon l'invention, chaque support personnel comprend, enregistrée en mémoire personnelle, une clé publique de cryptage asymétrique correspondant à une clé privée d'un serveur central, cette clé privée étant mémorisée dans une mémoire de masse du serveur central, et le module de traitement est adapté pour :
- générer une clé symétrique et la crypter avec ladite clé publique,
- transmettre cette clé symétrique cryptée au serveur central, lui- même adapté pour la décrypter (avec la clé asymétrique privée correspondante), - crypter les données d'identification utilisateur et le code personnel utilisateur avec ladite clé symétrique avant de les transmettre au serveur central.
Par ailleurs, dans un mode de réalisation avantageux de l'invention, le module de traitement est adapté pour enregistrer par défaut tout fichier CLE de l'espace utilisateur faisant l'objet d'un traitement numérique par la station hôte dans le cache local de la mémoire personnelle du support personnel. De la sorte, les opérations réalisées par l'utilisateur lors d'une session de travail sont sauvegardées sur le cache local du support personnel, et conservées même en cas de rupture soudaine de la connexion au réseau public ou de celle entre le support personnel et la station hôte. En outre, avantageusement, dans un système informatique selon l'invention, les fichiers CLE sont identifiés par un identifiant de bas niveau compatible avec tous les systèmes d'exploitation et les systèmes de gestion de fichiers, et tous les serveurs, toutes les stations hôtes (et leur(s) système(s) de gestion de fichiers) et tous les supports personnels. Ainsi, avantageusement et selon l'invention, le module de traitement est adapté pour créer chaque fichier CLE avec un enregistrement identifiant de ce fichier CLE5 dit INFO ID, comprenant :
- un code identifiant un serveur, dit FILESERV_ID, où ce fichier a été initialement enregistré, - un code identifiant un utilisateur ayant créé ce fichier CLE,
- un code numérique identifiant individuellement le fichier CLE. Avantageusement et selon l'invention, un enregistrement
INFOJŒ) comprend en outre :
- un code déterminant un mode de cryptage pour le fichier CLE, - un code déterminant un mode de synchronisation pour le fichier
CLE.
Le mode de cryptage peut être choisi parmi : un cryptage, dit cryptage automatique, avec une clé symétrique ; un cryptage, dit cryptage manuel, par un code saisi spécifiquement par l'utilisateur pour le fichier CLE ; et une absence de cryptage. Ce mode de cryptage peut être déterminé automatiquement lors de la génération des fichiers, par exemple par un fichier de configuration qui associe les modes de cryptage à des noms ou des parties de noms de fichiers, cette configuration pouvant être modifiée par l'utilisateur.
Le mode de synchronisation détermine la façon avec laquelle le fichier CLE est mis à jour sur un serveur. Ce mode de synchronisation peut être choisi parmi : un mode, dit mode synchronisé, dans lequel on lit un fichier CLE depuis le cache local s'il y est présent et à jour, et depuis le serveur dans le cas contraire, et on écrit toujours le fichier CLE dans le cache local, le module de traitement comprenant un sous-module de mise à jour automatique du serveur FILESERV ID lorsque les connexions sont présentes ; et un mode, dit mode distant, dans lequel toute lecture et écriture d'un fichier CLE sont effectuées depuis et sur le serveur FILESERV_ID correspondant seulement. Le mode distant est utilisé par exemple pour les données d'identification utilisateur, ou pour des fichiers de commande, ou pour des fichiers CLE que l'utilisateur ne souhaite pas conserver sur son cache local. Avantageusement et selon l'invention, chaque support personnel comprend, enregistré en mémoire personnelle, un fichier dit fichier
ID_GENERATION, comprenant des données adaptées pour permettre au module de traitement de générer des codes numériques identifiant individuellement les fichiers CLE créés par l'utilisateur.
L'invention concerne en outre un support personnel et un système informatique caractérisés en combinaison par tout ou partie des caractéristiques mentionnées ci-dessus ou ci-après.
D'autres buts, caractéristiques et avantages de l'invention apparaîtront à la lecture de la description suivante d'un de ses modes de réalisation donné à titre d'exemple non limitatif, et qui se réfère aux figures annexées dans lesquelles :
- la figure 1 est un schéma général d'un système informatique selon l'invention, - la figure 2 est un schéma synoptique d'un exemple de réalisation d'un support personnel selon l'invention sous forme d'une clé USB,
- la figure 3 est un schéma illustrant le fonctionnement d'un support personnel selon l'invention et d'une station hôte dans un système informatique selon l'invention, - la figure 4 est un organigramme illustrant des étapes de référencement d'un support personnel selon l'invention dans le système de gestion de fichiers d'une station hôte,
- la figure 5 est un organigramme illustrant des étapes de gestion de requêtes sur des fichiers CLE d'un espace utilisateur correspondant à un support personnel selon l'invention dans un système informatique selon l'invention,
- la figure 6 est un organigramme illustrant des étapes mises en œuvre pour une requête de lecture d'un fichier CLE d'un espace utilisateur correspondant à un support personnel selon l'invention dans un système informatique selon l'invention, - la figure 7 est un organigramme similaire à la figure 6 illustrant des étapes mises en œuvre pour une requête en écriture sur un fichier CLE de l'espace utilisateur,
- la figure 8 est un organigramme similaire à la figure 6 illustrant des étapes mises en œuvres pour la création d'un nouveau fichier CLE dans l'espace utilisateur.
Comme représenté figure 1, le système informatique selon l'invention constitue une architecture informatique de stockage en réseau d'informations personnelles permettant l'accès sécurisé à de telles informations personnelles par tout utilisateur autorisé et authentifié porteur d'un support de mémoire de masse portatif, dit support personnel 1, qui lui est propre.
Un tel support personnel 1 selon l'invention comprend au moins une mémoire de masse, dite mémoire personnelle 2, qui peut être réalisée sous toutes formes connues, notamment sous forme d'un disque dur électronique et/ou magnétique et/ou optique ou autres. Cette mémoire personnelle 2 a pour propriété de conserver les informations enregistrées dans cette mémoire personnelle 2, de façon permanente, notamment lorsque le support personnel 1 est porté par un utilisateur, entre deux utilisations.
Chaque support personnel 1 comprend par ailleurs des moyens 3, 4 de connexion à toute station informatique, dite station hôte 5, elle-même dotée de moyens de traitement numérique à microprocesseurs) et mémoire(s) vive(s) associée(s) et d'au moins un système d'exploitation et de gestion de fichiers. Chaque station hôte est également dotée de moyens 6, 7 de connexion conjugués de ceux des supports personnels 1, de telle sorte qu'au moins une partie de la mémoire personnelle 2 de chaque support personnel 1 puisse être accédée en lecture et en écriture par une station hôte 5 lorsque les moyens 3, 4, 6, 7 de connexion sont actifs.
Ainsi, chaque support personnel 1 peut être connecté à une station hôte 5 quelconque permettant à l'utilisateur d'exécuter, à partir de cette station hôte 5 quelconque, des opérations sur un espace utilisateur informatique qui lui est propre, comprenant des informations et/ou fichiers représentant des données et/ou logiciels, stockés sur des machines distantes tels que des serveurs 9 distincts des stations hôtes 5 et des supports personnels 1. Rien n'empêche également bien sûr que tout ou partie de l'espace utilisateur soit également enregistré sur le support personnel 1 de l'utilisateur. Rien n'empêche non plus qu'une station hôte 5 fasse office de serveur de stockage de tout ou partie d'un espace utilisateur. Néanmoins, de façon générale, les différentes stations hôtes 5 auxquelles un utilisateur donné peut se connecter à partir de son support personnel 1 pour effectuer des opérations sur son espace utilisateur ne sont pas des serveurs, et il n'est pas nécessaire, ni en général utile, d'enregistrer tout ou partie des informations de l'espace utilisateur sur une mémoire de masse d'une station hôte 5.
Le support personnel 1 peut être, comme représenté figure 1, une clé USB (« universal sériai bus ») la, ou un dispositif Ib portatif communicant par radio-fréquence avec une station hôte (il peut s'agir d'un téléphone mobile, ou d'un assistant personnel numérique de type dit PDA à connexion sans fil, ou d'une carte à mémoire électronique dotée de moyens de connexion sans fil, par exemple du type dit WI-FI...).
Tout autre dispositif portatif peut être utilisé et envisagé à titre de support personnel 1 selon l'invention dès lors que ce dispositif portatif peut être aisément porté par un utilisateur (format de poche), qu'il est doté d'une mémoire de masse et de moyens de connexion aux stations hôtes. Un tel support personnel 1 peut aussi être doté d'autres fonctionnalités, et notamment des moyens de traitement d'informations ou des moyens de communication par satellite, ou de téléphonie mobile... Néanmoins, c'est un avantage de l'invention que de permettre de distribuer des supports personnels 1 de faible prix de revient tels que des clés USB ou de simples cartes électroniques pour permettre aux utilisateurs d'accéder à leur espace utilisateur. De tels supports personnels 1 réduits à leur plus simple expression sont non seulement peu coûteux, mais légers et compatibles avec de très nombreux standards informatiques pouvant être rencontrés dans les stations hôtes 5 disséminées sur le territoire. En général, le support personnel 1 n'est pas doté d'une interface homme/machine (écran, clavier,...)- Au contraire, une station hôte 5 est en général dotée d'une telle interface homme/machine. Mais l'invention est bien sûr applicable dans le cas où au moins une partie des différents supports personnels 1 sont dotés d'une telle interface homme/machine. Dans ce dernier cas, l'utilisateur peut utiliser alternativement soit l'interface homme/machine de son support personnel 1, soit celle d'une station hôte 5 qu'il rencontre et à laquelle il se connecte.
Ainsi, toute station hôte 5 dotée de moyens de connexion compatibles avec ceux d'un support personnel 1, de moyens de traitement d'informations et d'une connexion à un réseau numérique public tel que le réseau Internet, peut être utilisée par un utilisateur pour accéder à son espace utilisateur. De telles stations hôtes 5 se rencontrent très fréquemment dans divers endroits publics ou privés. Il peut s'agir des différents ordinateurs personnels de l'utilisateur (au bureau, au domicile ...) ; d'ordinateurs que l'utilisateur pourra rencontrer dans les lieux qu'il visite (clients, fournisseurs, amis, ...) ; ou même de stations à accès public (terminaux d'accès Internet dans les aéroports, les gares, les restaurants ou cafés...).
Selon l'invention, même si une partie de l'espace utilisateur peut être stockée au moins temporairement sur un support personnel 1 de l'utilisateur, en général, l'ensemble des informations correspondant à un espace utilisateur est stocké sur des serveurs 9 distants et accessibles à distance via un réseau numérique public tel que le réseau Internet à partir d'une station hôte 5 quelconque connectée à ce réseau.
Ainsi, dans un système conforme à l'invention, les informations personnelles de l'utilisateur ne sont pas toutes stockées sur le support personnel 1 ni sur une station hôte 5 auquel ce support personnel 1 est connecté. Dans une forme avancée de l'invention, l'intégralité des informations de l'espace utilisateur sont stockées uniquement sur des serveurs 9 distants et non sur le support personnel 1 ou sur la station hôte 5, à l'exception des informations les plus récentes non encore synchronisées avec celles stockées sur les serveurs 9, et qui peuvent être enregistrées temporairement uniquement sur le support personnel 1, dans une partie de la mémoire personnelle 2 réservée à cet effet, dite cache local 8, accessible en lecture et en écriture.
Chaque support personnel 1 comprend par ailleurs des données, dites données d'identification utilisateur, d'identification d'au moins un utilisateur humain, dit utilisateur autorisé, autorisé à utiliser le support personnel 1 correspondant, et ces données d'identification sont enregistrées dans la mémoire personnelle 2.
Selon l'invention, chaque support personnel 1 comprend, enregistrées en mémoire personnelle, des données formant un processus, dit processus passerelle P, adapté pour pouvoir être chargé en mémoire vive d'une station hôte 5 quelconque auquel le support personnel 1 est connecté, et pour configurer cette station hôte 5 quelconque pour permettre à l'utilisateur d'accéder à son espace utilisateur.
Ce processus passerelle P comprend essentiellement et fonctionnellement trois modules (ces trois modules pouvant être réalisés sous forme de programmes ou sous-programmes indépendants ou au contraire intégrés dans un même programme), à savoir : - un module d'authentification A par chaque station hôte 5 de tout utilisateur humain réalisant la connexion d'un support personnel 1 à cette station hôte 5, ce module d'authentification A étant adapté pour déterminer s'il s'agit d'un utilisateur autorisé et pour n'autoriser l'accès à l'espace utilisateur correspondant aux données d'identification utilisateur enregistrées dans la mémoire personnelle du support personnel 1 que si un utilisateur autorisé correspondant est identifié et authentifié ; ce module d'authentification A a pour fonction, dans son mode de réalisation le plus simple, de gérer un code personnel utilisateur (tel qu'un mot de passe utilisateur) saisi par l'utilisateur sur une interface homme/machine (par exemple celle de la station hôte 5), puis de vérifier si le code personnel utilisateur est le bon lors de chaque saisie de ce code par l'utilisateur,
- un module de filtrage D de requêtes sur fichiers adapté pour pouvoir reconnaître toute requête intéressant au moins un fichier, dit fichier CLE, appartenant à un espace utilisateur de l'utilisateur autorisé,
- un module de traitement C de chaque requête sur un fichier CLE adapté pour pouvoir créer un fichier CLE et/ou accéder à tout fichier CLE (en lecture et/ou en écriture) et permettre le traitement d'une requête correspondante par le système d'exploitation et de gestion de fichiers de la station hôte 5, de la même façon que s'il s'agissait d'une requête sur un fichier propre à cette station hôte 5. Un support personnel 1 selon l'invention peut ainsi être exempt de moyens de traitement numérique autres que ceux nécessaires, le cas échéant, à l'établissement et au fonctionnement des moyens 3, 4, 6, 7, de connexion avec les stations hôtes 5. En particulier, un support personnel 1 selon l'invention, peut être exempt de microprocesseur et mémoire vive associée, ou plus généralement, d'unité centrale de calcul et de traitement d'informations. Egalement, comme indiqué ci- dessus, un support personnel 1 selon l'invention peut être exempt d'interface homme/machine.
Selon l'invention, les données d'identification utilisateur ne constituent qu'une partie de l'ensemble des données permettant l'authentification d'un utilisateur autorisé par le module d'authentifïcation A exécuté par une station hôte 5. Autrement dit, ces données d'identification utilisateur mémorisées en mémoire personnelle 2 du support personnel 1 sont adaptées pour être insuffisantes pour permettre à un utilisateur d'accéder à son espace utilisateur. Il s'agit là d'une différence importante de l'invention par rapport aux dispositifs antérieurs par lesquels un utilisateur peut accéder à des ressources informatiques par la seule connexion d'une clé USB à un ordinateur relié à ces ressources informatiques. Selon l'invention, au contraire, un utilisateur porteur d'un support personnel 1 doit, pour pouvoir accéder à son espace utilisateur, non seulement connecter son support personnel 1 à une station hôte 5 quelconque, mais également fournir des informations complémentaires d'authentifïcation, à savoir le code personnel utilisateur qu'il doit saisir sur l'interface homme/machine à sa disposition, notamment celle de la station hôte 5 correspondante.
Si un utilisateur perd ou se fait voler son support personnel 1, le nouveau détenteur du support personnel 1 ne pourra pas accéder à l'espace utilisateur de l'utilisateur autorisé initial. Réciproquement, l'utilisateur autorisé authentique pourra aisément à nouveau accéder à son espace utilisateur en recevant à nouveau un simple support personnel 1 contenant les données d'identification utilisateur, qui peut être fabriqué et fourni à l'utilisateur authentique à partir des données d'identification de son compte utilisateur enregistrées dans son espace utilisateur. Le code personnel utilisateur est utilisé par le module d'authentification A pour valider l'identité de l'utilisateur autorisé. Il peut s'agir d'un mot de passe utilisateur saisi par l'utilisateur sur un clavier (par exemple le clavier 25 d'une station hôte 5). Mais il peut s'agir de tout autre code pouvant être fourni par l'utilisateur, par exemple un code numérique représentatif d'une caractéristique biométrique, délivré par un capteur qui peut être solidaire de la station hôte 5 ou du support personnel 1. Par exemple, le support personnel 1 peut être doté d'un capteur d'empreinte digitale ou autre. Il est à noter cependant qu'en tout état de cause la validation de l'identité à l'aide de ce code personnel utilisateur est réalisée par le module d'authentification A et exécuté par la station hôte 5, et non par un circuit électronique du support personnel 1.
Lesdits moyens 3, 4, 6, 7 de connexion entre un support personnel 1 et une station hôte 5 sont rendus actifs par rapprochement du support personnel 1 et de la station hôte 5 et/ou par branchement du support personnel 1 sur une prise correspondante de la station hôte 5. De préférence, le module d'authentification A et le module de traitement C d'un processus passerelle P sont adaptés pour pouvoir être exécutés dans une zone mémoire dédiée aux programmes applicatifs d'une station hôte 5, et donc accessibles en mode utilisateur de la mémoire vive de cette station hôte 5. De la sorte, ces modules A et C peuvent être écrits de façon non dépendante du système d'exploitation de la station hôte 5, qui peut être quelconque, le processus passerelle P adaptant leur chargement en fonction du système d'exploitation détecté sur la station hôte 5. Cette détection peut être effectuée grâce à une commande bien connue intégrée dans le processus passerelle P, par exemple la commande « System.getProperty » du langage JAVA®. II en va de même en général du module de filtrage D qui peut être réalisé sous forme multicompatible. En particulier, un support personnel 1 selon l'invention peut comprendre une pluralité de modules de filtrage D5 chacun étant compatible avec l'un des systèmes d'exploitation couramment utilisés (WINDOWS®, UNIX®, LINUX®...).
Les différents espaces utilisateurs peuvent être enregistrés dans des mémoires de masse d'une pluralité de serveurs 9 distincts des stations hôtes 5 et reliés au réseau numérique public 10 auquel ces stations hôtes 5 sont elles-mêmes connectées, notamment au réseau Internet. Ces différents serveurs 9 sont au moins pour partie constitués de serveurs spécifiques à l'invention, mais peuvent, pour leur plus grande part, être constitués de serveurs standards de fourniture de données et/ou informations et/ou programmes par des fournisseurs de contenus sur le réseau 10 correspondant.
Au moins, l'un des serveurs, dit serveur central 9a, est utilisé pour la gestion de l'architecture informatique et donc du système informatique selon l'invention, notamment pour la gestion des différents comptes utilisateurs, notamment des différentes données d'identification des utilisateurs du système informatique selon l'invention.
Les données d'identification utilisateur enregistrées en mémoire personnelle 2 de chaque support personnel 1 comprennent avantageusement d'une part, un code identifiant individuellement un utilisateur, et d'autre part, des données identifiant un serveur central 9a sur la mémoire de masse duquel le code identifiant l'utilisateur, et d'autres d'informations concernant son espace utilisateur, peuvent être mémorisés. En particulier, le code personnel (mot de passe) saisi par l'utilisateur peut être enregistré, de préférence sous forme illisible par l'homme, associé au code d'identification de l'utilisateur, sur le serveur central 9a correspondant.
Le module d'authentification A est ainsi adapté pour authentifier un utilisateur autorisé par saisie du code personnel utilisateur, notamment d'un mot de passe utilisateur, sur une interface homme/machine (notamment le clavier 25 de la station hôte 5 à laquelle le support personnel 1 est connecté), et pour mémoriser ce code personnel utilisateur en mémoire vive de la station hôte 5, de sorte que ce code personnel utilisateur peut ensuite être communiqué à chaque serveur 9 auquel la station hôte 5 veut accéder. Et le processus passerelle P3 à savoir le module de traitement C, est également adapté pour transmettre le code personnel utilisateur à chaque serveur 9 auquel la station hôte 5 est reliée en vue d'une transmission d'informations numériques entre ce serveur 9 et la station hôte 5 dans un sens ou dans l'autre.
La figure 2 représente un exemple de réalisation d'un support personnel 1 sous forme d'une clé USB comprenant un boîtier 20 renfermant la mémoire personnelle 2 sous forme d'une mémoire électronique, et une interface 21 avec une liaison USB, le boîtier 20 portant une prise mâle 22 pour une telle liaison USB. Cette prise mâle 22 peut être enfichée dans un port femelle 6 correspondant d'une station hôte 5.
Comme représenté figure 2, la mémoire personnelle 2 comprend une zone dédiée à former le cache local 8, une zone 23 contenant le processus passerelle P sous forme prête à être exécutée par une station hôte 5 quelconque, et une zone 24 contenant des fichiers de configuration de la station hôte 5. Parmi ces fichiers de configuration, la zone 24 peut comprendre un fichier AUTORUN.BAT de lancement automatique du processus passerelle P par la station hôte 5, un fichier IP_PORT_SC.XML contenant l'adresse réseau et le port de connexion du serveur central 9a, un fichier PCK.DATA contenant une clé publique centrale PCK servant au cryptage comme indiqué ci-après, un fichier LAK.DATA contenant une clé symétrique LAK servant au cryptage automatique des fichiers, comme indiqué ci-après, un fichier IDJJENERATION_DATA permettant de générer des codes d'identification de fichiers comme indiqué ci-après, et un fichier ROOT ID.XML contenant un identifiant de fichier racine ROOT_ID pour l'utilisateur comme indiqué ci-après.
Initialement, un tel support personnel 1 n'est pas personnalisé, c'est-à-dire ne contient pas les données d'identification utilisateur. Un tel support 1 peut être diffusé et commercialisé à faible coût en grande série. Lorsqu'un utilisateur acquiert un tel support personnel 1 et souhaite l'utiliser pour accéder à son espace utilisateur, il lui suffît de le connecter à une station hôte 5.
Il est à noter que le processus passerelle P et les fichiers de configuration peuvent être enregistrés au préalable (à la fabrication) sur la mémoire personnelle 2 du support personnel 1. Néanmoins, en variante, les supports personnels
1 peuvent être fournis complètement vierges, et l'ensemble des informations qu'ils contiennent pour la mise en œuvre de l'invention, à savoir le processus passerelle P et les fichiers de configuration peuvent être téléchargés sur la mémoire personnelle 2, sur demande de l'utilisateur, à partir d'un serveur distant ou d'un support de mémoire amovible tel qu'un disque optique. Dans une variante, une partie seulement de ces informations est enregistrée au préalable à la fabrication sur le support personnel 1, l'autre étant téléchargée.
Dès la connexion, le processus passerelle P est lancé par la station hôte 5, soit automatiquement (si le système d'exploitation de la station hôte 5 permet le lancement automatique d'un tel processus), soit sur commande de l'utilisateur si nécessaire.
Le système d'exploitation de la station hôte 5 charge alors et exécute le processus passerelle P en mode utilisateur, et ce processus passerelle P charge et exécute le module de traitement C qui exécute les actions suivantes. Tout d'abord, le module de traitement C lit l'adresse réseau du serveur central 9a correspondant. Il est à noter qu'en variante cette adresse réseau peut être non pas mémorisée sur le support personnel 1, mais soit directement enregistrée dans le code du processus passerelle P lui-même, soit sur un serveur spécifique dont l'adresse est elle-même connue du processus passerelle P. Le module de traitement C est adapté pour créer chaque fichier
CLE de l'espace utilisateur avec un enregistrement identifiant de ce fichier CLE, dit
INFO_ID, comprenant :
- un code d'identification de l'utilisateur ayant créé ce fichier
CLE, - un code identifiant un serveur, dit FILESERV_ID, où ce fichier CLE a été initialement enregistré et où il reste toujours enregistré,
- un code numérique identifiant individuellement le fichier CLE. Cet enregistrement INFO_ID comprend de surcroît de préférence :
- un code déterminant un mode de cryptage pour le fichier CLE,
- un code déterminant un mode de synchronisation pour le fichier CLE.
Ce type de désignation des fichiers CLE dans les espaces utilisateurs, communs à tous les espaces utilisateurs, et à tous les systèmes d'exploitation et technologies informatiques, permet d'enregistrer et de retrouver n'importe quel fichier CLE de l'espace utilisateur, quel que soit l'endroit ou la machine sur laquelle il est enregistré, de façon parfaitement universelle.
Le code identifiant l'utilisateur créateur de ce fichier CLE dans l'enregistrement INFO_ID d'un fichier CLE correspond au code USER_ID de cet utilisateur.
Le code FILESERV_ID identifiant le serveur de création du fichier peut être uniquement constitué de l'adresse réseau de ce serveur.
Le code numérique identifiant individuellement le fichier CLE, dit FILE_ID, est un nombre, par exemple sur 64 bits. Lorsque le fichier CLE est créé par l'utilisateur, ce code peut être généré par le module de traitement C à partir du fichier ID_GENERATION.DATA enregistré dans la mémoire personnelle 2 du support personnel 1. Ce fichier ID_GENERATION.DATA comprend un nombre initial qui est incrémenté à chaque création de fichier CLE par le module de traitement C. Le code déterminant le mode de cryptage pour un fichier CLE peut identifier un mode de cryptage parmi au moins trois modes de cryptage, à savoir : une absence totale de cryptage (le fichier n'est pas crypté et est accessible au public) ; un cryptage manuel par lequel le contenu du fichier est crypté par la station hôte 5 avec un code spécifique à ce fichier CLE qui doit être saisi par l'utilisateur, par exemple un mot de passe saisi à l'aide du clavier (dans ce mode de cryptage, le fichier est perdu si l'utilisateur perd ce code spécifique) ; un cryptage automatique par une clé symétrique LAK générée par le module de traitement C à partir d'un code pseudo-aléatoire et cryptée avec le code personnel utilisateur lorsqu'elle est enregistrée dans le fichier LAK.DATA sur la mémoire personnelle 2. Dans ce dernier cas, le fichier CLE est enregistré sur le cache local 8 du support personnel 1 sous forme cryptée et est décrypté lors de la lecture. Il est donc communiqué par l'intermédiaire du réseau sous forme décryptée et est à nouveau crypté lors d'une nouvelle écriture.
Grâce à ce procédé de cryptage automatique, l'utilisateur peut modifier son code personnel utilisateur sans perdre les fichiers enregistrés sur le cache local 8. En effet, lors d'une telle modification, ladite clé symétrique LAK ayant été décryptée avec l'ancien code personnel utilisateur, est cryptée avec le nouveau code personnel utilisateur, puis enregistrée ainsi cryptée sur la mémoire personnelle 2. Cette clé symétrique LAK est créée et enregistrée dans la mémoire personnelle 2 dès que l'utilisateur saisit pour la première fois son code personnel pour la création de son compte utilisateur personnel.
Le code déterminant le mode de synchronisation d'un fichier CLE permet d'indiquer la façon avec laquelle ce fichier CLE est synchronisé, c'est-à- dire mis à jour. Deux modes de synchronisation au moins sont possibles : le mode synchronisé et le mode non synchronisé (ou distant).
Dans le mode synchronisé, lors d'une lecture d'un fichier CLE correspondant à un INFO_ID, si ce fichier CLE est présent dans le cache local 8 de la mémoire personnelle 2, et s'il est à jour dans ce cache local 8, on lit le fichier CLE à partir du cache. Si par contre le fichier CLE n'est pas présent dans le cache local 8 ou n'est pas à jour dans ce cache local 8, la lecture s'effectue à partir du serveur sur lequel le fichier CLE est enregistré. Il est ensuite écrit sur le cache local 8 de la mémoire personnelle 2.
Lors d'une écriture d'un fichier CLE, on écrit toujours ce fichier CLE dans le cache local 8 de la mémoire personnelle 2. Le module de traitement C comprend par ailleurs un sous-module de gestion des mises à jour qui permet, selon des périodes de temps prédéterminées ou selon un procédé connu en soi, de mettre à jour régulièrement les fichiers enregistrés sur les serveurs 9.
Dans le mode non synchronisé ou distant, les fichiers CLE sont enregistrés uniquement sur les serveurs 9 et ne sont jamais enregistrés dans le cache local 8 de la mémoire personnelle 2 du support personnel 1. Lors d'une lecture, le fichier CLE doit être lu à partir du serveur 9 sur lequel il est enregistré. Lors d'une écriture, le fichier CLE est directement et uniquement écrit sur le serveur 9, le sous- module de gestion de mises à jour n'étant pas utile dans ce cas. Ce mode de synchronisation où les fichiers ne sont pas synchronisés est utilisé pour les fichiers de mots de passe ou les fichiers de commandes spécifiques ou les fichiers CLE déclarés comme tels par l'utilisateur. Le mode synchronisé est par contre utilisé pour la plupart des autres fichiers CLE de l'espace utilisateur et permet notamment de sauvegarder les modifications effectuées par un utilisateur sur des fichiers CLE, même en cas de rupture soudaine de la connexion réseau ou de la connexion entre le support personnel 1 avec la station hôte 5.
Lors de l'étape subséquente, le module de traitement essaie de lire un identifiant de fichier racine désigné ROOTJD, dans le fichier ROOTJD.XML enregistré sur la mémoire personnelle 2. L'identifiant de fichier racine ROOT_ID est construit comme tout identifiant INFO-ID, avec le code d'identification de l'utilisateur USER_ID, et le code SERVER ID identifiant le serveur 9 sur lequel ce fichier racine est enregistré. A la première utilisation, le fichier ROOTJŒλXML contenant l'identifiant ROOT_ID ne figure pas sur la mémoire personnelle 2. Dans ce cas, le module de traitement C demande à l'utilisateur si un nouveau compte doit être crée, et, dans l'affirmative, établit une connexion avec le serveur central 9a et demande à ce serveur central 9a de préparer un nouvel utilisateur avec un code d'identification utilisateur désigné USER ID.
Le module de traitement C demande alors à l'utilisateur de saisir un code personnel (mot de passe) utilisateur de son choix. Le code personnel utilisateur saisi par exemple sur le clavier 25 de la station hôte 5 est alors mémorisé par le module de traitement C dans la mémoire vive 26 de la station hôte 5, dans une zone 27 de mémorisation de données de cette mémoire vive 26.
Après avoir reçu le code d'identification utilisateur USERJD du serveur central 9a, le module de traitement C demande une confirmation à l'utilisateur humain, puis choisit un serveur 9 disponible, crée un identifiant de fichier racine ROOTJD (avec le code utilisateur USERJD et le code SERVERJD du serveur sélectionné) et renvoie la confirmation composée du code personnel (mot de passe) utilisateur saisi, et de l'identifiant ROOTJD ainsi créé. Avant d'envoyer ces données au serveur central 9a, le module de traitement C réalise un cryptage du code personnel utilisateur au moins, et, de préférence, de l'ensemble de ces données transmises au serveur central 9a. Pour ce faire, le module de traitement C est adapté pour générer une clé symétrique CS à partir d'un code pseudo-aléatoire fourni par un générateur de codes pseudo-aléatoires. Cette clé symétrique CS sert ensuite au cryptage des données lors de leur transmission entre les serveurs 9 et une station hôte 5, de façon générale, et ce, grâce à un sous-module de cryptage incorporé dans le module de traitement C. La clé publique PCK de cryptage mémorisée dans le fichier de configuration PCK.DATA dans la mémoire personnelle 2 (initialement à la fabrication ou par téléchargement) est une clé publique de cryptage asymétrique correspondant à une clé privée qui est elle-même mémorisée sur le serveur central 9a. Le module de traitement C est alors adapté pour crypter la clé symétrique CS avec cette clé publique PCK, transmettre cette clé symétrique ainsi cryptée au serveur central 9a, lui-même adapté pour décrypter cette clé symétrique avec la clé privée asymétrique correspondante ; et crypter l'identifiant de fichier racine ROOTJD et le code personnel utilisateur avec cette clé symétrique CS, et ce, avant de les transmettre au serveur central 9a.
Le serveur central 9a recevant les données d'identification utilisateur crée un compte utilisateur, puis renvoie une commande au module de traitement C pour que ce dernier enregistre l'identifiant de fichier racine ROOTJD dans le fichier ROOTJŒλXML sur la mémoire personnelle 2 du support personnel 1.
Une fois cette opération réalisée lors de la première connexion, le support personnel 1 est configuré pour être utilisé par un utilisateur humain prédéterminé (ou un groupe d'utilisateurs humains ayant le même code d'identification utilisateur USERJD).
Lors d'une nouvelle connexion du support personnel 1 à une station hôte 5 quelconque, le module d'authentification A demande à nouveau le code personnel utilisateur à l'utilisateur humain, que ce dernier peut saisir via le clavier 25 et/ou l'écran correspondant, et/ou d'une toute autre manière (par exemple par saisie vocale).
Le code personnel saisi par l'utilisateur est alors vérifié par le module d'authentification A. Si le code personnel n'est pas conforme, l'accès est refusé à l'utilisateur. Si, au contraire, le code personnel est conforme à celui enregistré dans le serveur central 9a, l'accès est autorisé. A chaque établissement d'une connexion à un serveur 9 possédant la clé privée symétrique correspondant à la clé publique PCK, afin que ce serveur autorise l'accès aux fichiers de l'espace utilisateur présents sur sa mémoire de masse, une clé symétrique CS est générée par le module de traitement C, cryptée avec la clé publique PCK, puis le code utilisateur USER ID de l'utilisateur authentifié et son code personnel utilisateur sont cryptés avec cette clé symétrique CS, puis le tout (la clé symétrique CS cryptée avec la clé publique PCK, le code utilisateur USER_ID et le code personnel cryptés avec la clé symétrique CS) est envoyé au serveur 9 contacté. Celui-ci décrypte la clé symétrique CS avec la clé privée correspondant à la clé publique PCK, puis décrypte le code utilisateur USER_ID et le code personnel avec la clé symétrique CS, puis vérifie la validité de l'utilisateur en vérifiant le code personnel correspondant au code utilisateur USER_ID. Cette vérification est faite directement par un serveur central 9a ; si le serveur 9 n'est pas un serveur central, il contacte un serveur central afin que celui-ci authentifie l'utilisateur.
L'ensemble des données étant envoyées par la suite par cette connexion établie peuvent être avantageusement cryptées avec la clé symétrique CS afin de ne pas pouvoir être analysées par un utilisateur malveillant du réseau 10.
Il est à noter que cette technique prend en compte le fait qu'un cryptage symétrique est beaucoup plus rapide qu'un cryptage asymétrique : c'est pourquoi seule la clé symétrique CS est cryptée de façon asymétrique. De la même manière, les données envoyées par le serveur 9 et reçues par la station hôte 5 peuvent être cryptées avec la clé symétrique CS.
Dans le cas où l'utilisateur a été authentifié avec succès par le module d'authentification A et que l'accès à l'espace utilisateur correspondant aux données d'identification du support personnel 1 connecté a été autorisé, le processus passerelle P réalise une configuration de la station hôte 5 pour que cette dernière puisse accéder aux fichiers CLE de l'espace utilisateur, et ce, conformément aux étapes représentées figure 4. Lors de la première étape 41, après que le processus passerelle P a détecté le système d'exploitation de la station hôte 5 à laquelle est connecté le support personnel 1, le module de filtrage D compatible avec le système d'exploitation détecté est chargé dans la mémoire vive de la station hôte 5. Dans la description qui suit, on donne un exemple de réalisation du module de filtrage D compatible avec un système d'exploitation de type WINDOWS®, par exemple WINDOWS XP®. Ce module de filtrage D comprend une bibliothèque dynamique incorporant les fonctions du système d'exploitation nécessaires au filtrage et au traitement des requêtes sur fichiers.
Lors de l'étape 42 subséquente, le module de filtrage D lance la fonction d'établissement de la liste des machines présentes sur le réseau local de la station hôte 5, puis ajoute une machine locale correspondant au nom du support personnel 1, à savoir par exemple CLE_XX, à cette liste des machines sur le réseau local de la station hôte 5.
Lors de l'étape 43 subséquente, le module de filtrage D charge en mémoire vive de la station hôte 5 une tâche de traitement des requêtes sur la machine CLE_XX, qui est une tâche s 'exécutant ensuite de façon permanente, et décrite ci- après plus en détail. Lors de l'étape 44 subséquente, le module de filtrage D recherche dans la liste des unités virtuelles de la station hôte 5, une unité virtuelle libre de format U :. Par exemple, le module de filtrage peut commencer une telle recherche à partir de la dernière, c'est-à-dire à partir de Z :. Le module de filtrage D associe ensuite cette unité virtuelle à un chemin d'accès de fichiers de type \\CLE_XX\AAA\, le répertoire AAA étant défini par le module de filtrage D par défaut.
A l'issue de l'étape 44, la station hôte 5 est configurée pour pouvoir satisfaire des requêtes sur des fichiers de l'unité virtuelle U : correspondant à l'espace utilisateur de l'utilisateur autorisé du support personnel 1. La figure 5 représente plus en détail l'étape 43 de traitement des requêtes par le module de filtrage D.
Lors de l'étape 51, le module de filtrage D est placé dans l'état de lecture bloquante par une fonction connue (par exemple « Netbios » sous WINDOWS®). Dans cet état, le module de filtrage est en attente d'une lecture d'une requête arrivant sur la machine \\CLE_XX.
L'étape 52 subséquente correspond à l'arrivée d'une requête pour la machine \\CLE_XX, telle que détectée par le module de filtrage D. Ce dernier lance alors une étape 53 d'interprétation SMB/CIFS de la requête pour la traduire selon un protocole adapté au module de traitement C. Lors de l'étape 54 subséquente, le module de filtrage D appelle une fonction correspondant à la requête pour son traitement par le module de traitement C. L'étape subséquente 55 correspond à l'exécution de cette fonction par le module de traitement C et sera décrite plus en détail ci-après.
Le module de filtrage D est placé ensuite dans une situation d'attente de la réponse de la fonction réalisée par le module de traitement C, et ce, lors de l'étape 56. Lorsque cette réponse est reçue par le module de filtrage D, celui-ci construit le paquet d'octets correspondant à cette réponse lors de l'étape 57, selon le protocole (CIFS dans l'exemple de WINDOWS®) correspondant au système d'exploitation de la station hôte 5. Lors de l'étape subséquente 58, le module de filtrage D renvoie la réponse correspondant à la requête et provenant de la machine \\CLE_XX. Ce renvoi de réponse est également une fonction système connue incorporée dans « Netbios ». Après l'étape 58, le module de filtrage D revient à l'état de lecture bloquante de l'étape initiale 51. Dans une variante non représentée, le module de filtrage D peut être réalisé sous la forme d'un module de structure similaire à celle d'un pilote de périphérique, et adapté pour pouvoir être inséré dans le noyau du système d'exploitation en mémoire vive et pour recevoir directement les requêtes portant sur l'unité virtuelle U :. II est à noter que, selon l'invention, l'architecture des différents répertoires et fichiers CLE de chaque utilisateur peut être organisée de façon standard sous forme d'une arborescence, et cette architecture est mémorisée dans le fichier racine identifié par ROOT_ID sur un serveur 9 (et non sur le support personnel 1 ou sur une station hôte 5). De surcroît, chaque fichier CLE est identifié dans cette architecture par son chemin d'accès, et, par ailleurs, par l'identifiant INFOJDD correspondant tel que décrit ci-dessus.
Les figures 6, 7 et 8 illustrent les différentes étapes réalisées par le module de traitement C pour effectuer différentes fonctions qui peuvent être réalisées sur des fichiers CLE, à savoir respectivement une lecture sur fichier, une écriture sur fichier, et la création d'un nouveau fichier.
La figure 6 représente par exemple une lecture d'un fichier CLE appartenant à un utilisateur désigné USERl et dont le chemin d'accès est USER1\DIR1\FFF1. Dans une première série d'étapes 60, le module de traitement C détermine quelle est l'architecture de l'espace utilisateur de USERl. Pour ce faire, le module de traitement C recherche le contenu du fichier racine de USERl. Pour connaître l'identifiant ROOT-IDl du fichier racine de l'utilisateur USERl, si l'utilisateur autorisé connecté n'est pas USERl5 le module de traitement C demande lors de l'étape 61 cet identifiant ROOT_ID1 par le réseau au serveur central 9a. Par contre, si USERl est l'utilisateur autorisé connecté, ROOTJDl peut être lu directement lors de cette étape 61 dans le fichier ROOT_ID.XML du support personnel 1 de USERl. Lors de l'étape 62 subséquente, le module de traitement C lit, dans l'identifiant ROOTJDl, l'identifiant SERVERJDl du serveur 9 où ce fichier racine est enregistré, puis, lors de l'étape 63, le module de traitement C lit l'architecture contenue dans le fichier racine identifié par ROOTJDl, dans le serveur SERVERJDl qui le contient ou dans le cache local 8, ce qui permet de connaître l'identifiant INFOJDl du fichier DIRlMFFFl par association lors de l'étape 64. Le module de traitement C peut alors lire le contenu de ce fichier INFOJDl lors de l'étape 65.
Il est à noter que toutes les requêtes d'informations (demande d'identifiant, lecture d'un contenu de fichier, requête d'écriture du contenu d'un fichier) sur un serveur 9 sont faites par toute technique connue de transfert d'informations sur le réseau 10 (par exemple une liaison réseau bilatérale spécifique (« Socket »)) sur laquelle s'applique le protocole de cryptage des informations envoyées et reçues tel que décrit ci-dessus, les informations étant cryptées avec une clé symétrique CS, elle-même cryptée avec la clé publique asymétrique PCK.
Lors d'une écriture (figure 7) sur un fichier CLE de l'utilisateur USERl dont le chemin d'accès est USERl \DIR1\FFF2, le module de traitement C détermine également comme précédemment l'architecture des fichiers de l'espace utilisateur de USERl, par exécution de la série d'étapes 60 préliminaires décrites ci- dessus. Le module de traitement C recherche ensuite lors de l'étape 71 le code d'identification INFO JD2 du fichier correspondant à DIR1\FFF2.
Après avoir trouvé l'enregistrement INFOJD2 identifiant le fichier DIR1\FFF2 de façon unique et certaine, l'étape 72 consiste à écrire ce fichier. Dans le cas d'un fichier de type synchronisé, cette écriture est réalisée dans le cache local 8 du support personnel 1, puis, le sous-module de gestion des mises à jour est lancé lors de l'étape 73 par le module de traitement C pour mettre à jour ce fichier, le cas échéant.
La figure 8 représente un procédé pour la création d'un nouveau fichier CLE de l'utilisateur USERl, dont le chemin d'accès est USER1\DIR1\FFF3. On exécute tout d'abord les étapes 60 préliminaires décrites ci-dessus permettant de lire l'architecture des fichiers de l'espace utilisateur de USERl. Lors de l'étape 81 subséquente, le module de traitement C crée un nouvel identifiant correspondant à ce nouveau fichier DIR1VFFF3, c'est-à-dire un identifiant désigné INFO_ID3. Lors de l'étape 82 subséquente, ce nouvel enregistrement INFO_ID3 est ajouté au contenu de l'espace utilisateur USERl avec un nom spécifié (dans ce cas DIR1\FFF3). Le module de traitement C écrit ensuite lors de l'étape 83, la nouvelle version de l'architecture de fichiers de cet utilisateur dans le cache local 8 du support personnel 1, puis lance, lors de l'étape 84. le sous-module de gestion des mises à jour qui permet, à un moment approprié, de mettre à jour ce fichier sur le serveur central 9a correspondant.
Pour faciliter le fonctionnement du sous-module de gestion des mises à jour, il peut être prévu un fichier spécifique mémorisé dans le cache local 8 de la mémoire personnelle 2, dans lequel sont enregistrés les enregistrements identifiant les différents fichiers CLE ayant fait l'objet de modifications par l'utilisateur et devant ensuite faire l'objet d'une vérification des mises à jour par le sous-module de gestion des mises à jour.
Par ailleurs, lors de la création d'un nouveau fichier CLE, pour savoir sur quel serveur 9 ce dernier doit être enregistré, le module de traitement C peut consulter dans le serveur central 9a un fichier identifiant les différents serveurs et dans lequel le taux d'occupation de chaque serveur 9 est mémorisé en temps réel. Il est à noter à cet égard que les différents serveurs 9 peuvent eux-mêmes être identifiés dans un système informatique selon l'invention en tant qu'utilisateurs spécifiques, c'est-à- dire de façon strictement identique aux supports personnels 1 du point de vue logique. Ainsi, leur adresse réseau peut être mémorisée dans un fichier spécifique de leur mémoire de masse et mis à jour par synchronisation de la même façon que les fichiers du cache local 8 d'un support personnel 1.
Par défaut, tout fichier CLE de l'espace utilisateur faisant l'objet d'un traitement numérique par la station hôte 5 est enregistré dans le cache local 8 de la mémoire personnelle 2. Bien sûr, l'utilisateur peut néanmoins éviter une telle écriture dans le cache local 8, par exemple en spécifiant que le fichier est du type non synchronisé. Le risque existe alors que ce fichier soit perdu si la connexion au réseau ou la connexion entre le support personnel 1 et la station hôte 5 est soudainement interrompue. Le sous-module de gestion de mises à jour détermine si une mise à jour est nécessaire en consultant les métadonnées associées à chaque fichier, notamment la date de la dernière modification effectuée sur le fichier. Un tel sous- module de gestion de mises à jour est connu en lui-même et n'a pas à être détaillé.
L'invention représente ainsi une avancée considérable et une modification radicale des habitudes de travail avec les systèmes informatiques. Ainsi, les utilisateurs peuvent, grâce à l'invention, gérer l'intégralité de leurs données et informations personnelles ou personnalisées, non pas sur un support portatif qui contient ces informations ou à partir d'une station de travail qui leur est propre et qui contient ces informations, mais à distance par l'intermédiaire d'un réseau tel que le réseau public Internet et ce, grâce uniquement à un support personnel 1 qui permet de les identifier de façon fiable, et de sauvegarder les fichiers en cours de modification en vue d'une synchronisation, et d'autre part, à partir de stations hôtes 5 standards quelconques sur lesquelles ils peuvent se connecter et qui sont automatiquement configurées par le support personnel 1. II est à noter que les informations de l'espace utilisateur ne sont jamais enregistrées sur la mémoire de masse d'une station hôte 5. Bien que les différents fichiers et les différentes informations de chaque espace utilisateur puissent être disséminés au sein d'un très grand nombre de serveurs 9 sur le réseau, chaque utilisateur voit son espace utilisateur de façon transparente comme un répertoire de la station hôte 5 auquel il est connecté et accède aux fichiers CLE correspondants de la façon traditionnelle, comme si ces fichiers étaient mémorisés sur la mémoire de masse de la station hôte 5. De surcroît, les accès en lecture/écriture ou création de nouveaux fichiers sont effectués de façon parfaitement fiable et sécurisée.
Si un support personnel 1 est perdu ou volé, il suffit à l'utilisateur d'acquérir un nouveau support personnel 1, le cas échéant de le doter du processus passerelle P et des fichiers de configuration par téléchargement. Dans ce cas, le processus passerelle P ne trouvera pas le fichier ROOT_ID.XML, et demande à l'utilisateur un choix entre une création de compte ou une restauration de compte. Dans le cas d'une restauration, l'utilisateur saisit son code USER_ID et son code personnel utilisateur, qui sont envoyés au serveur central 9a. Ce dernier vérifie leur validité, et renvoie l'identifiant de fichier racine ROOT_ID de cet utilisateur, qui peut alors accéder à nouveau à son espace utilisateur.
L'invention permet non seulement d'accéder à des données, mais également de mettre à disposition des différents utilisateurs des programmes et applications spécifiques, automatiquement mis à jour par les fournisseurs de ces programmes et applications spécifiques, sans que l'utilisateur n'ait lui-même à télécharger des mises à jour ou à installer ces mises à jour sur un ordinateur quelconque. En effet, un logiciel composé de fichiers exécutables peut être enregistré sur l'espace utilisateur de l'éditeur de ce logiciel. Cet espace utilisateur est rendu accessible soit gratuitement, soit sous condition d'un abonnement à un service spécifique par tout utilisateur client désirant y accéder. Ces fichiers composant le logiciel sont par la suite importés directement dans la mémoire vive de la station hôte 5 à laquelle est connecté le support personnel 1 de l'utilisateur client et exécuté sur la station hôte 5, sans que l'utilisateur client n'ait à exécuter aucune procédure d'installation.
L'invention permet également de la même manière de proposer des locations de logiciels ou des mises à jour de logiciels ou données spécifiques en fonction des utilisateurs, et de gérer les paiements des différents utilisateurs pour accéder à ces logiciels ou mises à jour ou données spécifiques. L'invention permet à chaque utilisateur de disposer de l'ensemble de son espace utilisateur, et ce, à partir de n'importe quel lieu, en permanence, et de façon parfaitement fiable et synchronisée. Elle a pour conséquence également le fait que les utilisateurs ne seront plus incités à pirater illicitement les logiciels ou les données, puisqu'ils n'ont pas à les installer eux- mêmes.
L'invention permet en particulier de gérer de façon fiable et souple les accès à différentes informations, données et programmes communs ou individuellement personnalisés, par les différents utilisateurs ou groupes d'utilisateurs. En effet, il est possible pour un utilisateur authentifié de permettre l'accès à son espace utilisateur à d'autres utilisateurs authentifiés en configurant les serveurs 9 pour qu'ils autorisent l'accès à cet espace utilisateur à ces autres utilisateurs.
L'invention peut faire l'objet de nombreuses applications pour le stockage et la mise à disposition d'informations et de données personnelles diverses telles que des logiciels, des documents de traitement de texte, tableaux, calendriers, favoris Internet ou autres.
Dans un système informatique selon l'invention, les différents fichiers sont identifiés par les enregistrements INFO_ID qui restent toujours identiques au cours de la vie du fichier et ne dépendent pas des systèmes d'exploitation et technologies d'enregistrement. Les noms de fichiers sont ainsi toujours valides à tout instant quelles que soient les plates-formes technologiques mises en œuvre et utilisées sur les serveurs et/ou les stations hôtes 5.
Les différents serveurs 9 de stockage des fichiers ne nécessitent qu'une très faible capacité de traitement numérique, en réalité limitée à l'enregistrement des différents fichiers et à leur lecture. Ce sont donc essentiellement des mémoires de masse et, contrairement aux architectures informatiques standards connues jusqu'à ce jour, dans un système informatique selon l'invention, les traitements informatiques sont intégralement déportés au niveau des stations hôtes 5 et non au niveau des serveurs eux-mêmes. Il en résulte que les différents serveurs 9 sont des machines qui peuvent être très légères et que les interfaces entre les stations hôtes 5 et les différents serveurs 9 sont particulièrement simples puisqu'elles ne véhiculent que des actions sur les fichiers et non sur les dossiers et répertoires. En outre, la cohérence des caches locaux 8 avec les stations hôtes 5 et les supports personnels 1 est assurée. L'invention implique un bouleversement des habitudes liées à l'utilisation des données informatiques.
Il n'est plus nécessaire d'installer des logiciels, ceux-ci étant accessibles dès l'instant où ils sont présents dans leur forme directement exécutables sur l'espace utilisateur d'un utilisateur éditeur et rendus accessibles aux utilisateurs clients désirant l'utiliser. L'utilisateur client exécute le logiciel quand nécessaire, à la demande (un moyen direct étant par exemple de double-cliquer sur l'icône le représentant) et depuis n'importe quelle station hôte 5 où il a connecté son support personnel 1, sans avoir à exécuter une quelconque procédure d'installation du logiciel sur la station hôte 5.
Grâce à l'invention, un logiciel peut, sans avoir à être modifié selon l'utilisateur client, s'adapter à celui-ci. Le logiciel peut lire des fichiers de configuration sur l'espace utilisateur sur lequel il est enregistré (espace utilisateur de l'éditeur) mais il peut tout aussi bien lire des fichiers de configuration supplémentaires sur l'espace utilisateur de l'utilisateur client l'exécutant. De cette façon, par exemple, un logiciel peut charger son apparence graphique sur un fichier de l'espace utilisateur client de l'utilisateur et, par exemple si ce dernier est malvoyant, adapter les couleurs à ses préférences.
Un site Internet peut, de la même façon, adapter son apparence, sans qu'il soit nécessaire de demander et d'enregistrer les préférences des utilisateurs dans une base de données propre à ce site internet. Il suffit pour cela de lire un fichier (par exemple un fichier de pages de style CSS « cascading style sheet ») sur l'espace utilisateur de l'utilisateur visitant ce site.
Les fichiers CLE des utilisateurs ne sont pas dupliqués sur toutes les stations où ils doivent être utilisés mais sont accessibles de façon simple et universelle à la demande (par exemple en double-cliquant sur l'icône les représentant). Il n'est donc pas nécessaire d'échanger les fichiers en les transférant manuellement de station à station ou en les envoyant par courrier électronique. La qualité de l'utilisation des fichiers s'en trouve améliorée puisque l'utilisateur destinataire n'a plus à accepter de recevoir, ni ensuite à recevoir un fichier lorsqu'un utilisateur envoyeur lui transmet un tel fichier. Il suffit que l'utilisateur destinataire accède à ce fichier lorsqu'il en a effectivement besoin.
Les données générées par l'utilisation de ressources informatiques (documents, courriers, contacts, logiciels, images, musique, créations numériques diverses, sites Internet, bases de données, etc.) sont globalement classifiées et accessibles de façon simple et directe par l'utilisateur sans pour autant que celles-ci souffrent des pénalités liées à leur stockage sur une station unique (possible destruction si destruction de la station, dépendance des données au système d'exploitation présent sur la station, limite de l'espace d'enregistrement, etc.). L'invention définit un accès universel aux données depuis une station hôte 5 quelconque à laquelle l'utilisateur connecte son support personnel 1.
L'invention repose ainsi sur une séparation nette entre l'enregistrement et l'interprétation des données. Le fait d'interpréter les données selon les stations hôtes augmente le potentiel d'utilisation des données. Par exemple, un carnet d'adresses géré sur une station hôte de type ordinateur personnel pourra être classifïé et complété très simplement grâce au clavier et à la souris de ladite station hôte. Un utilisateur pourra également se servir de ce carnet d'adresses sur une station hôte de type téléphone portable lorsqu'il branchera son support personnel à cette dernière, permettant ainsi au téléphone portable de connaître des numéros utiles à cet utilisateur, et ce quel que soit le type ou le propriétaire du téléphone . portable proprement dit. De la même manière, un utilisateur pourra mémoriser ses stations de radio préférées en connectant son support personnel sur une station hôte de type chaîne hi-fi de salon puis écouter celles-ci en connectant son support personnel sur une station hôte de type autoradio, ou encore sur une station hôte de type plus évolué tel qu'un siège interactif équipé d'écouteurs.
En enregistrant les données sur un dispositif distinct des stations hôtes où elles sont interprétées, l'invention permet de créer de multiples points d'accès à un espace utilisateur. Au lieu d'être regroupées dans un ordinateur personnel servant à toutes les tâches, les fonctionnalités sont à contrario présentes partout là où l'utilisateur en a besoin, les multiples stations hôtes étant chacune capables d'interpréter au moins une partie des données de l'utilisateur.
A titre d'exemples d'autres applications de l'invention, la liste des courses d'une ménagère peut être interprétée par un réfrigérateur (station hôte) lorsque celle-ci s'en approche munie de son support personnel l'identifiant. Le réfrigérateur peut ainsi calculer quelles denrées manquent ou même proposer une recette en fonction des goûts de la famille auparavant renseignés sur un site web personnel de la maison. La lumière, le chauffage, le fonctionnement d'accessoires peuvent s'adapter dans une pièce d'habitation ou de travail en fonction de(des) Putilisateur(s) présent(s).
Ou encore, même en déplacement à grande distance, un utilisateur peut partager un fichier spécifique de son espace utilisateur interprété par une station hôte de type porte de bâtiment, par exemple la porte de son domicile, avec un autre utilisateur afin que celui-ci puisse entrer dans le même bâtiment (domicile), la porte autorisant de cette façon l'accès à celui-ci lorsque celui-ci y connecte son support personnel.
L'invention permet de prendre en compte l'importance croissante que prend l'informatique dans la vie courante, de pallier le problème de la complication grandissante actuelle pour les utilisateurs avec les systèmes connus : leurs données sont éparpillées (serveurs, ordinateurs personnels, téléphones portables, etc.), de format divers (par exemple, il est difficile de sauvegarder son carnet d'adresse de téléphone portable sur un ordinateur personnel) et difficilement accessibles (il faut posséder et avoir à disposition la machine numérique permettant de les interpréter).
Avec l'invention, les informations des espaces utilisateurs sont clairement et simplement accessibles, indépendantes des stations hôtes d'exécution, toujours synchronisées (à jour), et pourtant enregistrées disséminées sur les serveurs, ce qui implique que la qualité et la pérennité de l'enregistrement sont bien supérieures à celles obtenues avec les ordinateurs personnels.
L'invention permet en outre de mettre en œuvre un processus récurrent de sauvegarde des serveurs 9 permettant de conserver de façon sécurisée les données des espaces utilisateurs à long terme.
L'invention peut faire l'objet de nombreuses variantes de réalisation et d'autres applications que celles décrites ci-dessus et en référence aux figures. En particulier, d'autres modules de filtrage D compatibles avec d'autres systèmes d'exploitation que WINDOWS® peuvent être réalisés de façon similaire à l'exemple donné ci-dessus, et incorporés dans le processus passerelle P.
Les fonctionnalités informatiques, architectures et structures décrites ci-dessus peuvent être réalisées par simple programmation de dispositifs informatiques connus, notamment par exemple à l'aide du langage JAVA permettant d'écrire un programme de façon non dépendante du système d'exploitation, notamment utile dans le cas du module de traitement C.

Claims

REVENDICATIONS
II - Support de mémoire de masse portatif, dit support personnel (1), comprenant :
- au moins une mémoire de masse, dite mémoire personnelle (2), - des moyens (3, 4) de connexion à toute station informatique, dite station hôte (5), dotée :
. de moyens de traitement numérique à microρrocesseur(s) et mémoire(s) vive(s) associée(s),
. d'au moins un système d'exploitation et de gestion de fichiers,
. de moyens (6, 7) de connexion conjugués de ceux du support personnel (1), de telle sorte qu'au moins une partie de la mémoire personnelle (2) du support personnel (1) puisse être accédée en lecture/écriture par une station hôte (5) lorsque les moyens (3, 4, 6, 7) de connexion sont actifs, - enregistrées en mémoire personnelle (2), des données, dites données d'identification utilisateur, d'identification d'au moins un utilisateur humain, dit utilisateur autorisé, autorisé à utiliser ce support personnel (1), caractérisé en ce qu'il comprend, enregistrées en mémoire personnelle (2), des données formant un processus, dit processus passerelle (P), adapté pour pouvoir être chargé en mémoire vive d'une station hôte (5) auquel le support personnel (1) est connecté, ce processus passerelle (P) comprenant :
. un module d'authentification (A), par la station hôte (5), de tout utilisateur humain réalisant la connexion du support personnel (1) à cette station hôte (5), adapté pour déterminer s'il s'agit d'un utilisateur autorisé, et pour n'autoriser l'accès à l'espace utilisateur correspondant aux données d'identification utilisateur enregistrées dans la mémoire personnelle (2) que si un utilisateur autorisé est identifié et authentifié,
. un module de filtrage (D) de requêtes sur fichiers adapté pour pouvoir reconnaître toute requête intéressant au moins un fichier, dit fichier CLE, appartenant à un espace utilisateur de l'utilisateur autorisé, comprenant des informations numériques enregistrées dans une partie de mémoire personnelle, dite cache local (8), et/ou dans au moins une mémoire de masse d'au moins un serveur (9) distinct de la station hôte (5) et auquel la station hôte (5) dotée de moyens de connexion et d'accès à au moins un réseau numérique(lθ) peut être reliée via un tel réseau (10),
. un module de traitement (C) de chaque requête sur un fichier CLE adapté pour pouvoir créer un fichier CLE et/ou accéder à tout fichier CLE et permettre le traitement d'une requête correspondante par le système d'exploitation et de gestion de fichiers de la station hôte (5) de la même façon que s'il s'agissait d'une requête sur un fichier propre à cette station hôte (5).
2/ - Support personnel selon la revendication 1, caractérisé en ce qu'il est exempt de moyens de traitement numérique autres que ceux nécessaires, le cas échéant, à l'établissement et au fonctionnement des moyens (3, 4, 6, 7) de connexion avec des stations hôtes (5).
3/ - Support personnel selon l'une des revendications 1 ou 2, caractérisé en ce qu'il est exempt d'interface homme/machine.
4/ - Support personnel selon l'une des revendications 1 à 3, caractérisé en ce que lesdits moyens (3, 4, 6, 7) de connexion à une station hôte (5) sont rendus actifs par rapprochement et/ou branchement du support personnel (1) et de la station hôte (5).
5/ - Support personnel selon l'une des revendications 1 à 4, caractérisé en ce que lesdits moyens (3, 6) de connexion à une station hôte (5) sont adaptés pour permettre l'établissement d'une liaison série universelle USB. 6/ - Support personnel selon l'une des revendications 1 à 5, caractérisé en ce que le module de traitement (C) est adapté pour être exécuté dans une zone mémoire dédiée aux programmes applicatifs et accessible en mode utilisateur de la mémoire vive (26) d'une station hôte (5).
Il - Support personnel selon l'une des revendications 1 à 6, caractérisé en ce que le module d'authentifîcation (A) est adapté pour authentifier un utilisateur autorisé par saisie par ce dernier, sur une interface homme/machine, d'un code, dit code personnel utilisateur, permettant la validation de l'identité de l'utilisateur par le module d'authentifîcation (A), et pour mémoriser le code personnel utilisateur en mémoire vive (26) de la station hôte (5), et en ce que le processus passerelle (P) est adapté pour transmettre le code personnel utilisateur à chaque serveur (9) auquel la station hôte (5) est reliée en vue d'une transmission d'informations numériques.
8/ - Support personnel selon l'une des revendications 1 à 7, caractérisé en ce que lesdites données d'identification utilisateur enregistrées en mémoire personnelle (2) comprennent :
- un code identifiant individuellement un utilisateur,
- des données identifiant un serveur central (9a).
9/ - Support personnel selon l'une des revendications 7 ou 8, caractérisé en ce que le module de traitement (C) inclut au moins un sous-module de cryptage par une clé symétrique LAK générée par le module de traitement (C) à partir d'un code fourni par le module de traitement (C).
10/ - Support personnel selon l'une des revendications 7 à 9, caractérisé en ce qu'il comprend, enregistrée en mémoire personnelle (2), une clé publique de cryptage asymétrique PCK correspondant à une clé privée d'un serveur central (9a) mémorisée dans une mémoire de masse du serveur central (9a), et en ce que le module de traitement (C) est adapté pour :
- générer une clé symétrique et la crypter avec ladite clé publique,
- transmettre cette clé symétrique cryptée à un serveur central (9a), lui-même adapté pour la décrypter,
- crypter les données d'identification utilisateur et le code personnel utilisateur avec ladite clé symétrique avant de les transmettre au serveur central (9a).
11/ - Support personnel selon l'une des revendications 1 à 10, caractérisé en ce que le module de traitement (C) est adapté pour enregistrer par défaut tout fichier CLE de l'espace utilisateur faisant l'objet d'un traitement numérique par la station hôte (5) dans le cache local (8) de la mémoire personnelle (2).
12/ - Support personnel selon l'une des revendications 1 à 11, caractérisé en ce que le module de traitement (C) est adapté pour créer chaque fichier CLE avec un enregistrement identifiant de ce fichier CLE, dit INFOJDD, comprenant :
- un code identifiant un serveur, dit FILESERV ID, où ce fichier CLE a été initialement enregistré,
- un code identifiant un utilisateur ayant créé ce fichier CLE. - un code numérique identifiant individuellement le fichier CLE.
13/ - Support personnel selon la revendication 12, caractérisé en ce qu'un enregistrement ESfFO-ID comprend en outre :
- un code déterminant un mode de cryptage pour le fichier CLE,
- un code déterminant un mode de synchronisation pour le fichier CLE.
14/ - Support personnel selon l'une des revendications 12 ou
13, caractérisé en ce qu'il comprend, enregistré en mémoire personnelle (2), un fichier dit fichier ID_GENERATION.DATA, comprenant des données adaptées pour permettre au module de traitement (C) de générer des codes numériques identifiant individuellement les fichiers CLE créés par l'utilisateur.
15/ - Support personnel selon l'une des revendications 1 à 14, caractérisé en ce qu'il comprend, enregistrées en mémoire personnelle (2), des données
ROOT ID identifiant au moins un fichier racine enregistré sur un serveur (9), dans lequel au moins une partie de l'architecture des fichiers CLE de l'espace utilisateur est enregistrée.
16/ - Système informatique d'accès sécurisé à un réseau (10) par des utilisateurs, comprenant :
- des stations informatiques, dites stations hôtes (5), dotée chacune : . de moyens de traitement numérique à microprocesseur(s) et mémoire(s) vive(s) associée(s),
. d'au moins un système d'exploitation et de gestion de fichiers, . de moyens (6, 7) de connexion conjugués de moyens (3, 4) de connexion d'au moins un support de mémoire de masse portatif, dit support personnel (1), de telle sorte qu'au moins une partie de la mémoire de masse d'un tel support personnel (1) puisse être accédée en lecture/écriture par la station hôte (5) lorsque les moyens (3, 4, 6, 7) de connexion sont actifs, . de moyens de connexion et d'accès à au moins un réseau numérique public (10),
- au moins un serveur (9) comprenant au moins une mémoire de masse, dite mémoire serveur, et des moyens de connexion à au moins un réseau numérique public (10), et adapté pour permettre l'accès en lecture/écriture à au moins une partie de cette mémoire serveur via un tel réseau numérique public (10),
- chaque support personnel (1) comprenant :
. au moins une mémoire de masse, dite mémoire personnelle (2),
. des moyens (3, 4) de connexion à toute station hôte (5), . enregistrées en mémoire personnelle (2), des données, dites données d'identification utilisateur, d'identification d'au moins un utilisateur humain, dit utilisateur autorisé, autorisé à utiliser ce support personnel (1), caractérisé en ce que chaque support personnel (1) comprend, enregistrées en mémoire personnelle, des données formant un processus, dit processus passerelle (P), adapté pour pouvoir être chargé en mémoire vive (26) d'une station hôte (5) auquel le support personnel (1) est connecté, ce processus passerelle (P) comprenant :
. un module d'authentification (A), par la station hôte (5), de tout utilisateur humain réalisant la connexion du support personnel (1) à cette station hôte (5), adapté pour déterminer s'il s'agit d'un utilisateur autorisé, et pour n'autoriser l'accès à un espace utilisateur correspondant aux données d'identification utilisateur enregistrées dans la mémoire personnelle (2) que si un utilisateur autorisé est identifié et authentifié,
. un module de filtrage (D) de requêtes sur fichiers adapté pour pouvoir reconnaître toute requête intéressant au moins un fichier, dit fichier CLE, appartenant à un espace utilisateur de l'utilisateur autorisé, comprenant des informations numériques enregistrées dans une partie de la mémoire personnelle (2), dite cache local (8), et/ou dans au moins une mémoire serveur d'au moins un serveur (9) distinct de la station hôte (5), . un module de traitement (C) de chaque requête sur un fichier CLE adapté pour pouvoir créer un fichier CLE et/ou accéder à tout fichier CLE et permettre le traitement d'une requête correspondante par le système d'exploitation et de gestion de fichiers de la station hôte (5) de la même façon que s'il s'agissait d'une requête sur un fichier propre à cette station hôte (5). 17/ - Système informatique selon la revendication 16, caractérisé en ce que les supports personnels (1) sont exempts de moyens de traitement numérique autres que ceux nécessaires, le cas échéant, à l'établissement et au fonctionnement des moyens de connexion entre les supports personnels (1) et les stations hôtes (5). 18/ - Système informatique selon l'une des revendications 16 ou 17, caractérisé en ce que les supports personnels (1) sont exempts d'interface homme/machine, et en ce que les stations hôtes (5) sont dotées d'une interface homme/machine.
19/ - Système informatique selon l'une des revendications 16 à 18, caractérisé en ce que les moyens (3, 4, 6, 7) de connexion d'un support personnel (1) à une station hôte (5) sont rendus actifs par rapprochement et/ou branchement du support personnel (1) et de la station hôte (5).
20/ - Système informatique selon l'une des revendications 16 à 19, caractérisé en ce que lesdits moyens (3, 6) de connexion d'un support personnel (1) à une station hôte (5) sont adaptés pour permettre l'établissement d'une liaison série universelle USB.
21/ - Système informatique selon l'une des revendications 16 à
20, caractérisé en ce que le module de traitement (C) est adapté pour être exécuté dans une zone mémoire dédiée aux programmes applicatifs et accessible en mode utilisateur de la mémoire vive (26) d'une station hôte (5).
22/ - Système informatique selon l'une des revendications 16 à
21, caractérisé en ce que le module d'authentification (A) est adapté pour authentifier un utilisateur autorisé par saisie par ce dernier sur une interface homme/machine, d'un code, dit code personnel utilisateur, permettant la validation de l'identité de l'utilisateur par le module d'authentification (A), et pour mémoriser le code personnel utilisateur en mémoire vive (26) de la station hôte (5), et en ce que les processus passerelle (P) est adapté pour transmettre le code personnel utilisateur à chaque serveur (9) auquel la station hôte (5) est reliée en vue d'une transmission d'informations numériques. 23/ - Système informatique selon la revendication 22, caractérisé en ce que chaque serveur (9) est adapté pour vérifier la validité du code personnel utilisateur avant d'autoriser l'établissement d'une liaison entre un serveur (9) et une station hôte (5) à laquelle un support personnel (1) correspondant est connecté.
24/ - Système informatique selon l'une des revendications 22 ou 23, caractérisé en ce qu'il comprend au moins un serveur, dit serveur central (9a), comprenant pour chaque utilisateur au moins un enregistrement, dit compte utilisateur, comprenant lesdites données d'identification utilisateur associées au code personnel utilisateur mémorisé dans ledit enregistrement sous forme non compréhensible par l'homme. 25/ - Système informatique selon la revendication 24, caractérisé en ce que lesdites données d'identification utilisateur enregistrées en mémoire personnelle (2) d'un support personnel (1) comprennent :
- un code identifiant individuellement un utilisateur,
- des données identifiant un serveur central (9a). 26/ - Système informatique selon l'une des revendications 22 à
25, caractérisé en ce que le module de traitement (C) inclut au moins un sous-module de cryptage par une clé symétrique générée LAK par le module de traitement (C) à partir d'un code fourni par le module de traitement (C). 27/ - Système informatique selon l'une des revendications 22 à
26, caractérisé en ce que chaque support personnel (1) comprend, enregistrée en mémoire personnelle (2), une clé publique de cryptage asymétrique correspondant à une clé privée d'un serveur central (9a) mémorisée dans une mémoire de masse du serveur central (9a), et en ce que le module de traitement (C) est adapté pour : - générer une clé symétrique et la crypter avec ladite clé publique,
- transmettre cette clé symétrique cryptée au serveur central (9a), lui-même adapté pour la décrypter,
- crypter les données d'identification utilisateur et le code personnel utilisateur avec ladite clé symétrique avant de les transmettre au serveur central (9a).
28/ - Système informatique selon l'une des revendications 16 à
27, caractérisé en ce que le module de traitement (C) est adapté pour enregistrer par défaut tout fichier CLE de l'espace utilisateur faisant l'objet d'un traitement numérique par la station hôte (5) dans le cache local (8) de la mémoire personnelle (2) du support personnel (1).
29/ - Système informatique selon l'une des revendications 16 à
28, caractérisé en ce que le module de traitement (C) est adapté pour créer chaque fichier CLE avec un enregistrement identifiant de ce fichier CLE, dit INFO_ID, comprenant :
- un code identifiant un serveur, dit FILESERV_ID, où ce fichier CLE a été initialement enregistré,
- un code identifiant un utilisateur ayant créé ce fichier CLE,
- un code numérique identifiant individuellement le fichier CLE. __ 30/ - Système informatique selon la revendication 29, caractérisé en ce qu'un enregistrement INFO-ID comprend en outre :
- un code déterminant un mode de cryptage pour le fichier CLE,
- un code déterminant un mode de synchronisation pour le fichier CLE.
31/ - Système informatique selon l'une des revendications 16 à
30, caractérisé en ce qu'il comprend, enregistré en mémoire personnelle (2) de chaque support personnel (1), un fichier dit fichier ID_GENERATION.DATA, comprenant des données adaptées pour permettre au module de traitement (C) de générer des codes numériques identifiant individuellement les fichiers créés par l'utilisateur de ce support personnel (1).
32/ - Système informatique selon l'une des revendications 16 à
31, caractérisé en ce qu'il comprend, enregistrées en mémoire personnelle (2) de chaque support personnel (1), des données ROOT_ID identifiant au moins un fichier racine enregistré sur un serveur (9), ce fichier racine comprenant au moins une partie de l'architecture des fichiers CLE de l'espace utilisateur.
33/ - Système informatique selon l'une des revendications 16 à
32, caractérisé en ce que les stations hôtes (5) sont choisies parmi :
- des ordinateurs personnels du type fixe, - des ordinateurs personnels du type portable,
- des dispositifs de traitement numérique portatifs.
PCT/FR2005/002751 2004-11-17 2005-11-04 Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau WO2006053958A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP05815148A EP1836636A1 (fr) 2004-11-17 2005-11-04 Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FR0412199A FR2878047B1 (fr) 2004-11-17 2004-11-17 Support personnel de memoire de masse portatif et systeme informatique d'acces securise a un espace utilisateur via un reseau
FR0412199 2004-11-17
US63207304P 2004-12-01 2004-12-01
US60/632,073 2004-12-01

Publications (2)

Publication Number Publication Date
WO2006053958A1 true WO2006053958A1 (fr) 2006-05-26
WO2006053958A9 WO2006053958A9 (fr) 2006-08-17

Family

ID=35840505

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002751 WO2006053958A1 (fr) 2004-11-17 2005-11-04 Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau

Country Status (3)

Country Link
US (1) US20060107062A1 (fr)
EP (1) EP1836636A1 (fr)
WO (1) WO2006053958A1 (fr)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090138643A1 (en) * 2006-02-21 2009-05-28 France Te;Ecp, Method and device for securely configuring a terminal
JP4801468B2 (ja) 2006-03-02 2011-10-26 株式会社リコー 管理装置及び画像形成装置管理システム
US20080086680A1 (en) * 2006-05-27 2008-04-10 Beckman Christopher V Techniques of document annotation according to subsequent citation
US7999415B2 (en) 2007-05-29 2011-08-16 Christopher Vance Beckman Electronic leakage reduction techniques
US7859539B2 (en) 2006-05-27 2010-12-28 Christopher Vance Beckman Organizational viewing techniques
US8914865B2 (en) * 2006-05-27 2014-12-16 Loughton Technology, L.L.C. Data storage and access facilitating techniques
US20080028033A1 (en) * 2006-07-28 2008-01-31 Kestrelink Corporation Network directory file stream cache and id lookup
US20100211652A1 (en) * 2006-11-24 2010-08-19 Shih-Ho Hong Data sharing network device having portable storage portion with network function
US20080195734A1 (en) * 2007-02-12 2008-08-14 Shih-Ho Hong Method of using portable network-attached storage
US8533847B2 (en) * 2007-05-24 2013-09-10 Sandisk Il Ltd. Apparatus and method for screening new data without impacting download speed
US8392529B2 (en) * 2007-08-27 2013-03-05 Pme Ip Australia Pty Ltd Fast file server methods and systems
US8265270B2 (en) * 2007-12-05 2012-09-11 Microsoft Corporation Utilizing cryptographic keys and online services to secure devices
US8583878B2 (en) * 2008-01-02 2013-11-12 Sandisk Il Ltd. Storage device having direct user access
US20090171911A1 (en) * 2008-01-02 2009-07-02 Sandisk Il, Ltd. Data indexing by local storage device
US8370402B2 (en) * 2008-01-02 2013-02-05 Sandisk Il Ltd Dual representation of stored digital content
US8452927B2 (en) * 2008-01-02 2013-05-28 Sandisk Technologies Inc. Distributed storage service systems and architecture
US9098506B2 (en) 2008-01-02 2015-08-04 Sandisk Il, Ltd. Data indexing by local storage device
US8559637B2 (en) 2008-09-10 2013-10-15 Verizon Patent And Licensing Inc. Securing information exchanged via a network
US20100153474A1 (en) * 2008-12-16 2010-06-17 Sandisk Il Ltd. Discardable files
US9104686B2 (en) 2008-12-16 2015-08-11 Sandisk Technologies Inc. System and method for host management of discardable objects
US8205060B2 (en) * 2008-12-16 2012-06-19 Sandisk Il Ltd. Discardable files
US8849856B2 (en) 2008-12-16 2014-09-30 Sandisk Il Ltd. Discardable files
US8375192B2 (en) * 2008-12-16 2013-02-12 Sandisk Il Ltd. Discardable files
US9015209B2 (en) * 2008-12-16 2015-04-21 Sandisk Il Ltd. Download management of discardable files
US9020993B2 (en) 2008-12-16 2015-04-28 Sandisk Il Ltd. Download management of discardable files
US20100235473A1 (en) * 2009-03-10 2010-09-16 Sandisk Il Ltd. System and method of embedding second content in first content
US8886760B2 (en) * 2009-06-30 2014-11-11 Sandisk Technologies Inc. System and method of predictive data acquisition
US20100333155A1 (en) * 2009-06-30 2010-12-30 Philip David Royall Selectively using local non-volatile storage in conjunction with transmission of content
US9772834B2 (en) 2010-04-27 2017-09-26 Red Hat, Inc. Exportable encoded identifications of networked machines
US8762931B2 (en) 2010-05-26 2014-06-24 Red Hat, Inc. Generating an encoded package profile
US8429256B2 (en) * 2010-05-28 2013-04-23 Red Hat, Inc. Systems and methods for generating cached representations of host package inventories in remote package repositories
US8463802B2 (en) 2010-08-19 2013-06-11 Sandisk Il Ltd. Card-based management of discardable files
US8549229B2 (en) 2010-08-19 2013-10-01 Sandisk Il Ltd. Systems and methods for managing an upload of files in a shared cache storage system
US8788849B2 (en) 2011-02-28 2014-07-22 Sandisk Technologies Inc. Method and apparatus for protecting cached streams
US8769628B2 (en) 2011-12-22 2014-07-01 Sandisk Technologies Inc. Remote access to a data storage device
US9577986B1 (en) * 2012-07-27 2017-02-21 Daniel A Dooley Secure data verification technique
WO2014143950A1 (fr) * 2013-03-15 2014-09-18 Ellipson Data Llc Procédé pour collecter et préserver des données physiologiques, biométriques et autres dans une base de données personnelle
US10456673B1 (en) * 2017-11-17 2019-10-29 Amazon Technologies, Inc. Resource selection for hosted game sessions
US11288301B2 (en) * 2019-08-30 2022-03-29 Google Llc YAML configuration modeling
CN111062025B (zh) * 2019-12-09 2022-03-01 Oppo广东移动通信有限公司 应用数据处理方法及相关装置
CN111680233B (zh) * 2020-06-08 2023-08-29 北京明略昭辉科技有限公司 一种生成落地页网址的方法、装置、存储介质和电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000049505A1 (fr) * 1999-02-18 2000-08-24 Colin Hendrick Systeme utilise dans la connexion automatique a un reseau
FR2822254A1 (fr) * 2000-09-20 2002-09-20 Marguerite Jeanne Mar Paolucci Dispositif d'acces automatise et securise a une boite aux lettres electroniques libre (web mail)
FR2825489A1 (fr) * 2001-06-05 2002-12-06 Marguerite Paolucci Procede d'authentification individuelle securisee de connexion a un serveur internet/intranet par acces distant furtif
US20030005336A1 (en) * 2001-06-28 2003-01-02 Poo Teng Pin Portable device having biometrics-based authentication capabilities

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0634038B1 (fr) * 1992-03-30 2001-10-24 Telstra Corporation Limited Methode et systeme de communication cryptographique
US6351776B1 (en) * 1999-11-04 2002-02-26 Xdrive, Inc. Shared internet storage resource, user interface system, and method
US7363363B2 (en) * 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US20040001088A1 (en) * 2002-06-28 2004-01-01 Compaq Information Technologies Group, L.P. Portable electronic key providing transportable personal computing environment
US7363504B2 (en) * 2004-07-01 2008-04-22 American Express Travel Related Services Company, Inc. Method and system for keystroke scan recognition biometrics on a smartcard

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000049505A1 (fr) * 1999-02-18 2000-08-24 Colin Hendrick Systeme utilise dans la connexion automatique a un reseau
FR2822254A1 (fr) * 2000-09-20 2002-09-20 Marguerite Jeanne Mar Paolucci Dispositif d'acces automatise et securise a une boite aux lettres electroniques libre (web mail)
FR2825489A1 (fr) * 2001-06-05 2002-12-06 Marguerite Paolucci Procede d'authentification individuelle securisee de connexion a un serveur internet/intranet par acces distant furtif
US20030005336A1 (en) * 2001-06-28 2003-01-02 Poo Teng Pin Portable device having biometrics-based authentication capabilities

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JOHN ANDREWS: "Damn Small Linux on a USB drive", 12 October 2004 (2004-10-12), XP007900074, Retrieved from the Internet <URL:http://web.archive.org/web/20041012014512/www.damnsmalllinux.org/usb.html> [retrieved on 20060303] *
JOHN ANDREWS: "What is Damn Small Linux?", 12 October 2004 (2004-10-12), XP007900075, Retrieved from the Internet <URL:http://web.archive.org/web/20041012012742/http://www.damnsmalllinux.org/index.html> [retrieved on 20060303] *

Also Published As

Publication number Publication date
US20060107062A1 (en) 2006-05-18
WO2006053958A9 (fr) 2006-08-17
EP1836636A1 (fr) 2007-09-26

Similar Documents

Publication Publication Date Title
WO2006053958A1 (fr) Support personnel de mémoire de masse portatif et système informatique d&#39;accès sécurisé a un espace utilisateur via un réseau
JP5833178B2 (ja) セルラ携帯電話端末、ソフトウェアアプリケーション、及び音楽トラック配信システム
EP2643961B1 (fr) Communication entre deux applications web
FR2802666A1 (fr) Systeme informatique pour application a acces par accreditation
EP2060084A1 (fr) Architecture d&#39;acces a un flux de donnees au moyen d&#39;un terminal utilisateur
EP1637989A1 (fr) Procédé et système de séparation de comptes de données personnelles
EP2102768A1 (fr) Procédé et dispositif de gestion de données dans un environnement distribué
CA2694335C (fr) Gestion et partage de coffres-forts dematerialises
FR2901381A1 (fr) Systeme informatique a gestion universelle et collaborative de fichiers utilisateurs
FR2901380A1 (fr) Support personnel de memoire de masse portatif et systeme informatique d&#39;acces securise a un espace utilisateur via un reseau
FR2901386A1 (fr) Support personnel de memoire de masse portatif et systeme informatique d&#39;acces securise a un reseau par des utilisateurs.
EP1364349A1 (fr) Procede de stockage securise de donnees personnelles et de consultation, carte a puce, terminal et serveur pour la mise en oeuvre du procede
FR2878047A1 (fr) Support personnel de memoire de masse portatif et systeme informatique d&#39;acces securise a un espace utilisateur via un reseau
EP3903210A1 (fr) Reseau de communication securisee et tracee
FR2901385A1 (fr) Support personnel de memoire de masse portatif et systeme informatique.
FR2901387A1 (fr) Systeme informatique d&#39;acces securise a un reseau par des utilisateurs
EP2510671A1 (fr) Procede de sauvegarde de donnees contenues dans un terminal communiquant portable
WO2022184726A1 (fr) Procédé pour permettre à des utilisateurs de déployer des contrats intelligents dans une chaîne de blocs au moyen d&#39;une plateforme de déploiement
FR3140184A1 (fr) Procédé et dispositif d’attribution d’un NFT
FR2911203A1 (fr) Procede de gestion de l&#39;environnement d&#39;execution sur des postes clients legers
FR2888437A1 (fr) Procede et systeme de controle d&#39;acces a un service d&#39;un fournisseur d&#39;acces implemente sur un serveur multimedia, module, serveur, terminal et programmes pour ce systeme
FR3067488A1 (fr) Procede de gestion d&#39;identifiants de fidelite, procede de traitement de donnees de fidelite, serveur, dispositif de transaction et programmes correspondants
WO2006075060A1 (fr) Procede de tranfert de message entre deux terminaux de communication
WO2006092505A1 (fr) Procede et dispositif de mise en relation automatique de terminaux proches
FR3062540A1 (fr) Activation automatique de la configuration d&#39;un terminal de communication

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2005815148

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2005815148

Country of ref document: EP