WO2007113406A2 - System for secure access from a terminal to communication networks - Google Patents

System for secure access from a terminal to communication networks Download PDF

Info

Publication number
WO2007113406A2
WO2007113406A2 PCT/FR2007/050871 FR2007050871W WO2007113406A2 WO 2007113406 A2 WO2007113406 A2 WO 2007113406A2 FR 2007050871 W FR2007050871 W FR 2007050871W WO 2007113406 A2 WO2007113406 A2 WO 2007113406A2
Authority
WO
WIPO (PCT)
Prior art keywords
space
dedicated
execution
address space
communication network
Prior art date
Application number
PCT/FR2007/050871
Other languages
French (fr)
Other versions
WO2007113406A3 (en
Inventor
Jean-Philippe Fassino
Florence Germain
Olivier Lobry
Etienne Annic
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007113406A2 publication Critical patent/WO2007113406A2/en
Publication of WO2007113406A3 publication Critical patent/WO2007113406A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes

Definitions

  • the present invention relates to a secure access system of a terminal to at least one communication network.
  • the invention finds a particularly advantageous application in the field of application services involving the transmission of data between a terminal and separate communication networks.
  • the communication networks used offer a guarantee of confidentiality (personal information), security (transactions financial information) and non-disclosure (banking information) of the data exchanged.
  • the guarantee of non-disclosure of data located on a communication network allows the one-to-one association between a communication network and an economic model, and in fact, the deployment of exclusive service offers segmented into "bouquets" dedicated to a category customers well identified, and isolated from each other. This perspective is now considered a real opportunity to boost the content trade.
  • data accessible from a network A must not be able to be transmitted and / or accessible via a network B: this is the principle of network isolation. This isolation is already offered by many categories of networks, such as GPRS, UMTS-PS or ATM.
  • the protection thus obtained is limited to the transfer of data between the communication networks themselves, but it does not extend to the user terminal, which can then become the origin of short circuits of information between separate networks.
  • the security functions implemented by the current terminal operating systems are user-centric. We then understand that, if he has the rights necessary access, it can take data or contents of a network A at will and transmit them to a network B. This potentiality is all the more important since the GPRS standard allows a mobile terminal to access multiple communication networks, each identified by an "access point name", or APN (initials of the English words "Access Point Name").
  • operating system will be understood as a platform for managing the sharing and protection of terminal resources between applications.
  • An operating system typically consists of a kernel with access to all hardware resources, where the processor can execute privileged instructions in supervisor mode, and services higher level systems used by applications.
  • each application or service running in a memory space remains confined and can not corrupt the rest of the system.
  • a second level of protection, by system services isolation, is to check the access rights of an application to the system services before requesting them.
  • an application wants to access a service, it issues a request to the kernel that controls access according to its security strategy. If access is allowed, the kernel routes the request to the requested service.
  • the system may limit the use of certain services (such as the machine reboot service) to users with administrative rights.
  • a third level of protection concerning the isolation of resources, can be implemented by each system service in order to refine the security strategy.
  • This type of protection is mainly used by resource management services, including file systems.
  • the security policy proposed by them is mainly to verify that an application running on behalf of a given user has the rights to write or read the file concerned before satisfying the request. Thus, to each file can be associated different rights depending on the user.
  • the applications running on two separate communication networks A and B, are able to exchange data between them via the terminal.
  • the applications are not confined to their original communication network since they are capable of exchanging data between the two communication networks by said terminal.
  • the technical problem to be solved by the object of the present invention is to propose a secure execution system, in a terminal intended to be connected to a plurality of communication networks, of at least one application dedicated to a network. given communication, which would ensure the complete absence of information transfer between said given communication network and other communication networks, through the terminal's own resources.
  • the solution to the technical problem posed consists, according to the present invention, in that said system comprises means for isolating the execution of said application application dedicated to communication networks other than said given communication network.
  • said isolation means comprise at least one execution space dedicated to the execution of said dedicated application to said given communication network.
  • the secure execution system realizes the confinement of the executions of the applications within resource spaces, namely said dedicated execution spaces, dynamically associated and unequivocally with each of the communication networks.
  • the isolation of separate communication networks is obtained in the terminals because of the control, from the operating system of the terminal, of the access of the applications to the communication networks, and the implementation of a strategy of resource protection "network centered" and no longer "user centric", the beneficiaries of a resource being the communication networks themselves.
  • the isolation between said dedicated execution space and the execution spaces dedicated to other communication networks can be realized, at least partially, by construction and / or, at least partially, by control of access.
  • said system comprises: at least one central manager of at least one execution space, capable of:
  • At least one manager at least one memory address space, adapted to: * allocate a memory address space to said application in response to said request for the execution of said application on said address space memory,
  • At least one network multiplexer capable of prohibiting, on the one hand, sending data from said dedicated execution space to communication networks other than said given communication network, and, on the other hand, receiving by said dedicated execution space of data from communication networks other than said given communication network.
  • Figure 1 is a diagram of a secure access system according to the invention.
  • FIG. 1 is shown a secure access system of a terminal to a set of communication networks through an access network.
  • Access to a communication network includes any communication link with a device separate from the terminal, regardless of the underlying physical medium and whatever the communication protocol used.
  • a link may be, for example, access to an APN in the GPRS / UMTS standard, a virtual path in the ATM standard, access to a "PicoNet” in the Bluetooth standard, access to a "VPN” (initials of the words “Virtual Private Network”) in the general theory of private networks.
  • all communication devices (Ethernet, Bluetooth, ZigBee, Wifi, Wimax, etc.) are intended to be managed by the secure access system according to the invention.
  • the secure access system of FIG. 1 comprises, in the terminal, equipped with an operating system, a GEED manager of at least one execution EED space dedicated to said communication network, said dedicated execution space being intended to house the execution of at least one application in the context of the associated communication network.
  • the said GEED manager of at least one dedicated execution space comprises the following devices: at least one central GEEDC manager of at least one execution space, at least one GEAV manager of spaces
  • Volatile addressing EAVs at least one GEAP manager for persistent addressing EAP spaces, and at least one MR network multiplexer.
  • the data channel between the GEEDC and the MR is referred to in the following "connection", while the data channels between the MR communication networks are called "access”.
  • the central GEEDC manager of at least one execution space is responsible for:
  • EAV effective addressing of EAVs by running applications: an EAV can only be addressed by an application that runs in the context of the EED with which the EAV is associated, * the memory isolation between EAVs (two separate EAVs can not share memory space),
  • EAP can only be addressed by an application that runs in the context of the EED with which the EAP is associated,
  • an EAP identifier may be the concatenation of the EED name and an incremental value
  • the network multiplexer MR is responsible for: * the one-to-one association between an EED and one and only one communication network, * the isolation of data streams transmitted on each connection associated with an EED from the data flows transmitted on other connections associated with other EEDs,
  • EED management rules The EED management rules are as follows:
  • any application is executed on the terminal in one and only one execution environment, namely an EED; this EED is irrevocably associated with it throughout its life cycle; - an EED can house the execution of several applications;
  • an EED is associated with more than one communication network, in a unique and irrevocable way; in particular, an EED can be associated with the terminal itself, the terminal being considered as a communication network; this case typically occurs for applications that do not require access to a communications network during their execution; it should be noted that if at most one communication network is associated with an EED, several accesses to the same communication network can nevertheless be established; - an EED confines all the executions it houses, more precisely:
  • EAV * from zero, one or more volatile address spaces EAV, this number may vary during the execution of the EED: the case where there is no EAV corresponds to that where no application is executed at within the EED, which is typically the case when the terminal is off,
  • EAP * Zero, one or more EAP persistent address spaces, this number may vary during execution of the EED; the case where there is no associated EAP typically corresponds to that where no application would need to store information persistently, or where storage would not be allowed in this EED.
  • a volatile address space EAV designates all the data present in volatile memory, a random access memory RAM for example, accessible by one or more applications running within the same EED.
  • An EAV is characterized by the following management rules:
  • the AVEs are disjoint two by two, whether they belong to the same EED or to two different EEDs: the same memory address necessarily represents two different data in two different AVEs;
  • any application runs in one and only one EAV associated with its EED; however, two applications can run within the same EAV as long as they belong to the same EED; therefore two applications belonging to two different EEDs are running in isolation;
  • a persistent EAP address space refers to all data in persistent memory, such as flash memory, accessible by all applications running within the same EED.
  • An EAP is characterized by the following management rules:
  • the EAPs are disjoint two by two, whether they belong to the same EED or to two different EEDs: the same memory address necessarily represents two different data in two different EAPs;
  • any application can read and write data in the EAP associated with its EED, but can not read or write any data in an EAP of another EED; therefore, no data can be exchanged between two EDIs through EAPs; however, two applications running in two separate EAVs, but associated with the same EED, share the EAPs of the EED;
  • the GEEDC In order to achieve the coupling between each EED, the communication network to which it is dedicated, the associated EAVs and EAPs, the GEEDC relies on an association table.
  • This association table is only accessible by the GEEDC. It can possibly be decomposed into several association tables, some being stored in volatile memory and others in persistent memory, possibly secured, for example by being stored on the UICC card, also commonly called the SIM card in the case of a mobile terminal.
  • Said association table associates with an EED name:
  • the GEEDC acts as a window between GEAV and GEAP applications and devices. This means that it receives EAV / EAP creation / destruction requests from the applications and redirects them for processing to the GEAV / GEAP device. When requests reach the GEEDC, they do not include a reference to the EED within which the creation / destruction is to take place.
  • the strategy implemented by the GEEDC is to identify the EED in the context of which the application is running, then to pass the name of this EED as a parameter of the request it sends back to the GEAV / GEAP. This strategy ensures that an application can only create / destroy address spaces within the scope of the EED in which it runs: this forms the basis of the isolation between EEDs.
  • the GEEDC offers the following interfaces:
  • a liaunchEED interface allowing the creation of an EED or the reactivation of a suspended EED; this interface takes among other parameters such as the identifier of the communication network and an identifier of the initial application; - an IsuspendEED interface allowing the suspension of an existing EED;
  • the association table retains the persistent data of the EED such as the association with the identifier of its respective communication network and its respective EAPs.
  • the activation of the Ides t royEED interface leads to the destruction of the EED and the activation by the GEEDC device of the I C IOS ⁇ ACCESS interface of the MR device to destroy the connection associated with the EED and the access associated with the communication network.
  • the GEEDC sends requests to the GEAV / GEAP device to release all EAV / EAP address spaces associated with the EED. Then, the association table is cleared of all the data associated with the EED.
  • the GEEDC offers the following interfaces:
  • IO P ⁇ CONNEXION interface means that the active GEEDC its interface li aunchEED to create / reactivate PST corresponding to the communication network where the request and creates the connection associated with EED between GEEDC and MR to allow exchanges between the communication network and its respective EED.
  • Activation of the I C IOS ⁇ CONNECT interface implies that the GEEDC activates its IsuspendEED interface to suspend this EED.
  • the GEEDC admits the following interfaces:
  • an I S ⁇ C I DATA interface for sending data to the connection associated with an EED
  • an I ⁇ C ⁇ IV ⁇ DATA interface for receiving data from the connection associated with an EED.
  • the UPDATA and I ⁇ C ⁇ IV ⁇ DATA interfaces can only be activated by applications in the context of data exchange through the connection associated with their EED.
  • GEEDC activates the ImcomeDATA interface of the MR device to transmit the data transmitted by the application to the connection associated with the EED corresponding to this application.
  • Activation of the I ⁇ C ⁇ IV ⁇ DATA interface implies that the GEEDC transmits to the application the data transmitted by the connection associated with the EED corresponding to this application.
  • the GEEDC admits the following interface:
  • Activation of the interface out comeDATA implies that the MR transmits the connection associated with EDI, data to the EED.
  • the GEEDC supports the following interfaces:
  • an interface lapphcationcreateEAv allowing the creation of a new EAV.
  • the call to this interface can take as parameter the identifier of an application that will be launched as soon as the EAV in question is created, a UppiicationdestroyEAv interface allowing the destruction of an existing EAV,
  • the activation of the interface has ppi ⁇ cat ⁇ oncr ⁇ ateEAv / lappi ⁇ cat ⁇ oncr ⁇ ateEAP by an application means that the GEEDC identifies EED which the application belongs, and activates the interface IcreateEAv / lcreat ⁇ EAP with the GEAV / GEAP device.
  • the latter creates an EAV / EAP identifier, allocates the memory space requested by the request and associates in its management table the identifier of the EAV / EAP and the memory space.
  • the GEAV / GEAP device sends back to the GEEDC the identifier of the EAV / EAP.
  • the GEEDC provides its association table by matching the name of the EED and the identifier of the EAV / EAP and, depending on the mode of implementation, it transmits or not back to the application the identifier of EAV / EAP.
  • Activation of the EAstroyapplication / TroyEAPpplication interface implies that the GEEDC activates the IdestroyEAv / ldestroyEAP interface with the GEAV / GEAP device. The latter deletes from its management table the correspondence between the EAV / EAP identifier and its memory space. The GEEDC removes from its association table the correspondence between the name of the EED and the EAV / EAP identifier.
  • the GEAV offers the following interfaces: - an IcreateEAv interface allowing the creation of a new EAV.
  • the call to this interface can take as parameter the identifier of an application that will be launched as soon as the EAV in question is created,
  • IdestroyEAP an IdestroyEAP interface allowing the destruction of an existing EAP.
  • the MR offers the following interfaces: - an OP ⁇ ACCESS I interface to open a connection associated with a
  • an IsuspendAccEss interface for suspending a connection associated with an EED as well as access associated with the communication network associated with this EED
  • an I C IOS ⁇ ACCESS interface for closing a connection associated with an EED as well as access associated with the communication network associated with this EED.
  • Activation of the IO P ⁇ ACCESS interface implies that the MR creates the connection associated with the EED, located between the MR and the GEEDC, and dedicated to the exchanges between the EED and its associated communication network, and active with the access network the creation / restoration procedure (the restoration procedure applies only if the access was previously suspended) of the access associated with this communication network allowing the transmission of data between the communication network and his respective EED.
  • Activation of the UuspendAccEss interface implies that the MR destroys the connection associated with the EED, between the MR and the GEEDC, dedicated to the exchanges between the EED and its associated communication network, and active with the access network The procedure for suspending the access associated with this communication network allowing the transmission of data between the communication network and its respective EED.
  • I C IOS ⁇ ACCESS interface implies that the MR destroys the connection associated with the EED, between the MR and the GEEDC, dedicated to the exchanges between the EED and its associated communication network, and active with the network. access the procedure of removing access to this communication network allowing the transmission of data between the communication network and its respective EED.
  • the MR admits the following interface:
  • the activation of the LcomeDATA interface implies that the MR transmits, to the recipient communication network, the data transmitted by the connection associated with the EED, between the GEEDC and the MR, reserved for the transmission of the exchanges between this communication network. and his respective EED.
  • the GEAP creates an EAP identifier, allocates the memory space requested by the GEEDC request and associates in its management table the EAP identifier and the memory space.
  • the GEAP sends back to the GEEDC the identifier of the EAP.
  • the GEEDC adds the identifier of the EAP thus created in the entry of the association table corresponding to the EED.
  • the GEEDC requests the GEAV to create an initial EAV and launch Application A as a parameter in this EAV.
  • the creation of this EAV involves the invocation of the GEAV Icre at eEAv interface, passing in parameter the reference of the current EED.
  • New EAVs and EAPs can be associated with EED over time, as discussed below.
  • the suspension of the EED is conditioned by the request for termination of the terminal or the explicit request for suspension of said EED.
  • the GEEDC requests the GEAV to destroy all the EAVs associated with this EED (IdestroyEAv), but retains all the EAPs as well as the entry in the association table.
  • IdestroyEAv all the data of this EED are destroyed, namely the associated EAVs and EAPs respectively via IdestroyEAv and IdestroyEAP, and, consequently, the data they contain as well as the corresponding entry to this EED in the association table.
  • the GEAV When requesting the creation of an EAV resulting from a call to the IcreateEAv interface, with the passage of an application as a parameter, the GEAV adds the identifier of the EAV thus created in the association table corresponding to EED. It then runs the application passed as a parameter in the newly created EAV. This application can then request the launch of new applications (and therefore if necessary the creation of new AVEs) or ask EGAP, via Icre at eEAP, the creation of a new EAP. In both cases, namely EVA creation application or EAP, an application address its request to GEEDC using lapphcationcreateEAV OR lapphcationcreateEAP interfaces carried by C ⁇ d ⁇ Mier.
  • the request ⁇ n question does not include any mention to the EED that hosts the application (the application having no knowledge of the EED that hosts it).
  • the GEEDC extracts the name of I 1 EED associated with the application issuing the request, and redirects the request on the GEAV or GEAP, after having added in parameter of the request the reference to I 1 EED and obtained.
  • the GEEDC plays here typically its role of "window" with respect to GEAV and GEAP devices.
  • the destruction of a EAV can occur either explicitly via Ides t royEAv or implicitly at the end all the applications that run it. This destruction implies the erasure of the data contained in the EAV and the deletion of its identifier in the entry of the association table corresponding to its EED.
  • the selection of a communication network supposes the selection of an identifier called "APN" ("Access Point Name").
  • APN Access Point Name
  • GGSN communication network access management equipment
  • Node " This gives rise to the creation of a link with the selected communication network (called "PDP context"), thus allowing access to all the services hosted by the latter.
  • PDP context communication network access management equipment
  • the memory isolation consists, for example, in attributing to each application a single address space, the address spaces being disjoint two by two, and forbidding the designation, and therefore the access, resources from another space addressing.
  • Access building isolation consists, for example, of a secure communication network access system systematically seeking to establish the access link with the communication network identified by the APN associated with its EED. found in the association table.
  • the TCP / IP type protocol stacks are implemented by a set of components each implementing a protocol.
  • the GEEDC, GEAV, GEAP and MR devices are similarly made by GEEDC, GEAV, GEAP, MR.
  • the GEED is executed directly on the terminal hardware, in its own address space, so as to be totally isolated from the potentially active AVEs on the terminal. Its functionalities consist of multiplexing and protecting resources according to a security strategy focused on network access.
  • the GEED is constructed using components as follows:
  • the development of the GEEDC component can be inspired by the window function for the management of memory space, as it exists on a Unix-like operating system, modified however to integrate the protection of resources centered "networks" ; in addition to this function, the GEEDC integrates the management of EEDs and a window for access to communication networks allowing the multiplexing / demultiplexing of exchanges via the MR between the applications and the communication networks; the multiplexing of the connections associated with the EEDs between the GEEDC and the MR for the exchanges between the EEDs and the communication networks can be realized by associating for each connection two "pipes", namely a "pipe” for the exchanges EED towards network and a "pipe” for network exchanges to EED (the "pipe” is an inter-application exchange function existing especially in Unix operating systems);
  • the GEAV component uses a "MMU Manager” component to manage the hardware protection device (MMU); the role of this component is to configure the MMU so that the latter ensures the isolation of the different EAVs between them, the isolation of the GEEDC with the EAVs, as well as the lifecycle of the EAVs; thus, each EAV of each EED corresponds to a dedicated virtual address space; in a MMU, each address space is identified by an ASID (initials of the words "Address Space Identifier"); since the number of ASIDs is by nature limited, this ASID serves as an identifier for AVEs; an ASID is temporarily associated as the identifier of an EAV during the lifetime of this EAV; an ASID is reused, ie the destruction of an AAV does not result in the destruction of the ASID, which can later be used as an identifier of another AVE possibly belonging to another EED ; thus, over time, an ASID, as an identifier of an EAV in volatile memory, may appear associated with MMU
  • an EAV identifier may appear several times in different entries but never twice at one time; in order to allow the multiplexing of the processor resource between the various applications, the GEAV uses a "Scheduler" component (multiplexer of the computing resource); GEAV is also responsible for the multiplexing of the HMIs between the different AVEs, such as the transition from the on-screen display of an EAV application to that of another application of another EAV;
  • the GEAP component is a specific secure file system whose role is to associate each EED with a separate file naming context; the isolation of these contexts is done in a similar way to the memory isolation by preventing the designation and thus the access of a file belonging to an EED from another EED; such a file system can easily be realized using a conventional file system; this consists, for example, in creating in the file tree an APN name directory for each EED, and prefixing in a transparent manner the symbolic name of a file by the name of the APN (thus the file "titi” from the NPC "Leisure” becomes "/ Leisure / titi”);
  • the MR component is implemented in the context of GPRS and UMTS by an "L2TP" component implementing the L2TP protocol layer whose The role is to multiplex the different streams coming from the communication networks identified by the APNs on the same physical network link, here the serial link to the GPRS / UMTS modem; in addition to this function, it includes a window for access to EEDs for multiplexing / demultiplexing exchanges (via GEEDC) between communication networks and applications; the multiplexing of the connections associated with the EEDs between the MR and the GEEDC for the exchanges between the communication networks and the EEDs can be realized by associating for each connection two "pipes", namely a "pipe” for the exchanges EED towards network and a "pipe” for network exchanges to EED.
  • an EED is constructed with the following components:
  • IHM library managing the peripherals of the platform, such as the screen, the keyboard, and so on;
  • runtime a set of high level execution component, called "runtime", allowing navigation within the service bundle associated with the EED;
  • the "runtime” is an integral part of the system and is incorporated into the system during its design; for example, three “runtimes” respectively associated with three EEDs are simultaneously present on the terminal:
  • an application may request the reading or modification of data belonging to another application, the system checking at runtime if it has the rights (defensive containment of memory access).
  • the application can specify to which APN it wants to connect, and the system could then check at run time if it has the rights to establish access (defensive confinement of network access) .

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Secure system for executing, in a terminal (10) intended to be connected to a plurality of communication networks (60, 61, 62), at least one application dedicated to a given communication network. According to the invention, said system comprises:- at least one central manager (31 ) for at least one execution space (11, 12), able to: * identify said given communication network through a request originating from said application, * create an execution space, and dedicate said execution space to said given communication network, - at least one manager (32, 33) of at least one memory addressing space, able to: * allocate a memory addressing space to said application in response to said request, and to associate said memory addressing space with said dedicated execution space, * prevent applications that are executing on execution spaces other than said dedicated execution space from accessing data present in said dedicated execution space, - at least one network multiplexer (34) able to prevent the exchange of data between said dedicated execution space and other communication networks.

Description

SYSTEME D'ACCES SECURISE D'UN TERMINAL A DES RESEAUX DE SYSTEM FOR SECURE ACCESS OF TERMINAL TO NETWORKS
COMMUNICATIONCOMMUNICATION
La présente invention concerne un système d'accès sécurisé d'un terminal à au moins un réseau de communication.The present invention relates to a secure access system of a terminal to at least one communication network.
L'invention trouve une application particulièrement avantageuse dans le domaine des services applicatifs impliquant la transmission de données entre un terminal et des réseaux de communication distincts.The invention finds a particularly advantageous application in the field of application services involving the transmission of data between a terminal and separate communication networks.
Afin de développer les services applicatifs payants orientés vers la transmission et le traitement de données, notamment des contenus mettant à disposition des informations sensibles, il est nécessaire que les réseaux de communication utilisés offrent une garantie de confidentialité (informations personnelles), de sécurité (transactions financières) et de non divulgation (informations bancaires) des données échangées. La garantie de non- divulgation des données localisées sur un réseau de communication autorise l'association biunivoque entre un réseau de communication et un modèle économique, et de fait, le déploiement d'offres de service exclusives segmentées en « bouquets » dédiés à une catégorie de clients bien identifiée, et isolés les uns des autres. Cette perspective est aujourd'hui considérée comme une réelle opportunité de dynamisation du commerce de contenus. Concrètement, des données accessibles depuis un réseau A ne doivent pas pouvoir être transmises et/ou accessibles via un réseau B : c'est le principe de l'isolation des réseaux. Cette isolation est déjà proposée par de nombreuses catégories de réseaux, comme le GPRS, l'UMTS-PS ou l'ATM.In order to develop paid application services oriented towards the transmission and the processing of data, in particular contents providing sensitive information, it is necessary that the communication networks used offer a guarantee of confidentiality (personal information), security (transactions financial information) and non-disclosure (banking information) of the data exchanged. The guarantee of non-disclosure of data located on a communication network allows the one-to-one association between a communication network and an economic model, and in fact, the deployment of exclusive service offers segmented into "bouquets" dedicated to a category customers well identified, and isolated from each other. This perspective is now considered a real opportunity to boost the content trade. In concrete terms, data accessible from a network A must not be able to be transmitted and / or accessible via a network B: this is the principle of network isolation. This isolation is already offered by many categories of networks, such as GPRS, UMTS-PS or ATM.
Cependant, la protection ainsi obtenue reste limitée au transfert de données entre les réseaux de communication eux-mêmes, mais elle ne s'étend pas au terminal utilisateur, lequel peut alors devenir l'origine de courts- circuits d'informations entre réseaux distincts. En effet, les fonctions de sécurité implantées par les systèmes d'exploitation des terminaux actuels sont centrées sur l'utilisateur. On comprend alors que, si celui-ci dispose des droits d'accès nécessaires, il peut à loisir prélever des données ou des contenus d'un réseau A et les transmettre à un réseau B. Cette potentialité est d'autant plus importante que la norme GPRS autorise précisément un terminal mobile à accéder à de multiples réseaux de communication, identifiés chacun par un "nom de point d'accès", ou APN (initiales des mots anglais « Access Point Name »).However, the protection thus obtained is limited to the transfer of data between the communication networks themselves, but it does not extend to the user terminal, which can then become the origin of short circuits of information between separate networks. Indeed, the security functions implemented by the current terminal operating systems are user-centric. We then understand that, if he has the rights necessary access, it can take data or contents of a network A at will and transmit them to a network B. This potentiality is all the more important since the GPRS standard allows a mobile terminal to access multiple communication networks, each identified by an "access point name", or APN (initials of the English words "Access Point Name").
Dans la suite, on entendra par système d'exploitation une plate-forme destinée à gérer le partage et la protection des ressources du terminal entre les applications. Un système d'exploitation se compose en général, d'une part, d'un noyau ayant accès à toutes les ressources matérielles, au sein duquel le processeur peut exécuter des instructions privilégiées en mode superviseur, et, d'autre part, de services systèmes de plus haut niveau, utilisés par les applications.In the following, operating system will be understood as a platform for managing the sharing and protection of terminal resources between applications. An operating system typically consists of a kernel with access to all hardware resources, where the processor can execute privileged instructions in supervisor mode, and services higher level systems used by applications.
On connaît différents modes d'isolation mis en œuvre dans les systèmes existants actuellement.We know different modes of isolation implemented in existing systems currently.
Selon un premier type de protection, communément appelé isolation « mémoire », chaque application ou chaque service s'exécutant dans un espace mémoire y reste confiné et ne peut corrompre le reste du système.According to a first type of protection, commonly called "memory" isolation, each application or service running in a memory space remains confined and can not corrupt the rest of the system.
Un deuxième niveau de protection, par isolation des services systèmes, consiste à vérifier les droits d'accès d'une application aux services systèmes avant de les solliciter. Ainsi, lorsque qu'une application souhaite accéder à un service, elle émet une requête au noyau qui contrôle l'accès en fonction de sa stratégie de sécurité. Si l'accès est autorisé, le noyau achemine la requête au service demandé. Par exemple, le système peut limiter l'utilisation de certains services (comme le service de redémarrage de la machine) aux utilisateurs ayant des droits d'administration.A second level of protection, by system services isolation, is to check the access rights of an application to the system services before requesting them. Thus, when an application wants to access a service, it issues a request to the kernel that controls access according to its security strategy. If access is allowed, the kernel routes the request to the requested service. For example, the system may limit the use of certain services (such as the machine reboot service) to users with administrative rights.
En complément, un troisième niveau de protection, concernant l'isolation des ressources, peut être implanté par chaque service système afin d'affiner la stratégie de sécurité. Ce type de protection est principalement utilisé par les services de gestion des ressources, notamment les systèmes de fichiers. La stratégie de sécurité proposée par ces derniers vise principalement à vérifier qu'une application s'exécutant pour le compte d'un utilisateur donné possède bien les droits d'accès en écriture ou en lecture au fichier concerné avant de satisfaire la requête. Ainsi, à chaque fichier peuvent être associés des droits différents en fonction de l'utilisateur.In addition, a third level of protection, concerning the isolation of resources, can be implemented by each system service in order to refine the security strategy. This type of protection is mainly used by resource management services, including file systems. The security policy proposed by them is mainly to verify that an application running on behalf of a given user has the rights to write or read the file concerned before satisfying the request. Thus, to each file can be associated different rights depending on the user.
On comprend que, s'ils répondent relativement bien au problème de la protection des ressources et des services systèmes s'exécutant sur le terminal, les systèmes d'exploitation connus ne peuvent garantir l'absence de courts-circuits de données entre réseaux de communication distincts, et cela pour deux raisons :It is understood that, if they respond relatively well to the problem of protecting the resources and the system services running on the terminal, the known operating systems can not guarantee the absence of data short circuits between communication networks. for two reasons:
- aucun mécanisme ne peut empêcher une application d'établir deux liens sur deux réseaux distincts et de les court-ci rcuiter, via la mémoire vive (RAM) du terminal, en recopiant les données de l'un dans l'autre,- No mechanism can prevent an application from establishing two links on two separate networks and short-rruit them, via the RAM of the terminal, by copying the data from one into the other,
- deux applications malveillantes s'exécutant sur des réseaux de communication distincts pour le compte d'un même utilisateur ont toujours la possibilité d'utiliser un même fichier, voire de la mémoire partagée, pour transmettre des données d'un réseau de communication à un autre. L'origine de ces deux problèmes est différente. Le premier est dû au fait qu'il n'existe aucun contrôle d'accès aux réseaux géré par les systèmes d'exploitation actuels, le contrôle d'accès, quand il existe, étant géré par le réseau d'accès lui-même par une authentification du type identifiant/mot de passe par exemple. Le second est dû au fait que la protection des ressources est « centrée sur l'utilisateur » au sens où les ayants-droit d'une ressource sont des utilisateurs.- two malicious applications running on separate communication networks on behalf of the same user can always use the same file, or even shared memory, to transmit data from a communication network to a single other. The origin of these two problems is different. The first is due to the fact that there is no access control to the networks managed by the current operating systems, access control, when it exists, being managed by the access network itself by an authentication of the type identifier / password for example. The second is because resource protection is "user-centric" in the sense that the beneficiaries of a resource are users.
Par conséquent, les applications, s'exécutant sur deux réseaux de communication distincts A et B, sont à même d'échanger des données entre elles par l'intermédiaire du terminal. Dans cette configuration de protection « centrée utilisateur », les applications ne sont pas confinées à leur réseau de communication d'origine puisqu'elles sont capables d'échanger des données entre les deux réseaux de communication par ledit terminal.Therefore, the applications, running on two separate communication networks A and B, are able to exchange data between them via the terminal. In this "user-centric" protection configuration, the applications are not confined to their original communication network since they are capable of exchanging data between the two communication networks by said terminal.
Dès lors, des problèmes de confidentialité, de divulgation, de sécurité et de piratage sont rencontrés concernant les données transmises par les applications des différents réseaux de communication. Ces problèmes se font particulièrement sentir, par exemple, lors de l'accès à un réseau de communication pour échanger des données bancaires sensibles, ou bien lors de l'accès à un réseau de communication pour télécharger un film payant. Aussi, le problème technique à résoudre par l'objet de la présente invention est de proposer un système d'exécution sécurisé, dans un terminal destiné à être connecté à une pluralité de réseaux de communication, d'au moins une application dédiée à un réseau de communication donné, qui permettrait de garantir l'absence totale de transfert d'informations entre ledit réseau de communication donné et d'autres réseaux de communication, via les ressources propres du terminal.Therefore, problems of confidentiality, disclosure, security and piracy are encountered concerning the data transmitted by the applications of the different communication networks. These problems are particularly felt, for example, when accessing a communication network to exchange sensitive banking data, or when accessing a communication network to download a paid movie. Also, the technical problem to be solved by the object of the present invention is to propose a secure execution system, in a terminal intended to be connected to a plurality of communication networks, of at least one application dedicated to a network. given communication, which would ensure the complete absence of information transfer between said given communication network and other communication networks, through the terminal's own resources.
La solution au problème technique posé consiste, selon la présente invention, en ce que ledit système comprend des moyens d'isolement de l'exécution de ladite application d'applications dédiées à des réseaux de communication autres que ledit réseau de communication donné.The solution to the technical problem posed consists, according to the present invention, in that said system comprises means for isolating the execution of said application application dedicated to communication networks other than said given communication network.
Selon l'invention, lesdits moyens d'isolement comprennent au moins un espace d'exécution dédié à l'exécution de ladite application dédiée audit réseau de communication donné. Ainsi, le système d'exécution sécurisé conforme à l'invention réalise le confinement des exécutions des applications au sein d'espaces de ressources, à savoir lesdits espaces d'exécution dédiés, associés dynamiquement et de manière univoque à chacun des réseaux de communication. On obtient de la sorte l'isolement de réseaux de communication distincts jusque dans les terminaux du fait du contrôle, depuis le système d'exploitation du terminal, de l'accès des applications aux réseaux de communication, et de l'implantation d'une stratégie de protection des ressources « centrée réseaux » et non plus « centrée utilisateurs », les ayants droit d'une ressource étant les réseaux de communication eux-mêmes. On notera que l'isolement entre ledit espace d'exécution dédié et les espaces d'exécution dédiés à d'autres réseaux de communication, peut être réalisé, au moins partiellement, par construction et/ou, au moins partiellement, par contrôle d'accès.According to the invention, said isolation means comprise at least one execution space dedicated to the execution of said dedicated application to said given communication network. Thus, the secure execution system according to the invention realizes the confinement of the executions of the applications within resource spaces, namely said dedicated execution spaces, dynamically associated and unequivocally with each of the communication networks. In this way, the isolation of separate communication networks is obtained in the terminals because of the control, from the operating system of the terminal, of the access of the applications to the communication networks, and the implementation of a strategy of resource protection "network centered" and no longer "user centric", the beneficiaries of a resource being the communication networks themselves. It should be noted that the isolation between said dedicated execution space and the execution spaces dedicated to other communication networks can be realized, at least partially, by construction and / or, at least partially, by control of access.
Selon un mode de réalisation de l'invention, ledit système comprend : - au moins un gestionnaire central d'au moins un espace d'exécution, apte à :According to one embodiment of the invention, said system comprises: at least one central manager of at least one execution space, capable of:
* identifier ledit réseau de communication donné à travers une requête provenant de ladite application, * identify said given communication network through a request from said application,
* créer un espace d'exécution, * dédier ledit espace d'exécution audit réseau de communication donné, * create an execution space, * dedicate said execution space to said given communication network,
* détruire ledit espace d'exécution dédié, * destroy said dedicated execution space,
- au moins un gestionnaire d'au moins un espace d'adressage mémoire, apte à : * allouer un espace d'adressage mémoire à ladite application en réponse à ladite requête en vue de l'exécution de ladite application sur ledit espace d'adressage mémoire,- at least one manager at least one memory address space, adapted to: * allocate a memory address space to said application in response to said request for the execution of said application on said address space memory,
* associer ledit espace d'adressage mémoire audit espace d'exécution dédié, * interdire que des applications s'exécutant sur des espaces d'exécution autres que ledit espace d'exécution dédié audit réseau de communication donné accèdent à des données présentes dans ledit espace d'exécution dédié, * Associating said memory address space to said dedicated execution space, * prohibit the use of applications running on the execution spaces other than said execution space dedicated to said given communications network accessing of data in said space dedicated execution,
- au moins un multiplexeur de réseau apte à interdire, d'une part, l'envoi de données provenant dudit espace d'exécution dédié vers des réseaux de communication autres que ledit réseau de communication donné, et, d'autre part, la réception par ledit espace d'exécution dédié de données provenant de réseaux de communication autres que ledit réseau de communication donné. La description qui va suivre en regard du dessin annexé, donnée à titre d'exemple non limitatif, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée.at least one network multiplexer capable of prohibiting, on the one hand, sending data from said dedicated execution space to communication networks other than said given communication network, and, on the other hand, receiving by said dedicated execution space of data from communication networks other than said given communication network. The following description with reference to the appended drawing, given by way of non-limiting example, will make it clear what the invention consists of and how it can be achieved.
La figure 1 est un schéma d'un système d'accès sécurisé conforme à l'invention.Figure 1 is a diagram of a secure access system according to the invention.
Sur la figure 1 est représenté un système d'accès sécurisé d'un terminal à un ensemble de réseaux de communication à travers un réseau d'accès. Un "accès à un réseau de communication" comprend tout lien de communication avec un dispositif distinct du terminal, quelque soit le support physique sous- jacent et quelque soit le protocole de communication utilisé. Dans la description ci-dessous, un lien pourra être, par exemple, un accès à un APN dans la norme GPRS/UMTS, un chemin virtuel dans la norme ATM, un accès à un "PicoNet" dans la norme Bluetooth, un accès à un "VPN" (initiales des mots anglais " Virtual Private Network") dans la théorie générale des réseaux privés. Plus généralement, tous les périphériques de communication (Ethernet, Bluetooth, ZigBee, Wifi, Wimax, etc) sont destinés à être gérés par le système d'accès sécurisé conforme à l'invention.In Figure 1 is shown a secure access system of a terminal to a set of communication networks through an access network. "Access to a communication network" includes any communication link with a device separate from the terminal, regardless of the underlying physical medium and whatever the communication protocol used. In the description below, a link may be, for example, access to an APN in the GPRS / UMTS standard, a virtual path in the ATM standard, access to a "PicoNet" in the Bluetooth standard, access to a "VPN" (initials of the words "Virtual Private Network") in the general theory of private networks. More generally, all communication devices (Ethernet, Bluetooth, ZigBee, Wifi, Wimax, etc.) are intended to be managed by the secure access system according to the invention.
Le système d'accès sécurisé de la figure 1 comprend, dans le terminal, équipé d'un système d'exploitation, un gestionnaire GEED d'au moins un espace EED d'exécution dédié audit réseau de communication, ledit espace d'exécution dédié étant destiné à abriter l'exécution d'au moins une application dans le contexte du réseau de communication associé.The secure access system of FIG. 1 comprises, in the terminal, equipped with an operating system, a GEED manager of at least one execution EED space dedicated to said communication network, said dedicated execution space being intended to house the execution of at least one application in the context of the associated communication network.
Ledit gestionnaire GEED d'au moins un espace d'exécution dédié comprend les dispositifs suivants: au moins un gestionnaire GEEDC central d'au moins un espace d'exécution, au moins un gestionnaire GEAV d'espacesThe said GEED manager of at least one dedicated execution space comprises the following devices: at least one central GEEDC manager of at least one execution space, at least one GEAV manager of spaces
EAV d'adressage volatiles, au moins un gestionnaire GEAP d'espaces EAP d'adressage persistants, et au moins un multiplexeur réseau MR. Le canal de données entre le GEEDC et le MR est appelé dans la suite "connexion", tandis que les canaux de données entre le MR les réseaux de communication sont appelés "accès".Volatile addressing EAVs, at least one GEAP manager for persistent addressing EAP spaces, and at least one MR network multiplexer. The data channel between the GEEDC and the MR is referred to in the following "connection", while the data channels between the MR communication networks are called "access".
Les rôles des différents dispositifs se répartissent comme suit: - le gestionnaire GEEDC central d'au moins un espace d'exécution, est responsable de :The roles of the different devices are distributed as follows: - the central GEEDC manager of at least one execution space, is responsible for:
* la gestion du cycle de vie (création/destruction/suspension) des EED, * l'association biunivoque entre un EED et un et un seul réseau de communication, * the life-cycle management (creation / destruction / suspension) of EEDs, * the one-to-one association between EED and one and only one communication network,
* l'isolation entre les EED, * isolation between EEDs,
* l'aiguillage des flux de données provenant d'un EED vers la connexion associée à cet EED, et le multiplexage entre la connexion associée audit EED et les connexions existantes associées aux autres EED, * The switching of the data stream from a PST to the connection associated with the PST, and multiplexing between the EED associated with said connection and the existing connections associated with other EED
* l'aiguillage vers un EED des flux de données issues de la connexion associée audit EED, et le démultiplexage entre la connexion associée à cet EED et les connexions existantes associées aux autres EED, referencing data flows from the connection associated with said EED to an EED, and demultiplexing between the connection associated with this EED and the existing connections associated with the other EEDs,
* l'isolation entre les flux de données transmis sur une connexion associée à un EED et les flux de données transmis sur les connexions existantes associées aux autres EED, * the isolation between the data flows transmitted over a connection associated with an EED and the data flows transmitted over the existing connections associated with the other EEDs,
* la gestion des connexions associées aux EED, * management of connections associated with EEDs,
* l'unicité du nommage des EED, * l'isolation de ses données propres vis-à-vis du reste du système ; * the uniqueness of the names of EEDs, * the isolation of its own data vis-à-vis the rest of the system;
- le gestionnaire GEAV d'espaces EAV d'adressage volatiles est responsable de:- the GEAV manager of volatile address EAV spaces is responsible for:
* la gestion du cycle de vie (création/destruction) des EAV, * l'association entre un EAV et un et un seul EED (un EAV est associé à un et un seul EED), * life-cycle management (creation / destruction) of AVEs, * association between an EAV and one and only one EED (an EAV is associated with one and only one EED),
* l'adressage effectif des EAV par les applications qui s'exécutent: un EAV ne peut être adressé que par une application qui s'exécute dans le contexte de l'EED auquel est associé ledit EAV, * l'isolation mémoire entre les EAV (deux EAV distincts ne peuvent pas partager d'espace mémoire), * the effective addressing of EAVs by running applications: an EAV can only be addressed by an application that runs in the context of the EED with which the EAV is associated, * the memory isolation between EAVs (two separate EAVs can not share memory space),
* l'opération d'écriture et de lecture par une application des données volatiles enregistrées dans cet EAV, * The writing and reading operation by application of volatile data stored in this EAV,
* l'unicité des identifiants d'EAV ; - le gestionnaire GEAP d'espaces d'adressage persistants EAP est responsable de : * the uniqueness of the EAV identifiers; - the persistent address space manager GEAP EAP is responsible for:
* la gestion du cycle de vie (création/destruction) des EAP, * life-cycle management (creation / destruction) of EAPs,
* l'association entre un EAP et un et un seul EED (un EAP est associé à un et un seul EED), * l'adressage effectif des EAP par les applications qui s'exécutent: un * the association between an EAP and one and only one EED (an EAP is associated with one and only one EED), * the effective addressing of the EAP by the applications that execute: a
EAP ne peut être adressé que par une application qui s'exécute dans le contexte de l'EED auquel est associé ledit EAP,EAP can only be addressed by an application that runs in the context of the EED with which the EAP is associated,
* l'isolation mémoire entre les EAP (deux EAP distincts ne peuvent pas partager d'espace mémoire), * l'opération d'écriture et de lecture par une application des données persistantes enregistrées dans cet EAP, * memory isolation between EAPs (two separate EAPs can not share memory space), * the operation of writing and reading by an application persistent data stored in this EAP,
* l'unicité des identifiants d'EAP. Par exemple, un identifiant d'EAP peut être la concaténation du nom de l'EED et d'une valeur incrémentale ; * the uniqueness of the EAP identifiers. For example, an EAP identifier may be the concatenation of the EED name and an incremental value;
- le multiplexeur réseau MR est responsable de : * l'association biunivoque entre un EED et un et un seul réseau de communication, * l'isolation des flux de données transmis sur chaque connexion associée à un EED d'avec les flux de données transmis sur d'autres connexions associées à d'autres EED,- the network multiplexer MR is responsible for: * the one-to-one association between an EED and one and only one communication network, * the isolation of data streams transmitted on each connection associated with an EED from the data flows transmitted on other connections associated with other EEDs,
* l'isolation des flux de données transmis sur chaque accès associé à un réseau de communication d'avec les flux de données transmis sur d'autres accès associés à d'autres réseaux de communication, * Insulation of the transmitted data flow on each port associated with a communication network with the data stream transmitted on other associated access to other communications networks,
* l'aiguillage des flux de données provenant de la connexion associée à l'EED vers l'accès associé au réseau de communication qui est associé à cet EED en effectuant, d'une part, le démultiplexage entre la connexion associée à cet EED et les connexions associées aux autres EED et, d'autre part, le multiplexage entre l'accès associé à ce réseau de communication et les accès associés aux autres réseaux de communication, * The switching of the data stream from the connection associated with the PST to the associated access to the communication network which is associated with this PST by performing, on the one hand, demultiplexing between the connection associated with the EED and the connections associated with the other EEDs and, on the other hand, the multiplexing between the access associated with this communication network and the accesses associated with the other communication networks,
* l'aiguillage des flux de données provenant de l'accès associé à un réseau de communication vers la connexion associée à l'EED qui est associé à ce réseau de communication en effectuant, d'une part, le démultiplexage entre l'accès associé à ce réseau de communication et les accès associés aux autres réseaux de communication et, d'autre part, le multiplexage entre la connexion associée à cet EED et les connexions existantes associées aux autres EED, * la gestion des protocoles réseaux utilisés pour communiquer avec le réseau d'accès (par exemple le réseau GPRS/UMTS, le réseau ADSL, etc.) incluant la prise en charge de la configuration du ou des liens physiques, * The switching of the data flow from the access associated with a communication network to the connection associated with the PST which is associated with this communications network by performing, on the one hand, demultiplexing between the associated access to this communication network and accesses associated with other communication networks and, on the other hand, the multiplexing between the connection associated with this EED and the existing connections associated with the other EEDs, * the management of the network protocols used to communicate with the access network (eg GPRS / UMTS network, ADSL network, etc.) including support for the configuration of the physical link (s),
* la gestion des accès associés aux réseaux de communication, comme par exemple, la création, la modification, la suspension et la suppression d'un accès de type « PDP context » définie par la norme GPRS/UMTS ou l'établissement des chemins définis par la norme ATM, * the management of accesses associated with communication networks, such as the creation, modification, suspension and deletion of a "PDP context" access defined by the GPRS / UMTS standard or the establishment of defined paths by the ATM standard,
* la gestion des connexions associées aux différents EED. * the management of the connections associated with the different EEDs.
Règles de gestion des EED Les règles de gestion des EED sont les suivantes :EED management rules The EED management rules are as follows:
- toute application est exécutée sur le terminal dans un et un seul environnement d'exécution, à savoir un EED ; cet EED lui est associé de manière irrévocable pour tout son cycle de vie ; - un EED peut abriter l'exécution de plusieurs applications ;any application is executed on the terminal in one and only one execution environment, namely an EED; this EED is irrevocably associated with it throughout its life cycle; - an EED can house the execution of several applications;
- à un EED est associé au plus un réseau de communication, et ce, de manière unique et irrévocable ; en particulier, un EED peut être associé au terminal lui-même, le terminal étant considéré comme un réseau de communication ; ce cas se produit typiquement pour des applications ne nécessitant pas d'accéder à un réseau de communication au cours de leur exécution ; il faut noter que si au plus un réseau de communication est associé à un EED, plusieurs accès à ce même réseau de communication peuvent néanmoins être établis ; - un EED confine l'ensemble des exécutions qu'il abrite, plus précisément :- an EED is associated with more than one communication network, in a unique and irrevocable way; in particular, an EED can be associated with the terminal itself, the terminal being considered as a communication network; this case typically occurs for applications that do not require access to a communications network during their execution; it should be noted that if at most one communication network is associated with an EED, several accesses to the same communication network can nevertheless be established; - an EED confines all the executions it houses, more precisely:
* à aucun moment, une application ne peut établir de communication avec un autre réseau de communication que celui associé à son EED, * at no time can an application establish communication with another communications network other than that associated with its EED,
* à aucun moment, une application ne peut accéder aux données autres que celles qui sont stockées dans le contexte de son EED, ni communiquer avec une application résidant dans un autre EED ; * at no time can an application access data other than that stored in the context of its PST, nor communicate with an application residing in another PST;
- un EED est constitué :- an EED consists of:
* de zéro, un ou plusieurs espaces d'adressage volatiles EAV, ce nombre pouvant varier au cours de l'exécution de l'EED : le cas où il n'y a aucun EAV correspond à celui où aucune application ne s'exécute au sein de l'EED, ce qui est typiquement le cas lorsque le terminal est éteint, * from zero, one or more volatile address spaces EAV, this number may vary during the execution of the EED: the case where there is no EAV corresponds to that where no application is executed at within the EED, which is typically the case when the terminal is off,
* de zéro, un ou plusieurs espaces d'adressage persistants EAP, ce nombre pouvant varier au cours de l'exécution de l'EED ; le cas où il n'y a aucun EAP associé correspond typiquement à celui où aucune application n'aurait besoin de stocker des informations de manière persistante, ou lorsque le stockage ne serait pas permis dans cet EED. * Zero, one or more EAP persistent address spaces, this number may vary during execution of the EED; the case where there is no associated EAP typically corresponds to that where no application would need to store information persistently, or where storage would not be allowed in this EED.
Règles de gestion des EAVManagement rules for AVEs
Un espace d'adressage volatile EAV désigne l'ensemble des données présentes en mémoire volatile, une mémoire vive RAM par exemple, accessibles par une ou plusieurs applications s'exécutant au sein d'un même EED. Un EAV est caractérisé par les règles de gestion suivantes :A volatile address space EAV designates all the data present in volatile memory, a random access memory RAM for example, accessible by one or more applications running within the same EED. An EAV is characterized by the following management rules:
- à tout moment, les EAV sont disjoints deux à deux, qu'ils appartiennent au même EED ou à deux EED différents : une même adresse mémoire représente nécessairement deux données différentes dans deux EAV différents ;- at any time, the AVEs are disjoint two by two, whether they belong to the same EED or to two different EEDs: the same memory address necessarily represents two different data in two different AVEs;
- toute application s'exécute dans un et un seul EAV associé à son EED ; deux applications peuvent en revanche s'exécuter au sein du même EAV dans la mesure où elles appartiennent au même EED ; par conséquent deux applications appartenant à deux EED différents s'exécutent de manière isolée ;- any application runs in one and only one EAV associated with its EED; however, two applications can run within the same EAV as long as they belong to the same EED; therefore two applications belonging to two different EEDs are running in isolation;
- la destruction d'un EAV implique l'effacement des données qu'il contient.- the destruction of an EAV implies the erasure of the data it contains.
Règles de gestion des EAP Un espace d'adressage persistant EAP désigne l'ensemble des données présentes en mémoire persistante, une mémoire flash par exemple, accessibles par l'ensemble des applications s'exécutant au sein d'un même EED. Un EAP est caractérisé par les règles de gestion suivantes :EAP management rules A persistent EAP address space refers to all data in persistent memory, such as flash memory, accessible by all applications running within the same EED. An EAP is characterized by the following management rules:
- à tout moment, les EAP sont disjoints deux à deux, qu'ils appartiennent au même EED ou à deux EED différents : une même adresse mémoire représente nécessairement deux données différentes dans deux EAP différents ;- at any time, the EAPs are disjoint two by two, whether they belong to the same EED or to two different EEDs: the same memory address necessarily represents two different data in two different EAPs;
- toute application peut lire et écrire des données dans les EAP associés à son EED, mais ne peut en aucun cas lire ou écrire une donnée dans un EAP d'un autre EED ; par conséquent, aucune donnée ne peut être échangée entre deux EED par l'intermédiaire des EAP ; néanmoins, deux applications s'exécutant dans deux EAV distincts, mais associés au même EED, partagent les EAP de l'EED ;- any application can read and write data in the EAP associated with its EED, but can not read or write any data in an EAP of another EED; therefore, no data can be exchanged between two EDIs through EAPs; however, two applications running in two separate EAVs, but associated with the same EED, share the EAPs of the EED;
- la destruction d'un EAP implique l'effacement des données qu'il contient.- the destruction of an EAP implies the erasure of the data it contains.
Description du fonctionnement du GEEDCDescription of the functioning of the GEEDC
Afin de réaliser le couplage entre chaque EED, le réseau de communication auquel il est dédié, les EAV et les EAP associés, le GEEDC s'appuie sur une table d'association. Cette table d'association n'est accessible que par le GEEDC. Elle peut éventuellement être décomposée en plusieurs tables d'associations, certaines étant stockées en mémoire volatile et d'autres en mémoire persistante, éventuellement sécurisée, par exemple en étant stockées sur la carte UICC, aussi appelée communément la carte SIM dans le cas d'un terminal mobile.In order to achieve the coupling between each EED, the communication network to which it is dedicated, the associated EAVs and EAPs, the GEEDC relies on an association table. This association table is only accessible by the GEEDC. It can possibly be decomposed into several association tables, some being stored in volatile memory and others in persistent memory, possibly secured, for example by being stored on the UICC card, also commonly called the SIM card in the case of a mobile terminal.
Ladite table d'association associe à un nom d'EED :Said association table associates with an EED name:
- l'identifiant du réseau de communication qui lui est associé de manière définitive lors de la création de l'EED,- the identifier of the communication network which is definitively associated with it during the creation of the EED,
- les identifiants des EAV qui lui sont associés,- the identifiers of the AVEs associated with it,
- les identifiants des EAP qui lui sont associés.- the identifiers of the EAP associated with it.
En outre, le GEEDC joue le rôle de guichet entre les applications et les dispositifs GEAV et GEAP. Cela signifie qu'il reçoit les requêtes de création/destruction d'EAV/EAP provenant des applications et les redirige, pour traitement, sur le dispositif GEAV/GEAP. Lorsque les requêtes parviennent au GEEDC, elles ne comportent pas de référence à l'EED au sein duquel la création/destruction doit avoir lieu. La stratégie mise en œuvre par le GEEDC consiste à identifier l'EED dans le contexte duquel s'exécute l'application, puis à passer le nom de cet EED en paramètre de la requête qu'il adresse en retour au GEAV/GEAP. Cette stratégie garantit qu'une application ne pourra créer/détruire des espaces d'adressage que dans la portée de l'EED dans lequel elle s'exécute : ceci constitue la base de l'isolation entre les EED.In addition, the GEEDC acts as a window between GEAV and GEAP applications and devices. This means that it receives EAV / EAP creation / destruction requests from the applications and redirects them for processing to the GEAV / GEAP device. When requests reach the GEEDC, they do not include a reference to the EED within which the creation / destruction is to take place. The strategy implemented by the GEEDC is to identify the EED in the context of which the application is running, then to pass the name of this EED as a parameter of the request it sends back to the GEAV / GEAP. This strategy ensures that an application can only create / destroy address spaces within the scope of the EED in which it runs: this forms the basis of the isolation between EEDs.
Au titre de gestion des EED, le GEEDC offre les interfaces suivantes:Under EED management, the GEEDC offers the following interfaces:
- une interface liaunchEED permettant la création d'un EED ou la réactivation d'un EED suspendu ; cette interface prend entre autres comme paramètres l'identifiant du réseau de communication et un identifiant de l'application initiale ; - une interface IsuspendEED permettant la suspension d'un EED existant ;- a liaunchEED interface allowing the creation of an EED or the reactivation of a suspended EED; this interface takes among other parameters such as the identifier of the communication network and an identifier of the initial application; - an IsuspendEED interface allowing the suspension of an existing EED;
- une interface IdestroyEED permettant la destruction d'un EED existant. L'activation de l'interface haunchEED conduit :- an Ides t royEED interface allowing the destruction of an existing EED. Activation of the haunchEED interface leads:
* dans un premier temps, à la réactivation de l'EED si l'EED existe déjà, ou, si l'EED n'existe pas, à la création du nom de l'EED, à son renseignement dans la table d'association, à l'association dans la table d'association du nom de l'EED et de l'identifiant de son réseau de communication respectif, * as a first step, to reactivate the EED if the EED already exists, or, if the EED does not exist, to create the name of the EED, to its information in the association table to the association in the association table of the name of the EED and the identifier of its respective communication network,
* dans un deuxième temps, si l'activation de la création/réactivation de l'EED n'émane pas du réseau de communication, à l'activation par le dispositif GEEDC de l'interface IOPΘΠACCESS du dispositif MR pour créer la connexion associée à l'EED et l'accès associé au réseau de communication. * in a second step, if the activation of the creation / reactivation of the EED does not emanate from the communication network, to the activation by the device GEEDC of the IO P ΘΠACCESS interface of the MR device to create the connection associated with the EED and the associated access to the communication network.
L'activation de l'interface IsuspendEED conduit à la suspension de l'EED, à l'activation par le dispositif GEEDC de l'interface IsuspendAccEss du dispositif MR pour détruire la connexion associée à l'EED et pour suspendre l'accès associé au réseau de communication, à la fermeture des applications associées à l'EED et à la destruction des EAV associés à ces dernières par l'activation par le dispositif GEEDC de l'interface IdestroyEAv du dispositif GEAV. La table d'association conserve les données persistantes de l'EED telles que l'association d'avec l'identifiant de son réseau de communication respectif et de ses EAP respectifs.Activation of the IsuspendEED interface leads to suspension of the EED, activation by the GEEDC device of the IsuspendAccEss interface of the MR device to destroy the connection associated with the EED and to suspend the access associated with the communication network, the closing of the applications associated with the EED and the destruction of the AVEs associated with the latter by the activation by the GEEDC device of the IdestroyEAv interface of the GEAV device. The association table retains the persistent data of the EED such as the association with the identifier of its respective communication network and its respective EAPs.
L'activation de l'interface IdestroyEED conduit à la destruction de l'EED et à l'activation par le dispositif GEEDC de l'interface ICIOSΘACCESS du dispositif MR pour détruire la connexion associée à l'EED et l'accès associé au réseau de communication. Le GEEDC envoie des requêtes au dispositif GEAV/GEAP pour libérer tous les espaces d'adressage EAV/EAP associés à l'EED. Puis, la table d'association est vidée de toutes les données associées à l'EED.The activation of the Ides t royEED interface leads to the destruction of the EED and the activation by the GEEDC device of the I C IOSΘACCESS interface of the MR device to destroy the connection associated with the EED and the access associated with the communication network. The GEEDC sends requests to the GEAV / GEAP device to release all EAV / EAP address spaces associated with the EED. Then, the association table is cleared of all the data associated with the EED.
Au titre du pilotage par le MR de la gestion des connexions associées aux EED, le GEEDC offre les interfaces suivantes:As part of the MR's management of the connection management associated with EEDs, the GEEDC offers the following interfaces:
- une interface IOPΘΠCONNEXION d'ouverture d'une connexion associée à un EED,an interface IO P CONNECTION opening a connection associated with an EED,
- une interface ICIOSΘCONNEXION de fermeture d'une connexion associée à un EED. Ces deux interfaces prennent en paramètre l'identifiant du réseau de communication pour lequel l'ouverture/fermeture de connexion doit s'effectuer. Ces interfaces sont activables exclusivement par le dispositif MR à la suite d'une demande émanant d'un réseau de communication.an interface I C IOSΘCONNECTION closing a connection associated with an EED. These two interfaces take as parameter the identifier of the communication network for which the opening / closing of connection must take place. These interfaces can only be activated by the MR device following a request from a communication network.
L'activation de interface IOPΘΠCONNEXION implique que le GEEDC active son interface liaunchEED pour créer/réactiver l'EED correspondant au réseau de communication d'où émane la demande et crée la connexion associée à l'EED entre le GEEDC et le MR pour permettre les échanges entre le réseau de communication et son EED respectif. L'activation de l'interface ICIOSΘCONNEXION implique que le GEEDC active son interface IsuspendEED pour suspendre cet EED.Activation of IO P ΘΠCONNEXION interface means that the active GEEDC its interface li aunchEED to create / reactivate PST corresponding to the communication network where the request and creates the connection associated with EED between GEEDC and MR to allow exchanges between the communication network and its respective EED. Activation of the I C IOSΘCONNECT interface implies that the GEEDC activates its IsuspendEED interface to suspend this EED.
Au titre de guichet entre les applications et les connexions associées aux EED, le GEEDC admet les interfaces suivantes :As a window between applications and connections associated with EEDs, the GEEDC admits the following interfaces:
- une interface ISΘΠCIDATA d'envoi de données vers la connexion associée à un EED,an I SΘΠC I DATA interface for sending data to the connection associated with an EED,
- une interface IΓΘCΘIVΘDATA de réception de données en provenance de la connexion associée à un EED. Les interfaces UPDATA et IΓΘCΘIVΘDATA sont activables exclusivement par les applications dans le contexte d'échanges de données au travers la connexion associée à leur EED.an IΓΘCΘIVΘDATA interface for receiving data from the connection associated with an EED. The UPDATA and IΓΘCΘIVΘDATA interfaces can only be activated by applications in the context of data exchange through the connection associated with their EED.
L'activation par une application de l'interface UPDATA implique que leActivation by an application of the U PDATA interface implies that the
GEEDC active l'interface ImcomeDATA du dispositif MR pour transmettre les données émises par l'application vers la connexion associée à l'EED correspondant à cette application.GEEDC activates the ImcomeDATA interface of the MR device to transmit the data transmitted by the application to the connection associated with the EED corresponding to this application.
L'activation de l'interface IΓΘCΘIVΘDATA implique que le GEEDC transmette à l'application les données transmises par la connexion associée à l'EED correspondant à cette application.Activation of the IΓΘCΘIVΘDATA interface implies that the GEEDC transmits to the application the data transmitted by the connection associated with the EED corresponding to this application.
Au titre des échanges de données avec le dispositif MR, le GEEDC admet l'interface suivante:As part of the data exchange with the MR device, the GEEDC admits the following interface:
- interface UtcomeDATA d'envoi de données entre un réseau de communication et son EED associé, Cette interface est activable exclusivement par le dispositif MR.- UtcomeDATA interface for sending data between a communication network and its associated EED, This interface can be activated exclusively by the MR device.
L'activation de l'interface loutcomeDATA implique que le MR transmet, par la connexion associée à l'EED, les données à destination de cet EED.Activation of the interface out comeDATA implies that the MR transmits the connection associated with EDI, data to the EED.
Au titre de guichet entre les applications et les dispositifs GEAV/GEAP, le GEEDC admet les interfaces suivantes:As a window between GEAV / GEAP applications and devices, the GEEDC supports the following interfaces:
- une interface lapphcationcreateEAv permettant la création d'un nouvel EAV. L'appel à cette interface peut prendre en paramètre l'identifiant d'une application qui sera lancée dès la création de l'EAV en question, - une interface UppiicationdestroyEAv permettant la destruction d'un EAV existant,- an interface lapphcationcreateEAv allowing the creation of a new EAV. The call to this interface can take as parameter the identifier of an application that will be launched as soon as the EAV in question is created, a UppiicationdestroyEAv interface allowing the destruction of an existing EAV,
- une interface laPPiιcatιoncreateEAP permet la création d'un nouvel EAP,- an interface PP iιcatιoncreateEAP allows the creation of a new EAP,
- une interface UppiicationdestroyEAP permettant la destruction d'un EAP existant.- UppiicationdestroyEAP interface allowing the destruction of an existing EAP.
L'activation de l'interface lappiιcatιoncrθateEAv/lappiιcatιoncrθateEAP par une application implique que le GEEDC identifie l'EED auquel l'application appartient et active l'interface IcreateEAv/lcreatΘEAP auprès du dispositif GEAV/GEAP. Ce dernier crée un identifiant d'EAV/EAP, alloue l'espace mémoire demandée par la requête et associe dans sa table de gestion l'identifiant de l'EAV/EAP et l'espace mémoire. Le dispositif GEAV/GEAP transmet en retour au GEEDC l'identifiant de l'EAV/EAP. Le GEEDC renseigne sa table d'association en faisant correspondre le nom de l'EED et l'identifiant de l'EAV/EAP et, selon le mode d'implémentation, il transmet ou non en retour à l'application l'identifiant de l'EAV/EAP.The activation of the interface has ppiιcatιoncrθateEAv / lappiιcatιoncrθateEAP by an application means that the GEEDC identifies EED which the application belongs, and activates the interface IcreateEAv / lcreatΘEAP with the GEAV / GEAP device. The latter creates an EAV / EAP identifier, allocates the memory space requested by the request and associates in its management table the identifier of the EAV / EAP and the memory space. The GEAV / GEAP device sends back to the GEEDC the identifier of the EAV / EAP. The GEEDC provides its association table by matching the name of the EED and the identifier of the EAV / EAP and, depending on the mode of implementation, it transmits or not back to the application the identifier of EAV / EAP.
L'activation de l'interface lappiicationdestroyEAv/lappiicationdestroyEAP implique que le GEEDC active l'interface IdestroyEAv/ldestroyEAP auprès du dispositif GEAV/GEAP. Ce dernier supprime de sa table de gestion la correspondance entre l'identifiant d'EAV/EAP et son espace mémoire. Le GEEDC supprime de sa table d'association la correspondance entre le nom de l'EED et l'identifiant d'EAV/EAP.Activation of the EAstroyapplication / TroyEAPpplication interface implies that the GEEDC activates the IdestroyEAv / ldestroyEAP interface with the GEAV / GEAP device. The latter deletes from its management table the correspondence between the EAV / EAP identifier and its memory space. The GEEDC removes from its association table the correspondence between the name of the EED and the EAV / EAP identifier.
Description du fonctionnement du GEAVDescription of the functioning of GEAV
Le GEAV offre les interfaces suivantes: - une interface IcreateEAv permettant la création d'un nouvel EAV. L'appel à cette interface peut prendre en paramètre l'identifiant d'une application qui sera lancée dès la création de l'EAV en question,The GEAV offers the following interfaces: - an IcreateEAv interface allowing the creation of a new EAV. The call to this interface can take as parameter the identifier of an application that will be launched as soon as the EAV in question is created,
- une interface IdestroyEAv permettant la destruction d'un EAV existant, Ces deux interfaces peuvent prendre en paramètre le nom de l'EED au sein duquel la création/destruction doit s'effectuer.- An IdestroyEAv interface allowing the destruction of an existing EAV, These two interfaces can take in parameter the name of the EED in which the creation / destruction must take place.
Ces interfaces sont activables exclusivement par le dispositif GEEDC.These interfaces can only be activated by the GEEDC device.
Description du fonctionnement du GEAP Le GEAP offre les interfaces suivantes:Description of the functioning of EGPA EGPA offers the following interfaces:
- une interface IcreateEAP permettant la création d'un nouvel EAP,an Icre at eEAP interface allowing the creation of a new EAP,
- une interface IdestroyEAP permettant la destruction d'un EAP existant. Ces deux interfaces peuvent prendre en paramètre le nom de I1EED au sein duquel la création/destruction doit s'effectuer.- an IdestroyEAP interface allowing the destruction of an existing EAP. These two interfaces can take as parameter the name of I 1 EED in which the creation / destruction must take place.
Ces interfaces sont activables exclusivement par le dispositif GEEDC.These interfaces can only be activated by the GEEDC device.
Description du fonctionnement du MRDescription of the MR's operation
Le MR offre les interfaces suivantes: - une interface IOPΘΠACCESS d'ouverture d'une connexion associée à unThe MR offers the following interfaces: - an OPΘΠACCESS I interface to open a connection associated with a
EED ainsi que de l'accès associé au réseau de communication associé à cet EED,EED and associated access to the communication network associated with this EED,
- une interface IsuspendAccEss de suspension d'une connexion associée à un EED ainsi que de l'accès associé au réseau de communication associé à cet EED,an IsuspendAccEss interface for suspending a connection associated with an EED as well as access associated with the communication network associated with this EED,
- une interface ICIOSΘACCESS de fermeture d'une connexion associé à un EED ainsi que de l'accès associé au réseau de communication associé à cet EED.an I C IOSΘACCESS interface for closing a connection associated with an EED as well as access associated with the communication network associated with this EED.
Ces trois interfaces prennent en paramètre l'identifiant du réseau de communication pour lequel l'ouverture/suspension/fermeture de connexion et d'accès doit s'effectuer.These three interfaces take as parameter the identifier of the communication network for which the opening / suspension / closing of connection and access must take place.
Ces interfaces sont activables exclusivement par le dispositif GEEDC.These interfaces can only be activated by the GEEDC device.
L'activation de l'interface IOPΘΠACCESS implique que le MR crée la connexion associée à l'EED, localisée entre le MR et le GEEDC, et dédiée aux échanges entre l'EED et son réseau de communication associé, et active auprès du réseau d'accès la procédure de création/restauration (la procédure de restauration ne s'applique que si l'accès a été préalablement suspendu) de l'accès associé à ce réseau de communication permettant la transmission de données entre le réseau de communication et son EED respectif.Activation of the IO P ΘΠACCESS interface implies that the MR creates the connection associated with the EED, located between the MR and the GEEDC, and dedicated to the exchanges between the EED and its associated communication network, and active with the access network the creation / restoration procedure (the restoration procedure applies only if the access was previously suspended) of the access associated with this communication network allowing the transmission of data between the communication network and his respective EED.
L'activation de l'interface UuspendAccEss implique que le MR détruise la connexion associée à l'EED, entre le MR et le GEEDC, dédiée aux échanges entre l'EED et son réseau de communication associé, et active auprès du réseau d'accès la procédure de suspension de l'accès associé à ce réseau de communication permettant la transmission de données entre le réseau de communication et son EED respectif.Activation of the UuspendAccEss interface implies that the MR destroys the connection associated with the EED, between the MR and the GEEDC, dedicated to the exchanges between the EED and its associated communication network, and active with the access network The procedure for suspending the access associated with this communication network allowing the transmission of data between the communication network and its respective EED.
L'activation de l'interface ICIOSΘACCESS implique que le MR détruise la connexion associée à l'EED, entre le MR et le GEEDC, dédiée aux échanges entre l'EED et son réseau de communication associé, et active auprès du réseau d'accès la procédure de suppression de l'accès à ce réseau de communication permettant la transmission de données entre le réseau de communication et son EED respectif.Activation of the I C IOSΘACCESS interface implies that the MR destroys the connection associated with the EED, between the MR and the GEEDC, dedicated to the exchanges between the EED and its associated communication network, and active with the network. access the procedure of removing access to this communication network allowing the transmission of data between the communication network and its respective EED.
Au titre des échanges de données avec les applications, le MR admet l'interface suivante:As part of the data exchange with the applications, the MR admits the following interface:
- interface LcomeDATA d'envoi de données entre un EED et son réseau de communication associé. Cette interface est activable exclusivement par le dispositif GEEDC.- LcomeDATA interface for sending data between an EED and its associated communication network. This interface can only be activated by the GEEDC device.
L'activation de l'interface LcomeDATA implique que le MR transmet, au réseau de communication destinataire, les données transmises par la connexion associée à l'EED, entre le GEEDC et le MR, réservée à la transmission des échanges entre ce réseau de communication et son EED respectif.The activation of the LcomeDATA interface implies that the MR transmits, to the recipient communication network, the data transmitted by the connection associated with the EED, between the GEEDC and the MR, reserved for the transmission of the exchanges between this communication network. and his respective EED.
La description qui suit est donnée à titre d'exemple non limitatif. Elle est destinée à faire bien comprendre en quoi consiste le fonctionnement du système d'accès sécurisé conforme à l'invention, et plus particulièrement le fonctionnement du GEEDC au cours de la vie d'un EED et le fonctionnement du GEAV au cours de la vie d'un EAV associé à l'EED.The following description is given by way of non-limiting example. It is intended to make clear what is the operation of the secure access system according to the invention, and more particularly the operation of the GEEDC during the life of a EED and the operation of GEAV during life an EAV associated with EED.
Lors de la demande de lancement d'un EED via un appel à l'interface liaunchEED, avec les paramètres R= « réseau de communication » et A= « application », le GEEDC crée l'EED associé au réseau de communication R si cet EED n'existe pas. Cette création consiste tout d'abord à ajouter une entrée dans la table d'association contenant initialement l'identifiant du réseau de communication R. Un paramètre supplémentaire P permet de spécifier la création d'un EAP initialement vide dans cet EED. Dans ce cas, le GEEDC demande au GEAP, via IcreateEAP, la création d'un EAP en passant en paramètre la référence de l'EED courant. Le GEAP crée un identifiant d'EAP, alloue l'espace mémoire demandée par la requête du GEEDC et associe dans sa table de gestion l'identifiant EAP et l'espace mémoire. Le GEAP transmet en retour au GEEDC l'identifiant de l'EAP. Le GEEDC ajoute l'identifiant de l'EAP ainsi créé dans l'entrée de la table d'association correspondant à l'EED. Après la création de l'EED, si l'EAV initial n'existe pas, le GEEDC demande au GEAV la création d'un EAV initial et le lancement de l'application A passée en paramètre dans cet EAV. La création de cet EAV passe par l'invocation de l'interface IcreateEAv du GEAV, en passant en paramètre la référence de l'EED courant. De nouveaux EAV et de nouveaux EAP peuvent être associés à l'EED au cours du temps, comme on le verra plus loin. La suspension de l'EED est conditionnée par la demande d'extinction du terminal ou la demande explicite de suspension dudit EED. Lors de l'extinction du terminal, le GEEDC demande au GEAV la destruction de tous les EAV associés à cet EED (IdestroyEAv), mais conserve tous les EAP de même que l'entrée dans la table d'association. Lors de la demande de destruction d'un EED, toutes les données de cet EED sont détruites, à savoir les EAV et les EAP associés respectivement via IdestroyEAv et IdestroyEAP, et, par voie de conséquence, les données qu'ils contiennent ainsi que l'entrée correspondant à cet EED dans la table d'association.When requesting the launch of an EED via a call to the interface liaunchEED, with the parameters R = "communication network" and A = "application", the GEEDC creates the EED associated with the communication network R if this EED does not exist. This creation consists firstly of adding an entry in the association table initially containing the identifier of the communication network R. An additional parameter P makes it possible to specify the creation of an initially empty EAP in this EED. In this case, the GEEDC requests the GEAP, via IcreateEAP, the creation of an EAP by passing in parameter the reference of the current EED. The GEAP creates an EAP identifier, allocates the memory space requested by the GEEDC request and associates in its management table the EAP identifier and the memory space. The GEAP sends back to the GEEDC the identifier of the EAP. The GEEDC adds the identifier of the EAP thus created in the entry of the association table corresponding to the EED. After the creation of the EED, if the initial EAV does not exist, the GEEDC requests the GEAV to create an initial EAV and launch Application A as a parameter in this EAV. The creation of this EAV involves the invocation of the GEAV Icre at eEAv interface, passing in parameter the reference of the current EED. New EAVs and EAPs can be associated with EED over time, as discussed below. The suspension of the EED is conditioned by the request for termination of the terminal or the explicit request for suspension of said EED. When the terminal is shut down, the GEEDC requests the GEAV to destroy all the EAVs associated with this EED (IdestroyEAv), but retains all the EAPs as well as the entry in the association table. When requesting the destruction of an EED, all the data of this EED are destroyed, namely the associated EAVs and EAPs respectively via IdestroyEAv and IdestroyEAP, and, consequently, the data they contain as well as the corresponding entry to this EED in the association table.
Lors de la demande de création d'un EAV résultant d'un appel à l'interface IcreateEAv, avec passage d'une application en paramètre, le GEAV ajoute l'identifiant de l'EAV ainsi créé dans la table d'association correspondant à l'EED. Il exécute ensuite l'application passée en paramètre dans l'EAV nouvellement créé. Cette application pourra ensuite demander le lancement de nouvelles applications (et donc le cas échéant la création de nouveaux EAV) ou demander au GEAP, via IcreateEAP, la création d'un nouvel EAP. Dans les deux cas, à savoir demande de création d'EAV ou d'EAP, une application adresse sa requête au GEEDC au moyen des interfaces lapphcationcreateEAV OU lapphcationcreateEAP portées par Cβ dβmier. La requête βn question ne comporte aucune mention à l'EED qui héberge l'application (l'application n'ayant aucune connaissance de l'EED qui l'héberge). A réception de la requête, le GEEDC extrait le nom de I1EED associé à l'application émettrice de la requête, et redirige la requête sur le GEAV ou le GEAP, après avoir ajouté en paramètre de la requête la référence à I1EED ainsi obtenue. Le GEEDC joue ici typiquement son rôle de "guichet" vis à vis des dispositifs GEAV et GEAP. La destruction d'un EAV peut intervenir soit explicitement via IdestroyEAv, soit implicitement à la fin l'ensemble des applications qui s'y exécutent. Cette destruction implique l'effacement des données contenues dans l'EAV et la suppression de son identifiant dans l'entrée de la table d'association correspondant à son EED. Un exemple de réalisation de l'invention mettant en œuvre un confinement par construction va maintenant être décrit dans le contexte de terminaux mobiles accédant à des réseaux de communication conformes à la norme GPRS/UMTS.When requesting the creation of an EAV resulting from a call to the IcreateEAv interface, with the passage of an application as a parameter, the GEAV adds the identifier of the EAV thus created in the association table corresponding to EED. It then runs the application passed as a parameter in the newly created EAV. This application can then request the launch of new applications (and therefore if necessary the creation of new AVEs) or ask EGAP, via Icre at eEAP, the creation of a new EAP. In both cases, namely EVA creation application or EAP, an application address its request to GEEDC using lapphcationcreateEAV OR lapphcationcreateEAP interfaces carried by C β d β Mier. The request β n question does not include any mention to the EED that hosts the application (the application having no knowledge of the EED that hosts it). AT receiving the request, the GEEDC extracts the name of I 1 EED associated with the application issuing the request, and redirects the request on the GEAV or GEAP, after having added in parameter of the request the reference to I 1 EED and obtained. The GEEDC plays here typically its role of "window" with respect to GEAV and GEAP devices. The destruction of a EAV can occur either explicitly via Ides t royEAv or implicitly at the end all the applications that run it. This destruction implies the erasure of the data contained in the EAV and the deletion of its identifier in the entry of the association table corresponding to its EED. An exemplary embodiment of the invention implementing a construction-based confinement will now be described in the context of mobile terminals accessing GPRS / UMTS compliant communication networks.
On rappelle qu'au sens de la norme GPRS/UMTS, la sélection d'un réseau de communication suppose la sélection d'un identifiant appelé "APN" {"Access Point Name"). Pour établir une communication entre un terminal et un réseau de communication donné, l'APN est transmis à travers le réseau mobile à un équipement de gestion d'accès aux réseaux de communication désigné par "GGSN" (initiales des mots anglais « Gateway GPRS Support Node »). Cela donne lieu à la création d'un lien avec le réseau de communication sélectionné (appelé « PDP context »), permettant ainsi l'accès à l'ensemble des services hébergés par ce dernier. Les concepts d'APN ainsi que de GGSN sont normalisés par IΕTSI/3GPP. La norme prévoit ainsi que plusieurs accès peuvent être établis simultanément vers plusieurs réseaux de communication à partir d'un même terminal.It will be recalled that, within the meaning of the GPRS / UMTS standard, the selection of a communication network supposes the selection of an identifier called "APN" ("Access Point Name"). To establish a communication between a terminal and a given communication network, the APN is transmitted over the mobile network to a communication network access management equipment designated by "GGSN" (initials of the words "Gateway GPRS Support"). Node "). This gives rise to the creation of a link with the selected communication network (called "PDP context"), thus allowing access to all the services hosted by the latter. The concepts of APN as well as GGSN are standardized by IΕTSI / 3GPP. The standard thus provides that several accesses can be established simultaneously to several communication networks from the same terminal.
Cet exemple suppose l'existence de plusieurs bouquets de services, respectivement disponibles sur autant de réseaux de communication. Les termes de « réseau de communication », d'APN et de bouquet de services seront donc utilisés indistinctement. Dans le cadre du confinement par construction, l'isolation mémoire consiste, par exemple, à attribuer à chaque application un unique espace d'adressage, les espaces d'adressage étant disjoints deux à deux, et à interdire la désignation, et donc l'accès, de ressources d'un autre espace d'adressage. L'isolation par construction des accès consiste, par exemple, en un système d'accès aux réseaux de communication sécurisé cherchant systématiquement à établir le lien d'accès avec le réseau de communication identifié par l'APN associé à son EED, cette information se trouvant dans la table d'association.This example supposes the existence of several bouquets of services, respectively available on as many communication networks. The terms "communication network", APN and service package will therefore be used indiscriminately. In the context of construction-based confinement, the memory isolation consists, for example, in attributing to each application a single address space, the address spaces being disjoint two by two, and forbidding the designation, and therefore the access, resources from another space addressing. Access building isolation consists, for example, of a secure communication network access system systematically seeking to establish the access link with the communication network identified by the APN associated with its EED. found in the association table.
Dans l'exemple de réalisation proposé, toutes les fonctionnalités sont exécutées par des composants logiciels. Par exemple, les piles protocolaires de type TCP/IP sont implantées par un ensemble de composants réalisant chacun un protocole. Les dispositifs GEEDC, GEAV, GEAP et MR sont de même réalisés par des composants respectivement nommés GEEDC, GEAV, GEAP, MR. A ces derniers s'ajoutent des pilotes de périphériques, des modems et des interfaces homme-machine (IHM).In the proposed embodiment, all features are executed by software components. For example, the TCP / IP type protocol stacks are implemented by a set of components each implementing a protocol. The GEEDC, GEAV, GEAP and MR devices are similarly made by GEEDC, GEAV, GEAP, MR. In addition to these are peripheral drivers, modems and human-machine interfaces (HMIs).
Le GEED est exécuté directement sur le matériel du terminal, dans son propre espace d'adressage, de manière à être totalement isolé des EAV potentiellement actifs sur le terminal. Ses fonctionnalités consistent à multiplexer et à protéger les ressources selon une stratégie de sécurité centrée sur l'accès aux réseaux. Dans cet exemple de réalisation, le GEED est construit au moyen de composants de la manière suivante :The GEED is executed directly on the terminal hardware, in its own address space, so as to be totally isolated from the potentially active AVEs on the terminal. Its functionalities consist of multiplexing and protecting resources according to a security strategy focused on network access. In this exemplary embodiment, the GEED is constructed using components as follows:
- le développement du composant GEEDC peut être inspiré de la fonction de guichet pour la gestion d'espace mémoire, tel qu'existant sur un système d'exploitation de type Unix, modifié cependant de façon à intégrer la protection des ressources centrée « réseaux » ; en plus de cette fonction, le GEEDC intègre la gestion des EED et un guichet pour l'accès aux réseaux de communication permettant le multiplexage/démultiplexage des échanges via le MR entre les applications et les réseaux de communication ; le multiplexage des connexions associées aux EED entre le GEEDC et le MR pour les échanges entre les EED et les réseaux de communication peut être réalisé en associant pour chaque connexion deux « pipes », à savoir un "pipe" pour les échanges EED vers réseau et un "pipe" pour les échanges réseau vers EED (le « pipe » est une fonction d'échange inter-applications existant en particulier dans les systèmes d'exploitation Unix) ;- the development of the GEEDC component can be inspired by the window function for the management of memory space, as it exists on a Unix-like operating system, modified however to integrate the protection of resources centered "networks" ; in addition to this function, the GEEDC integrates the management of EEDs and a window for access to communication networks allowing the multiplexing / demultiplexing of exchanges via the MR between the applications and the communication networks; the multiplexing of the connections associated with the EEDs between the GEEDC and the MR for the exchanges between the EEDs and the communication networks can be realized by associating for each connection two "pipes", namely a "pipe" for the exchanges EED towards network and a "pipe" for network exchanges to EED (the "pipe" is an inter-application exchange function existing especially in Unix operating systems);
- le composant GEAV utilise un composant « MMU Manager » permettant de gérer le dispositif matériel de protection de la mémoire (MMU) ; le rôle de ce composant est de configurer la MMU pour que cette dernière assure l'isolation des différents EAV entre eux, l'isolation du GEEDC avec les EAV, ainsi que le cycle de vie des EAV ; ainsi, chaque EAV de chaque EED correspond à un espace d'adressage virtuel dédié ; dans une MMU, chaque espace d'adressage est identifié par un ASID (initiales des mots anglais « Address Space Identifier ») ; le nombre d'ASID étant par nature limité, cet ASID sert d'identifiant pour les EAV ; un ASID est associé temporairement comme identifiant d'un EAV pendant la durée d'existence de cet EAV ; un ASID est réutilisé, c'est-à-dire que la destruction d'un EAV n'entraîne pas la destruction de l'ASID, ce dernier pouvant plus tard être utilisé comme identifiant d'un autre EAV appartenant éventuellement à un autre EED ; ainsi, au cours du temps, un ASID, en tant qu'identifiant d'un EAV dans la mémoire volatile, peut apparaître associé à tel ou tel EAV dans la table d'association, mais ne peut jamais être associé à deux EAV à un même instant ; de même, au cours du temps, un identifiant d'EAV peut apparaître plusieurs fois dans différentes entrées mais jamais deux fois à un même instant ; afin, de permettre le multiplexage de la ressource processeur entre les différentes applications, le GEAV utilise un composant « Scheduler » (multiplexeur de la ressource de calcul) ; le GEAV est en outre responsable du multiplexage des IHM entre les différents EAV, comme le passage de l'affichage à l'écran d'une application d'un EAV à celui d'une autre application d'un autre EAV ;- The GEAV component uses a "MMU Manager" component to manage the hardware protection device (MMU); the role of this component is to configure the MMU so that the latter ensures the isolation of the different EAVs between them, the isolation of the GEEDC with the EAVs, as well as the lifecycle of the EAVs; thus, each EAV of each EED corresponds to a dedicated virtual address space; in a MMU, each address space is identified by an ASID (initials of the words "Address Space Identifier"); since the number of ASIDs is by nature limited, this ASID serves as an identifier for AVEs; an ASID is temporarily associated as the identifier of an EAV during the lifetime of this EAV; an ASID is reused, ie the destruction of an AAV does not result in the destruction of the ASID, which can later be used as an identifier of another AVE possibly belonging to another EED ; thus, over time, an ASID, as an identifier of an EAV in volatile memory, may appear associated with a particular EAV in the association table, but can never be associated with two EAVs at one time. same moment; likewise, over time, an EAV identifier may appear several times in different entries but never twice at one time; in order to allow the multiplexing of the processor resource between the various applications, the GEAV uses a "Scheduler" component (multiplexer of the computing resource); GEAV is also responsible for the multiplexing of the HMIs between the different AVEs, such as the transition from the on-screen display of an EAV application to that of another application of another EAV;
- le composant GEAP est un système de fichiers sécurisé spécifique dont le rôle est d'associer à chaque EED un contexte de désignation de fichiers distinct ; l'isolation de ces contextes est réalisée de façon similaire à l'isolation mémoire en empêchant la désignation et donc l'accès d'un fichier appartenant à un EED depuis un autre EED ; un tel système de fichiers peut aisément être réalisé en utilisant un système de fichiers classique ; cela consiste, par exemple, à créer dans l'arborescence de fichiers un répertoire de nom APN pour chaque EED, et à préfixer de façon transparente le nom symbolique d'un fichier par le nom de l'APN (ainsi le fichier « titi » de l'APN « Leisure » devient « /Leisure/titi ») ;- the GEAP component is a specific secure file system whose role is to associate each EED with a separate file naming context; the isolation of these contexts is done in a similar way to the memory isolation by preventing the designation and thus the access of a file belonging to an EED from another EED; such a file system can easily be realized using a conventional file system; this consists, for example, in creating in the file tree an APN name directory for each EED, and prefixing in a transparent manner the symbolic name of a file by the name of the APN (thus the file "titi" from the NPC "Leisure" becomes "/ Leisure / titi");
- le composant MR est mis en œuvre dans le contexte GPRS et UMTS par un composant « L2TP » implantant la couche protocolaire L2TP dont le rôle est de multiplexer les différents flux en provenance des réseaux de communication identifiés par les APN sur un même lien réseau physique, ici le lien série au modem GPRS/UMTS ; en plus de cette fonction, il intègre un guichet pour l'accès aux EED permettant le multiplexage/démultiplexage des échanges (via le GEEDC) entre les réseaux de communication et les applications ; le multiplexage des connexions associées aux EED entre le MR et le GEEDC pour les échanges entre les réseaux de communication et les EED peut être réalisé en associant pour chaque connexion deux « pipes », à savoir un "pipe" pour les échanges EED vers réseau et un "pipe" pour les échanges réseau vers EED.the MR component is implemented in the context of GPRS and UMTS by an "L2TP" component implementing the L2TP protocol layer whose The role is to multiplex the different streams coming from the communication networks identified by the APNs on the same physical network link, here the serial link to the GPRS / UMTS modem; in addition to this function, it includes a window for access to EEDs for multiplexing / demultiplexing exchanges (via GEEDC) between communication networks and applications; the multiplexing of the connections associated with the EEDs between the MR and the GEEDC for the exchanges between the communication networks and the EEDs can be realized by associating for each connection two "pipes", namely a "pipe" for the exchanges EED towards network and a "pipe" for network exchanges to EED.
Toujours dans cet exemple de réalisation, un EED est construit avec les composants suivants :Still in this exemplary embodiment, an EED is constructed with the following components:
- un ensemble de protocoles réseaux spécifiquement dédiés aux échanges avec le réseau de communication associé à l'EED ; dans le contexte GPRS et UMTS, ces protocoles sont, par exemple, les protocoles « PPP », « IP », et ainsi de suite ; l'intérêt de mettre en œuvre les couches protocolaires au niveau de l'EED est de garantir par construction l'isolation des flux de données transitant dans le terminal, même en cas de défaillance ou d'attaque ;a set of network protocols specifically dedicated to exchanges with the communication network associated with the EED; in the context of GPRS and UMTS, these protocols are, for example, the "PPP", "IP", and so on; the advantage of implementing the protocol layers at the level of the EED is to guarantee by construction the isolation of the data flows transiting in the terminal, even in case of failure or attack;
- un ensemble de composants d'interfaçage homme-machine « IHM library » gérant les périphériques de la plate-forme, comme l'écran, le clavier, et ainsi de suite ;- a set of human-machine interfacing components "IHM library" managing the peripherals of the platform, such as the screen, the keyboard, and so on;
- un ensemble de composant d'exécution de haut niveau, appelé « runtime », permettant la navigation au sein du bouquet de services associé à l'EED ; le « runtime » fait intégralement partie du système et est incorporé à celui-ci lors de sa conception ; par exemple, trois « runtimes » respectivement associés à trois EED sont simultanément présents sur le terminal :a set of high level execution component, called "runtime", allowing navigation within the service bundle associated with the EED; the "runtime" is an integral part of the system and is incorporated into the system during its design; for example, three "runtimes" respectively associated with three EEDs are simultaneously present on the terminal:
* le « Browser XHTML » permettant l'affichage de page XHTML en provenance d'un bouquet de service bancaire de nom « Banking », * the "XHTML Browser" allowing the display of XHTML page from a "Banking" banking service bundle,
* un « runtime » « MIDP » permettant l'exécution de jeux en réseaux et l'écoute de musique MP3 dont les contenus sont accessibles exclusivement par un bouquet de service de loisirs de nom « Leisure », * a runtime "MIDP" allowing the execution of games in networks and the listening of music MP3 whose contents are accessible exclusively by a bouquet of leisure service of name "Leisure",
* un « runtime » MPEG4 permettant la lecture de flux multimédia en provenance d'un bouquet de service de télévision de nom « TV ». Dans l'exemple de réalisation qui vient d'être décrit, le confinement des accès réseaux est réalisé intégralement par construction, ce qui signifie que le confinement des accès réseaux, le confinement des accès à la mémoire volatile et le confinement des accès à la mémoire persistante sont tous trois réalisés par construction. Cependant, plusieurs autres modes de réalisation impliquant complètement ou partiellement un confinement de manière défensive (confinement des accès réseaux et/ou des accès mémoire) peuvent exister. Ainsi, l'isolation en mémoire volatile (GEAV) ou persistante (GEAP) peut être réalisée via des mécanismes de contrôle d'accès. Dans ce cas, une application peut demander la lecture ou la modification d'une donnée appartenant à une autre application, le système vérifiant à l'exécution si elle en a les droits (confinement défensif des accès mémoire). De même, dans cette réalisation, l'application peut préciser à quel APN elle désire se connecter, et le système pourrait vérifier alors au moment de l'exécution si elle possède les droits nécessaires pour établir l'accès (confinement défensif des accès réseaux). * An MPEG4 "runtime" allowing multimedia streams to be read from a "TV" television service package. In the exemplary embodiment which has just been described, the confinement of the network accesses is carried out integrally by construction, which means that the confinement of the network accesses, the confinement of the accesses to the volatile memory and the confinement of the accesses to the memory persistent are all made by construction. However, several other embodiments involving completely or partially a defensive confinement (confinement of network access and / or memory access) may exist. Thus, volatile (GEAV) or persistent (GEAP) memory isolation can be achieved via access control mechanisms. In this case, an application may request the reading or modification of data belonging to another application, the system checking at runtime if it has the rights (defensive containment of memory access). Similarly, in this embodiment, the application can specify to which APN it wants to connect, and the system could then check at run time if it has the rights to establish access (defensive confinement of network access) .

Claims

REVENDICATIONS
1. Système d'exécution sécurisé, dans un terminal (10) destiné à être connecté à une pluralité de réseaux (60, 61 , 62) de communication, d'au moins une application dédiée à un réseau de communication donné, caractérisé en ce que ledit système comprend des moyens d'isolement de l'exécution de ladite application d'applications dédiées à des réseaux de communication autres que ledit réseau de communication donné.A secure execution system, in a terminal (10) intended to be connected to a plurality of communication networks (60, 61, 62), of at least one application dedicated to a given communication network, characterized in that said system comprises means for isolating the execution of said application application dedicated to communication networks other than said given communication network.
2. Système selon la revendication 1 , caractérisé en ce que lesdits moyens d'isolement comprennent au moins un espace d'exécution dédié à l'exécution de ladite application dédiée audit réseau de communication donné.2. System according to claim 1, characterized in that said isolation means comprise at least one execution space dedicated to the execution of said dedicated application to said given communication network.
3. Système selon la revendication 2, caractérisé en ce que ledit système comprend :3. System according to claim 2, characterized in that said system comprises:
- au moins un gestionnaire central (31 ) d'au moins un espace (11 , 12) d'exécution, apte à :at least one central manager (31) with at least one execution space (11, 12), capable of:
* identifier ledit réseau de communication donné à travers une requête provenant de ladite application, * identify said given communication network through a request from said application,
* créer un espace d'exécution, * create an execution space,
* dédier ledit espace d'exécution audit réseau de communication donné, * détruire ledit espace d'exécution dédié, * dedicate said execution space to said given communication network, * destroy said dedicated execution space,
- au moins un gestionnaire (32, 33) d'au moins un espace d'adressage mémoire, apte à :at least one manager (32, 33) of at least one memory address space, capable of:
* allouer un espace d'adressage mémoire à ladite application en réponse à ladite requête en vue de l'exécution de ladite application sur ledit espace d'adressage mémoire, * Allocate a memory address space to said application in response to said request for the execution of said application on said memory address space,
* associer ledit espace d'adressage mémoire audit espace d'exécution dédié, * Associating said memory address space to said dedicated execution space,
* interdire que des applications s'exécutant sur des espaces d'exécution autres que ledit espace d'exécution dédié audit réseau de communication donné accèdent à des données présentes dans ledit espace d'exécution dédié, - au moins un multiplexeur (34) de réseau apte à interdire, d'une part, l'envoi de données provenant dudit espace d'exécution dédié vers des réseaux de communication autres que ledit réseau de communication donné, et, d'autre part, la réception par ledit espace d'exécution dédié de données provenant de réseaux de communication autres que ledit réseau de communication donné. * forbid that applications running on execution spaces other than the execution space dedicated to said given communication network access data present in said dedicated execution space, at least one network multiplexer (34) able to prohibit, on the one hand, sending data from said dedicated execution space to communication networks other than said given communication network, and on the other hand receiving by said dedicated execution space data from communication networks other than said given communication network.
4- Système selon la revendication 3, caractérisé en ce que ladite application (21 , 22) est équipée d'au moins une interface pour l'émission et la transmission d'informations, d'au moins une interface pour la création et la destruction d'un espace d'adressage volatile et d'au moins une interface pour la création et la destruction d'un espace d'adressage persistant avec ledit gestionnaire central (31 ) dudit espace d'exécution (1 1 , 12) dédié.4- System according to claim 3, characterized in that said application (21, 22) is equipped with at least one interface for transmitting and transmitting information, at least one interface for creating and destroying a volatile address space and at least one interface for creating and destroying a persistent address space with said central manager (31) of said dedicated execution space (1 1, 12).
5- Système selon la revendication 3 ou la revendication 4, caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une interface avec au moins une interface utilisateur (43) dudit terminal et avec au moins un multiplexeur (34) de réseau dudit terminal pour la création, la suspension et la destruction d'un espace d'exécution dédié.5. System according to claim 3 or claim 4, characterized in that said central manager (31) is equipped with at least one interface with at least one user interface (43) of said terminal and with at least one multiplexer (34). network of said terminal for creating, suspending and destroying a dedicated execution space.
6- Système selon l'une quelconque des revendications 3 à 5, caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une interface avec au moins un gestionnaire (32) d'espace d'adressage volatile dudit terminal pour la création et la destruction d'un espace d'adressage volatile.6. System according to any one of claims 3 to 5, characterized in that said central manager (31) is equipped with at least one interface with at least one manager (32) of volatile address space of said terminal for the creation and destruction of a volatile address space.
7- Système selon l'une quelconque des revendications 3 à 6, caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une interface avec au moins un gestionnaire (33) d'espace d'adressage persistant dudit terminal pour la création et la destruction d'un espace d'adressage persistant. 8- Système selon l'une quelconque des revendications 3 à 7, caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une interface avec au moins un multiplexeur (34) de réseau dudit terminal pour l'émission et la transmission d'informations. 9- Système selon l'une quelconque des revendications 3 à 8, caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une interface avec ledit multiplexeur (34) de réseau dudit terminal pour la création, la suspension et la suppression d'une connexion associée audit espace d'exécution (11 , 12) dédié. 10- Système selon l'une quelconque des revendications 3 à 9, caractérisé en ce que ledit multiplexeur (34) de réseau est équipé d'au moins une interface avec au moins une interface réseau (42) dudit terminal pour l'émission et la transmission d'informations. 1 1 - Système selon la revendication 10, caractérisé en ce que ledit multiplexeur (34) de réseau est équipé d'au moins une interface avec ladite interface réseau (42) dudit terminal pour la création, la suspension et la suppression d'un accès audit réseau de communication (60, 61 , 62).7- System according to any one of claims 3 to 6, characterized in that said central manager (31) is equipped with at least one interface with at least one manager (33) persistent address space of said terminal for creating and destroying a persistent address space. 8- System according to any one of claims 3 to 7, characterized in that said central manager (31) is equipped with at least one interface with at least one network multiplexer (34) of said terminal for transmission and transmission. transmission of information. 9- System according to any one of claims 3 to 8, characterized in that said central manager (31) is equipped with at least one interface with said network multiplexer (34) of said terminal for creation, suspension and transmission. deleting a connection associated with said dedicated execution space (11, 12). 10- System according to any one of claims 3 to 9, characterized in that said network multiplexer (34) is equipped with at least one interface with at least one network interface (42) of said terminal for transmission and transmission. transmission of information. 1 1 - System according to claim 10, characterized in that said network multiplexer (34) is equipped with at least one interface with said network interface (42) of said terminal for creating, suspending and deleting an access said communication network (60, 61, 62).
12- Système selon l'une quelconque des revendications 3 à 1 1 , caractérisé en ce que ledit gestionnaire central (31 ) est équipé d'au moins une table d'association d'au moins un espace d'exécution (1 1 , 12) dédié pour associer ledit espace d'exécution (1 1 , 12) dédié audit réseau de communication (60, 61 , 62) et d'au moins un espace d'adressage.12- System according to any one of claims 3 to 1 1, characterized in that said central manager (31) is equipped with at least one association table of at least one execution space (1 1, 12 ) dedicated to associate said execution space (1 1, 12) dedicated to said communication network (60, 61, 62) and at least one address space.
13- Procédé de gestion sécurisé d'au moins un espace d'adressage volatile dans un terminal (10) pour au moins un espace d'exécution (1 1 , 12) dédié à un réseau de communication (60, 61 , 62), caractérisé en ce que ledit procédé comporte les opérations consistant à :13- method for the secure management of at least one volatile address space in a terminal (10) for at least one execution space (1 1, 12) dedicated to a communication network (60, 61, 62), characterized in that said method comprises the operations of:
- demander par une application qui s'exécute dans un espace d'exécution (11 , 12) dédié une allocation d'un espace d'adressage volatile, - identifier par un gestionnaire central (31 ) ledit espace d'exécution (1 1 , 12) dédié correspondant à ladite application (21 , 22),requesting by an application that executes in a dedicated execution space (11, 12) an allocation of a volatile address space, identifying by a central manager (31) said execution space (1 1, 12) corresponding to said application (21, 22),
- demander par ledit gestionnaire central (31 ) la création dudit espace d'adressage volatile, en précisant ledit espace d'exécution (1 1 , 12) dédié, à au moins un gestionnaire (32) d'espace d'adressage volatile dudit terminal, - créer un espace d'adressage volatile par ledit gestionnaire (32) d'espace d'adressage volatile,requesting by said central manager (31) the creation of said volatile address space, specifying said dedicated execution space (1 1, 12), at least one volatile address space manager (32) of said terminal creating a volatile address space by said volatile address space manager (32),
- répondre par ledit gestionnaire (32) d'espace d'adressage volatile à ladite demande de création d'espace d'adressage volatile, en précisant ledit espace d'adressage volatile, audit gestionnaire central (31 ), - exécuter ladite application (21 , 22) sur ledit espace d'adressage volatile.responding by said volatile address space manager (32) to said volatile address space creation request, specifying said volatile address space, to said central manager (31), executing said application (21); , 22) on said volatile address space.
14- Procédé de gestion sécurisé d'au moins un espace d'adressage persistant dans un terminal (10) pour au moins un espace d'exécution (1 1 , 12) dédié à un réseau de communication (60, 61 , 62), caractérisé en ce que ledit procédé comporte les opérations consistant à :14. A method for securely managing at least one persistent address space in a terminal (10) for at least one execution space (1 1, 12) dedicated to a communication network (60, 61, 62), characterized in that said method comprises the operations of:
- demander par une application qui s'exécute dans un espace d'exécution (11 , 12) dédié une allocation d'un espace d'adressage persistant, - identifier par un gestionnaire central (31 ) ledit espace d'exécution (1 1 , 12) dédié correspondant à ladite application (21 , 22),requesting by an application that executes in a dedicated execution space (11, 12) an allocation of a persistent address space, identifying by a central manager (31) said execution space (1 1, 12) corresponding to said application (21, 22),
- demander par ledit gestionnaire central (31 ) la création dudit espace d'adressage persistant, en précisant ledit espace d'exécution (1 1 , 12) dédié, à au moins un gestionnaire (33) d'espace d'adressage persistant dudit terminal, - créer un espace d'adressage persistant par ledit gestionnaire (33) d'espace d'adressage persistant,- Request by said central manager (31) the creation of said persistent address space, specifying said dedicated execution space (1 1, 12) to at least one manager (33) persistent address space of said terminal to create a persistent address space by said persistent address space manager (33),
- répondre par ledit gestionnaire (33) d'espace d'adressage persistant à ladite demande de création d'espace d'adressage persistant, en précisant ledit espace d'adressage persistant, audit gestionnaire central (31 ) , - stocker des données par ladite application (21 , 22) sur ledit espace d'adressage persistant,responding by said persistent address space manager (33) to said persistent address space creation request, specifying said persistent address space, to said central manager (31), storing data by said applying (21, 22) to said persistent address space,
- extraire des données par ladite application (21 , 22) sur ledit espace d'adressage persistant.extracting data by said application (21, 22) on said persistent address space.
15- Procédé d'accès sécurisé, dans un terminal (10), d'au moins un espace d'exécution (11 , 12) dédié à un réseau de communication (60, 61 , 62), caractérisé en ce que ledit procédé comporte les opérations consistant à :15-Method for secure access, in a terminal (10), of at least one execution space (11, 12) dedicated to a communication network (60, 61, 62), characterized in that said method comprises operations consisting of:
- activer sur le terminal au moins un espace d'exécution (1 1 , 12) dédié à un réseau de communication (60, 61 , 62),- Activate on the terminal at least one execution space (1 1, 12) dedicated to a communication network (60, 61, 62),
- établir une connexion réservée audit espace d'exécution (1 1 , 12) dédié entre un gestionnaire central (31 ) et un multiplexeur (34) de réseau,establishing a dedicated connection to said dedicated execution space (1 1, 12) between a central manager (31) and a network multiplexer (34),
- établir un accès réservé audit espace d'exécution (1 1 , 12) dédié entre ledit multiplexeur (34) de réseau et ledit réseau de communication (60, 61 , 62) associé audit espace d'exécution (1 1 , 12) dédié,establishing reserved access to said dedicated execution space (1 1, 12) between said network multiplexer (34) and said communication network (60, 61, 62) associated with said dedicated execution space (1 1, 12) ,
- transmettre des données dudit espace d'exécution (1 1 , 12) dédié vers ledit réseau de communication (60, 61 , 62) en commutant lesdites données, d'une part, par ledit gestionnaire central (31 ), dudit espace d'exécution (1 1 , 12) dédié vers ladite connexion réservée, et d'autre part, par ledit multiplexeur (34) de réseau, de ladite connexion réservée vers ledit accès réservé, - transmettre des données dudit réseau de communication (60, 61 , 62) vers ledit espace d'exécution (1 1 , 12) dédié en commutant lesdites données, d'une part, par ledit multiplexeur (14) de réseau, dudit accès réservé vers ladite connexion réservée, et d'autre part, par ledit gestionnaire central (31 ), de ladite connexion réservée vers ledit espace d'exécution (1 1 , 12) dédié.transmitting data from said dedicated execution space (1 1, 12) to said communication network (60, 61, 62) by switching said data, on the one hand, by said central manager (31), said space of execution (1 1, 12) dedicated to said reserved connection, and secondly, by said network multiplexer (34), said connection reserved to said reserved access, transmitting data from said communication network (60, 61, 62) to said dedicated execution space (1 1, 12) by switching said data, on the one hand, by said network multiplexer (14), said reserved access to said reserved connection, and secondly, by said central manager (31), said reserved connection to said dedicated execution space (1 1, 12).
16- Programme d'ordinateur caractérisé en ce qu'il comprend des portions de code pour l'exécution des étapes du procédé selon les revendications 1 à 15.16- Computer program characterized in that it comprises portions of code for performing the steps of the method according to claims 1 to 15.
17- Support d'enregistrement lisible par un ordinateur sur lequel est enregistré ledit programme d'ordinateur selon la revendication 16. Computer-readable recording medium on which said computer program is recorded according to claim 16.
PCT/FR2007/050871 2006-03-17 2007-03-02 System for secure access from a terminal to communication networks WO2007113406A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0650928 2006-03-17
FR0650928 2006-03-17

Publications (2)

Publication Number Publication Date
WO2007113406A2 true WO2007113406A2 (en) 2007-10-11
WO2007113406A3 WO2007113406A3 (en) 2008-05-08

Family

ID=37496630

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/050871 WO2007113406A2 (en) 2006-03-17 2007-03-02 System for secure access from a terminal to communication networks

Country Status (1)

Country Link
WO (1) WO2007113406A2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6199181B1 (en) * 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
EP1132796A1 (en) * 2000-03-08 2001-09-12 Universite Catholique De Louvain Mobile code and method for resource management for mobile code
US20040006706A1 (en) * 2002-06-06 2004-01-08 Ulfar Erlingsson Methods and systems for implementing a secure application execution environment using derived user accounts for internet content
US20050250480A1 (en) * 2002-06-17 2005-11-10 Etienne Annic System and method of managing communication network-dedicated architecture on a terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6199181B1 (en) * 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
EP1132796A1 (en) * 2000-03-08 2001-09-12 Universite Catholique De Louvain Mobile code and method for resource management for mobile code
US20040006706A1 (en) * 2002-06-06 2004-01-08 Ulfar Erlingsson Methods and systems for implementing a secure application execution environment using derived user accounts for internet content
US20050250480A1 (en) * 2002-06-17 2005-11-10 Etienne Annic System and method of managing communication network-dedicated architecture on a terminal

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
QUN ZHONG ET AL: "Security in the large: is Java's sandbox scalable?" RELIABLE DISTRIBUTED SYSTEMS, 1998. PROCEEDINGS. SEVENTEENTH IEEE SYMPOSIUM ON WEST LAFAYETTE, IN, USA 20-23 OCT. 1998, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 20 octobre 1998 (1998-10-20), pages 387-392, XP010319092 ISBN: 0-8186-9218-9 *
SYGATE: "Sygate Personal Firewall PRO User Guide" SYGATE PERSONAL FIREWALL PRO USER GUIDE, 2001, pages 1-77, XP002248366 *

Also Published As

Publication number Publication date
WO2007113406A3 (en) 2008-05-08

Similar Documents

Publication Publication Date Title
US7690033B2 (en) Electronic computer system secured from unauthorized access to and manipulation of data
US20080066187A1 (en) Mobile Wireless Device with Protected File System
CN110035079A (en) A kind of honey jar generation method, device and equipment
JP2022522645A (en) Tying a secure guest's secure key to a hardware security module
FR2800480A1 (en) Security system for protection of files in smart cards, uses rules sets for file access to maintain both confidentiality and integrity of data by controlling access and file operations
EP1688818A1 (en) Process for the secure management of the execution of an application
FR2867871A1 (en) Hardware unit for controlling access to e.g. memory, has latch generating and delivering electric validation signal of access request signal to logic combination unit, when access authorization code and preset reference value are equal
EP2372974A1 (en) Method for securing data and/or applications in cloud computing architecture
CN115378735B (en) Data processing method and device, storage medium and electronic equipment
WO2019020651A2 (en) Communication system and method for accessing and deploying temporary microservices on a heterogeneous platform
WO2009136080A2 (en) System and method for securing a computer comprising a microcore
US20060080517A1 (en) Accessing a protected area of a storage device
WO2014044165A1 (en) Method for safely running third-party code in java virtual machine
CN106648838A (en) Configuration method and device for resource pool management
EP2124153B1 (en) Methods and device for implementing multi-functional peripherals using a single standard driver
EP1356656A2 (en) Protocol for transmitting a plurality of multiple exchange logic flow of command/response pairs on a single physical exchange channel between master and slave and corresponding system for controlling and monitoring execution of applets
WO2007113406A2 (en) System for secure access from a terminal to communication networks
JP2010505166A (en) Resource-based event typing in the rule system
EP3644146B1 (en) Computer intrusion recording device
US7664755B2 (en) User prompt for loading sound in a computer resource
FR2923041A1 (en) METHOD OF OPENING SECURED TO THIRDS OF A MICROCIRCUIT CARD.
JP7473287B2 (en) Method, apparatus and computer program for provisioning resources associated with multiple instances of a computer system - Patents.com
EP1449393B1 (en) Method for enabling an application recorded in a radiocommunication terminal to access communication functions of the terminal
FR2715788A1 (en) Communication on digital network, with anti-virus.
WO2002008897A1 (en) Protocol for message exchange between applications implanted on an onboard system, and corresponding onboard system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07731688

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07731688

Country of ref document: EP

Kind code of ref document: A2