WO2008084154A2 - Traitement de donnee relative a un service numerique - Google Patents
Traitement de donnee relative a un service numerique Download PDFInfo
- Publication number
- WO2008084154A2 WO2008084154A2 PCT/FR2007/052480 FR2007052480W WO2008084154A2 WO 2008084154 A2 WO2008084154 A2 WO 2008084154A2 FR 2007052480 W FR2007052480 W FR 2007052480W WO 2008084154 A2 WO2008084154 A2 WO 2008084154A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- service
- request
- application
- terminal
- digital
- Prior art date
Links
- 238000012545 processing Methods 0.000 title claims abstract description 61
- 230000015654 memory Effects 0.000 claims abstract description 94
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000008569 process Effects 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims description 8
- 239000013256 coordination polymer Substances 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 abstract description 2
- 230000002085 persistent effect Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 6
- 230000001413 cellular effect Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013499 data model Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002089 crippling effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Definitions
- the present invention relates to a digital data processing which relates to a digital service.
- a digital service is provided by a service provider to a user to access a finite set of data in strict compliance with the rules of an economic model.
- An economic data-model pair defining a service is associated with a list of rights holders, that is to say natural or legal persons who have acquired a license to use and who are therefore authorized to consume the said license. service and associated data as part of the service's economic model.
- An economic model defines a commercial contract for the consumption of a digital service, characterized for example by a tariff of the service and rules of use of the service. Following the non-fulfillment of a rule stipulated by the contract, the use of the service is deemed unlawful.
- DRM digital rights management
- An "application” is conventionally defined as a unit of execution of a program executable by a terminal.
- the same program can be run multiple times so that different applications required by the program execution are respectively dedicated to different digital services.
- a media player may be run at a time to read a video file once in a view on demand and to play another video file for the second time by means of a license granting a predetermined number of visualizations. video file.
- An application is said to be "dedicated to a digital service" associated with an economic data-model pair when its execution is launched on the data of said digital service.
- a digital datum is said to relate to a digital service if this digital datum is created, stored, used or intended to be used by an application dedicated to this digital service.
- the digital service is said to be "the source of the digital data" in question.
- data stored in a terminal may comprise, on the one hand, data relating to an on-demand music listening service, and on the other hand data from an electronic purse included in the terminal , relating to a banking service.
- a mobile terminal can consecutively access multiple digital services, but is not able to confine the data to their original digital services.
- a digital service for example films offered as part of a paid video-on-demand service in a removable memory installed in a mobile terminal and to make them accessible to a user.
- another digital service governed by another business model, such as a free video-on-demand service after installing the removable memory on another terminal.
- one solution is to prohibit the storage of data on a terminal.
- services requiring the storage of a large number of data on the terminal are penalized commercially.
- a network game service requires the download of a game that may require more than one hour.
- the systematic downloading of the game with each use of the latter is a crippling constraint to the marketing of the game.
- a first approach is to control the right of access to different memory resources of a terminal by the operating system managing these resources, including file systems.
- the operating system verifies that an application running on behalf of a given user has write or read access to the affected file before satisfying the request.
- a second approach is to directly protect the data to be stored, depending on the user of this data. More precisely, this consists of rendering the data unintelligible in the absence of an appropriate decoder that can be activated by a trustee via an encryption mechanism.
- DRM digital rights management systems to ensure the integrity of digital data while performing sensitive services. For example, secure video files downloaded at the request of a user in his terminal are protected by a DRM process compelling the user to pay a license to view said video files using a DRM-certified application. Generally, these video files are protected by encryption. In response to the acceptance of the license, the user receives a key allowing him to decrypt the video files.
- DRM systems are implemented on terminals whose software and hardware resources do not secure data relating to digital services. For example, data accessible by a DRM application and stored in a removable persistent memory of a first terminal can be transmitted from the latter to a second terminal without any control of the DRM application. Similarly, data of a DRM application stored in volatile memory of a terminal are vulnerable to copying and can be duplicated by a malicious application without the DRM application being aware of it.
- DRM systems are implemented in terminals whose operating systems are not designed to secure data relating to digital services.
- a specialist may modify the operating system of a terminal so that a certified DRM application will execute illegally and lead, for example, to persistent storage of decrypted secure data.
- a method according to the invention for processing a digital data created, stored, used, or intended to be used by an application dedicated to a digital service and executed in a terminal, an access request memory including the digital data that has been transmitted by the application to an operating system of the terminal is characterized in that it comprises the steps of: intercepting said memory access request before it is received by the data communication system. operation, identify the application at the origin of said request, determine at least one context parameter relating to the identified application and associate the determined context parameter with said request, identify the service according to the context parameter associated with the request and determining processing parameters associated with the identified service, generating a key based on the processing parameters associated with the identified service, and processing the digital data according to the generated key.
- the invention also assumes that the operating system of the terminal explicitly manages, that is to say, stores, protects and makes accessible, on the one hand, the correspondence between a system process and an application, and on the other hand share the correspondence between an application and the launch context of this application.
- Access to data relating to a digital service is governed by an economic model associated with said service.
- the invention guarantees the total absence of access to said data from another digital service, including via a removable memory medium.
- the invention isolates the data from its original business model, including when this data results from the execution of applications, by extending this isolation to storage in memory, including for storage media storage of the persistent removable type. This means in the first place that any data resulting from the execution of an application dedicated to a digital service is necessarily "attributed" to this digital service only, and secondly that an application that is launched in the context of a digital service does not have access to any data belonging to another digital service or resulting from the execution of an application launched in the context of another digital service. In the rest of the suite, this property will be referred to as the "digital services execution confinement property".
- a terminal is said to be "compatible with a digital service" when this terminal guarantees confinement to the execution of this digital service. Consequently, access to a digital service is reserved for terminals compatible with this digital service.
- a first application dedicated to the first service can not access data developed by a second application dedicated to the second service.
- a second application dedicated to a second service and executed in a second terminal can not access the data when the removable memory is installed in the second terminal.
- the invention offers the user of a terminal a saving of time and money resulting from a saving of loads.
- the invention ensures an expansion of service opportunities, and a gain in operation by avoiding congesting the network by reloading, at each use, services to which the user is already subscribed.
- the digital data can be an identifier of a file stored in the terminal and first and second keys are generated in order to process the file identifier and the contents of the stored file respectively according to the first and second keys generated.
- the processing of an identifier of a file for example downloaded and stored in a volatile memory of the terminal provides a first level of protection as to the location of the stored file.
- service parameters may be associated with the service, and the service is identified if all the service parameters associated with the service and only said service are included in the set of context parameters associated with the service. request.
- the service parameters make it possible to identify the service relating to the digital data to be treated in a unique and unambiguous manner with respect to other digital services. This exact identification further ensures that the application requesting said data is not malicious.
- the invention also relates to a system for processing digital data created, stored, used, or intended to be used by an application dedicated to a digital service and executed in a terminal, a memory access request including the digital data item having been issued. by the application to the operating system of the terminal.
- the system is characterized in that it comprises:
- the system may comprise a means intercepting the memory access request intended for the operating system to introduce context parameter fields, associated in particular with the launch and execution context of the operating system. current application, in the intercepted query, and at least one means for filling in the parameter fields of context with values, one of which is an identifier of the application.
- the protection system systematically intercepts any call to a memory of the terminal by an application to ensure protection of read access or write access to the memory.
- context parameter fields are filled in such a way as to parameterize the call to a memory by at least one identifier of the application.
- the protection system ensures that access to data associated with a digital service protected by, for example, a DRM process is obtained in the context of the business model associated with the service, and by a trustee using an application authorized by this service. DRM process.
- the means for identifying the service contains tables mapping service identifiers and service parameter lists on the one hand, and the same service identifiers and processing parameter lists on the other hand, and the same service identifiers and processing parameter lists. on the other hand, these correspondence tables being updated by a server means according to the digital services to which the user of the terminal is subscribed.
- the look-up tables allow an exact identification of the digital service relating to the application executed in the terminal, and are updated by a server means external to the terminal to take into account any change relating to the digital services to which the user of the terminal is subscribed .
- the correspondence tables remedy the drawback that no official entity in the state of the art manages all the existing digital services, services that do not have their own characteristics to be distinguished from each other.
- the invention relates to a computer program adapted to be implemented in a system for processing digital data created, stored, used, or intended to be used by an application dedicated to a digital service and executed in a terminal, said program comprising instructions which, when the program is executed in said system, perform the steps according to the method of the invention.
- FIG. 1 is a schematic block diagram of a protection system according to the invention for processing data relating to a service
- FIG. 2 is the algorithm of a data processing method according to the invention implemented in the protection system.
- the protection system SP is included in a computer terminal capable of managing digital data.
- the computer terminal can be of any type and can handle any type of data.
- the terminal is a personal computer, a terminal mobile radio, a banking terminal, an application server or a surveillance camera.
- the protection system SP comprises a memory manager GM, an encryption system SC and at least one parameter server SVP.
- the encryption system SC comprises a DC encryption controller, a GC key generator, an encryption module MC and a service controller CS.
- the SVP parameter server communicates directly with the GM memory manager and / or the DC encryption controller. The communications between the different entities included in the protection system are secure, so that no exchange of information can be intercepted during a communication between two of these entities.
- the memory manager GM manages, through the operating system of the terminal, read and write access to MEM memories of the terminal, such as a persistent memory or a volatile memory.
- the parameter server SVP manages a database which notably comprises information necessary for the protection system according to the invention, such as values for the parameters required by the service controller CS and the key generator GC.
- the service controller CS is able to communicate with an SPS service protection server which is for example located in the network of the service provider providing a service to which the user of the terminal subscribes.
- the SPS service protection server is managed for example by the service provider itself or by a trusted third party.
- the communications between the service controller CS and the SPS service protection server are also secure, for example using the access protocol between SOAP ("Simple Object Access Protocol") remote objects encapsulated in the transfer protocol. secure HTTPS ("HyperText Transfer Protocol Secure" in English).
- the SPS service protection server maintains lists of encryption / decryption parameters, called LPT processing parameter lists, associated with the services so that IS service identifiers are each associated with one and only one parameter list of service parameters. LPT treatment.
- Each service identifier IS is further associated with a list of LPS service parameters that uniquely and unambiguously characterizes and identifies the corresponding digital service among other services.
- user identifiers UI are each associated with at least one service identifier. The service identifiers and the user identifiers are each filled once and only once.
- An UI user identifier unambiguously characterizes the digital service user and may include an identifier of a user group and / or an identifier of the terminal.
- the service controller CS in particular contains correspondence tables TC mapping service IS identifiers and lists of LPS service parameters on the one hand, and the same service IS identifiers and lists of LPT processing parameters. 'somewhere else.
- a parameter list may contain only one parameter.
- the MEM memories of the terminal group one or more volatile memories and one or more persistent memories accessible through the operating system from the GM memory manager of the protection system.
- persistent memories can be implanted on a removable medium of the terminal.
- the terminal operating system runs AP applications and manages the sharing of terminal resources between applications.
- An AP application that is executed by the operating system of the terminal and associated with a digital service may request the storage of data in one of the MEM memories of the terminal.
- the protection system SP can be implemented in an electronic component of the microcontroller type, microprocessor circuit or smart card, so that the system is not pirated, spied on or modified.
- the electronic component includes, in addition to the protection system SP, a volatile memory, a persistent memory, storing for example the application codes allowing the operating system to execute, and a processor in which executes the source code of the protection system.
- a weakness of the protection system is that its execution requires that its source code be written in "clear". If the source code is written in volatile memory, it is possible to copy the source code of the memory, to understand the operation and divert it from this operation. On the other hand, if the source code of the protection system is executed within the electronic component, it is much more difficult to hack it.
- the persistent memory of the electronic component contains critical applications such as, for example, a certified operating system implementing the GM memory manager, or a certified browser.
- the service When a service requiring a high level of security has to be executed on the terminal, the service is then executed by means of the processor and the volatile and persistent memories of the electronic component. Since the volatile and persistent memory capabilities of the electronic component are inherently limited, the electronic component can store service-related data on the volatile or persistent memories of the terminal. All data relating to the service requiring to be secured is previously processed by the protection system SP of the electronic component before being stored on said volatile or persistent memories of the terminal.
- the encryption system SC can be realized partly in hardwired logic rather than in the form of software. Only the CS service controller must be realized in whole or in part as software since it stores and manages tables that can be updated. In fact, wired logic optimizes operation by considerably increasing performance.
- the data processing time of the encryption system SC is the main delay for storing data in memory, if this processing is too long, the execution of the services may also be perceived as too long by the user of the terminal. So that the operation of the terminal is not penalized by the processing time of the encryption system SC, the latter must preferably be optimized, for example by using a realization in hardwired logic.
- this implementation allows to use certified applications that will be stored and executed in the electronic component to ensure that these applications will not be modified or hacked, which allows to extend their certification until execution. It should be noted that the use of certified applications is a prerequisite required by most services requiring a high degree of security such as a banking service, the control of access to a site, or DRM digital rights management. .
- the method according to the invention comprises steps El to ElO automatically executed under the control of the protection system SP included in the terminal and implemented by instructions of a program computer recorded on a recording medium readable by the protection system SP.
- a user of the terminal has subscribed to one or more service providers offering digital services and thus becomes a subscriber to at least one service.
- the service controller CS stores or updates at least one correspondence table or, more generally, correspondence tables TC as a function of the digital service or services to which the user subscribes with the assistance of the service protection server. SPS.
- the service controller CS interrogates the SPS service protection server by providing the SPS service protection server with an UI user identifier.
- the controller CS in return obtains at least one service identifier or more generally IS service identifiers associated with the user identifier, as well as LPT processing parameter lists and LPS service parameter lists associated with the service identifier. service, in order to update or memorize the TC correspondence tables. This interrogation can be carried out each time the terminal is powered on, to check for a possible modification in the correspondence tables.
- the SPS service protection server interrogates a database to know at least the service or more generally the services accessible by the user, this database being for example a home location register HLR ("Home Location Register” in English) in a cellular network GSM / GPRS ("Global System for Mobile Communications” / "General Packet Radio System” in English) or a nominal service server HSS ("Home Service Server” in English) in a UMTS cellular network (“Universal Mobile Telecommunications System”).
- HLR Home Location Register
- GSM / GPRS Global System for Mobile Communications
- General Packet Radio System in English
- HSS Home Service Server
- UMTS Universal Mobile Telecommunications System
- the SPS service protection server performs a partial update of the TC correspondence tables only when a change takes place.
- This change can be of several types, such as the creation, modification or deletion of a service, and can be initiated by an HLR recorder in a GSM / GPRS cellular network or an HSS server in a network. UMTS cellular network.
- the SPS service protection server then transmits to the service controller CS a file taking into account these changes to update only the correspondence tables TC concerned by these changes.
- the service controller CS then contains updated correspondence tables which are associated with identifiers IS of the services to which the user is subscribed.
- Each service identifier IS is associated with a list of LPS service parameters that uniquely and uniquely characterize and identify the corresponding digital service among other services.
- Each service parameter list contains fields that are specific to the digital service and are populated by service parameter values by the digital service provider.
- the service parameters are for example an identifier of an AP application and / or an identifier of a data network RD associated with the service and / or a service provider identifier.
- a "data network” is defined as a set of resources consisting of all or part of a computer equipment and / or a communication network that can be a plurality of interconnected communication networks, and uniquely designated by an identifier called " data network identifier ".
- the term data network refers to either a set of resources and all the data stored or transferred within that set of resources. In addition, any two data networks are assumed to be disjoint.
- Each service identifier IS is further associated with a list of LPT processing parameters.
- Each list of processing parameters contains fields that are specific to the digital service and are optionally populated by values of processing parameters by the digital service provider.
- the processing parameters are, for example, an identifier of an AP application and / or an identifier of the data network associated with the service, when it exists, and / or an identifier of the user, and may therefore be partly of the same type as the service parameters.
- step E1 an application AP relating to a service is executed in the terminal in the context of the service.
- the user of the terminal has selected the launch of the application via a human-machine interface of the terminal indicating to the user the services to which the latter is subscribed and the applications available for these services.
- the application is a media player that is executed for an on-demand music listening service protected by a DRM process.
- the application executed AP transmits an RA memory access request to the operating system of the terminal in order to access the MEM memories of the terminal.
- the memory access request RA includes a type of request TR indicating the type of access to the memory MEM required by the application. For example, the access type is a read or write data.
- the memory access request RA also includes digital data DAT to be processed, that is to say encrypted or decrypted. Digital data DAT can be used to identify digital content said to be "simple" or "structured". Simple digital content can be a variable or a string of characters. Structured digital content may typically be a file already stored in one of the MEM memories and referenced by an identifier.
- the request for memory access RA requires the writing of a file in a persistent memory of the MEM memories of the terminal, and includes an identifier of this file which is stored in a volatile memory of the memories MEM.
- step E2 the request RA for the operating system is intercepted by the memory manager GM of the protection system SP that is listening to any request from any application to the operating system of the terminal.
- the memory manager GM then identifies the application AP which is at the origin of the request RA, for example by means of a correspondence between a system process and an identifier of the application.
- the memory manager GM modifies the intercepted request RA into a modified query RM by supplementing it with one or more context parameter fields CP, and thus associates one or more context parameters that are not informed with the request.
- the fields are intended to be filled by the context parameter values that can be associated directly or indirectly with the application.
- a context parameter directly associated with the application is for example an identifier of the application AP, or an identifier of the user.
- a context parameter indirectly associated with the application is for example an identifier of the data network associated with the service, or a service provider identifier, or the type of data DAT.
- the memory manager GM temporarily stores the modified query RM.
- step E3 the memory manager GM transmits the modified request RM to the encryption controller CC of the encryption system SC.
- the encryption controller CC stores the modified request RM, including the type of request TR and the data to be processed DAT included in the request RM.
- step E4 the encryption controller CC interrogates the parameter server SVP in order to inform the context parameter fields CP in the modified request RM.
- the parameter server SVP determines and supplies the parameter values associated with the AP application in order to fill in the fields of the query modified by these values.
- the operating system of the terminal manages a correspondence between the application AP, the execution of which is at the origin of the request RA in the terminal, and an identifier of the application AP.
- the parameter server SVP transmits the context parameter fields filled CPR to the encryption controller CC which stores them.
- the context parameters entered are then associated with the request and exploitable by the encryption system SC.
- steps E3 and E4 are replaced by steps E31 and E41, respectively.
- step E31 the memory manager GM interrogates the parameter server SVP in order to inform the context parameter fields CP in the modified request RM.
- the parameter server SVP determines and transmits the context parameter fields filled with CPR to the memory manager GM.
- step E41 the memory manager GM informs the fields of the modified query RM by means of the CPR context context parameter fields transmitted by the server SVP and transmits the modified request RM to the encryption controller CC of the encryption system SC who memorizes it.
- step E5 the encryption controller CC transmits the context parameter fields CPR filled to the service controller CS.
- the service controller searches the correspondence tables TC for the identifier IS of the digital service at the origin of the request.
- controller CS matches one by one the context parameter fields CPR filled with the fields of the various lists of LPS service parameters stored.
- the list of LPS service parameters associated with said service necessarily contains an application identifier.
- the service controller CS determines in step E6 the correspondence table TC including the list of LPS service parameters and derives the service identifier IS associated with this list of service parameters. Consequently, the service controller CS identifies the digital service relating to the service identifier IS thus deduced. The service controller CS then determines the list of LPT processing parameters associated with the identifier IS of the identified service and transmits the list LPT to the controller of encryption CC.
- the service controller CS transmits an error message to the encryption controller CC as indicated in an ER step, and the process ends.
- the service controller CS If no list of LPS service parameters has fields identical to at least some of the CPR context parameters fields filled in, the service controller CS transmits an error message to the DC encryption controller as indicated in step ER, and the process terminates.
- Step E51 If some fields of one or more lists of LPS service parameters are included in the set of context parameter fields CPR filled, these lists are selected at a step E51 by the service controller CS which identifies all the fields. of the selected service parameter list (s) for which context parameter fields that were filled in could not be mapped. The fields identified are considered as context parameter fields to be filled in.
- the service controller CS then transmits to the encryption controller CC the identified fields so that they are filled in using the parameter server SVP and then retransmitted to the service controller CS.
- Step E5 is then repeated once to one-to-one correspondence of the CPR filled context parameter fields completed by the identified fields filled in with the fields of the various LPS service parameter lists stored. Step E51 can not be repeated then since all the fields of context parameters necessary for said mapping have been filled.
- step E7 after receiving the list of LPT processing parameters associated with the service identifier IS transmitted by the service controller CS in step E6, the encryption controller CC interrogates the parameter server SVP in order to fill in the fields of the LPT processing parameter list with values of treatment parameters.
- the SVP parameter server retransmits the list of LPT processing parameters as a filled list of LRPT processing parameters to the DC encryption controller.
- the processing parameters are an identifier of the AP application and / or an identifier of the data network associated with the service and / or an identifier of the user, and can therefore be partly of the same type as the parameters of the application. service.
- the parameter server SVP informs the fields of the list LPT that are not filled and transmits them to the controller of encryption CC.
- step E7 is not executed.
- step E8 the encryption controller CC transmits the filled list of processing parameters LRPT and the request type TR to the key generator GC.
- the key generator GC generates at least one data protection key KPD according to the values of the parameters read in the list LRPT, and according to the type of request TR and the nature of the data to be processed DAT included in the request RA.
- the encryption controller requires the key generator to generate a single key KPD.
- the KPD key is an encryption key if the type of query TR is relative to a write, or is a decryption key if the type of request TR is relative to a reading.
- the encryption controller requires the generator to key generating a first key to encrypt the file identifier and a second key to decrypt the file data referenced by the identifier. If the request type is relative to a write, the encryption controller requires the key generator to generate a single key to encrypt the file identifier and the data of the file referenced by the identifier.
- the key generator GC then transmits the generated key KPD to the encryption controller CC.
- the key generated KPD is unique and irrevocable. For a given list of parameters, a unique KPD key is generated.
- Encrypted data by means of a filled-in list of LRPT processing parameters can only be decrypted by means of a key generated according to this same filled-in list of LRPT processing parameters. Since the filled-in list of LRPT processing parameters is specific to a digital service, data encrypted at the request of an application relating to a digital service can only be decrypted at the request of an application that is executed for the same service. digital service.
- the key generator GC extracts a data protection key KPD from a list of pre-calculated keys according to the list filled in LRPT processing parameters and the type of request TR, the KPD key being either a KC encryption key or a KD decryption key.
- step E9 the encryption controller CC transmits the data to be processed DAT, the generated key KPD and the request type TR to the encryption module MC.
- the encryption module MC processes the received data DAT according to the type of request TR and the generated key KPD.
- the encryption module MC has at least two types of algorithm for processing the data, for example an encryption algorithm to which any encryption key and a decryption algorithm to which any decryption key is applicable. Therefore, the encryption or decryption algorithm used by the encryption module MC is dual of the algorithm for generating the encryption or decryption keys used by the key generator GC.
- the encryption module MC encrypts the received data DAT with the key KPD if the type of request TR is relative to a write, or decrypts the received data DAT with the key KPD if the type of request TR is relative to a reading.
- the encrypted or decrypted data is then a processed data DT.
- the encryption module MC then transmits the processed data DT to the encryption controller CC.
- the data to be processed DAT is transmitted by the encryption controller CC to the encryption module MC before the step E8, that is to say before the generation of a key KPD.
- the encryption controller CC transmits the processed data DT to the memory manager GM so that the latter stores the data processed DT in one of the MEM memories of the terminal according to the type of request TR.
- the processed data DT may be stored in a persistent memory, and if the type of request TR is relative to a reading, the processed data DT may be stored in a memory volatile whose address is transmitted to the application AP for the latter to read the processed processed data.
- steps E9 and E10 are completed as explained below.
- the data to be processed DAT included in the request is for example an identifier of a file such as a file name, the latter being stored in a volatile memory of the terminal and the type of request TR is relative to a write.
- step E8 the encryption controller CC requires the generation of an encryption key by the key generator GC and loads the file stored in the volatile memory via the memory manager GM, for example by means of a reference of the memory address of the file, such as a pointer initially included in the memory access request RA.
- step E9 the encryption controller CC transmits the data to be processed DAT, that is to say the file identifier, as well as the loaded file, the generated key and the type of request TR to the module.
- MC encryption The latter MC encrypts the file identifier and the file respectively with the generated key and transmits the encrypted identifier and the encrypted file to the DC encryption controller.
- step ElO the encryption controller CC commands the memory manager GM to store the encrypted identifier and the encrypted file in a memory of the terminal.
- step E9 is completed as explained below.
- the data to be processed DAT is for example an identifier of a file stored in a persistent memory of the terminal and the type of request TR is relative to a reading.
- step E8 the encryption controller CC requires the key generator GC to generate an encryption key and a decryption key that may be identical.
- step E9 the encryption controller CC transmits the data to be processed DAT, that is to say the file identifier, the encryption key and the type of request TR to the encryption module MC.
- the encryption module MC encrypts the file identifier with the encryption key and transmits the encrypted identifier to the encryption controller CC.
- the DC encryption controller loads the encrypted file stored in the volatile memory via the memory manager GM by means of the encrypted identifier.
- the encryption controller CC then transmits the encrypted file loaded, the decryption key and the type of request TR to the encryption module MC.
- the encryption module MC decrypts the encrypted file with the decryption key and transmits the decrypted file to the encryption controller CC.
- step ElO the encryption controller CC commands the memory manager GM storing the decrypted file in a volatile memory of the terminal to be readable by the application AP.
- the memory manager GM transmits for example to the application AP an address where the file is stored in volatile memory.
- the encryption controller CC receives a data protection key KPD generated by the key generator GC and associates the key KPD with the data to process previously loaded before transmitting them to the encryption module MC. This association ensures that the key and the data to be processed transmitted to the encryption module MC correspond to the same request. Thus, several requests can be processed simultaneously and independently of each other by the CC encryption controller.
- the functionality of the DC encryption controller is partially or fully integrated in the memory manager GM and / or the key generator GC and / or the encryption module MC and / or the service controller CS.
- the memory manager GM communicates directly with the key generator GC, the encryption module MC and the service controller CS, and these three latter also communicate directly with each other.
- the invention described herein relates to a method and a system for processing digital data created, stored, used, or intended to be used by an AP application dedicated to a digital service and executed in a terminal.
- the steps of the method of the invention are determined by the instructions of a computer program incorporated in the protection system according to the invention.
- the program comprises program instructions which, when said program is executed in the system whose operation is then controlled by the execution of the program, carry out the steps of the method according to the invention.
- the invention also applies to a computer program, in particular a computer program recorded on or in a computer readable information medium and any data processing device, adapted to implement the computer program.
- This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention.
- the information carrier may be any entity or device capable of storing the program.
- the medium may comprise storage means or recording medium on which is recorded the computer program according to the invention, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a diskette (“floppy disk”) or a hard disk.
- the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via a electric or optical cable, by radio or by other means.
- the program according to the invention can in particular be downloaded to an Internet type network.
- the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in carrying out the method according to the invention.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
Pour traiter une donnée numérique (DAT) créée, mémorisée, utilisée, ou destinée à être utilisée par une application (AP) dédiée à un service numérique et exécutée dans un terminal, un système de protection (SP) intercepte une requête d'accès mémoire (RA) incluant la donnée numérique qui est émise par l'application à destination du système d'exploitation du terminal. Un gestionnaire de mémoire (GM) identifie l'application à l'origine de ladite requête. Un serveur de paramètres (SVP) détermine au moins un paramètre de contexte (CPR) relatif à l'application afin de l'associer à ladite requête. Un contrôleur de service (CS) identifie le service en fonction dudit paramètre associé à la requête. Un générateur de clé (GC) génère une clé (KPD) en fonction de paramètres de traitement associés au service identifié afin de traiter, par exemple chiffrer ou déchiffrer, la donnée numérique en fonction de la clé générée.
Description
Traitement de donnée relative à un service numérique
La présente invention concerne un traitement d'une donnée numérique qui est relative à un service numérique .
Plus particulièrement, elle a trait à la protection par chiffrement/déchiffrement d'une donnée numérique relative à un service numérique.
Un service numérique est offert par un fournisseur de service à un utilisateur pour que ce dernier accède à un ensemble fini de données dans le strict respect des règles d'un modèle économique. A un couple données-modèle économique définissant un service est associée une liste d'ayants-droit, c'est- à-dire de personnes physiques ou morales qui ont acquis une licence d'usage et qui sont autorisées de ce fait à consommer ledit service et les données associées dans le cadre du modèle économique du service .
Un modèle économique définit un contrat commercial pour la consommation d'un service numérique, caractérisé par exemple par une tarification du service et des règles d'usage du service. Suite à l'inexécution d'une règle stipulée par le contrat, l'usage du service est réputé illicite .
Les règles d'usage imposées par un modèle économique sur des données sont typiquement mises en œuvre sous la forme d'une séquence d'instructions, appelée processus de gestion de droits numériques DRM ("Digital Rights Management" en anglais), exécutée à la demande d'un utilisateur ayant acquis une licence d'utilisation des données dans le cadre du modèle économique prévu pour ces données.
L'accès aux données d'un service numérique est réservé à des applications spécifiques, prévues au titre du modèle économique dudit service numérique.
Une "application" est classiquement définie comme une unité d'exécution d'un programme exécutable par un terminal . Un même programme peut être exécuté plusieurs fois de manière à ce que différentes applications requises par l'exécution du programme soient respectivement dédiées à des services numériques différents. Par exemple, un lecteur de média peut être exécuté à la fois pour lire une seule fois un fichier vidéo selon une visualisation à la demande et pour lire un autre fichier vidéo pour la deuxième fois au moyen d'une licence accordant un nombre prédéterminé de visualisations du fichier vidéo .
Une application est dite "dédiée à un service numérique" associé à un couple données-modèle économique lorsque son exécution est lancée sur les données dudit service numérique.
Une donnée numérique est dite "relative à un service numérique" si cette donnée numérique est créée, mémorisée, utilisée, ou destinée à être utilisée par une application dédiée à ce service numérique. Dans ce cas, le service numérique est dit "à l'origine de la donnée numérique" en question. Par exemple, des données mémorisées dans un terminal peuvent comprendre, d'une part, des données relatives à un service d'écoute de musique à la demande, et d'autre part des données d'un porte-monnaie électronique inclus dans le terminal, relatives à un service bancaire.
Au travers d'un réseau d'accès cellulaire, un terminal mobile peut accéder consécutivement à plusieurs services numériques, mais n'est pas capable de confiner les données à leurs services numériques d'origine. Par exemple, il est possible de télécharger des données relatives à un service numérique, par exemple des films proposés dans le cadre d'un service payant de vidéo à la demande dans une mémoire amovible installée dans un terminal mobile et de les rendre accessibles à un autre service numérique régi par un autre modèle économique, tel qu'un service gratuit de vidéo à la demande, après avoir installé la mémoire amovible sur un autre terminal .
Pour pallier ce problème, une solution consiste à interdire la mémorisation de données sur un terminal. De ce fait, des services nécessitant la mémorisation d'un nombre élevé de données sur le terminal sont pénalisés commercialement. Par exemple, un service de jeu en réseau nécessite le téléchargement d'un jeu qui peut requérir plus d'une heure. Dans ce cas, le téléchargement systématique du jeu à chaque utilisation de ce dernier est une contrainte rédhibitoire à la commercialisation du jeu .
Une autre solution consiste à contrôler l'usage des ressources mémoire d'un terminal. Plusieurs approches existent actuellement. Une première approche consiste à contrôler le droit d'accès aux différentes ressources mémoire d'un terminal par le système d'exploitation gérant ces ressources, notamment les systèmes de fichiers. Le système d'exploitation vérifie qu'une application exécutée pour le compte d'un utilisateur donné possède bien
les droits d'accès en écriture ou en lecture au fichier concerné avant de satisfaire la requête. Ainsi, à chaque fichier peuvent être associés des droits différents en fonction de l'utilisateur. Une seconde approche consiste à protéger directement les données destinées à être mémorisées, en fonction de l'utilisateur de ces données. Plus précisément, cela consiste à rendre les données inintelligibles en l'absence d'un décodeur approprié activable par un ayant-droit, via un mécanisme de chiffrement. Ce dernier est mis en œuvre par le système d'exploitation d'un terminal qui peut chiffrer un fichier donné, avec une clé attribuée à l'utilisateur du terminal pour le compte duquel le fichier est manipulé. Ces deux dernières approches ont pour inconvénient majeur d'être "orientées utilisateur". Ainsi, aucune d'elle n'interdit à un utilisateur quelconque d'échanger des données entre deux applications dédiées respectivement à deux services numériques différents relevant respectivement de deux modèles économiques différents et s 'exécutant sur un même système d'exploitation.
Des fournisseurs de service ont recours à des systèmes de gestion de droits numériques DRM pour garantir l'intégrité des données numériques, au cours de l'exécution de services sensibles. Par exemple, des fichiers vidéo sécurisés téléchargés à la demande d'un utilisateur dans son terminal sont protégés par un processus DRM contraignant l'utilisateur à acquitter une licence pour visualiser lesdits fichiers vidéo au moyen d'une application certifiée DRM. Généralement, ces fichiers vidéo sont protégés par un chiffrement. En réponse à l'acceptation de la licence, l'utilisateur reçoit une clé lui permettant de déchiffrer les fichiers vidéo.
Ces systèmes DRM sont implantés sur des terminaux dont les ressources logicielles et matérielles ne sécurisent pas des données relatives à des services numériques. Par exemple, des données accessibles par une application DRM et stockées dans une mémoire persistante amovible d'un premier terminal sont transmissibles depuis ce dernier vers un deuxième terminal sans aucun contrôle de l'application DRM. De même, des données d'une application DRM stockées en mémoire volatile d'un terminal sont vulnérables à la copie et peuvent être dupliquées par une application malveillante sans que l'application DRM en ait connaissance.
Par ailleurs, ces systèmes DRM sont implantés dans des terminaux dont les systèmes d'exploitation ne sont pas conçus pour sécuriser des données relatives à des services numériques. Un spécialiste peut modifier le système d'exploitation d'un terminal de façon à ce qu'une application DRM certifiée s'exécute de façon illégale et conduise, par exemple, au stockage en mémoire persistante de données sécurisées déchiffrées.
Pour remédier aux inconvénients évoqués ci- dessus, un procédé selon l'invention pour traiter une donnée numérique créée, mémorisée, utilisée, ou destinée à être utilisée par une application dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire incluant la donnée numérique ayant été émise par l'application à destination d'un système d'exploitation du terminal, est caractérisé en ce qu'il comprend les étapes de : intercepter ladite requête d'accès mémoire avant sa réception par le système d'exploitation,
identifier l'application à l'origine de ladite requête, déterminer au moins un paramètre de contexte relatif à l'application identifiée et associer le paramètre de contexte déterminé à ladite requête, identifier le service en fonction du paramètre de contexte associé à la requête et déterminer des paramètres de traitement associés au service identifié, générer une clé en fonction des paramètres de traitement associés au service identifié, et traiter la donnée numérique en fonction de la clé générée.
Dans le cadre de la présente invention, il est supposé qu'une application est toujours lancée dans le contexte d'un et un seul service numérique, généralement à l'initiative de l'utilisateur.
L'invention suppose par ailleurs que le système d'exploitation du terminal gère explicitement, c'est- à-dire mémorise, protège et rend accessible, d'une part, la correspondance entre un processus système et une application, et d'autre part la correspondance entre une application et le contexte de lancement de cette application.
L'accès à des données relatives à un service numérique est régi par un modèle économique associé audit service. Pour toute donnée relative à un service numérique, l'invention garantit l'absence totale d'accès à ladite donnée depuis un autre service numérique, y compris via un support mémoire amovible. En particulier, l'invention isole les données par rapport à leur modèle économique d'origine, y compris lorsque ces données résultent de l'exécution d'applications, en prolongeant cet isolement jusqu'à leur stockage en mémoire, y compris
pour un stockage sur support d'enregistrement du type mémoire persistante amovible. Cela signifie en premier lieu que toute donnée résultant de l'exécution d'une application dédiée à un service numérique est nécessairement "attribuée" à ce seul service numérique, et en second lieu qu'une application qui est lancée dans le contexte d'un service numérique n'a accès à aucune donnée appartenant à un autre service numérique ou résultant de l'exécution d'une application lancée dans le contexte d'un autre service numérique. Dans toute la suite, cette propriété sera évoquée sous le nom de "propriété de confinement à l'exécution des services numériques" .
Par ailleurs, un terminal est dit "compatible avec un service numérique" lorsque ce terminal garantit un confinement à l'exécution de ce service numérique. Par conséquent, l'accès à un service numérique est réservé aux terminaux compatibles avec ce service numérique.
Ainsi, dans un terminal compatible avec des premier et deuxième services numériques, une première application dédiée au premier service ne peut accéder à une donnée élaborée par une deuxième application dédiée au deuxième service. De même, si une donnée est stockée dans une mémoire amovible par une première application dédiée à un premier service et exécutée dans un premier terminal, une deuxième application dédiée à un deuxième service et exécutée dans un deuxième terminal ne peut accéder à la donnée lorsque la mémoire amovible est installée dans le deuxième terminal .
En proposant une solution au problème de sécurisation du stockage des données relatives à des services numériques, l'invention offre à
l'utilisateur d'un terminal un gain de temps et d'argent résultant d'une économie de chargements. Pour un opérateur de réseau de télécommunications, l'invention garantit un élargissement des opportunités de services, et un gain en exploitation en évitant de congestionner le réseau par le rechargement, à chaque utilisation, des services auxquels l'utilisateur est déjà abonné.
Selon une autre caractéristique de l'invention, la donnée numérique peut être un identificateur d'un fichier mémorisé dans le terminal et des première et deuxième clés sont générées afin de traiter l'identificateur de fichier et le contenu du fichier mémorisé respectivement en fonction des première et deuxième clés générées.
Le traitement d'un identificateur d'un fichier par exemple téléchargé et mémorisé dans une mémoire volatile du terminal assure un premier niveau de protection quant à la localisation du fichier mémorisé .
Selon une autre caractéristique de l'invention, des paramètres de service peuvent être associés au service, et le service est identifié si tous les paramètres de service associés au service et seulement audit service sont inclus dans l'ensemble des paramètres de contexte associés à la requête.
Les paramètres de service permettent d'identifier le service relatif à la donnée numérique à traiter de manière unique et non ambiguë par rapport à d'autres services numériques. Cette identification exacte garantit en outre que l'application requérant ladite donnée n'est pas malveillante .
L'invention concerne également un système pour traiter une donnée numérique créée, mémorisée, utilisée, ou destinée à être utilisée par une application dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire incluant la donnée numérique ayant été émise par l'application à destination du système d'exploitation du terminal. Le système est caractérisé en ce qu'il comprend :
- un moyen pour intercepter ladite requête d'accès mémoire avant sa réception par le système d'exploitation et pour identifier l'application à l'origine de ladite requête,
- un moyen pour déterminer au moins un paramètre de contexte relatif à l'application identifiée,
- un moyen pour associer le paramètre de contexte déterminé à ladite requête,
- un moyen pour identifier le service en fonction du paramètre de contexte associé à ladite requête et déterminer des paramètres de traitement associés au service identifié,
- un moyen pour générer une clé en fonction des paramètres de traitement associés au service identifié, et
- un moyen pour traiter la donnée numérique en fonction de la clé générée.
Selon une autre caractéristique de l'invention, le système peut comprendre un moyen interceptant la requête d'accès mémoire destinée au système d'exploitation pour introduire des champs de paramètres de contexte, associés notamment au contexte de lancement et d'exécution de l'application courante, dans la requête interceptée, et au moins un moyen pour renseigner les champs de paramètres de
contexte par des valeurs dont une correspond à un identificateur de l'application.
Le système de protection selon l'invention intercepte systématiquement tout appel à une mémoire du terminal par une application afin d'assurer une protection des accès en lecture ou en écriture à la mémoire. En particulier, des champs de paramètres de contexte sont renseignés de manière à paramétrer l'appel à une mémoire par au moins un identificateur de l'application. Le système de protection garantit que l'accès à une donnée associée à un service numérique protégé, par exemple, par un processus DRM est obtenu dans le contexte du modèle économique associé au service, et par un ayant-droit utilisant une application autorisée par ce processus DRM.
Selon une autre caractéristique de l'invention, le moyen pour identifier le service contient des tables mettant en correspondance des identificateurs de service et des listes de paramètres de service d'une part, et les mêmes identificateurs de service et des listes de paramètres de traitement d'autre part, ces tables de correspondance étant actualisées par un moyen serveur en fonction des services numériques auxquels l'utilisateur du terminal est abonné .
Les tables de correspondance permettent une identification exacte du service numérique relatif à l'application exécutée dans le terminal, et sont actualisées par un moyen serveur externe au terminal pour prendre en compte tout changement éventuel relatif aux services numériques auxquels l'utilisateur du terminal est abonné. En particulier, les tables de correspondance remédient à l'inconvénient qu'aucune entité officielle dans l'état de la technique ne gère l'ensemble des
services numériques existants, les services n'ayant pas de caractéristiques propres pour être distingués les uns des autres.
Enfin, l'invention se rapporte à un programme d'ordinateur apte à être mis en œuvre dans un système pour traiter une donnée numérique créée, mémorisée, utilisée, ou destinée à être utilisée par une application dédiée à un service numérique et exécutée dans un terminal, ledit programme comprenant des instructions qui, lorsque le programme est exécuté dans ledit système, réalisent les étapes selon le procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations de l'invention données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :
- la figure 1 est un bloc-diagramme schématique d'un système de protection selon l'invention pour traiter une donnée relative à un service ; et
- la figure 2 est l'algorithme d'un procédé de traitement de donnée selon l'invention mis en œuvre dans le système de protection.
En référence à la figure 1, le système de protection SP selon l'invention est inclus dans un terminal informatique capable de gérer des données numériques .
Le terminal informatique peut être de tout type et peut gérer tout type de données. Par exemple, le terminal est un ordinateur personnel, un terminal
radio mobile, un terminal bancaire, un serveur applicatif ou encore une caméra de surveillance.
Le système de protection SP comprend un gestionnaire de mémoire GM, un système de chiffrement SC et au moins un serveur de paramètres SVP. Le système de chiffrement SC comprend un contrôleur de chiffrement CC, un générateur de clé GC, un module de chiffrement MC et un contrôleur de service CS. Le serveur de paramètres SVP communique directement avec le gestionnaire de mémoire GM et/ou le contrôleur de chiffrement CC. Les communications entre les différentes entités comprises dans le système de protection sont sécurisées, de manière à ce qu'aucun échange d'information ne puisse être intercepté pendant une communication entre deux de ces entités.
Le gestionnaire de mémoire GM gère à travers le système d'exploitation du terminal l'accès en écriture et en lecture à des mémoires MEM du terminal, telles qu'une mémoire persistante ou une mémoire volatile.
Le serveur de paramètres SVP gère une base de données qui comprend notamment des informations nécessaires au système de protection selon l'invention, telles que des valeurs pour les paramètres requis par le contrôleur de service CS et le générateur de clé GC.
Le contrôleur de service CS est apte à communiquer avec un serveur de protection de service SPS qui est par exemple localisé dans le réseau du fournisseur de service dispensant un service auquel est abonné l'utilisateur du terminal. Le serveur de protection de service SPS est géré par exemple par le fournisseur de service lui-même ou par un tiers de confiance .
Les communications entre le contrôleur de service CS et le serveur de protection de service SPS sont également sécurisées, en utilisant par exemple le protocole d'accès entre des objets distants SOAP ("Simple Object Access Protocol" en anglais) encapsulé dans le protocole de transfert sécurisé HTTPS ("HyperText Transfer Protocol Secure" en anglais) .
Le serveur de protection de service SPS gère des listes de paramètres de chiffrement/déchiffrement, appelées listes de paramètres de traitement LPT, associées aux services de manière à ce que des identificateurs de service IS soient associés chacun à une et une seule liste de paramètres de traitement LPT. Chaque identificateur de service IS est en outre associé à une liste de paramètres de service LPS qui caractérise et identifie de manière unique et non ambiguë le service numérique correspondant parmi d'autres services. Par ailleurs, des identificateurs d'utilisateur IU sont associés chacun à au moins un identificateur de service. Les identificateurs de service et les identificateurs d'utilisateur sont renseignés chacun une et une seule fois. Un identificateur d'utilisateur IU caractérise de manière non ambiguë l'utilisateur du service numérique et peut inclure un identificateur d'un groupe d'utilisateurs et/ou un identificateur du terminal .
Le contrôleur de service CS contient en particulier des tables de correspondance TC mettant en correspondance des identificateurs IS de service et des listes de paramètres de service LPS d'une part, et les mêmes identificateurs IS de service et des listes de paramètres de traitement LPT d'autre part. Une liste de paramètre peut ne contenir qu'un
paramètre. Ces tables de correspondance TC sont fournies ou actualisées par le serveur de protection de service SPS en fonction de l'identificateur IU de l'utilisateur du terminal.
Les mémoires MEM du terminal regroupent une ou plusieurs mémoires volatiles et une ou plusieurs mémoires persistantes accessibles à travers le système d'exploitation depuis le gestionnaire de mémoire GM du système de protection. En outre, des mémoires persistantes peuvent être implantées sur un support amovible du terminal .
Le système d'exploitation du terminal exécute des applications AP et gère le partage des ressources du terminal entre les applications.
Une application AP qui est exécutée par le système d'exploitation du terminal et associée à un service numérique peut demander la mémorisation d'une donnée dans l'une des mémoires MEM du terminal.
En particulier, le système de protection SP peut être mis en œuvre dans un composant électronique de type microcontrôleur, circuit à microprocesseur ou carte à puce, afin que le système ne soit pas piraté, espionné ou modifié. Ce mode de réalisation est particulièrement intéressant lorsque le composant électronique inclut, en plus du système de protection SP, une mémoire volatile, une mémoire persistante, stockant par exemple les codes applicatifs permettant au système d'exploitation de s'exécuter, et un processeur dans lequel s'exécute le code source du système de protection. En effet, une faiblesse du système de protection est que son exécution réclame que son code source soit écrit en "clair". Si le code source est écrit en mémoire volatile, il est possible de copier le code source de la mémoire, d'en
comprendre le fonctionnement et de le détourner de ce fonctionnement. En revanche, si le code source du système de protection est exécuté au sein du composant électronique, il est beaucoup plus difficile de le pirater.
La mémoire persistante du composant électronique contient des applications critiques comme, par exemple, un système d'exploitation certifié mettant en œuvre le gestionnaire de mémoire GM, ou un navigateur certifié.
Quand un service nécessitant un haut niveau de sécurité doit être exécuté sur le terminal, il le service est alors exécuté au moyen du processeur et des mémoires volatiles et persistantes du composant électronique. Les capacités en mémoire volatile et persistante du composant électronique étant, par essence, limitées, le composant électronique peut stocker des données relatives au service sur les mémoires volatiles ou persistantes du terminal. Toutes les données relatives au service nécessitant d'être sécurisées sont préalablement traitées par le système de protection SP du composant électronique avant d'être stockées sur lesdites mémoires volatiles ou persistantes du terminal.
Ainsi, même si une application dite "pirate" possède des moyens matériels d'espionner la mémoire volatile du terminal pour extraire des données confidentielles provenant d'un service, l'application ne pourra pas accéder à ces données car ces dernières auront été préalablement chiffrées par le système de chiffrement SC. Par conséquent, il n'est pas possible d'extraire des données provenant d'un utilisateur ayant-droit, de les pirater et de les copier pour un autre utilisateur.
Par ailleurs, le système de chiffrement SC peut être réalisé en partie en logique câblée plutôt que sous forme de logiciel. Seul le contrôleur de service CS doit être réalisé en tout ou partie sous forme de logiciel puisqu'il stocke et gère des tables qui peuvent être actualisées. En effet, la logique câblée optimise le fonctionnement en augmentant considérablement les performances. Puisque le temps de traitement de données du système de chiffrement SC constitue le principal délai pour le stockage de données en mémoire, si ce traitement est trop long, l'exécution des services peut être aussi perçue comme trop longue par l'utilisateur du terminal. Pour que le fonctionnement du terminal ne soit pas pénalisé par le temps de traitement du système de chiffrement SC, ce dernier doit être de préférence optimisé, par exemple en ayant recours à une réalisation en logique câblée .
Enfin, cette réalisation permet de faire appel à des applications certifiées qui seront stockées et exécutées dans le composant électronique de manière à garantir que ces applications ne seront pas modifiées ou piratées, ce qui permet de prolonger leur certification jusqu'à l'exécution. On notera que l'usage d'applications certifiées est un pré-requis exigé par la plupart des services nécessitant un haut degré de sécurité tels qu'un service bancaire, le contrôle d'accès à un site, ou la gestion des droits numériques DRM.
En référence à la figure 2, le procédé selon l'invention comprend des étapes El à ElO exécutées automatiquement sous le contrôle du système de protection SP inclus dans le terminal et mises en œuvre par des instructions d'un programme
d'ordinateur enregistré sur un support d'enregistrement lisible par le système de protection SP.
Au préalable, un utilisateur du terminal a souscrit un abonnement auprès d'un ou plusieurs fournisseurs de service offrant des services numériques et devient ainsi un abonné à au moins un service .
A une étape initiale EO, le contrôleur de service CS mémorise ou actualise au moins une table de correspondance ou plus généralement des tables de correspondance TC en fonction du ou des services numériques auxquels l'utilisateur est abonné avec le concours du serveur de protection de service SPS.
Dans un premier exemple, le contrôleur de service CS interroge le serveur de protection de service SPS en fournissant à ce dernier un identificateur d'utilisateur IU. Le contrôleur CS obtient en retour au moins un identificateur de service ou plus généralement des identificateurs de service IS associés à l'identificateur d'utilisateur, ainsi que les listes de paramètres de traitement LPT et les listes de paramètres de service LPS associées aux identificateurs de service, afin d'actualiser ou mémoriser les tables de correspondance TC. Cette interrogation peut être effectuée à chaque fois que le terminal est mis sous tension, pour vérifier une éventuelle modification dans les tables de correspondance .
Dans un deuxième exemple, le serveur de protection de service SPS interroge une base de données pour connaître au moins le service ou plus généralement les services accessibles par l'utilisateur, cette base de données étant par exemple un enregistreur de localisation nominal HLR
("Home Location Register" en anglais) dans un réseau cellulaire GSM/GPRS ("Global System for Mobile communications" / "General Packet Radio System" en anglais) ou un serveur de service nominal HSS ("Home Service Server" en anglais) dans un réseau cellulaire UMTS ("Universal Mobile Télécommunications System" en anglais). Le serveur SPS associe l'identificateur IU de l'utilisateur et les identificateurs IS du ou des services auxquels l'utilisateur est abonné. Puis le serveur SPS transmet au contrôleur de service CS les identificateurs de service et les listes de paramètres de traitement et de service associées pour une actualisation totale des tables de correspondance TC mémorisées dans le contrôleur de service CS.
Dans un troisième exemple, le serveur de protection de service SPS procède à une actualisation partielle des tables de correspondance TC, uniquement lorsqu'un changement a lieu. Ce changement peut être de plusieurs natures comme par exemple la création, la modification ou la suppression d'un service, et peut être à l'initiative d'un enregistreur HLR dans un réseau cellulaire GSM/GPRS ou d'un serveur HSS dans un réseau cellulaire UMTS. Le serveur de protection de service SPS transmet alors au contrôleur de service CS un fichier tenant compte de ces changements pour actualiser seulement les tables de correspondance TC concernées par ces changements.
Le contrôleur de service CS contient alors des tables de correspondance actualisées qui sont associées à des identificateurs IS des services auxquels l'utilisateur est abonné.
Chaque identificateur de service IS est associé à une liste de paramètres de service LPS qui caractérisent et identifient de manière unique et non ambiguë le service numérique correspondant parmi
d'autres services. Chaque liste de paramètres de service contient des champs qui sont spécifiques au service numérique et qui sont renseignés par des valeurs de paramètres de service par le fournisseur du service numérique. Les paramètres de service sont par exemple un identificateur d'une application AP et/ou un identificateur d'un réseau de données RD associé au service et/ou un identificateur de fournisseur de service. Un "réseau de données" est défini comme un ensemble de ressources constitué par tout ou partie d'un équipement informatique et/ou un réseau de communication pouvant être une pluralité de réseaux de communication interconnectés, et désigné de manière unique par un identificateur appelé "identificateur de réseau de données". Le terme de réseau de données désigne indifféremment un ensemble de ressources et l'ensemble des données stockées ou transférées au sein de cet ensemble de ressources. Par ailleurs, deux réseaux de données quelconques sont supposés disjoints.
Chaque identificateur de service IS est en outre associé à une liste de paramètres de traitement LPT. Chaque liste de paramètres de traitement contient des champs qui sont spécifiques au service numérique et qui sont optionnellement renseignés par des valeurs de paramètres de traitement par le fournisseur du service numérique. Les paramètres de traitement sont par exemple un identificateur d'une application AP et/ou un identificateur du réseau de données associé au service, lorsqu'il existe, et/ou un identificateur de l'utilisateur, et peuvent donc être en partie du même type que les paramètres de service.
A l'étape El, une application AP relative à un service est exécutée dans le terminal dans le
contexte du service. Par exemple, l'utilisateur du terminal a sélectionné le lancement de l'application via une interface homme-machine du terminal indiquant à l'utilisateur les services auquel ce dernier est abonné et les applications disponibles pour ces services. A titre d'exemple, l'application est un lecteur de média qui est exécuté pour un service d'écoute de musique à la demande protégé par un processus DRM.
L'application exécutée AP transmet une requête d'accès mémoire RA à destination du système d'exploitation du terminal afin d'accéder aux mémoires MEM du terminal. La requête d'accès mémoire RA inclut un type de requête TR indiquant le type d'accès à la mémoire MEM requis par l'application. Par exemple, le type d'accès est une lecture ou une écriture de données. La requête d'accès mémoire RA inclut en outre une donnée numérique DAT à traiter, c'est-à-dire à chiffrer ou à déchiffrer. La donnée numérique DAT peut servir à identifier un contenu numérique dit "simple" ou "structuré". Un contenu numérique simple peut être une variable ou une chaîne de caractères. Un contenu numérique structuré peut être typiquement un fichier déjà mémorisé dans l'une des mémoires MEM et référencé par un identificateur.
A titre d'exemple, la requête d'accès mémoire RA requiert l'écriture d'un fichier dans une mémoire persistante des mémoires MEM du terminal, et inclut un identificateur de ce fichier qui est mémorisé dans une mémoire volatile des mémoires MEM.
A l'étape E2, la requête RA destinée au système d'exploitation est interceptée par le gestionnaire de mémoire GM du système de protection SP qui est à l'écoute de toute requête provenant de toute application à destination du système d'exploitation
du terminal. Le gestionnaire de mémoire GM identifie alors l'application AP qui est à l'origine de la requête RA, par exemple au moyen d'une correspondance entre un processus système et un identificateur de 1 ' application .
Le gestionnaire de mémoire GM modifie la requête interceptée RA en une requête modifiée RM en la complétant par un ou plusieurs champs de paramètres de contexte CP, et associe ainsi un ou des paramètres de contexte non renseignés à la requête.
Les champs sont destinés à être renseignés par les valeurs de paramètres de contexte qui peuvent être associés directement ou indirectement à l'application. Un paramètre de contexte associé directement à l'application est par exemple un identificateur de l'application AP, ou un identificateur de l'utilisateur. Un paramètre de contexte associé indirectement à l'application est par exemple un identificateur du réseau de données associé au service, ou un identificateur de fournisseur de service, ou encore le type de la donnée DAT. Optionnellement , le gestionnaire de mémoire GM mémorise temporairement la requête modifiée RM.
A l'étape E3, le gestionnaire de mémoire GM transmet la requête modifiée RM au contrôleur de chiffrement CC du système de chiffrement SC. Le contrôleur de chiffrement CC mémorise la requête modifiée RM, notamment le type de requête TR et la donnée à traiter DAT inclus dans la requête RM.
A l'étape E4, le contrôleur de chiffrement CC interroge le serveur de paramètres SVP afin de renseigner les champs de paramètres de contexte CP dans la requête modifiée RM.
Le serveur de paramètres SVP détermine et fournit les valeurs de paramètres associés à l'application AP afin de renseigner les champs de la requête modifiée par ces valeurs.
Par exemple, le système d'exploitation du terminal gère une correspondance entre l'application AP, dont l'exécution est à l'origine de la requête RA dans le terminal, et un identificateur de l'application AP.
Le serveur de paramètres SVP transmet les champs de paramètres de contexte renseignés CPR au contrôleur de chiffrement CC qui les mémorise. Les paramètres de contexte renseignés sont alors associés à la requête et exploitables par le système de chiffrement SC.
En variante, les étapes E3 et E4 sont remplacées respectivement par des étapes E31 et E41.
A l'étape E31, le gestionnaire de mémoire GM interroge le serveur de paramètres SVP afin de renseigner les champs de paramètres de contexte CP dans la requête modifiée RM. Le serveur de paramètres SVP détermine et transmet les champs de paramètres de contexte renseignés CPR au gestionnaire de mémoire GM.
A l'étape E41, le gestionnaire de mémoire GM renseigne les champs de la requête modifiée RM au moyen des champs de paramètres de contexte renseignés CPR transmis par le serveur SVP et transmet la requête modifiée RM au contrôleur de chiffrement CC du système de chiffrement SC qui la mémorise.
A l'étape E5, le contrôleur de chiffrement CC transmet les champs de paramètres de contexte renseignés CPR au contrôleur de service CS.
Le contrôleur de service recherche dans les tables de correspondance TC l'identificateur IS du service numérique à l'origine de la requête.
Par exemple, le contrôleur CS met en correspondance un à un les champs de paramètres de contexte renseignés CPR avec les champs des différentes listes de paramètres de service LPS mémorisées .
Dans un exemple particulier relatif à une application AP associée à un service numérique protégé par un processus DRM, la liste de paramètres de service LPS associée audit service contient obligatoirement un identificateur d'application.
Si tous les champs d'une et une seule liste de paramètres de service LPS sont inclus dans l'ensemble des champs de paramètres de contexte renseignés CPR, le contrôleur de service CS détermine à l'étape E6 la table de correspondance TC incluant la liste de paramètres de service LPS et déduit l'identificateur de service IS associé à cette liste de paramètres de service. Par conséquent le contrôleur de service CS identifie le service numérique relatif à l'identificateur de service IS ainsi déduit. Le contrôleur de service CS détermine alors la liste de paramètres de traitement LPT associée à l'identificateur IS du service identifié et transmet la liste LPT au contrôleur de chiffrement CC.
Si tous les champs de plusieurs listes de paramètres de service LPS sont inclus dans l'ensemble des champs de paramètres de contexte renseignés CPR, le contrôleur de service CS transmet un message d'erreur au contrôleur de chiffrement CC comme indiqué à une étape ER, et le procédé se termine.
Si aucune liste de paramètres de service LPS n'a des champs identiques à au moins une partie des
champs de paramètres de contexte renseignés CPR, le contrôleur de service CS transmet un message d'erreur au contrôleur de chiffrement CC comme indiqué à l'étape ER, et le procédé se termine.
Si quelques champs d'une ou plusieurs listes de paramètres de service LPS sont inclus dans l'ensemble des champs de paramètres de contexte renseignés CPR, ces listes sont sélectionnées à une étape E51 par le contrôleur de service CS qui identifie l'ensemble des champs de la ou des listes de paramètres de service sélectionnées pour lesquels des champs de paramètres de contexte renseignés n'ont pu être mis en correspondance. Les champs identifiés sont considérés comme des champs de paramètres de contexte à renseigner. Le contrôleur de service CS transmet ensuite au contrôleur de chiffrement CC les champs identifiés pour que ces derniers soient renseignés au moyen du serveur de paramètres SVP puis retransmis au contrôleur de service CS. L'étape E5 est alors répétée une fois pour mettre en correspondance un à un les champs de paramètres de contexte renseignés CPR complétés par les champs identifiés renseignés avec les champs des différentes listes de paramètres de service LPS mémorisées. L'étape E51 ne peut plus être alors répétée puisque tous les champs de paramètres de contexte nécessaires à ladite mise en correspondance ont été renseignés.
A l'étape E7, après réception de la liste de paramètres de traitement LPT associée à l'identificateur de service IS transmise par le contrôleur de service CS à l'étape E6, le contrôleur de chiffrement CC interroge le serveur de paramètres SVP afin de renseigner les champs de la liste de paramètres de traitement LPT par des valeurs de
paramètres de traitement. Le serveur de paramètres SVP retransmet la liste de paramètres de traitement LPT sous forme d'une liste renseignée de paramètres de traitement LRPT au contrôleur de chiffrement CC. Par exemple, les paramètres de traitement sont un identificateur de l'application AP et/ou un identificateur du réseau de données associé au service et/ou un identificateur de l'utilisateur, et peuvent donc être en partie du même type que les paramètres de service.
En variante, quelques champs de la liste de paramètres de traitement LPT transmise par le contrôleur de service CS sont déjà renseignés. Dans ce cas, le serveur de paramètres SVP renseigne les champs de la liste LPT qui ne sont pas renseignés et les transmet au contrôleur de chiffrement CC.
Dans une autre variante, tous les champs de la liste de paramètres de traitement LPT transmise par le contrôleur de service CS sont déjà renseignés. Dans ce cas, l'étape E7 n'est pas exécutée.
A l'étape E8, le contrôleur de chiffrement CC transmet la liste renseignée de paramètres de traitement LRPT et le type de requête TR au générateur de clé GC.
Le générateur de clé GC génère au moins une clé de protection de données KPD en fonction des valeurs des paramètres lus dans la liste LRPT, et en fonction du type de requête TR et de la nature des données à traiter DAT incluses dans la requête RA.
Par exemple, dans le cas où la donnée à traiter DAT représente un contenu numérique "simple", le contrôleur de chiffrement requiert de la part du générateur de clé la génération d'une seule clé KPD. La clé KPD est une clé de chiffrement si le type de
requête TR est relatif à une écriture, ou est une clé de déchiffrement si le type de requête TR est relatif à une lecture.
Dans un autre exemple, si la donnée à traiter DAT est un identificateur référençant un contenu numérique "structuré" tel qu'un fichier, et si le type de requête est relatif à une lecture, le contrôleur de chiffrement requiert de la part du générateur de clé la génération d'une première clé pour chiffrer l'identificateur de fichier et d'une deuxième clé pour déchiffrer les données du fichier référencé par l'identificateur. Si le type de requête est relatif à une écriture, le contrôleur de chiffrement requiert de la part du générateur de clé la génération d'une seule clé pour chiffrer l'identificateur de fichier et les données du fichier référencé par l'identificateur.
Le générateur de clé GC transmet alors la clé générée KPD au contrôleur de chiffrement CC.
La clé générée KPD est unique et irrévocable. Pour une liste renseignée de paramètres donnée est générée une unique clé KPD.
Une donnée chiffrée au moyen d'une liste renseignée de paramètres de traitement LRPT ne pourra être déchiffrée qu'au moyen d'une clé générée en fonction de cette même liste renseignée de paramètres de traitement LRPT. Puisque la liste renseignée de paramètres de traitement LRPT est spécifique à un service numérique, une donnée chiffrée à la demande d'une application relative à un service numérique ne pourra être déchiffrée qu'à la demande d'une application qui est exécutée pour le même service numérique .
En variante, le générateur de clé GC extrait une clé de protection de données KPD parmi une liste de
clés pré-calculées en fonction de la liste renseignée de paramètres de traitement LRPT et du type de requête TR, la clé KPD étant soit une clé de chiffrement KC, soit une clé de déchiffrement KD.
A l'étape E9, le contrôleur de chiffrement CC transmet la donnée à traiter DAT, la clé générée KPD et le type de requête TR au module de chiffrement MC.
Le module de chiffrement MC traite la donnée reçue DAT en fonction du type de requête TR et de la clé générée KPD. Le module de chiffrement MC possède au moins deux types d'algorithme pour le traitement des données, par exemple un algorithme de chiffrement auquel est applicable toute clé de chiffrement et un algorithme de déchiffrement auquel est applicable toute clé de déchiffrement. Par conséquent, l'algorithme de chiffrement ou de déchiffrement utilisé par le module de chiffrement MC est dual de l'algorithme de génération des clés de chiffrement ou de déchiffrement utilisé par le générateur de clé GC.
Le module de chiffrement MC chiffre la donnée reçue DAT avec la clé KPD si le type de requête TR est relatif à une écriture, ou déchiffre la donnée reçue DAT avec la clé KPD si le type de requête TR est relatif à une lecture. La donnée chiffrée ou déchiffrée est alors une donnée traitée DT.
Le module de chiffrement MC transmet alors la donnée traitée DT au contrôleur de chiffrement CC.
En variante, la donnée à traiter DAT est transmise par le contrôleur de chiffrement CC au module de chiffrement MC avant l'étape E8, c'est-à- dire avant la génération d'une clé KPD.
A l'étape ElO, le contrôleur de chiffrement CC transmet la donnée traitée DT au gestionnaire de mémoire GM afin que ce dernier mémorise la donnée
traitée DT dans l'une des mémoires MEM du terminal selon le type de requête TR.
Par exemple, si le type de requête TR est relatif à une écriture, la donnée traitée DT pourra être mémorisée dans une mémoire persistante, et si le type de requête TR est relatif à une lecture, la donnée traitée DT pourra être mémorisée dans une mémoire volatile dont l'adresse est transmise à l'application AP pour que cette dernière lise la donnée traitée mémorisée.
Dans une variante, les étapes E9 et ElO sont complétées comme expliqué ci-après.
La donnée à traiter DAT incluse dans la requête est par exemple un identificateur d'un fichier tel qu'un nom du fichier, ce dernier étant mémorisé dans une mémoire volatile du terminal et le type de requête TR est relatif à une écriture.
Dans cette variante, à l'étape E8, le contrôleur de chiffrement CC requiert de la part du générateur de clé GC la génération d'une clé de chiffrement et charge le fichier mémorisé dans la mémoire volatile via le gestionnaire de mémoire GM, par exemple au moyen d'une référence de l'adresse mémoire du fichier, telle qu'un pointeur initialement inclus dans la requête d'accès mémoire RA.
Puis à l'étape E9, le contrôleur de chiffrement CC transmet la donnée à traiter DAT, c'est-à-dire l'identificateur de fichier, ainsi que le fichier chargé, la clé générée et le type de requête TR au module de chiffrement MC. Ce dernier MC chiffre l'identificateur de fichier et le fichier respectivement avec la clé générée et transmet l'identificateur chiffré et le fichier chiffré au contrôleur de chiffrement CC.
A l'étape ElO, le contrôleur de chiffrement CC commande au gestionnaire de mémoire GM la mémorisation de l'identificateur chiffré et du fichier chiffré dans une mémoire du terminal.
Dans une autre variante, l'étape E9 est complétée comme expliqué ci-après.
La donnée à traiter DAT est par exemple un identificateur d'un fichier mémorisé dans une mémoire persistante du terminal et le type de requête TR est relatif à une lecture.
Dans cette variante, à l'étape E8, le contrôleur de chiffrement CC requiert au générateur de clé GC la génération d'une clé de chiffrement et d'une clé de déchiffrement qui peuvent être identiques.
Puis à l'étape E9, le contrôleur de chiffrement CC transmet la donnée à traiter DAT, c'est-à-dire l'identificateur de fichier, la clé de chiffrement et le type de requête TR au module de chiffrement MC. Le module de chiffrement MC chiffre l'identificateur de fichier avec la clé de chiffrement et transmet l'identificateur chiffré au contrôleur de chiffrement CC.
Le contrôleur de chiffrement CC charge le fichier chiffré mémorisé dans la mémoire volatile via le gestionnaire de mémoire GM au moyen de l'identificateur chiffré. Le contrôleur de chiffrement CC transmet alors le fichier chiffré chargé, la clé de déchiffrement et le type de requête TR au module de chiffrement MC. Le module de chiffrement MC déchiffre le fichier chiffré avec la clé de déchiffrement et transmet le fichier déchiffré au contrôleur de chiffrement CC.
A l'étape ElO, le contrôleur de chiffrement CC commande au gestionnaire de mémoire GM la
mémorisation du fichier déchiffré dans une mémoire volatile du terminal pour être lisible par l'application AP. A cette fin, le gestionnaire de mémoire GM transmet par exemple à l'application AP une adresse où le fichier est stocké en mémoire volatile .
Dans un souci de synchronisation entre les opérations exécutées par le générateur de clé GC et le module de chiffrement MC, le contrôleur de chiffrement CC reçoit une clé de protection de données KPD générée par le générateur de clé GC et associe la clé KPD à la donnée à traiter préalablement chargée avant de les transmettre au module de chiffrement MC. Cette association garantit que la clé et la donnée à traiter transmises au module de chiffrement MC correspondent à une même requête. Ainsi, plusieurs requêtes peuvent être traitées simultanément et indépendamment les unes des autres par le contrôleur de chiffrement CC.
En variante, les fonctionnalités du contrôleur de chiffrement CC sont intégrées partiellement ou totalement dans le gestionnaire de mémoire GM et/ou le générateur de clé GC et/ou le module de chiffrement MC et/ou le contrôleur de service CS. Dans ce cas, le gestionnaire de mémoire GM communique directement avec le générateur de clé GC, le module de chiffrement MC et le contrôleur de service CS et ces trois derniers communiquent également directement entre eux.
L'invention décrite ici concerne un procédé et un système pour traiter une donnée numérique créée, mémorisée, utilisée, ou destinée à être utilisée par
une application AP dédiée à un service numérique et exécutée dans un terminal. Selon une implémentation, les étapes du procédé de l'invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans le système de protection selon l'invention. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans le système dont le fonctionnement est alors commandé par l'exécution du programme, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur enregistré sur ou dans un support d'informations lisible par un ordinateur et tout dispositif de traitements de données, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement sur lequel est enregistré le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple une disquette ("floppy dise") ou un disque dur .
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un
câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet .
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon 1 ' invention .
Claims
REVENDICATIONS
1 - Procédé pour traiter une donnée numérique (DAT) créée, mémorisée, utilisée, ou destinée à être utilisée par une application (AP) dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire (RA) incluant la donnée numérique (DAT) ayant été émise par l'application à destination d'un système d'exploitation du terminal, caractérisé en ce qu'il comprend les étapes de : intercepter (E2) ladite requête d'accès mémoire (RA) avant sa réception par le système d ' exploitation, identifier l'application (AP) à l'origine de ladite requête (RA) , déterminer (E4) au moins un paramètre de contexte (CPR) relatif à l'application identifiée et associer le paramètre de contexte déterminé à ladite requête, identifier (E6) le service en fonction du paramètre de contexte associé à la requête et déterminer des paramètres de traitement (LPRT) associés au service identifié, générer (E8) une clé (KPD) en fonction des paramètres de traitement (LRPT) associés au service identifié, et traiter (E9) la donnée numérique (DAT) en fonction de la clé générée (KPD) .
2 - Procédé conforme à la revendication 1, selon lequel la clé (KPD) est générée en outre en fonction d'un type de requête (TR) inclus dans la requête d'accès mémoire (RA) .
3 - Procédé conforme à la revendication 1 ou 2, selon lequel la clé générée (KPD) est une clé de chiffrement et la donnée numérique (DAT) est chiffrée en fonction de la clé de chiffrement générée (KPD) .
4 - Procédé conforme à la revendication 1 ou 2, selon lequel la clé générée (KPD) est une clé de déchiffrement et la donnée numérique (DAT) est déchiffrée en fonction de la clé de déchiffrement générée (KPD) .
5 - Procédé conforme à au moins l'une des revendications 1 à 4, selon lequel la donnée numérique (DAT) est un identificateur d'un fichier mémorisé dans le terminal et des première et deuxième clés (KPD) sont générées afin de traiter l'identificateur du fichier et le contenu du fichier mémorisé respectivement en fonction des première et deuxième clés générées.
6 - Procédé conforme à l'une des revendications 1 à 5, selon lequel des paramètres de service sont associés au service, et le service est identifié (E6) si tous les paramètres de service associés au service et seulement audit service sont inclus dans l'ensemble des paramètres de contexte (CPR) associés à la requête.
7 - Procédé conforme à la revendication 6, selon lequel l'un des paramètres de service associés au service identifié est un identificateur de l'application (AP).
8 - Système pour traiter une donnée numérique (DAT) créée, mémorisée, utilisée, ou destinée à être
utilisée par une application (AP) dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire (RA) incluant la donnée numérique (DAT) ayant été émise par l'application à destination du système d'exploitation du terminal, caractérisé en ce qu'il comprend :
- un moyen (GM) pour intercepter ladite requête d'accès mémoire (RA) avant sa réception par le système d'exploitation et pour identifier l'application (AP) à l'origine de ladite requête (RA) ,
- un moyen (SVP) pour déterminer au moins un paramètre de contexte (CPR) relatif à l'application identifiée,
- un moyen (GM; CC) pour associer le paramètre de contexte déterminé à ladite requête,
- un moyen (CS) pour identifier le service en fonction du paramètre de contexte associé à ladite requête et pour déterminer des paramètres de traitement (LPRT) associés au service identifié,
- un moyen (GC) pour générer une clé (KPD) en fonction des paramètres de traitement (LRPT) associés au service identifié, et
- un moyen (MC) pour traiter la donnée numérique (DAT) en fonction de la clé générée (KPD) .
9 - Système conforme à la revendication 8, comprenant un moyen (GM) interceptant la requête d'accès mémoire (RA) destinée au système d'exploitation pour introduire des champs de paramètre (CP) dans la requête interceptée (RA) , et au moins un moyen (SVP) pour renseigner les champs de paramètre par des valeurs dont une correspond à un identificateur de l'application (AP).
10 - Système conforme à la revendication 8 ou 9, dans lequel le moyen (CS) pour identifier le service contient des tables (TC) mettant en correspondance des identificateurs de service (IS) et des listes de paramètres de service d'une part, et les mêmes identificateurs de service (IS) et des listes de paramètres de traitement d'autre part, ces tables de correspondance étant actualisées par un moyen serveur (SPS) en fonction des services numériques auxquels l'utilisateur du terminal est abonné.
11 - Système conforme à l'une des revendications 8 à 10, inclus dans un composant électronique.
12 - Programme d'ordinateur apte à être mis en œuvre dans un système pour traiter une donnée numérique (DAT) créée, mémorisée, utilisée, ou destinée à être utilisée par une application (AP) dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire (RA) incluant la donnée numérique (DAT) ayant été émise par l'application à destination du système d'exploitation du terminal, ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans ledit système, réalisent les étapes de : intercepter (E2) ladite requête d'accès mémoire (RA) avant sa réception par le système d ' exploitation, identifier l'application (AP) à l'origine de ladite requête (RA) , déterminer (E4) au moins un paramètre de contexte (CPR) relatif à l'application identifiée et associer le paramètre de contexte déterminé à ladite requête,
identifier (E6) le service en fonction du paramètre de contexte associé à la requête et déterminer des paramètres de traitement (LPRT) associés au service identifié, générer (E8) une clé (KPD) en fonction des paramètres de traitement (LRPT) associés au service identifié, et traiter (E9) la donnée numérique (DAT) en fonction de la clé générée (KPD) .
13 - Support d'enregistrement lisible par un système pour traiter une donnée numérique (DAT) créée, mémorisée, utilisée, ou destinée à être utilisée par une application (AP) dédiée à un service numérique et exécutée dans un terminal, une requête d'accès mémoire (RA) incluant la donnée numérique (DAT) ayant été émise par l'application (AP) à destination du système d'exploitation du terminal, caractérisé en ce qu'il a enregistré un programme d'ordinateur comportant des instructions pour l'exécution des étapes suivantes : intercepter (E2) ladite requête d'accès mémoire (RA) avant sa réception par le système d ' exploitation, identifier l'application (AP) à l'origine de ladite requête (RA) , déterminer (E4) au moins un paramètre de contexte (CPR) relatif à l'application identifiée et associer le paramètre de contexte déterminé à ladite requête, identifier (E6) le service en fonction du paramètre de contexte associé à la requête et déterminer des paramètres de traitement (LPRT) associés au service identifié,
générer (E8) une clé (KPD) en fonction des paramètres de traitement (LRPT) associés au service identifié, et traiter (E9) la donnée numérique (DAT) en fonction de la clé générée (KPD) .
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0655635 | 2006-12-19 | ||
FR0655635 | 2006-12-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
WO2008084154A2 true WO2008084154A2 (fr) | 2008-07-17 |
WO2008084154A3 WO2008084154A3 (fr) | 2008-10-23 |
Family
ID=38161971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/FR2007/052480 WO2008084154A2 (fr) | 2006-12-19 | 2007-12-11 | Traitement de donnee relative a un service numerique |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2008084154A2 (fr) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010031976A1 (fr) * | 2008-09-22 | 2010-03-25 | France Telecom | Procède d'allocation de mémoire et procède de gestion de données associe a une application enregistrée dans un module de sécurité associe a un terminal, module de sécurité et terminal associes |
US20180115422A1 (en) * | 2014-12-08 | 2018-04-26 | Citypassenger | Dynamic data encryption method, and associated method for controlling decryption rights |
CN109815731A (zh) * | 2018-12-29 | 2019-05-28 | 深圳云天励飞技术有限公司 | 权限处理方法及相关设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0518466A1 (fr) * | 1991-06-12 | 1992-12-16 | International Computers Limited | Système de traitement de données muni d'un service de cryptographie |
US20020099837A1 (en) * | 2000-11-20 | 2002-07-25 | Naoyuki Oe | Information processing method, apparatus, and system for controlling computer resources, control method therefor, storage medium, and program |
FR2849233A1 (fr) * | 2002-12-24 | 2004-06-25 | Trusted Logic | Procede de securisation des systemes informatiques par confinement logiciel |
-
2007
- 2007-12-11 WO PCT/FR2007/052480 patent/WO2008084154A2/fr active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0518466A1 (fr) * | 1991-06-12 | 1992-12-16 | International Computers Limited | Système de traitement de données muni d'un service de cryptographie |
US20020099837A1 (en) * | 2000-11-20 | 2002-07-25 | Naoyuki Oe | Information processing method, apparatus, and system for controlling computer resources, control method therefor, storage medium, and program |
FR2849233A1 (fr) * | 2002-12-24 | 2004-06-25 | Trusted Logic | Procede de securisation des systemes informatiques par confinement logiciel |
Non-Patent Citations (1)
Title |
---|
WEIDONG SHI ET AL: "Memory-Centric Security Architecture" LNCS, no. 3793, 2005, pages 153-168, XP019024242 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010031976A1 (fr) * | 2008-09-22 | 2010-03-25 | France Telecom | Procède d'allocation de mémoire et procède de gestion de données associe a une application enregistrée dans un module de sécurité associe a un terminal, module de sécurité et terminal associes |
US20180115422A1 (en) * | 2014-12-08 | 2018-04-26 | Citypassenger | Dynamic data encryption method, and associated method for controlling decryption rights |
US10826700B2 (en) * | 2014-12-08 | 2020-11-03 | Citypassenger | Dynamic data encryption method, and associated method for controlling decryption rights |
CN109815731A (zh) * | 2018-12-29 | 2019-05-28 | 深圳云天励飞技术有限公司 | 权限处理方法及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2008084154A3 (fr) | 2008-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9628447B2 (en) | Methods and apparatus for protected distribution of applications and media content | |
EP3547203A1 (fr) | Méthode et système de gestion d'accès à des données personnelles au moyen d'un contrat intelligent | |
US8555059B2 (en) | Secure local update of content management software | |
CN1333314C (zh) | 软件执行控制系统 | |
US20060168580A1 (en) | Software-management system, recording medium, and information-processing device | |
EP1688858A1 (fr) | Systèmes et procédé de gestion de plusieurs clés pour le cryptage et le décryptage d'un fichier | |
GB2408121A (en) | Secure multi-entity access to resources on mobile telephones | |
US20070074050A1 (en) | System and method for software and data copy protection | |
JP2006526204A (ja) | セキュアストリーミングコンテナ | |
WO2007115293A2 (fr) | Systèmes et procédés de protection de contenu numérique | |
US20070156788A1 (en) | Protected data replication | |
FR3006082A1 (fr) | Procede de mise en œuvre d'un droit sur un contenu | |
US8607226B2 (en) | Solution for locally staged electronic software distribution using secure removable media | |
WO2008084154A2 (fr) | Traitement de donnee relative a un service numerique | |
US20090119744A1 (en) | Device component roll back protection scheme | |
FR3037754A1 (fr) | Gestion securisee de jetons electroniques dans un telephone mobile | |
JP4454280B2 (ja) | ライセンス認証方法およびライセンス認証システム | |
CN111143879A (zh) | 一种Android平台SD卡文件保护方法、终端设备及存储介质 | |
EP4078922B1 (fr) | Procédé d'obtention d'une commande relative à un profil d'accès réseau d'un module de sécurité de type euicc | |
KR101249343B1 (ko) | 디지털 권한 파일의 보호를 위한 방법 | |
EP2813962A1 (fr) | Méthode de contrôle d'accès à un type de services spécifique et dispositif d'authentification pour le contrôle de l'accès à un tel type de services. | |
TWI713892B (zh) | 基於區塊鏈技術的文章發佈方法與系統 | |
WO2008084155A2 (fr) | Traitement de donnee relative a un reseau de donnees | |
EP1526431A1 (fr) | Contrôle d'accès à des périphériques d'un microprocesseur | |
JP2002229660A (ja) | ソフトウェア流通管理システム、ソフトウェア流通管理方法、ソフトウェア使用管理アプレット、ソフトウェア使用管理アプレットを記録した媒体及びソフトウェア流通管理サーバ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 07871910 Country of ref document: EP Kind code of ref document: A2 |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 07871910 Country of ref document: EP Kind code of ref document: A2 |