WO2009136067A2 - Gestion d'utilisation securisee de terminal - Google Patents

Gestion d'utilisation securisee de terminal Download PDF

Info

Publication number
WO2009136067A2
WO2009136067A2 PCT/FR2009/050604 FR2009050604W WO2009136067A2 WO 2009136067 A2 WO2009136067 A2 WO 2009136067A2 FR 2009050604 W FR2009050604 W FR 2009050604W WO 2009136067 A2 WO2009136067 A2 WO 2009136067A2
Authority
WO
WIPO (PCT)
Prior art keywords
security
terminal
entity
secure
authentication
Prior art date
Application number
PCT/FR2009/050604
Other languages
English (en)
Other versions
WO2009136067A3 (fr
Inventor
Frédéric Rousseau
Original Assignee
Eads Secure Networks
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eads Secure Networks filed Critical Eads Secure Networks
Priority to EP09742265A priority Critical patent/EP2263350A2/fr
Priority to CN200980121222.6A priority patent/CN102047607B/zh
Priority to US12/936,891 priority patent/US20110030033A1/en
Publication of WO2009136067A2 publication Critical patent/WO2009136067A2/fr
Publication of WO2009136067A3 publication Critical patent/WO2009136067A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Definitions

  • the present invention relates to the level of security relating to the use of a terminal and more particularly in a context of unrestricted terminal use, that is to say when the terminal considered is likely to be used by several users successively.
  • it finds applications particularly in the field of secure communications when a general purpose terminal equipment is likely to be used successively by several users, including users belonging to different organizations.
  • a functional block of the terminal terminal is not operational initially, and that it becomes only on receipt of certain data. This is so according to a scenario as defined in the TETRA standard (for Trans European Trunked Radio '), and more specifically in the document TETRA security' of the ETIS EN 300 392-7 (for ⁇ uropean Telecommunications Standards Institute ') in English).
  • certain functionalities of a terminal can only be used using identity parameters that are stored on a specific card.
  • identity parameters can correspond to the ITSI (for 'Individual TETRA Subscriber Identity' in English) and to a key K, or to the ITSI, as well as to a key KS (for 'Session Key') and an RS key (for 'Random Seed').
  • the intended use of these identity parameters makes it possible to partition the security of use of various communications services offered to the user.
  • the ITSI is a card inserted inside the terminal. It makes it possible to secure the use of a terminal but does not allow an easy change of user of this terminal.
  • a first aspect of the present invention proposes a method for managing the secure use of a terminal having at least one secure functionality on the basis of security data; a security entity storing said security data and first authentication parameters; and the terminal storing second authentication parameters; said method comprising the following steps, at the terminal:
  • a terminal requires security data to allow the use of at least one feature of this terminal.
  • This security data is initially stored on a security entity, which can also be referenced as a user card, and the terminal is responsible for retrieving it from this security entity. It is advantageously provided here to carry out this recovery of security data via a secure contactless link which has been established only after the terminal has been able to authenticate this security entity.
  • This prior authentication step based on information stored both on the terminal and on the security entity, ensures a level of security in the use of this terminal.
  • the terminal can then unlock the corresponding functionality.
  • the terminal can be used by the corresponding user, even if the connection between the security entity and the terminal is interrupted thereafter.
  • the level of security associated with the use of the terminal is notably guaranteed by the fact that the security entity, or user card, is mechanically kept in contact with the terminal, and more precisely positioned within it.
  • the use of the terminal is possible only in the presence of the security entity.
  • the level of security of use of the terminal is based on the prior authentication of the entity and the terminal, as well as on the secure transmission of the security data from the security entity. to the terminal.
  • the level of security of use of the terminal does not rely on the presence of the security entity, it is not required that a link between the terminal and the security entity is maintained during use. of the terminal. Once the security data has been transmitted to it, the terminal can be used without a link between the security entity and itself.
  • the level of security of the use of a terminal is based in particular on the mutual authentication between the terminal and the entity of security. It can thus be provided that the secure link established between the security entity and the terminal is contactless and is established temporarily, simply to allow the transmission of security data. In such conditions, it is then easy to implement a change of user of the terminal.
  • Such a management method can therefore be advantageously implemented for the unmarked use of terminals.
  • At least one first manager is in charge of managing security parameters relating to terminals and at least one second manager is in charge of managing security parameters relating to users of the terminals.
  • the first authentication parameters stored on the security entity may correspond to a first security parameter provided by the second manager and a second security parameter indicating the first manager; and the second authentication parameters that are stored on the terminal may correspond to a third security parameter provided by the first manager and a fourth security parameter indicating the second manager.
  • the security entity can be informed both of the transmission of security data to a terminal, and the erasure of this security data at this terminal. It can therefore manage a state of use of the security data that it stores by one or more terminals according to an embodiment of the present invention.
  • the terminal before step 12.1, registers with a network on the basis of an identifier previously stored at the terminal.
  • the terminal since the terminal has retrieved security data from a security entity, it is able to register with the network. It can thus have at least some services offered by this network on the basis of an identifier of its own, that is to say, which may not be related to the user of the terminal.
  • the terminal can register with a network on the basis of a secure identifier obtained from the security data.
  • the registration of the terminal is carried out on the basis of an identifier relating to the user. It can therefore be expected that the services to which the terminal can access following a registration and based on a user identifier are more numerous than those to which the terminal can access on a simple record based on an identifier previously stored on the terminal, which can be an identifier specific to the terminal.
  • a second aspect of the present invention provides a secure use management method of a terminal having at least one secure functionality based on security data; a security entity storing said security data and first authentication parameters; and the terminal storing second authentication parameters; said method comprising the following steps, at the security entity level:
  • the first authentication parameters stored on the security entity may correspond to a first security parameter provided by the second manager and a second security parameter indicating the first manager; and the second authentication parameters stored on the terminal may correspond to a third security parameter provided by the first manager and a fourth security parameter indicating the second manager.
  • the security principal can manage a usage state that is updated:
  • a third aspect of the present invention provides a terminal adapted to implement a management method according to the first aspect of the present invention.
  • a fourth aspect of the present invention provides a security entity adapted to implement a management method according to the second aspect of the present invention.
  • a fifth aspect of the present invention provides a secure terminal utilization management system comprising a terminal according to the third aspect of the present invention and a security entity according to the fourth aspect of the present invention.
  • FIG. 1 illustrates the main steps of a management method according to an embodiment of the present invention
  • FIG. 2 illustrates an architecture of a terminal and a security entity according to an embodiment of the present invention
  • FIG. 3 illustrates an exchange of messages relating to secure identifier management within a terminal between different functionalities of this terminal, according to an embodiment of the present invention
  • FIG. 4 illustrates an exchange of messages relating to secure identifier management between different functionalities of this terminal, in the case where the terminal has already registered with a network on the basis of an own identifier
  • FIG. 5 illustrates an exchange of messages implemented for erasing security data stored on a terminal according to one embodiment of the present invention.
  • Figure 1 illustrates the main steps of a management method according to an embodiment of the present invention implemented at a terminal.
  • a terminal according to an embodiment of the present invention implements at least one feature that is initially blocked.
  • the term 'functionality blocked' means that the functionality can not be used in the terminal without being previously unlocked on the basis of security data.
  • the term 'security data' means a cryptographic key or access control parameters.
  • Such security data may advantageously be stored on any storage medium that is able both to store this security data and to communicate with the terminal in question. No limitation is attached to the present invention with regard to the security entity that stores the security data.
  • authentication step allows the terminal to authenticate the security entity from which it is likely to receive security data unlocking one of its features. Based on this step 21, the terminal is able to verify that the security principal is an entity from which it can safely receive data.
  • the use of the terminal, or more precisely the unlocking of the blocked functionality on this terminal is subject to a control which guarantees a level of security as to the identity of the user of the terminal.
  • This authentication step is based on information shared between the terminal and the security entity.
  • the terminal are stored authentication parameters that allow both to be authenticated to the entity and to authenticate the entity itself. It is the same on the side of the entity that stores authentication parameters that allow it to authenticate with the terminal and authenticate the terminal.
  • Such mutual authentication is implemented, advantageously, before restoration of the secure contactless link.
  • these authentication parameters correspond to different types of security settings relating to different organizations.
  • organizations are in charge of providing such security parameters on one side for terminals and on the other hand for users of these terminals, so as to secure the use of these terminals.
  • a first manager in charge of managing the security parameters of the terminals and a second manager in charge of managing the security parameters of the security entities, that is to say, user cards, allowing a user to be able to use one of the terminals.
  • the first manager is adapted to generate first security parameters for the terminals, all these first security parameters being associated with a single security parameter, denoted term_public_credential, which indicates the first manager.
  • the second manager is adapted to generate second security parameters for the terminal users, all these second security parameters being associated with a single security parameter, noted org_public_credential, which indicates the second manager.
  • the first and second security parameters may for example correspond to respective key pairs composed of a private key and a public key. They may also correspond to certificates falling under asymmetric cryptography.
  • the single security parameters, indicating a manager, may correspond to public keys on the basis of which the identity of the security parameter provider manager can be verified.
  • a security parameter indicating the second manager that is to say the one who is in charge of managing the security parameters relating to users, and therefore security principals, and on the other hand, at least one security parameter provided by the first manager.
  • provision may be made for storing, on the one hand, a security parameter indicating the first manager, and on the other hand, a security parameter provided by the second manager.
  • the terminal can verify that the corresponding security entity belongs to a user who is authorized to use it. Indeed, the terminal receives the security parameter provided by the second manager from the security entity and can thus determine if this security parameter was provided by the second manager indicated by the security parameter that it stores. The same operation can be performed at the security entity level as well.
  • the mutual authentication between the terminal and the security entity can be implemented on the basis of a protocol already known, for example on the occasion of a key agreement as defined in ISO / IEC 1770- 2 "Information technology - Security techniques - Key management - Part 3: Mechanisms using asymmetric techniques".
  • the authentication step fails and the process is then stopped.
  • the terminal After the terminal has authenticated the security entity and the latter has authenticated the terminal, it proceeds, in a step 22, to the continuation of restoration of a secure link between the terminal and the security entity.
  • This secure link can be established according to any type of key agreement protocol or key transport, for example as defined in ISO / IEC 1770-
  • the security entity transmits the security data to the terminal.
  • the latter stores it. It is then able to unlock the functionality whose implementation is initially blocked, thanks to this security data.
  • a user who has a security entity can have access to the corresponding function of the terminal, that is to say that which can be implemented through the unlocked feature of the terminal.
  • This terminal may for example have some services offered in a network through the unlocked feature.
  • the security data is stored on the terminal, it is not required that the link between the terminal and the corresponding security entity is maintained. Indeed, it is sufficient that this connection is established temporarily for the transmission of the security data.
  • FIG. 2 illustrates an architecture of a terminal and a security entity according to an embodiment of the present invention.
  • a terminal 21 according to an embodiment of the present invention comprises:
  • an authentication unit 61 adapted to perform authentication 21 of the security entity on the basis of the first and second authentication parameters; a link management entity 62 adapted to establish a secure link without contact with the security entity; and
  • the terminal may further comprise a storage management unit
  • a security entity adapted to store the received security data and to erase it on a specific action.
  • a security entity comprises:
  • an authentication unit 71 adapted to perform authentication of the terminal on the basis of the first and second authentication parameters
  • a link management entity 72 adapted to establish a secure link without contact with the terminal
  • a transmitter 73 adapted to transmit, during said secure connection without contact, the stored security data. It may further include a state management entity 74 adapted to update a state:
  • the terminal 21 further comprises a PWR function 201 for turning on or off the terminal. It further comprises an IF interface functionality 204 in charge of managing the reception at the terminal and the transmission of signals from the terminal to a security entity.
  • This IF interface functionality 204 may support the detection of the presence of a security entity according to an embodiment of the present invention. No limitation is attached to the implementation of such presence detection security entity. It is expected that the authentication units 61, link management
  • the receiver 63 are located within the IF 204 functionality.
  • the contactless link between the terminal and the security entity may be of the NFC (Near Field Communication) type, such as, for example, ISO / IEC 14443, ISO / IEC 18092 and ISO / IEC 21481 (for International Organization Standardization / International Electrotechnical Commission ').
  • NFC Near Field Communication
  • this connection can be established when the distance between the terminal and the identifier entity is between 4 cm and 10 cm. about. This distance being relatively small, the level of security of the connection is high and furthermore the power consumption is advantageously relatively low at the terminal.
  • the radio interface between the terminal and the security entity is of another type that supports greater distances between the terminal and the security entity, such as the ISO / IEC 15693 standard.
  • the terminal also has a feature BB 202 (for 'Base Band' in English) offering the main functions of the terminal when it is powered on by the PWR 201 feature. It also features a CRYPT feature
  • the secure functionality is the function CRYPT 203.
  • the latter is therefore initially blocked.
  • it is required to possess security data.
  • Part of the functionality CRYPT 203 can be used in the authentication step 21.
  • the security parameters stored at the terminal are more specifically at the level of the CRYPT functionality.
  • the BB 202 functionality may not start until the CRYPT 203 is unblocked, with a corresponding security data received by the implementation of the steps 21 to 23 described above. Then, once unlocked, the CRYPT 203 feature can provide a secure start (or 'secure bootstrap' in English) of the BB service.
  • the terminal may subsequently use security parameters derived from the security parameters provided by the second manager in subsequent transactions as part of its use within a communication network.
  • the IF function 204 is put on standby until the next transition from the state Of f to the on state of the PWR function 201 or until a manual action is performed. by the user at the terminal.
  • the IF feature 204 is woken during a 'off to on' transition of the terminal PWR functionality 201 and the CRYPT feature 203 immediately provides a secure start (or 'secure bootstrap' in English) of the BB functionality even if the security data has not yet been received.
  • the terminal 21 can offer services to the user before receiving the security data stored on the security entity it uses.
  • the terminal uses certain parameters that it has, such as in particular an identifier specific to the terminal, denoted terminal_id, and, if necessary, a set of parameters. also specific to the terminal and managed at the network level. Thanks to such a recording at the network level, the terminal can advantageously have some services offered in the network when it does not yet have the security data. In this case, in parallel or independent way, the IF functionality
  • the terminal can detect the presence of a security entity 12 nearby. Then, when the presence of such a security entity is detected, it is then possible to implement steps 21 to 23 of the method according to an embodiment of the present invention, in order to recover the security data that makes it possible to unlock the security.
  • functionality CRYPT 203
  • the terminal is then able to perform another registration at the network level on the basis of a secure identifier obtained from the security data retrieved since the security entity, this registration following the registration made on the basis of its own identifier, terminal_id.
  • the terminal can advantageously re-register with the network under its new identity, which is secure, and which is derived from the security data.
  • the user can access a greater variety of services offered in the network, once he has recovered the security data.
  • the function BB 202 informs a device of the network 22, such as for example a directory server of the network, of the association between the network. terminal_id identifier and the identity resulting from the security data.
  • the procedure for retrieving the security data can be implemented again, at a terminal that has already retrieved security data, or on a manual action of the user at the terminal such as for example a pressure of a key or a succession of several terminal keys, or on a new transition from the state 'off to the state On' in the PWR function 201, which implies that a transition of the 'state' on 'to the Off state has been done previously.
  • FIG. 3 represents, in one embodiment of the present invention, the exchanges of messages relating to the management of identifier between the functionalities BB 202, CRYPT 203 and IF 204 of a terminal, when the operational state of the functionality PWR goes from Off to On '.
  • An awakening command message 31 of the IF function 204 is issued by the BB function 202.
  • the reception of this message 31 at the IF function 204 triggers the implementation of a presence detection step 32 of a user card, or security entity 12.
  • a status change notification message 33 is sent from the IF function 204 to the CRYPT 203 facility.
  • a secure contactless link is then established, and the security entity 12 transmits the security data via the IF functionality 204 by an information message 35.
  • the CRYPT function 203 On receipt of this information message 35, the CRYPT function 203 stores the security data thus received, via the storage management unit 64.
  • an unblocking message exchange 36 is implemented between the CRYPT 203 and the BB 202 functionality to unblock the services offered to the user of the terminal via the BB 202 functionality.
  • FIG. 4 represents, in one embodiment of the present invention, the exchange of messages relating to the management of identifier inside a terminal between the functions BB 202, CRYPT 203 and IF 204, when the PWR functionality 201 is already in the 'On' operational state and the terminal has already registered with a network on the basis of its own identifier.
  • a change of registration message 41 is sent to the function BB 202.
  • the function BB 202 Upon reception of this message 41, the function BB 202 sends a wake up command message 31 to the functionality IF 204.
  • This wake up command message 31 can be sent by the function BB 202 in parallel with other tasks that it implements following the registration of the terminal already made in the network on the basis of its own identifier, terminal_id .
  • a presence detection step 32 of a security entity 12 is implemented.
  • the IF 204 function changes status and notifies it to the CRYPT 203 via a status change notification message 33.
  • a mutual authentication step 34 between the terminal 1 1 and the security entity 12 is then implemented. Then, the security entity transmits the security data to the terminal via a secure contactless link with an information message 35. The security data is then stored at the CRYPT 203 facility.
  • the latter initiates an exchange of messages 42 with the functionality BB 202 to interrupt the other tasks that are managed at the level of the functionality BB and which are related to services available following the registration already carried out with the specific identifier of the terminal.
  • the terminal 1 1 therefore has the security data, it is therefore able to deduce a secure identifier, on the basis of which it can register with the network 22. For this purpose, it can an exchange of messages 43 is provided between the functionality BB 202 and the network 22.
  • the security data can be erased at the terminal where it is stored during the implementation of a management method according to an embodiment of the present invention. present invention.
  • the terminal can be used by another user, it should be provided for erasure of the security data from the security entity, or user card.
  • No limitation is attached to the action that triggers such a deletion of secure data at the terminal.
  • Such an erase procedure may be triggered upon power off of the terminal, i.e., when the PWR functionality 201 changes from operational state 'On' to operational state 'Off. It can also be envisaged that the pressing of a key or a succession of terminal keys by the user triggers the deletion of this security data.
  • Figure 5 illustrates an exchange of messages implemented to erase the security data stored on the terminal according to an embodiment of the present invention.
  • the BB 202 function sends to the function CRYPT 203 an erasure message 51 requesting CRYPT functionality to erase the security data it has stored.
  • This functionality CRYPT 203 erases, in a step 52, the stored security data. Once this step 52 has been performed, an erase notification message 53 is then sent to the security entity 12 via the IF function 204. It should be noted that the transmission of this erasure notification message 53 requires that the IF 204 functionality is not in sleep mode but in active mode. Therefore, if this IF 204 is in standby mode, it is here planned to previously order its mode change by remission, since the BB 202 function to the IF 204 function, an awakening command message 31 .
  • the security entity 12 is able to know if the security data that is stored at its level, is also on a terminal or not. Such a security entity can therefore manage a usage state that indicates whether the security data is stored on a terminal or not.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un terminal présente au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité. Une entité de sécurité stocke ladite donnée de sécurité ainsi que des premiers paramètres d'authentification. Le terminal stocke des seconds paramètres d'authentification. Au niveau du terminal, on effectue (1 1 ) une authentification de l'entité de sécurité sur la base des premiers et seconds paramètres d'authentification. Puis, on établit (12) une liaison sécurisée sans contact avec l'entité de sécurité. Enfin, on reçoit (23), au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée sur ladite entité de sécurité.

Description

GESTION D'UTILISATION SECURISEE DE TERMINAL
La présente invention se rapporte au niveau de sécurité relatif à l'utilisation d'un terminal et plus particulièrement dans un contexte d'utilisation banalisée de terminal, c'est-à-dire lorsque le terminal considéré est susceptible d'être utilisé par plusieurs utilisateurs successivement. En particulier elle trouve des applications notamment dans le domaine des communications sécurisées lorsqu'un équipement terminal de communications banalisé est susceptible d'être utilisé successivement par plusieurs utilisateurs, y compris des utilisateurs appartenant à des organisations différentes.
Afin de garantir un certain niveau de sécurité d'utilisation d'un terminal, c'est-à-dire afin d'éviter toute usurpation d'identité visant à une utilisation frauduleuse de terminal, il peut être prévu qu'un bloc fonctionnel du terminal ne soit pas opérationnel initialement, et qu'il le devienne uniquement sur réception de certaines données. Il en est ainsi selon un scénario tel que défini dans la norme TETRA (pour Trans European Trunked Radio' en anglais), et plus précisément dans le document TETRA security' de l'ETIS EN 300 392-7 (pour Εuropean télécommunications Standards Institute' en anglais).
Selon un tel scénario, certaines fonctionnalités d'un terminal ne peuvent être utilisées qu'à l'aide de paramètres d'identité qui sont stockés sur une carte spécifique. Ces paramètres d'identité peuvent correspondre à l'ITSI (pour 'Individual TETRA Subscriber Identity' en anglais) et à une clé K, ou encore à l'ITSI, ainsi qu'à une clé KS (pour 'Session Key') et une clé RS (pour 'Random Seed'). L'utilisation prévue de ces paramètres d'identité permet de cloisonner la sécurité d'utilisation de différents services de communications offerts à l'utilisateur. L'ITSI est une carte insérée à l'intérieur du terminal. Elle permet de sécuriser l'utilisation d'un terminal mais ne permet pas un changement aisé d'utilisateur de ce terminal.
La présente invention apporte une solution au besoin exprimé. Un premier aspect de la présente invention propose un procédé de gestion d'utilisation sécurisée d'un terminal présentant au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité ; une entité de sécurité stockant ladite donnée de sécurité et des premiers paramètres d'authentification ; et le terminal stockant des seconds paramètres d'authentification ; ledit procédé comprenant les étapes suivantes, au niveau du terminal :
IM effectuer une authentification de l'entité de sécurité sur la base des premiers et seconds paramètres d'authentification ;
121 établir une liaison sécurisée sans contact avec l'entité de sécurité ; et
/3/ recevoir, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée sur ladite entité de sécurité.
Selon une telle réalisation, un terminal requiert une donnée de sécurité pour permettre l'utilisation d'au moins une fonctionnalité de ce terminal. Cette donnée de sécurité est initialement stockée sur une entité de sécurité, qui peut être également référencée en tant que carte d'utilisateur, et le terminal est en charge de la récupérer depuis cette entité de sécurité. Il est avantageusement prévu ici d'effectuer cette récupération de donnée de sécurité via une liaison sans contact sécurisée qui n'a été établie qu'une fois que le terminal a été en mesure d'authentifier cette entité de sécurité. Cette étape préalable d'authentification, fondée sur des informations stockées à la fois sur le terminal et sur l'entité de sécurité, garantit un niveau de sécurité au niveau de l'utilisation de ce terminal.
Grâce à de telles dispositions, il est possible de recevoir la donnée de sécurité au niveau du terminal de manière sécurisée puisque l'entité de sécurité et le terminal ont chacun des informations qui leur permettent de mettre en œuvre une authentification réciproque, ou encore authentification mutuelle, entre eux.
En mettant en place une telle authentification préalablement à l'établissement de cette liaison sécurisée pour la transmission de la donnée de sécurité depuis l'entité de sécurité vers le terminal, on peut garantir un niveau de sécurité d'utilisation du terminal élevé.
Avantageusement, une fois la donnée de sécurité transmise selon le procédé de gestion d'un mode de réalisation de la présente invention, le terminal peut alors débloquer la fonctionnalité correspondante. Ainsi, le terminal peut être utilisé par l'utilisateur correspondant, même si la liaison entre l'entité de sécurité et le terminal est interrompue par la suite.
Il convient de noter que dans l'art antérieur, le niveau de sécurité associé à l'utilisation du terminal est notamment garanti par le fait que l'entité de sécurité, ou carte d'utilisateur, est mécaniquement maintenue au contact du terminal, et plus précisément positionnée en son sein. Ainsi, l'utilisation du terminal est possible uniquement en présence de l'entité de sécurité.
Dans un mode de réalisation de la présente invention, le niveau de sécurité d'utilisation du terminal repose sur l'authentification préalable de l'entité et du terminal, ainsi que sur la transmission sécurisée de la donnée de sécurité depuis l'entité de sécurité jusqu'au terminal. Ainsi, puisque le niveau de sécurité d'utilisation du terminal ne repose pas sur la présence de l'entité de sécurité, il n'est pas requis qu'une liaison entre le terminal et l'entité de sécurité soit maintenue pendant l'utilisation du terminal. Une fois que la donnée de sécurité lui a été transmise, le terminal peut être utilisé sans liaison entre l'entité de sécurité et lui-même.
En outre, grâce à un tel procédé de gestion, il est possible de changer l'utilisateur du terminal de manière aisée, sans avoir à procéder à une manipulation mécanique, suivie d'une initialisation électrique, comme dans le cas où l'entité de sécurité est placée dans le terminal et maintenue mécaniquement en son sein.
En effet, dans ce cas, le niveau de sécurité de l'utilisation d'un terminal repose notamment sur l'authentification mutuelle entre terminal et entité de sécurité. On peut de ce fait prévoir que la liaison sécurisée établie entre l'entité de sécurité et le terminal est sans contact et est établie de manière temporaire, simplement pour permettre la transmission de la donnée de sécurité. Dans de telles conditions, il est alors facile de mettre en œuvre un changement d'utilisateur du terminal.
Un tel procédé de gestion peut donc être avantageusement mis en œuvre pour l'utilisation banalisée de terminaux.
Dans un mode de réalisation de la présente invention, au moins un premier gestionnaire est en charge de gérer des paramètres de sécurité relatifs à des terminaux et au moins un second gestionnaire est en charge de gérer des paramètres de sécurité relatifs à des utilisateurs des terminaux. Dans ce contexte, les premiers paramètres d'authentification qui stockés sur l'entité de sécurité peuvent correspondre à un premier paramètre de sécurité fourni par le second gestionnaire et un deuxième paramètre de sécurité indiquant le premier gestionnaire ; et les seconds paramètres d'authentification qui sont stockés sur le terminal peuvent correspondre à un troisième paramètre de sécurité fourni par le premier gestionnaire et un quatrième paramètre de sécurité indiquant le deuxième gestionnaire.
Dans un mode de réalisation de la présente invention, on prévoit de mettre en œuvre un effacement de la donnée de sécurité au niveau du terminal sur une action effectuée au niveau du terminal et, dans ce cas là, le terminal notifie l'entité de sécurité de cet effacement.
En procédant ainsi, l'entité de sécurité peut être informée à la fois de la transmission de la donnée de sécurité à un terminal, et de l'effacement de cette donnée de sécurité au niveau de ce terminal. Elle peut donc gérer un état d'utilisation de la donnée de sécurité qu'elle stocke par un ou plusieurs terminaux selon un mode de réalisation de la présente invention.
Dans un mode de réalisation, avant l'étape 12,1, le terminal s'enregistre auprès d'un réseau sur la base d'un identifiant préalablement stocké au niveau du terminal. Ainsi, avant même que le terminal n'ait récupéré une donnée de sécurité depuis une entité de sécurité, il est en mesure de s'enregistrer auprès du réseau. Il peut ainsi disposer d'au moins certains services offerts par ce réseau sur la base d'un identifiant qui lui est propre, c'est-à-dire qui peut ne pas être lié à l'utilisateur du terminal.
Après l'étape 12,1, le terminal peut s'enregistrer auprès d'un réseau sur la base d'un identifiant sécurisé obtenu à partir de la donnée de sécurité. Dans ce cas, l'enregistrement du terminal est effectué sur la base d'un identifiant relatif à l'utilisateur. On peut donc prévoir que les services auxquels peut accéder le terminal suite à un enregistrement ainsi basé sur un identifiant d'utilisateur soient plus nombreux que ceux auxquels le terminal peut accéder sur un simple enregistrement basé sur un identifiant préalablement stocké sur le terminal, qui peut être un identifiant propre au terminal.
Un deuxième aspect de la présente invention propose un procédé de gestion d'utilisation sécurisée d'un terminal présentant au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité ; une entité de sécurité stockant ladite donnée de sécurité et des premiers paramètres d'authentification ; et le terminal stockant des seconds paramètres d'authentification ; ledit procédé comprenant les étapes suivantes, au niveau de l'entité de sécurité:
IM effectuer une authentification du terminal sur la base des premiers et seconds paramètres d'authentification ;
121 établir une liaison sécurisée sans contact avec le terminal ; et /3/ transmettre au terminal, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée.
Lorsqu'au moins un premier gestionnaire est en charge de gérer des paramètres de sécurité relatifs à des terminaux et au moins un second gestionnaire est en charge de gérer des paramètres de sécurité relatifs à des utilisateurs desdits terminaux, les premiers paramètres d'authentification stockés sur l'entité de sécurité peuvent correspondre à un premier paramètre de sécurité fourni par le second gestionnaire et un deuxième paramètre de sécurité indiquant le premier gestionnaire ; et les seconds paramètres d'authentification stockés sur le terminal peuvent correspondre à un troisième paramètre de sécurité fourni par le premier gestionnaire et un quatrième paramètre de sécurité indiquant le deuxième gestionnaire.
L'entité de sécurité peut gérer un état d'utilisation qui est mis à jour :
- sur transmission de la donnée de sécurité à un terminal ; et - sur réception d'une notification d'effacement de la donnée de sécurité depuis le terminal.
Un troisième aspect de la présente invention propose un terminal adapté pour mettre en œuvre un procédé de gestion selon le premier aspect de la présente invention. Un quatrième aspect de la présente invention propose une entité de sécurité adaptée pour mettre en œuvre un procédé de gestion selon le deuxième aspect de la présente invention.
Un cinquième aspect de la présente invention propose un système de gestion d'utilisation sécurisée de terminal comprenant un terminal selon le troisième aspect de la présente invention et une entité de sécurité selon le quatrième aspect de la présente invention.
D'autres aspects, buts et avantages de l'invention apparaîtront à la lecture de la description d'un de ses modes de réalisation.
L'invention sera également mieux comprise à l'aide des dessins, sur lesquels : la figure 1 illustre les principales étapes d'un procédé de gestion selon un mode de réalisation de la présente invention ; la figure 2 illustre une architecture d'un terminal et d'une entité de sécurité selon un mode de réalisation de la présente invention ; - la figure 3 illustre un échange de messages relatifs à la gestion d'identifiant sécurisé à l'intérieur d'un terminal entre différentes fonctionnalités de ce terminal, selon un mode de réalisation de la présente invention ; la figure 4 illustre un échange de messages relatifs à la gestion d'identifiant sécurisé entre différentes fonctionnalités de ce terminal, dans le cas où que le terminal s'est déjà enregistré auprès d'un réseau sur la base d'un identifiant propre ; et la figure 5 illustre un échange de messages mis en œuvre pour effacer une donnée de sécurité stockée sur un terminal selon un mode de réalisation de la présente invention.
La figure 1 illustre les principales étapes d'un procédé de gestion selon un mode de réalisation de la présente invention mises en œuvre au niveau d'un terminal.
Un terminal selon un mode de réalisation de la présente invention met en œuvre au moins une fonctionnalité qui est initialement bloquée. On entend par les termes 'fonctionnalité bloquée' le fait que la fonctionnalité ne peut pas être utilisée dans le terminal sans être préalablement débloquée sur la base d'une donnée de sécurité.
On entend par les termes 'donnée de sécurité', une clé cryptographique ou bien des paramètres de contrôle d'accès.
Ainsi, pour utiliser au moins une certaine fonction du terminal selon un mode de réalisation de la présente invention, il convient de récupérer une donnée de sécurité qui débloque la fonctionnalité bloquée du terminal.
Une telle donnée de sécurité peut avantageusement être stockée sur n'importe quel support de stockage qui est en mesure à la fois de stocker cette donnée de sécurité et de communiquer avec le terminal considéré. Aucune limitation n'est attachée à la présente invention au regard de l'entité de sécurité qui stocke la donnée de sécurité.
Afin de garantir un certain niveau de sécurité d'utilisation du terminal selon un mode de réalisation de la présente invention, il est prévu de ne transférer la donnée de sécurité stockée sur une entité de sécurité qu'après une étape d'authentification 21. Cette étape d'authentification permet au terminal d'authentifier l'entité de sécurité depuis laquelle il est susceptible de recevoir une donnée de sécurité débloquant une de ses fonctionnalités. Sur la base de cette étape 21 , le terminal est en mesure de vérifier que l'entité de sécurité est une entité depuis laquelle il peut recevoir des données en toute sécurité. Ainsi, l'utilisation du terminal, ou plus précisément le déblocage de la fonctionnalité bloquée sur ce terminal, est soumise à un contrôle qui garantit un niveau de sécurité quant à l'identité de l'utilisateur du terminal. Cette étape d'authentification est basée sur des informations partagées entre le terminal et l'entité de sécurité. Ainsi, au niveau du terminal sont stockés des paramètres d'authentification qui permettent à la fois de se faire authentifier auprès de l'entité et d'authentifier l'entité elle-même. Il en est de même du côté de l'entité qui stocke des paramètres d'authentification qui lui permettent de s'authentifier auprès du terminal et d'authentifier le terminal. Une telle authentification mutuelle est mise en œuvre, avantageusement, avant rétablissement de la liaison sans contact sécurisée.
Dans un mode de réalisation de la présente invention, ces paramètres d'authentification correspondent à différents types de paramètres de sécurité relatifs à différentes organisations. Ainsi, des organisations sont en charge de fournir de tels paramètres de sécurité d'un côté pour des terminaux et d'un autre côté pour des utilisateurs de ces terminaux, de façon à sécuriser l'utilisation de ces terminaux. Ainsi, il est prévu un premier gestionnaire en charge de gérer les paramètres de sécurité des terminaux et un second gestionnaire en charge de gérer les paramètres de sécurité des entités de sécurité, c'est-à-dire de cartes d'utilisateur, permettant à un utilisateur de pouvoir utiliser un des terminaux.
Le premier gestionnaire est adapté pour générer des premiers paramètres de sécurité pour les terminaux, tous ces premiers paramètres de sécurité étant associés à un unique paramètre de sécurité, noté term_public_credential, qui indique le premier gestionnaire.
Le second gestionnaire est adapté pour générer des seconds paramètres de sécurité pour les utilisateurs de terminaux, tous ces seconds paramètres de sécurité étant associés à un unique paramètre de sécurité, noté org_public_credential, qui indique le second gestionnaire.
Les premiers et seconds paramètres de sécurité peuvent par exemple correspondre à des couples de clés respectifs composés d'une clé privée et d'une clé publique. Ils peuvent également correspondre à des certificats relevant de la cryptographie asymétrique. Les paramètres de sécurité unique, indiquant un gestionnaire, peuvent correspondre à des clés publiques sur la base desquelles on peut vérifier l'identité du gestionnaire fournisseur de paramètres de sécurité.
On peut prévoir qu'au niveau du terminal soient stockés, d'une part, un paramètre de sécurité indiquant le second gestionnaire, c'est-à-dire celui qui est en charge de gérer les paramètres de sécurité relatifs aux utilisateurs, et donc aux entités de sécurité, et, d'autre part, au moins un paramètre de sécurité fourni par le premier gestionnaire.
Inversement, au niveau d'une entité de sécurité, il peut être prévu de stocker, d'une part, un paramètre de sécurité indiquant le premier gestionnaire, et d'autre part, un paramètre de sécurité fourni par le second gestionnaire.
Ainsi, sur la base de ces paramètres de sécurité, le terminal peut vérifier que l'entité de sécurité correspondante appartient à un utilisateur qui est autorisé à l'utiliser. En effet, le terminal reçoit le paramètre de sécurité fourni par le second gestionnaire depuis l'entité de sécurité et peut ainsi déterminer si ce paramètre de sécurité a été fourni par le second gestionnaire indiqué par le paramètre de sécurité qu'il stocke. La même opération peut être réalisée au niveau de l'entité de sécurité également.
L'authentification mutuelle entre le terminal et l'entité de sécurité peut être mise en œuvre sur la base d'un protocole déjà connu, par exemple à l'occasion d'un accord de clé tel que défini dans ISO/IEC 1 1770-2 « Technologies de l'information — Techniques de sécurité — Gestion de clés — Partie 3: Mécanismes utilisant des techniques asymétriques ».
On peut prévoir que, dans le cas où les paramètres de sécurité stockés sur le terminal et sur l'entité de sécurité ne sont pas cohérents entre eux, comme par exemple lorsque le terminal et l'entité de sécurité ne sont pas autorisés par leurs gestionnaires respectifs à coopérer, l'étape d'authentification échoue et le procédé est alors stoppé.
Une fois que le terminal a authentifié l'entité de sécurité et que cette dernière a authentifié le terminal, on procède, à une étape 22, à la poursuite de rétablissement d'une liaison sécurisée entre le terminal et l'entité de sécurité.
Cette liaison sécurisée peut être établie selon tout type de protocole d'accord de clé ou de transport de clé, par exemple tels que défini dans ISO/IEC 1 1770-
2. Ensuite, à une étape 23, l'entité de sécurité transmet la donnée de sécurité au terminal. Ce dernier la stocke. Il est alors en mesure de débloquer la fonctionnalité dont la mise en œuvre est initialement bloquée, grâce à cette donnée de sécurité.
Ainsi, un utilisateur qui détient une entité de sécurité peut avoir accès à la fonction correspondante du terminal, c'est-à-dire celle qui peut être mise en œuvre grâce à la fonctionnalité débloquée du terminal. Ce terminal peut par exemple disposer de certains services offerts dans un réseau grâce à la fonctionnalité débloquée.
Une fois que la donnée de sécurité est stockée sur le terminal, il n'est pas requis que la liaison entre le terminal et l'entité de sécurité correspondante soit maintenue. En effet, il suffit que cette liaison soit établie temporairement pour la transmission de la donnée de sécurité.
La figure 2 illustre une architecture d'un terminal et d'une entité de sécurité selon un mode de réalisation de la présente invention. Un terminal 21 selon un mode de réalisation de la présente invention comprend :
- une unité d'authentification 61 adaptée pour effectuer une authentification 21 de l'entité de sécurité sur la base des premiers et seconds paramètres d'authentification ; - une entité de gestion de liaison 62 adaptée pour établir 22 une liaison sécurisée sans contact avec l'entité de sécurité ; et
- un récepteur 63 adapté pour recevoir 23, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée sur ladite entité de sécurité. Le terminal peut comprendre en outre une unité de gestion de stockage
64 adaptée pour stocker la donnée de sécurité reçue et pour l'effacer sur une action spécifique. Une entité de sécurité, selon un mode de réalisation de la présente invention, comprend :
- une unité d'authentification 71 adaptée pour effectuer une authentification du terminal sur la base des premiers et seconds paramètres d'authentification ;
- une entité de gestion de liaison 72 adaptée pour établir 22 une liaison sécurisée sans contact avec le terminal ; et
- un émetteur 73 adapté pour émettre, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée. Elle peut en outre comprendre une entité de gestion d'état 74 adaptée pour mettre à jour un état :
- sur transmission de la donnée de sécurité à un terminal ; et
- sur réception d'une notification d'effacement de la donnée de sécurité depuis un terminal. Elle peut ainsi connaître l'utilisation de cette donnée de sécurité au niveau terminal.
Le terminal 21 comprend en outre une fonctionnalité PWR 201 de mise sous tension ou de mise hors tension du terminal. Il comprend en outre une fonctionnalité d'interface IF 204 en charge de gérer la réception au niveau du terminal et la transmission de signaux depuis le terminal vers une entité de sécurité. Cette fonctionnalité d'interface IF 204 peut avoir en charge la détection de la présence d'une entité de sécurité selon un mode de réalisation de la présente invention. Aucune limitation n'est attachée à la mise en œuvre d'une telle détection de présence d'entité de sécurité. On peut prévoir que les unités d'authentification 61 , de gestion de liaison
62 et le récepteur 63 soient localisés au sein de la fonctionnalité IF 204.
La liaison sans contact entre le terminal et l'entité de sécurité peut être de type NFC (pour 'Near Field Communication' en anglais), comme par exemple les normes ISO/IEC 14443, ISO/IEC 18092 et ISO/IEC 21481 (pour International Organization Standardization/ International Electrotechnical Commission'). Dans ce cas, cette liaison peut être établie lorsque la distance entre le terminal et l'entité d'identifiant est comprise entre 4 cm et 10 cm environ. Cette distance étant relativement faible, le niveau de sécurité de la liaison est élevé et en outre la consommation d'énergie est avantageusement relativement faible au niveau du terminal.
On peut également envisager que l'interface radio entre le terminal et l'entité de sécurité soit d'un autre type qui supporte de plus grandes distances entre le terminal et l'entité de sécurité, comme par exemple la norme ISO/IEC 15693.
Le terminal a également une fonctionnalité BB 202 (pour 'Base Band' en anglais) offrant les fonctions principales du terminal lorsqu'il est sous tension via la fonctionnalité PWR 201. Il présente également une fonctionnalité CRYPT
203 offrant à la fonctionnalité BB une pluralité de fonctions de sécurité.
Ainsi, dans le mode de réalisation décrit ici, la fonctionnalité sécurisée est la fonction CRYPT 203. Cette dernière est donc initialement bloquée. Pour que certaines fonctions reposant sur la fonctionnalité CRYPT puissent être mises en œuvre, il est requis de posséder une donnée de sécurité.
Une partie de la fonctionnalité CRYPT 203 peut être utilisée à l'étape d'authentification 21. A cet effet, on peut prévoir que les paramètres de sécurité stockés au niveau du terminal, le sont plus précisément au niveau de la fonctionnalité CRYPT. Dans un mode de réalisation de la présente invention, la fonctionnalité IF
204 du terminal 21 est mise en éveil lors d'une transition de l'état Of f vers l'état 'on' de la fonctionnalité PWR. La fonctionnalité BB 202 peut ne pas démarrer tant que la fonctionnalité CRYPT 203 n'est pas débloquée, avec une donnée de sécurité correspondante reçue par la mise en œuvre des étapes 21 à 23 décrites précédemment. Puis, une fois débloquée, la fonctionnalité CRYPT 203 peut assurer un démarrage sécurisé (ou 'secure bootstrap' en anglais) du service BB.
Le terminal peut, par la suite, utiliser des paramètres de sécurité dérivés à partir des paramètres de sécurité fournis par le second gestionnaire dans des transactions ultérieures dans le cadre de son utilisation au sein d'un réseau de communication. De manière optionnelle, la fonctionnalité IF 204 est mise en veille jusqu'à la prochaine transition de l'état Of f à l'état 'on' de la fonctionnalité PWR 201 ou encore, jusqu'à ce qu'une action manuelle soit effectuée par l'utilisateur au niveau du terminal. Dans un autre mode de réalisation de la présente invention, la fonctionnalité IF 204 est mise en éveil lors d'une transition de 'off vers 'on' de la fonctionnalité PWR 201 du terminal et la fonctionnalité CRYPT 203 assure immédiatement un démarrage sécurisé (ou 'secure bootstrap' en anglais) de la fonctionnalité BB même si la donnée de sécurité n'a pas encore été reçue. Dans ce cas, le terminal 21 peut offrir des services à l'utilisateur avant de recevoir la donnée de sécurité stockée sur l'entité de sécurité qu'il utilise.
On peut ainsi prévoir que, pour effectuer les premiers échanges de la fonctionnalité de BB avec le réseau, le terminal utilise certains paramètres dont il dispose, comme notamment un identifiant propre au terminal, noté terminal_id, et, le cas échéant, un jeu de paramètres de sécurité qui sont également propres au terminal et gérés au niveau du réseau considéré. Grâce à un tel enregistrement au niveau du réseau, le terminal peut avantageusement disposer de certains services offerts dans le réseau alors qu'il ne dispose pas encore de la donnée de sécurité. Dans ce cas, de manière parallèle, ou indépendante, la fonctionnalité IF
204 du terminal peut détecter la présence d'une entité de sécurité 12 à proximité. Puis, lorsque la présence d'une telle entité de sécurité est détectée, on peut alors mettre en œuvre les étapes 21 à 23 du procédé selon un mode de réalisation de la présente invention, afin de récupérer la donnée de sécurité qui permet de débloquer la fonctionnalité CRYPT 203.
Une fois que la donnée de sécurité est récupérée au niveau du terminal, ce dernier est alors en mesure de procéder à un autre enregistrement au niveau du réseau sur la base d'un identifiant sécurisé obtenu à partir de la donnée de sécurité récupérée depuis l'entité de sécurité, cet enregistrement faisant suite à l'enregistrement effectué sur la base de son identifiant propre, terminal_id. Ainsi, le terminal peut avantageusement se réinscrire auprès du réseau sous sa nouvelle identité, qui est sécurisée, et qui est issue de la donnée de sécurité.
On peut ici notamment envisager que l'utilisateur peut accéder à une plus grande variété de services offerts dans le réseau, une fois qu'il a récupéré la donnée de sécurité.
On peut en outre prévoir que, une fois la donnée de sécurité récupérée et stockée au niveau du terminal, la fonctionnalité BB 202 informe un équipement du réseau 22, comme par exemple un serveur d'annuaire du réseau, de l'association entre l'identifiant terminal_id et l'identité issue de la donnée de sécurité.
La procédure de récupération de la donnée de sécurité peut être mise en œuvre à nouveau, au niveau d'un terminal qui a déjà récupéré une donnée de sécurité, soit sur une action manuelle de l'utilisateur au niveau du terminal comme par exemple une pression d'une touche ou d'une succession de plusieurs touches de terminal, soit sur une nouvelle transition de l'état 'off vers l'état On' au niveau de la fonctionnalité PWR 201 , ce qui sous entend qu'une transition de l'état 'on' vers l'état Off ait été effectuée préalablement.
La figure 3 représente, dans un mode de réalisation de la présente invention, les échanges de messages relatifs à la gestion d'identifiant entre les fonctionnalités BB 202, CRYPT 203 et IF 204 d'un terminal, lorsque l'état opérationnel de la fonctionnalité PWR passe de Off à On'.
Un message de commande d'éveil 31 de la fonctionnalité IF 204 est émis par la fonctionnalité BB 202. La réception de ce message 31 au niveau de la fonctionnalité IF 204 déclenche la mise en œuvre d'une étape de détection de présence 32 d'une carte d'utilisateur, ou entité de sécurité 12.
Lorsqu'une entité de sécurité 12 est détectée dans le voisinage du terminal 1 1 , un message 33 de notification de changement d'état est émis depuis la fonctionnalité IF 204 à destination de la fonctionnalité CRYPT 203.
Puis, une authentification mutuelle 34 est alors mise en œuvre entre la fonctionnalité CRYPT 203 et l'entité de sécurité 12 via la fonctionnalité IF 204.
Suite à cette étape d'authentification, une liaison sans contact sécurisée est alors établie, et l'entité de sécurité 12 transmet la donnée de sécurité via la fonctionnalité IF 204 par un message d'information 35.
Sur réception de ce message d'information 35, la fonctionnalité CRYPT 203 stocke la donnée de sécurité ainsi reçue, via l'unité de gestion de stockage 64.
Puis, un échange de messages 36 de déblocage est mis en œuvre entre la fonctionnalité CRYPT 203 et la fonctionnalité BB 202 visant à débloquer les services offerts à l'utilisateur du terminal via la fonctionnalité BB 202.
On peut en outre prévoir un message de commande de mise en veille 27 émis par la fonctionnalité BB 202 vers la fonctionnalité IF 204. Ce message de commande de mise en veille peut être avantageusement émis après que l'échange de messages de déblocage 36 ait été effectué. Ainsi, il est possible de mettre en veille la fonctionnalité IF 204 du terminal, une fois que ce dernier a récupéré la donnée de sécurité selon un mode de réalisation de la présente invention.
La figure 4 représente, dans un mode de réalisation de la présente invention, les échanges de messages relatifs à la gestion d'identifiant à l'intérieur d'un terminal entre les fonctionnalités BB 202, CRYPT 203 et IF 204, lorsque la fonctionnalité PWR 201 est déjà dans l'état opérationnel 'On' et que le terminal s'est déjà enregistré auprès d'un réseau sur la base d'un identifiant propre.
On peut ici prévoir que, par une action manuelle de l'utilisateur sur le terminal, il soit possible de demander un changement d'enregistrement auprès de la fonctionnalité BB 202. Ainsi, par exemple sur l'action d'une touche de terminal ou d'une succession de touches, un message de changement d'enregistrement 41 est émis à destination de la fonctionnalité BB 202. Sur réception de ce message 41 , la fonctionnalité BB 202 émet un message de commande d'éveil 31 à destination de la fonctionnalité IF 204.
Ce message de commande d'éveil 31 peut être émis par la fonctionnalité BB 202 en parallèle à d'autres tâches qu'elle met en œuvre suite à l'enregistrement du terminal déjà effectué dans le réseau sur la base de son identifiant propre, terminal_id. Une fois la fonctionnalité IF 204 activée, une étape de détection de présence 32 d'une entité de sécurité 12 est mise en œuvre.
Puis, lorsque la présence d'une entité de sécurité est détectée, la fonctionnalité IF 204 change d'état et le notifie à la fonctionnalité CRYPT 203 via un message 33 de notification de changement d'état.
Une étape d'authentification mutuelle 34 entre le terminal 1 1 et l'entité de sécurité 12 est alors mise en œuvre. Ensuite, l'entité de sécurité transmet la donnée de sécurité au terminal via une liaison sans contact sécurisée par un message d'information 35. La donnée de sécurité est ensuite stockée au niveau de la fonctionnalité CRYPT 203.
Une fois que la donnée de sécurité est stockée au niveau de la fonctionnalité CRYPT 203, cette dernière initie un échange de messages 42 avec la fonctionnalité BB 202 visant à interrompre les autres taches qui sont gérées au niveau de la fonctionnalité BB et qui sont relatives aux services disponibles suite à l'enregistrement déjà effectué avec l'identifiant propre du terminal.
A ce stade, le terminal 1 1 dispose donc de la donnée de sécurité, il est donc en mesure d'en déduire un identifiant sécurisé, sur la base duquel il peut s'enregistrer auprès du réseau 22. A cet effet, il peut donc être prévu un échange de messages 43 entre la fonctionnalité BB 202 et le réseau 22.
Dans ce mode de réalisation également, on peut ensuite prévoir de mettre en veille la fonctionnalité IF 204 comme en référence à la figure 3, en émettant au niveau de la fonctionnalité BB 202 un message de mise en veille 37 à destination de la fonctionnalité IF 204. Dans un mode de réalisation de la présente invention, il est prévu que la donnée de sécurité puisse être effacée au niveau du terminal où elle est stockée au cours de la mise en œuvre d'un procédé de gestion selon un mode de réalisation de la présente invention.
En effet, afin que le terminal puisse être utilisé par un autre utilisateur, il convient de prévoir un effacement de la donnée de sécurité provenant de l'entité de sécurité, ou carte d'utilisateur. Aucune limitation n'est attachée à l'action qui déclenche un tel effacement de donnée sécurisée au niveau du terminal. Une telle procédure d'effacement peut être déclenchée sur mise hors tension du terminal, c'est-à- dire lorsque la fonctionnalité PWR 201 passe de l'état opérationnel 'On' à l'état opérationnel 'Off. On peut également envisager que l'appui d'une touche ou d'une succession de touches de terminal par l'utilisateur déclenche l'effacement de cette donnée de sécurité.
La figure 5 illustre un échange de messages mis en œuvre pour effacer la donnée de sécurité stockée sur le terminal selon un mode de réalisation de la présente invention.
Quelque soit l'action qui déclenche la procédure d'effacement de la donnée de sécurité au niveau du terminal selon un mode de réalisation de la présente invention, la fonctionnalité BB 202 émet à destination de la fonctionnalité CRYPT 203 un message d'effacement 51 requérant à la fonctionnalité CRYPT d'effacer la donnée de sécurité qu'elle a stockée.
Cette fonctionnalité CRYPT 203 efface, à une étape 52, la donnée de sécurité stockée. Une fois cette étape 52 réalisée, un message 53 de notification d'effacement est alors émis à destination de l'entité de sécurité 12 via la fonctionnalité IF 204. II convient de noter que la transmission de ce message de notification d'effacement 53 requiert que la fonctionnalité IF 204 ne soit pas en mode veille mais en mode actif. Par conséquent, si cette fonctionnalité IF 204 est en mode veille, il est ici prévu de commander préalablement son changement de mode par rémission, depuis la fonctionnalité BB 202 à destination de la fonctionnalité IF 204, d'un message de commande d'éveil 31.
On peut prévoir, alternativement, de notifier l'entité de sécurité d'un effacement de la donnée de sécurité, avant l'effacement effectif de la donnée de sécurité par la fonctionnalité CRYPT 203.
En procédant ainsi, l'entité de sécurité 12 est en mesure de savoir si la donnée de sécurité qui est stockée à son niveau, l'est également sur un terminal ou non. Une telle entité de sécurité peut donc gérer un état d'utilisation qui indique si la donnée de sécurité est stockée sur un terminal ou non.

Claims

REVENDICATIONS
1. Procédé de gestion d'utilisation sécurisée d'un terminal (1 1 ) présentant au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité ; une entité de sécurité (12) stockant ladite donnée de sécurité et des premiers paramètres d'authentification ; et le terminal stockant des seconds paramètres d'authentification ; ledit procédé comprenant les étapes suivantes, au niveau du terminal :
IM effectuer (21 ) une authentification de l'entité de sécurité sur la base des premiers et seconds paramètres d'authentification ;
121 établir (22) une liaison sécurisée sans contact avec l'entité de sécurité ;
/3/ recevoir (23), au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée sur ladite entité de sécurité ; et
IAI débloquer la fonctionnalité sécurisée.
2. Procédé de gestion selon la revendication 1 , dans lequel, au moins un premier gestionnaire étant en charge de gérer des paramètres de sécurité relatifs à des terminaux et au moins un second gestionnaire étant en charge de gérer des paramètres de sécurité relatifs à des utilisateurs desdits terminaux ; les premiers paramètres d'authentification stockés sur l'entité de sécurité correspondent à un premier paramètre de sécurité fourni par le second gestionnaire et un deuxième paramètre de sécurité indiquant le premier gestionnaire ; et les seconds paramètres d'authentification stockés sur le terminal correspondent à un troisième paramètre de sécurité fourni par le premier gestionnaire et un quatrième paramètre de sécurité indiquant le deuxième gestionnaire.
3. Procédé de gestion selon la revendication 1 ou 2, dans lequel un effacement de la donnée de sécurité est mis en œuvre sur une action au niveau du terminal, et dans lequel le terminal notifie (53) l'entité de sécurité (12) dudit effacement.
4. Procédé de gestion selon l'une quelconque des revendications précédentes, dans lequel, avant l'étape 12,1, le terminal s'enregistre auprès d'un réseau (22) sur la base d'un identifiant préalablement stocké au niveau du terminal.
5. Procédé de gestion selon l'une quelconque des revendications précédentes, dans lequel, après l'étape 12,1, le terminal s'enregistre auprès d'un réseau (22) sur la base d'un identifiant sécurisé obtenu à partir de la donnée de sécurité.
6. Procédé de gestion d'utilisation sécurisée d'un terminal (1 1 ) présentant au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité ; une entité de sécurité (12) stockant ladite donnée de sécurité et des premiers paramètres d'authentification ; et le terminal stockant des seconds paramètres d'authentification ; ledit procédé comprenant les étapes suivantes, au niveau de l'entité de sécurité:
IM effectuer une authentification du terminal sur la base des premiers et seconds paramètres d'authentification ; 121 établir une liaison sécurisée sans contact avec le terminal ; et
/3/ transmettre au terminal, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée.
7. Procédé de gestion selon la revendication 6, dans lequel, au moins un premier gestionnaire étant en charge de gérer des paramètres de sécurité relatifs à des terminaux et au moins un second gestionnaire étant en charge de gérer des paramètres de sécurité relatifs à des utilisateurs desdits terminaux ; les premiers paramètres d'authentification stockés sur l'entité de sécurité correspondent à un premier paramètre de sécurité fourni par le second gestionnaire et un deuxième paramètre de sécurité indiquant le premier gestionnaire ; et les seconds paramètres d'authentification stockés sur le terminal correspondent à un troisième paramètre de sécurité fourni par le premier gestionnaire et un quatrième paramètre de sécurité indiquant le deuxième gestionnaire.
8. Procédé de gestion selon la revendication 6 ou 7, dans lequel l'entité de sécurité (12) gère un état d'utilisation qui est mis à jour :
- sur transmission (35) de la donnée de sécurité à un terminal ; et
- sur réception d'une notification d'effacement de la donnée de sécurité depuis le terminal.
9. Terminal à utilisation sécurisée (1 1 ) présentant au moins une fonctionnalité sécurisée sur la base d'une donnée de sécurité stockée sur une entité de sécurité (12) ; ladite entité de sécurité stockant en outre des premiers paramètres d'authentification ; et le terminal stockant des seconds paramètres d'authentification ; ledit terminal comprenant :
- une unité d'authentification (61 ) adaptée pour effectuer une authentification (21 ) de l'entité de sécurité sur la base des premiers et seconds paramètres d'authentification ;
- une entité de gestion de liaison (62) adaptée pour établir (12) une liaison sécurisée sans contact avec l'entité de sécurité ; et
- un récepteur (63) adapté pour recevoir (23), au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée sur ladite entité de sécurité et pour débloquer ladite fonctionnalité.
10. Terminal selon la revendication 9, comprenant en outre une entité de gestion de stockage (64) adaptée pour stocker la donnée de sécurité reçue et pour effacer ladite donnée de sécurité sur une action spécifique.
1 1. Entité de sécurité (12) stockant une donnée de sécurité et adaptée pour coopérer avec un terminal présentant au moins une fonctionnalité sécurisée sur la base de ladite donnée de sécurité ; le terminal stockant des seconds paramètres d'authentification ; ladite entité de sécurité stockant en outre des premiers paramètres d'authentification et comprenant :
- une unité d'authentification (71 ) adaptée pour effectuer une authentification du terminal sur la base des premiers et seconds paramètres d'authentification ;
- une entité de gestion de liaison (72) adaptée pour établir (12) une liaison sécurisée sans contact avec le terminal ; et
- un émetteur (73) adapté pour émettre, au cours de ladite liaison sécurisée sans contact, la donnée de sécurité stockée.
12. Entité de sécurité (12) selon la revendication 1 1 comprenant en outre une entité de gestion d'état (74) adaptée pour mettre à jour un état :
- sur transmission (35) de la donnée de sécurité à un terminal (1 1 ) ; et
- sur réception d'une notification d'effacement (53) de la donnée de sécurité depuis un terminal.
13. Système de gestion d'utilisation sécurisée de terminal comprenant un terminal (1 1 ) selon la revendication 9 ou 10 et une entité de sécurité (12) selon la revendication 1 1 ou 12.
PCT/FR2009/050604 2008-04-08 2009-04-07 Gestion d'utilisation securisee de terminal WO2009136067A2 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP09742265A EP2263350A2 (fr) 2008-04-08 2009-04-07 Gestion d'utilisation securisee de terminal
CN200980121222.6A CN102047607B (zh) 2008-04-08 2009-04-07 一种终端安全使用的管理方法
US12/936,891 US20110030033A1 (en) 2008-04-08 2009-04-07 Managing secure use of a terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0852341A FR2929788B1 (fr) 2008-04-08 2008-04-08 Gestion d'utilisation securisee de terminal
FR0852341 2008-04-08

Publications (2)

Publication Number Publication Date
WO2009136067A2 true WO2009136067A2 (fr) 2009-11-12
WO2009136067A3 WO2009136067A3 (fr) 2010-03-11

Family

ID=40093036

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2009/050604 WO2009136067A2 (fr) 2008-04-08 2009-04-07 Gestion d'utilisation securisee de terminal

Country Status (6)

Country Link
US (1) US20110030033A1 (fr)
EP (1) EP2263350A2 (fr)
KR (1) KR20110003361A (fr)
CN (1) CN102047607B (fr)
FR (1) FR2929788B1 (fr)
WO (1) WO2009136067A2 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014097164A1 (fr) * 2012-12-19 2014-06-26 Saferend Security Ltd. Système et procédé pour déterminer une mesure d'authenticité d'identité
US10267261B2 (en) * 2016-08-01 2019-04-23 GM Global Technology Operations LLC Methods of joining components in vehicle assemblies

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060133615A1 (en) * 2004-12-16 2006-06-22 International Business Machines Corporation Method and system for using a portable computing device as a smart key device

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962553A (en) * 1973-03-29 1976-06-08 Motorola, Inc. Portable telephone system having a battery saver feature
IT1279547B1 (it) * 1995-02-21 1997-12-16 Olivetti & Co Spa Metodo per proteggere l'uso di un elaboratore elettronico.
US5678228A (en) * 1995-03-06 1997-10-14 Hughes Aircraft Co. Satellite terminal with sleep mode
US7260726B1 (en) * 2001-12-06 2007-08-21 Adaptec, Inc. Method and apparatus for a secure computing environment
US7191344B2 (en) * 2002-08-08 2007-03-13 Authenex, Inc. Method and system for controlling access to data stored on a data storage device
US7318235B2 (en) * 2002-12-16 2008-01-08 Intel Corporation Attestation using both fixed token and portable token
US7597250B2 (en) * 2003-11-17 2009-10-06 Dpd Patent Trust Ltd. RFID reader with multiple interfaces
US8195233B2 (en) * 2007-07-30 2012-06-05 Motorola Mobility, Inc. Methods and systems for identity management in wireless devices
US20090177892A1 (en) * 2008-01-09 2009-07-09 Microsoft Corporation Proximity authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060133615A1 (en) * 2004-12-16 2006-06-22 International Business Machines Corporation Method and system for using a portable computing device as a smart key device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MENEZES, VANSTONE, OORSCHOT: "HANDBOOK OF APPLIED CRYPTOGRAPHY" 1997, CRC PRESS LLC , USA , XP002508302 page 388 - page 390 page 494 page 547 - page 566 page 570 - page 580 *
See also references of EP2263350A2 *

Also Published As

Publication number Publication date
EP2263350A2 (fr) 2010-12-22
FR2929788B1 (fr) 2011-11-04
KR20110003361A (ko) 2011-01-11
US20110030033A1 (en) 2011-02-03
FR2929788A1 (fr) 2009-10-09
CN102047607A (zh) 2011-05-04
WO2009136067A3 (fr) 2010-03-11
CN102047607B (zh) 2015-04-22

Similar Documents

Publication Publication Date Title
US9646148B2 (en) Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices
EP1022922B1 (fr) Procédé d'authentification, avec établissement d'un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
EP1903746B1 (fr) Procédé de sécurisation de sessions entre un terminal radio et un équipement dans un réseau
EP2720199B1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
EP1427231A1 (fr) Procédé d'établissement et de gestion d'un modèle de confiance entre une carte à puce et un terminal radio
EP2500872A1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable
KR20080017313A (ko) 원격 무선 전화기 자동 파괴
FR2999319A1 (fr) Procede et systeme de gestion d'un element securise integre ese
CN101119565A (zh) 移动通信终端设备数据保护的方法、系统及设备
WO2016102831A1 (fr) Procédé de sécurisation de transactions sans contact
US7987249B2 (en) Soft system failure recovery for management consoles supporting ASF RMCP
CN110443047A (zh) 数据交换群组系统及方法
EP1628501A1 (fr) Système et procédé d'accès sécurisé de terminaux visiteurs à un réseau de type IP
EP2156600B1 (fr) Procédé de distribution de clé d'authentification, terminal, serveur de mobilité et programmes d'ordinateurs correspondants
WO2009136067A2 (fr) Gestion d'utilisation securisee de terminal
CN100476841C (zh) 对企业硬盘进行密码集中管理的方法和系统
CN112215591B (zh) 一种针对加密货币钱包的分布式加密管理方法、装置及系统
EP2747333A1 (fr) Système de stockage sécurisé comprenant un dispositif de sécurité virtuel et un dispositif de stockage sécurisé mobile
EP3528464B1 (fr) Procédé d'appairage de terminaux électroniques, dispositifs d'appairage, terminaux et programme correspondant
EP2489155A1 (fr) Gestion de dispositif de communication a travers un reseau de telecommunications
EP2266276B1 (fr) Gestion d'identites d'utilisateurs dans un systeme
WO2005079038A1 (fr) Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile
FR2813151A1 (fr) Communication securisee dans un equipement d'automatisme
EP3520324B1 (fr) Procédé de contrôle de la répartition des dispositifs d'enregistrement déployés dans les infrastructures virtualisées de deux entités
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200980121222.6

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09742265

Country of ref document: EP

Kind code of ref document: A2

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2009742265

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12936891

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 20107025039

Country of ref document: KR

Kind code of ref document: A