WO2010112692A1 - Appareil électronique à image système embarquée pour plateforme de services - Google Patents

Appareil électronique à image système embarquée pour plateforme de services Download PDF

Info

Publication number
WO2010112692A1
WO2010112692A1 PCT/FR2010/000254 FR2010000254W WO2010112692A1 WO 2010112692 A1 WO2010112692 A1 WO 2010112692A1 FR 2010000254 W FR2010000254 W FR 2010000254W WO 2010112692 A1 WO2010112692 A1 WO 2010112692A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure module
system image
files
storage area
server
Prior art date
Application number
PCT/FR2010/000254
Other languages
English (en)
Inventor
Lionel Fiat
Original Assignee
Lionel Fiat
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lionel Fiat filed Critical Lionel Fiat
Publication of WO2010112692A1 publication Critical patent/WO2010112692A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Definitions

  • the invention relates to an electronic device.
  • Electronic devices provide service platforms for users or machines.
  • an electronic device is based on a hardware architecture above which is grafted an operating system of the device with specific applications.
  • Platform providers integrate operating systems and applications with electronic devices, both of which can be developed by third parties, to form the platform associated with the services to be provided.
  • Updates or additions can be made by the designers of the operating system, applications, or by users wishing to change the behavior of the platform and without the knowledge of the suppliers.
  • the current solutions do not make it possible to assure to a supplier that the platform that he sells will always be functional in an optimal way.
  • the object of the invention is to implement a solution for controlling the software components of an apparatus.
  • the apparatus comprises files representative of at least one system image of the apparatus and a secure module of the smart card type provided with a storage area, at the least part of the representative files of the system image being controlled by the secure module.
  • Another object of the invention is a method of starting the system image of an apparatus comprising the following successive steps:
  • Figure 1 illustrates a block diagram of an electronic device.
  • FIG. 2 represents a diagram relating to a startup phase of a system image of the apparatus according to a first embodiment.
  • FIG. 3 represents a diagram relating to a start-up phase of a system image of the apparatus according to a second embodiment.
  • Figures 4 and 5 illustrate two types of virtualization operation.
  • Figure 6 illustrates a diagram relating to a starting phase of the apparatus according to a variant of the first embodiment.
  • Figure 7 illustrates a diagram relating to a starting phase of the apparatus according to a variant of the second embodiment.
  • Figure 8 schematically illustrates the connection of a device to an update server. Description of preferred embodiments
  • the electronic apparatus 1 comprises files representative of at least one system image of the apparatus and a secure module 4 of the smart card type provided with a storage area 3. At least a part files representative of the system image is controlled by the secure module 4.
  • the system image forms a set of data necessary for the electronic device to function and perform the actions for which it was manufactured.
  • the system image may contain a kernel, forming the elementary layer allowing software applications to interact with the hardware resources of the electronic device, libraries comprising the common operations used by the software applications, which are also part of the image. system. It therefore allows an electronic device to become a service platform and to ensure that the service or services provided by said platform are those provided by the platform provider.
  • system image may also contain a boot file. This file contains the necessary bindings to start the kernel.
  • the electronic device may comprise a motherboard 6 representative of the hardware resources of the electronic device 1.
  • This motherboard may comprise a storage unit 5, a central processor 7, input outputs, connection links network, etc.
  • the smart card may be of the integrated circuit (s) card (s) type (s) UICC (for "Universal Integrated Circuit Card” in English) as those used in mobile telephony and more known under the subscriber identity module (Subscriber Identity Module (SIM)) or subscriber identity module (USIM) card.
  • SIM Subscriber Identity Module
  • USIM subscriber identity module
  • a chip card generally integrates one or more integrated circuits (ICC) with at least one secure memory (forming the storage area 3), at least one processor, and so on.
  • the files representative of the system image are stored in whole or in part in the storage area 3.
  • the files stored in the storage area 3 are secured and ensure optimum operation of the storage area.
  • Access to the storage area 3 is restricted, malicious modification of the files it contains is not possible.
  • the control of the system image is ensured by the fact that one of the files necessary 2 for its operation is disposed in the storage area 3 of the secure module 4. In fact, this storage area 3 is controlled and protected by the module of security.
  • restricted means that the storage area 3 is limited in reading access for the user of the device and in read / write access for the provider by the security mechanisms of the secure module 4, hence the notion of protection and control by the secure module 4.
  • restricted means, for example, that certain files of the storage area 3, or a partition of the storage area 3, are limited in reading access for the user of the apparatus and in read / access access. write for the provider, as in the previous example this restriction allows the secure module 4 to control a portion of the files representative of the system image.
  • the file stored in the storage area 3 is the core of the system image.
  • the files of the system image not stored in the storage area 3 can be embedded in any type of memory disposed in the electronic device, for example a storage unit 5 of the hard disk type, memory, etc.
  • at least one of the files of the system image stored in the storage unit 5 comprises an electronic signature
  • the secure module comprises means 12 for verifying the electronic signature cooperating with a certificate stored in the secure module 4, preferably in the storage area 3, to validate or invalidate the integrity of the corresponding file or files.
  • a secure module 4 integrated circuit card (s) smart card for example SIM or USIM
  • SIM or USIM secure module 4 integrated circuit card
  • the entire system image can be stored in the storage area 3 of the secure module 4. This is made possible if the size of the storage area 3 is sufficient. Having the entire system image in the storage area 3 of the secure module 4 improves the security of the system image, making the malicious modification more difficult. Indeed, to change the content of the files arranged in the storage area 3, it is necessary to know defined access codes only known by the supplier or by a trusted third party. Without these codes, it is very difficult to change the content.
  • the control of the system image by the secure module 4 can be achieved by an electronic signature of less a constituent file of the system image.
  • the files of the system image can then be stored in a storage unit 5 separate from the storage area 3 of the secure module 4.
  • the secure module 4 then comprises means 12 for verifying the electronic signature of the file or files of the system image before and / or during startup of the latter to verify its authenticity.
  • the verification means 12 cooperate with a certificate stored in the secure module 4, preferably in the storage area 3, to authenticate the file or files.
  • the verification means 12 of the electronic signature can also verify the authenticity of the file or files of the system image during the operation of the device, for a restart of the system image. The check during operation ensures that the system image has not been maliciously changed between two starts.
  • the electronic device comprises a startup interface 8 connected by a communication protocol either directly to the secure module 4 or to a connection card 9 integrating the secure module 4.
  • the startup interface 8 is preferably integrated in the motherboard 6 of the device 1.
  • the communication protocol may be the Internet Protocol IP (for "Internet Protocol" in English).
  • the IP protocol offers an addressing service enabling the start interface 8 to communicate with the connection card 9 or the secure module 4.
  • the connection card 9 and / or the secure module 4 furthermore comprise an Internet address assignment server 10 and at least one file download server 11.
  • the download server 11 makes it possible to download the files of the system image stored in the storage area 3 of the secure module 4, and if necessary in the storage unit 5.
  • the download server 11 can download the system image files stored in the storage unit 5.
  • the address allocation server 10 and download 11 are embedded in the secure module 4 (not shown in Figure 1), their integrity is then guaranteed by the security mechanisms of the secure module 4.
  • the startup interface 8 is directly connected to the secure module 4, it is possible to dispense with the address assignment server 10. Indeed, it is considered that the boot interface has the possibility Direct access to files without the need to use protocols that require an IP address.
  • connection card 9 may be in the form of a removable card comprising transmitting means for connecting the card to a mobile operator network or a local network.
  • the provider of the platform can then update the system image as it sees fit through its networks or others available on the device.
  • the secure module 4 then plays the role of data security and identification with the mobile operator or the provider.
  • the startup phase of the first embodiment is illustrated step by step in the diagram of FIG. 2.
  • the startup interface 8 retrieves an Internet address (IP address) from the address assignment server 10. (step E1).
  • IP address Internet address
  • the step E1 is carried out, preferably in two stages, in a first step the startup interface sends an IP address request request on the network, then in a second time the address assignment server 10 responds to boot interface 8 by assigning it an IP address.
  • This address allows him to communicate, for example using the Internet protocol, with the download server 1 1. Indeed, to communicate with a server by an IP type network protocol, you need to know an IP address and a server port.
  • the address assignment 10 and download 11 servers are contained in the connection card 9 or in the secure module 4, their IP address can then be the same.
  • the servers 10 and 11 can be reached independently at the same address but on different ports.
  • Each server 10 or 11 waits for requests from a client on its specific port.
  • the client corresponds to the boot interface 8.
  • the boot interface 8 can contact the download server 11 using a predefined port and as the destination address the source address it provided by the address assignment server 10.
  • Step E2 takes place in two stages. At first, the boot interface 8 connects to the download server 11 by asking the latter to provide a boot file. In a second step, the boot interface 8 reconnects to the download server 11 by asking the latter to provide the kernel of the system image.
  • the boot file and / or the kernel are preferably both stored in the storage area 3 of the secure module 4, as indicated previously in the first embodiment, this makes it possible to use the protection mechanisms of the module secure 4 on the storage area 3 to ensure the integrity of the booted system.
  • step E2 the download server 11 performs a step E3 by connecting to the secure module to access the boot files and / or the kernel.
  • the download server 11 is then a file access door.
  • the system image can finally start.
  • the kernel can recover the files from the system image that it needs to set up the service platform.
  • the system image files that the kernel needs can be provided by the download server 11 or by a separate download server. These files can be stored in the storage area 3 of the secure module 4 or in a separate storage unit 5.
  • the starting phase of the second embodiment is illustrated step by step in the diagram of FIG. 3.
  • the diagram of FIG. 3 is identical to the diagram of FIG. 2, except that step E3 is replaced by a step E4. checking the signature of the boot file and / or the kernel, stored in the storage unit 5, before sending them to the startup interface.
  • step E3 is replaced by a step E4.
  • the verification means 12 of the signature detect an anomaly, the start is interrupted.
  • a modification of the kernel signed by a third party will necessarily introduce a modification of the signature. This change is detected by comparing the kernel with a certificate contained in the storage area 3 of the secure module 4. If the system image is not authentic, startup will not be possible.
  • the verification means 12 may be located in the secure module 4 or in the connection card 9 if the latter is present.
  • the storage unit 5 is shown in FIG. 1 at the level of the motherboard 6. Of course, this storage unit 5 can also be arranged on the connection board 9 or in other areas of the electronic device as long as they are accessible when starting the system image.
  • step E1 the recovery (step E1) of an Internet address by the start interface 8 with the Internet address assignment server 10,
  • the last step can be performed by downloading the files from the download server 11 or from a separate download server.
  • the step of recovering the boot file and / or recovering the kernel of the system image is performed by downloading the corresponding files in the storage area 3 of the secure module 4.
  • the files not stored in the storage area 3 of the secure module 4 can be signed electronically, and the integrity of the corresponding files can be verified by verification means 12 integrated in the secure module 4 cooperating with a certificate stored in the secure module 4, and preferably in the storage area 3.
  • verification means 12 integrated in the secure module 4 cooperating with a certificate stored in the secure module 4, and preferably in the storage area 3.
  • the second embodiment to at least a part of the files constituting the system image not stored in the storage area 3 so that security is improved.
  • the files required by the kernel for setting up the system image can be stored in the storage unit 5 and be electronically signed.
  • the step of recovering the boot file and / or recovering the kernel of the system image includes a verification of the integrity of the boot file and / or the kernel of the image stored in a storage unit 5 before sending the corresponding files to the boot interface 8.
  • the startup interface 8 may propose a start-up menu allowing, for example, a user to start either on the supplier's system image or on an operating system contained in the storage unit 5. of the device and on which the user has all the rights of modifications.
  • the apparatus may also boot by virtualization of the monitored system image, and an ancillary operating system contained in the storage unit 5 of the apparatus 1.
  • Virtualization is defined by the techniques, software or hardware used to operate on the same electronic device several different operating systems as if they operated on separate machines.
  • An example of virtualization is illustrated in Figure 4, it is to launch on a device a first operating system, commonly called host operating system, interfacing with the physical hardware of the device.
  • This first operating system can be the one contained in the image or in the storage unit.
  • the first operating system then comprises a software emulator for launching a second operating system, commonly called guest operating system.
  • the user can switch from the first operating system to the second operating system according to his convenience.
  • the user when the user wishes to work in his own environment, he can use the operating system of the storage unit 5 of which he has full control of the installed software, and when he wishes to have access to the services of the supplier, it uses the operating system of the system image.
  • a software emulator slowed down performance, the skilled person can therefore use other types of virtualization as a hypervisor.
  • hypervisor may be XEN technology to run multiple operating systems and their applications in isolation on a single physical machine as shown in Figure 5.
  • the hypervisor then forms a virtualization layer.
  • this layer may initially be stored in the connection card 9 or in the secure module 4. In this case, it will be possible either during the first operation of the electronic device to automatically install the hypervisor on the device, either to start the hypervisor before each startup by virtualization.
  • the boot interface 8 may be a network boot environment of the apparatus. According to a particular implementation, it may be a PXE type interface (Pre-Boot Execution Environment) corresponding to a standard developed by INTEL®. The precise operation of a PXE interface is described in the specification 2.1 of the standard defined by Intel Corporation of September 20, 1999.
  • PXE type interface Pre-Boot Execution Environment
  • the address assignment server 10 may be a DHCP server ("Dynamic Host Configuration Protocol"). Such a server makes it possible to ensure the automatic configuration of Internet parameters (IP for
  • IP Internet Protocol
  • the DHCP server has an IP address corresponding to the IP address of the connection card 9 or of the secure module 4. It is can be reached if the RFC (Request For Comment) documentation is used on port 67.
  • Each file download server 11 may be of type: - Simplified file transfer protocol TFTP ("Trivial File Transfer Protocol" in English).
  • TFTP Trivial File Transfer Protocol
  • the advantages of using such a file server are its simplicity of operation and its low resource consumption. Any other type of server based on the specifications of FTP (“File Transfer Protocol”) can of course be used.
  • the TFTP server preferably has an IP address corresponding to the address
  • the kernel can download additional files constituting the system image using, for example, an NFS network file system download server (for "Network File System”).
  • NFS network file system download server for "Network File System”
  • the PXE retrieves an IP address (step E1) by issuing a DHCP request on the network.
  • the DHCP server Upon receiving the DHCP request, the DHCP server sends the PXE an IP address assigned to it.
  • the DHCP server can also communicate additional information to the PXE, such as the name server (DNS for "Domain Name System" in English) or the address of the TFTP download server to contact and the name of a boot file to download. This IP address, and the information transmitted concomitantly, then allow the PXE to contact the TFTP download server to ask it to recover a boot file (step E5).
  • DNS Domain Name System
  • the file Startup includes data about a kernel of the system image and a type of download server to contact to recover the kernel.
  • the server to contact to recover the kernel can be the same as the one that provided the boot file or a different server.
  • the startup file is located in the secure module 4 that is contacted (step E6) during step E5.
  • the PXE can, after a possible user interaction, recover the kernel of the system image (step E2) via, for example, the TFTP server. If the kernel is stored in the secure module, step E3 is performed during step E2 prior to sending the kernel to the PXE. After recovery of the kernel by the PXE, the system image can finally start.
  • the kernel can extract from the system image the files it needs to provision the services platform.
  • the system image files that the kernel needs can be provided by a separate download server, for example of the NFS type.
  • the files necessary for setting up the system image can be located in the secure module 4, or if the kernel was in the secure module 4, in another memory, for example the storage unit 5.
  • the steps E6 and E3 of the previous implementation are replaced by the steps E7 and E4, both corresponding to a verification of the signature. files representative of the startup file and the kernel by the verification means 12.
  • the PXE can propose before the download of the kernel a list of startup choices to a user. This list corresponds to the same kernel (with different start parameters) or to different kernels accessible from the secure module 4 by downloading or from the storage unit 5.
  • additional kernel integrity test means can be implemented using PXE-integrated signature verification means, as part of the PXE specification, and known as BIS (for "Boot”). Integrity Service ".
  • the PXE can check the integrity of the kernel before starting it. This prevents the kernel from being changed during download.
  • the PXE BIS signature verification means may be used in addition by using the same certificate as that stored in the secure module 4.
  • the files constituting it can be checked in order to anticipate a restart of the device or the system image, in the case where the virtualization is used.
  • the signature verification means 12 make it possible to authenticate the origin of a file and to ensure its integrity.
  • a signature can be made, for example, using asymmetric cryptographic mechanisms.
  • Asymmetric cryptography includes a public key and a private key, it is based on the use of one-way functions. Once the function is applied to a file or data, it becomes extremely difficult to access the original file or data. Certificates for verifying the authenticity are, for example, stored in the storage area 3 of the secure module 4. Thus, the authenticity verification step makes it possible to certify the origin of the file that will be signed by the supplier. . If a signature is considered as non-compliant, the process of starting the system image may be interrupted.
  • the electronic device 1 is a communicating device comprising a connection card 9 provided with wireless transmission-reception means capable of connecting to the Internet or private IP networks via a third generation cellular network (3G / 3G +).
  • the third generation allows speeds up to 14Mbps on the operator network.
  • the invention is not limited to the use of this technology and adapts to any type of operator networks (2G, 4G, WIMAX, WIFI, etc.).
  • the connection card 9 of the electronic apparatus 1 enables the transmission / reception means 20 to connect the apparatus to a cellular antenna 13a forming part of a network of antennas.
  • a mobile operator and connected to an operator access network 15b.
  • the operator network 15b makes it possible by the use of an Internet gateway 14 (APN Internet for "Access Point Name" in English) to connect the mobile device 1 to the Internet network 15a, and thus to access services located on the Internet. remote web servers 19.
  • an electronic device allows a mobile operator to control the platform.
  • the operating systems and services provided by a telephone company are changing.
  • the system image can only be modified by the mobile operator and, preferably, when the latter has validated the new applications, or application updates, to ensure that they do not affect the operation of its services.
  • the updates can be carried out by the mobile operator via a connection to a virtual private network VPN (for "Virtual Private Network" in English).
  • the VPN connection uses technologies, defined by the 3GPP organization (for "3rd Generation Partnership Project"). These technologies may be the I-WLAN corresponding to an interconnection system with a local wireless network (WIFI, Ethernet, etc.).
  • the j-WLAN technology makes it possible to open a secure VPN tunnel by using the authentication mechanisms of the secure module 4 (for example the EAP-SIM standard).
  • a VPN tunnel 18 can be established, via a WIFI access point 13b, between the connection card 9, or the secure module 4, and a gateway 17 (PDG for "Packet Data Gateway In English) of the operator so that the connection card 9 or the secure module 4 can access a private network 21 of the mobile operator via the Internet 15a.
  • PGW Packet Data Gateway In English
  • the private network 21 includes at least one server storing the various updates of the system image.
  • the connection card 9, or the secure module 4 can then download the updates that will be used during a subsequent boot of the device or the system image. Updates can be manual or automatic. Another technology used for the updates can consist of a connection to the network 15b of the operator via the cellular antenna 13 to access a private APN 22 reserved for downloading and allowing a direct connection to the download server 21.
  • Updates can be done at the initiative of the operator using standardized mobile network mechanisms allowing the telephony operator to remotely modify data of the secure module 4 (OTA for "Over The Air” in English). ).
  • connection card 9 will be active, but may be configured to not be used to browse the Internet. If the connection card can establish two simultaneous sessions over a cellular antenna 2 of the telephony network or a wireless network, it may be possible for the connection card to be used for browsing the Internet during an update.
  • the addition or updates of software components may or may not be controlled by the mobile operator.
  • the operator can establish a list of applications requiring its permission to be installed because known to be likely to alter its services.
  • the user may be free to choose the version to install.
  • connection card 9 The software components necessary for the operation of the connection card 9 can be secured by electronic signature or storage in the storage area 3 of the secure module 4 in the same manner as the system image.
  • the electronic signature of the content is then verified by the secure module 4. This prevents any hacking or malicious modification of software components embedded in the connection card 9 and necessary for its operation.
  • a mobile device and its variants as described allow a mobile operator to control, control and manage the software components necessary to form the platform necessary for its services. In addition, it avoids competing solutions of the telephone operator to replace or alter its services.
  • the electronic device is an IP packet router (for "Internet Protocol" in English)
  • the system image then includes packet analysis applications to determine their destinations, filtering applications of certain packages, etc.
  • the electronic device is an interactive device that is mobile or not equipped with a screen. It can be a mobile phone, a laptop or a laptop, etc.
  • the system image includes, in addition to applications, a human machine interface (HMI) allowing a user to interact with the applications installed on the electronic device.
  • HMI human machine interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

L'appareil électronique comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé (4) de type carte à puce muni d'une zone de stockage (3). Au moins une partie des fichiers représentatifs de l'image système est contrôlée par le module sécurisé (4).

Description

Appareil électronique à image système embarquée pour plateforme de services
Domaine technique de l'invention
L'invention est relative à un appareil électronique.
État de la technique
Les appareils électroniques proposent des plateformes de services à destinations d'utilisateurs ou de machines. Classiquement, un appareil électronique repose sur une architecture matérielle au-dessus de laquelle vient se greffer un système d'exploitation de l'appareil muni d'applications spécifiques. Les fournisseurs de plateformes intègrent aux appareils électroniques des systèmes d'exploitations et des applications, pouvant tous deux être développés par des tiers, afin de former la plateforme associée aux services à fournir.
Les fournisseurs se heurtent à des modifications non autorisées de leurs plateformes. Ces modifications peuvent se présenter sous la forme de mises à jour du système d'exploitation, d'applications, ou d'ajouts d'applications modifiant le fonctionnement global de la plateforme de services. Les mises à jours ou ajouts peuvent être réalisés par les concepteurs du système d'exploitation, des applications, ou encore par des utilisateurs souhaitant modifier le comportement de la plateforme et ce à l'insu des fournisseurs. Les solutions actuelles ne permettent pas d'assurer à un fournisseur que la plateforme qu'il vend sera toujours fonctionnelle de manière optimale.
Le document US2008/0270782 décrit un dispositif mobile apte à démarrer un système d'exploitation dans un mode de type sans-échec. Le dispositif comporte une simple mémoire de stockage dans laquelle un code de démarrage en mode sans-échec est stocké, cette mémoire peut être disposée au niveau de la carte SIM du dispositif mobile. Le dispositif mobile décrit dans ce document permet de démarrer un système d'exploitation secondaire rendant possible l'utilisation de quelques fonctions essentielles.
Objet de l'invention
Le but de l'invention a pour objet de mettre en œuvre une solution de contrôle des composants logiciels d'un appareil.
Ce but est atteint par les revendications annexées et plus particulièrement en ce que l'appareil comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé de type carte à puce muni d'une zone de stockage, au moins une partie des fichiers représentatifs de l'image système étant contrôlée par le module sécurisé.
Un autre objet de l'invention est un procédé de démarrage de l'image système d'un appareil comportant les étapes successives suivantes :
- la récupération d'une adresse Internet par l'interface de démarrage auprès du serveur d'attribution d'adresses Internet,
- la connexion de l'interface de démarrage au serveur de téléchargement de fichiers, la récupération par l'interface de démarrage d'un fichier de démarrage puis d'un noyau de l'image système, le démarrage de l'image système réalisé par l'interface de démarrage, la récupération par le noyau de fichiers de l'image système nécessaires à la mise en place d'une plateforme de services.
Description sommaire des dessins
D'autres avantages et caractéristiques ressortiront plus clairement de la description qui va suivre de modes particuliers de réalisation de l'invention donnés à titre d'exemples non limitatifs et représentés aux dessins annexés, dans lesquels :
La figure 1 illustre un schéma bloc d'un appareil électronique.
La figure 2 représente un diagramme relatif à une phase de démarrage d'une image système de l'appareil selon un premier mode de réalisation. La figure 3 représente un diagramme relatif à une phase de démarrage d'une image système de l'appareil selon un deuxième mode de réalisation. Les figures 4 et 5 illustrent deux types de fonctionnement de virtualisation.
La figure 6 illustre un diagramme relatif à une phase de démarrage de l'appareil selon une variante du premier mode de réalisation. La figure 7 illustre un diagramme relatif à une phase de démarrage de l'appareil selon une variante du deuxième mode de réalisation. La figure 8 illustre schématiquement la connexion d'un appareil à un serveur de mises à jour. Description de modes préférentiels de réalisation
Comme illustré à la figure 1 , l'appareil électronique 1 comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé 4 de type carte à puce muni d'une zone de stockage 3. Au moins une partie des fichiers représentatif de l'image système est contrôlée par le module sécurisé 4.
L'image système forme un ensemble de données nécessaires à l'appareil électronique pour fonctionner et réaliser les actions pour lesquelles il a été fabriqué. L'image système peut contenir un noyau, formant la couche élémentaire permettant à des applications logicielles de dialoguer avec les ressources matérielles de l'appareil électronique, des librairies regroupant les opérations courantes utilisées par les applications logicielles, faisant elles aussi parties de l'image système. Elle permet donc à un appareil électronique de se transformer en plateforme de services et de garantir que le ou les services fournis par ladite plateforme sont bien ceux prévus par le fournisseur de la plateforme.
Selon une variante, l'image système peut aussi contenir un fichier de démarrage. Ce fichier comporte les liaisons nécessaires pour démarrer le noyau.
De manière classique, l'appareil électronique peut comporter une carte-mère 6 représentative des ressources matérielles de l'appareil électronique 1. Cette carte mère peut comporter une unité de stockage 5, un processeur central 7, des entrée sorties, des liens de connexion réseau, etc.
La carte à puce, formant le module sécurisé 4, peut être du type carte à circuit(s) intégré(s) UICC (pour « Universal Integrated Circuit Card » en anglais) comme celles utilisées en téléphonie mobile et plus connues sous le nom de carte à module d'identité d'abonné (SIM pour « Subscriber Identity Module » en anglais) ou de carte à module universel d'identité d'abonné (USIM pour « Universal Subscriber Identity Module » en anglais). Une carte à puce intègre en règle générale un ou plusieurs circuits intégrés (ICC pour « Integrated Circuit Card » en anglais) comportant au moins une mémoire sécurisée (formant la zone de stockage 3), au moins un processeur, etc.
Selon un premier mode de réalisation, les fichiers représentatifs de l'image système sont stockés en totalité ou en partie dans la zone de stockage 3. Ainsi, les fichiers stockés dans la zone de stockage 3 sont sécurisés et assurent un fonctionnement optimal de l'appareil par une image système approuvée par le fournisseur ayant configuré le module sécurisé 4. L'accès à la zone de stockage 3 étant restreint, la modification malintentionnée des fichiers qu'elle contient n'est pas possible. Le contrôle de l'image système est assuré par le fait qu'un des fichiers nécessaire 2 à son fonctionnement est disposé dans la zone de stockage 3 du module sécurisé 4. En effet, cette zone de stockage 3 est maîtrisée et protégée par le module de sécurité. Lors du démarrage de l'image système, si un fichier est manquant ou modifié, l'image sera corrompue et le démarrage interrompu. Par restreint on entend par exemple que la zone de stockage 3 est limitée en accès lecture pour l'utilisateur de l'appareil et en accès lecture/écriture pour le fournisseur par les mécanismes de sécurité du module sécurisé 4, d'où la notion de protection et de maîtrise par le module sécurisé 4. Autrement dit, c'est grâce aux droits d'administration du module sécurisé 4 qu'il est possible à ce dernier de contrôler au moins une partie des fichiers représentatifs de l'image système. Selon une variante, par restreint on entend, par exemple, que certains fichiers de la zone de stockage 3, ou une partition de la zone de stockage 3, sont limités en accès lecture pour l'utilisateur de l'appareil et en accès lecture/écriture pour le fournisseur, comme dans l'exemple précédent cette restriction permet au module sécurisé 4 de contrôler une partie des fichiers représentatifs de l'image système. De préférence, le fichier stocké dans la zone de stockage 3 est le noyau de l'image système. Les fichiers de l'image système non stockés dans la zone de stockage 3 peuvent être embarqués dans tout type de mémoire disposée dans l'appareil électronique, par exemple une unité de stockage 5 de type disque dur, mémoire, etc. Selon une variante, au moins un des fichiers de l'image système stocké dans l'unité de stockage 5 comporte une signature électronique, et le module sécurisé comporte des moyens de vérification 12 de la signature électronique coopérant avec un certificat stocké dans le module sécurisé 4, de préférence dans la zone de stockage 3, afin de valider ou d'invalider l'intégrité du ou des fichiers correspondant.
L'utilisation d'un module sécurisé 4 à carte à puce de type carte à circuit(s) intégré(s), par exemple SIM ou USIM, permet l'utilisation de leurs protocoles de sécurité intrinsèque pour stocker tout ou partie d'une image système et assurer la maîtrise et la sécurité de cette dernière. Il devient alors difficile de modifier l'image système pour installer ses propres applications et ainsi influer sur le fonctionnement de la plateforme de services.
Comme suggéré précédemment, la totalité de l'image système peut être stockée dans la zone de stockage 3 du module sécurisé 4. Ceci est rendu possible si la taille de la zone de stockage 3 est suffisante. Le fait de disposer la totalité de l'image système dans la zone de stockage 3 du module sécurisé 4 améliore la sécurité de l'image système, rendant plus difficile la modification malintentionnée. En effet, pour modifier le contenu des fichiers disposés dans la zone de stockage 3, il faut connaître des codes d'accès définis seulement connus par le fournisseur ou par un tiers de confiance. Sans ces codes, il est très difficile de modifier le contenu.
Selon un second mode de réalisation, le contrôle de l'image système par le module sécurisé 4 peut être réalisé par une signature électronique d'au moins un fichier constitutif de l'image système. Les fichiers de l'image système peuvent alors être stockés dans une unité de stockage 5 distincte de la zone de stockage 3 du module sécurisé 4. Le module sécurisé 4 comporte alors des moyens de vérification 12 de la signature électronique du ou des fichiers de l'image système avant et/ou pendant le démarrage de cette dernière pour en vérifier l'authenticité. Les moyens de vérification 12 coopèrent avec un certificat stocké dans le module sécurisé 4, de préférence dans la zone de stockage 3, pour authentifier le ou les fichiers. Les moyens de vérification 12 de la signature électronique peuvent aussi vérifier l'authenticité du ou des fichiers de l'image système pendant le fonctionnement de l'appareil, en vue d'un redémarrage de l'image système. La vérification pendant le fonctionnement permet d'assurer que l'image système n'a pas été modifiée de façon malintentionnée entre deux démarrages.
Selon un développement, l'appareil électronique comporte une interface de démarrage 8 reliée par un protocole de communication soit directement au module sécurisé 4 soit à une carte de connexion 9 intégrant le module sécurisé 4. L'interface de démarrage 8 est, de préférence, intégrée à la carte mère 6 de l'appareil 1. Le protocole de communication peut être le protocole Internet IP (pour « Internet Protocol » en anglais). Le protocole IP offre un service d'adressage permettant à l'interface de démarrage 8 de dialoguer avec la carte de connexion 9 ou le module sécurisé 4. Dans ce cas, la carte de connexion 9 et/ou le module sécurisé 4 comportent en outre un serveur d'attribution 10 d'adresses Internet et au moins un serveur de téléchargement 11 de fichiers. Pour le premier mode de réalisation, le serveur de téléchargement 11 permet de télécharger les fichiers de l'image système stockés dans la zone de stockage 3 du module sécurisé 4, et le cas échéant dans l'unité de stockage 5. Dans le deuxième mode de réalisation, le serveur de téléchargement 11 permet de télécharger les fichiers de l'image système stockés dans l'unité de stockage 5. Selon un perfectionnement, le serveur d'attribution d'adresse 10 et de téléchargement 11 sont embarqués dans le module sécurisé 4 (non représenté à la figure 1), leur intégrité de fonctionnement est alors garantie par les mécanismes de sécurité du module sécurisé 4.
Dans le cas où l'interface de démarrage 8 est directement reliée au module sécurisé 4, il est possible de s'affranchir du serveur d'attribution d'adresses 10. En effet, il est considéré que l'interface de démarrage a la possibilité d'accéder directement aux fichiers sans avoir besoin d'utiliser des protocoles nécessitant une adresse IP.
La carte de connexion 9 peut se présenter sous la forme d'une carte amovible comportant des moyens d'émission réception destinés à connecter la carte à un réseau d'opérateur de téléphonie mobile ou à un réseau local. Le fournisseur de la plateforme pouvant alors mettre à jour l'image système selon sa convenance à travers ses réseaux ou d'autres disponibles sur l'appareil. Le module sécurisé 4 joue alors le rôle de sécurisation des données et d'identification auprès de l'opérateur de téléphonie mobile ou du fournisseur.
La phase de démarrage du premier mode de réalisation est illustrée étape par étape au diagramme de la figure 2. Tout d'abord, l'interface de démarrage 8 récupère une adresse Internet (adresse IP) auprès du serveur d'attribution d'adresses 10 (étape E1 ). L'étape E1 se réalise, de préférence en deux temps, dans un premier temps l'interface de démarrage envoie une requête de demande d'adresse IP sur le réseau, puis dans un second temps le serveur d'attribution d'adresses 10 répond à l'interface de démarrage 8 en lui attribuant une adresse IP. Cette adresse lui permet de communiquer, par exemple en utilisant le protocole Internet, avec le serveur de téléchargement 1 1. En effet, pour dialoguer avec un serveur par un protocole réseau de type IP, il faut connaître une adresse IP et un port du serveur. Dans le présent mode de réalisation, les serveurs d'attribution d'adresses 10 et de téléchargement 11 sont contenus dans la carte de connexion 9 ou dans le module sécurisé 4, leur adresse IP peut alors être la même. Lorsque les adresses des serveurs sont identiques, les serveurs 10 et 11 sont joignables indépendamment à une même adresse mais sur des ports différents. Chaque serveur 10 ou 11 attend des requêtes d'un client sur son port spécifique. Ici, le client correspond à l'interface de démarrage 8. Ainsi, après réception de son adresse IP, l'interface de démarrage 8 peut contacter le serveur de téléchargement 11 en utilisant un port prédéfini et comme adresse de destination l'adresse source lui ayant été fournie par le serveur d'attribution d'adresses 10.
Après récupération de l'adresse Internet (étape E1), l'interface de démarrage 8 va démarrer l'image système et doit pour cela récupérer le noyau de l'image système dans une étape E2. L'étape E2 se déroule en deux temps. Dans un premier temps, l'interface de démarrage 8 se connecte au serveur de téléchargement 11 en demandant à ce dernier de lui fournir un fichier de démarrage. Dans un second temps l'interface de démarrage 8 se reconnecte au serveur de téléchargement 11 en demandant à ce dernier de lui fournir le noyau de l'image système. Le fichier de démarrage et/ou le noyau sont, de préférence, tous les deux stockés dans la zone de stockage 3 du module sécurisé 4, comme indiqué précédemment dans le premier mode de réalisation, ceci permet d'utiliser les mécanismes de protection du module sécurisé 4 sur la zone de stockage 3 pour assurer l'intégrité du système démarré. Ainsi, lors de l'étape E2, le serveur de téléchargement 11 réalise une étape E3 en se connectant au module sécurisé pour accéder aux fichiers de démarrage et/ou du noyau. Le serveur de téléchargement 11 est alors une porte d'accès aux fichiers. Après récupération du noyau, l'image système peut enfin démarrer. Durant la phase de démarrage, le noyau peut récupérer les fichiers de l'image système dont il a besoin pour mettre en place la plateforme de services. Les fichiers de l'image système dont le noyau a besoin peuvent être fournis par le serveur de téléchargement 11 ou par un serveur de téléchargement distinct. Ces fichiers peuvent être stockés dans la zone de stockage 3 du module sécurisé 4 ou dans une unité de stockage 5 distincte.
La phase de démarrage du deuxième mode de réalisation est illustrée étape par étape au diagramme de la figure 3. Le diagramme de la figure 3 est identique au diagramme de la figure 2 à la différence près que l'étape E3 est remplacée par une étape E4 de vérification de la signature du fichier de démarrage et/ou du noyau, stockés dans l'unité de stockage 5, avant de les envoyer à l'interface de démarrage. Ainsi, si les moyens de vérification 12 de la signature détectent une anomalie, le démarrage est interrompu. Une modification du noyau signé par une tierce partie introduira forcément une modification de la signature. Cette modification est détectée en comparant le noyau avec un certificat contenu dans la zone de stockage 3 du module sécurisé 4. Si l'image système n'est pas authentique, le démarrage ne sera pas possible. Les moyens de vérification 12 peuvent être situés dans le module sécurisé 4 ou dans la carte de connexion 9 si cette dernière est présente.
L'unité de stockage 5 est représentée sur la figure 1 au niveau de la carte mère 6. Bien entendu, cette unité de stockage 5 peut aussi bien être disposée sur la carte de connexion 9 ou dans d'autres zones de l'appareil électronique du moment que celles-ci sont accessibles lors du démarrage de l'image système.
Ainsi, au démarrage de l'image système de l'appareil, les étapes suivantes peuvent être exécutées successivement : - la récupération (étape E1 ) d'une adresse Internet par l'interface de démarrage 8 auprès du serveur d'attribution d'adresses Internet 10,
- la connexion de l'interface de démarrage 8 au serveur de téléchargement de fichiers 11 , - la récupération par l'interface de démarrage 8 du fichier de démarrage puis du noyau de l'image système,
- le démarrage du noyau par l'interface de démarrage 8,
- la récupération, par le noyau, de fichiers nécessaires à la mise en place d'une plateforme de services.
La dernière étape peut être réalisée par téléchargement des fichiers auprès du serveur de téléchargement 11 ou auprès d'un serveur de téléchargement distinct.
Dans le premier mode de réalisation, l'étape de récupération du fichier de démarrage et/ou de récupération du noyau de l'image système sont réalisées par téléchargement des fichiers correspondants dans la zone de stockage 3 du module sécurisé 4.
Selon la variante du premier mode de réalisation, les fichiers non stockés dans la zone de stockage 3 du module sécurisé 4 peuvent être signés électroniquement, et l'intégrité des fichiers correspondant peut être vérifiée par des moyens de vérification 12 intégrés au module sécurisé 4 coopérant avec un certificat stocké dans le module sécurisé 4, et de préférence dans la zone de stockage 3. Il s'agit en fait d'appliquer le second mode de réalisation à au moins une partie des fichiers constitutifs de l'image système non stockés dans la zone de stockage 3 de sorte que la sécurité soit améliorée. À titre d'exemple, les fichiers requis par le noyau pour la mise en place de l'image système peuvent être stockés dans l'unité de stockage 5 et être signés électroniquement. Dans le second mode de réalisation, l'étape de récupération du fichier de démarrage et/ou de récupération du noyau de l'image système comporte une vérification de l'intégrité du fichier de démarrage et/ou du noyau de l'image stockés dans une unité de stockage 5 avant l'envoi des fichiers correspondants à l'interface de démarrage 8.
Selon une variante, l'interface de démarrage 8 peut proposer un menu de démarrage permettant, par exemple à un utilisateur, de démarrer soit sur l'image système du fournisseur, soit sur un système d'exploitation contenu dans l'unité de stockage 5 de l'appareil et sur lequel l'utilisateur a tous les droits de modifications. L'appareil peut aussi démarrer par virtualisation de l'image système contrôlée, et d'un système d'exploitation annexe contenu dans l'unité de stockage 5 de l'appareil 1.
La virtualisation est définie par les techniques, logicielles ou matérielles permettant de faire fonctionner sur un même appareil électronique plusieurs systèmes d'exploitations différents comme s'ils fonctionnaient sur des machines distinctes. Un exemple de virtualisation est illustré à la figure 4, il s'agit de lancer sur un appareil un premier système d'exploitation, communément appelé système d'exploitation hôte, faisant l'interface avec le matériel physique de l'appareil. Ce premier système d'exploitation peut être celui contenu dans l'image ou dans l'unité de stockage. Le premier système d'exploitation comporte alors un émulateur logiciel permettant de lancer un second système d'exploitation, communément appelé système d'exploitation invité. Dans cet exemple, l'utilisateur peut passer du premier système d'exploitation au deuxième système d'exploitation selon sa convenance. Ainsi, lorsque l'utilisateur souhaite travailler dans son propre environnement, il peut utiliser le système d'exploitation de l'unité de stockage 5 dont il a la totale maîtrise des logiciels installés, et lorsqu'il souhaite avoir accès aux services du fournisseur, il utilise le système d'exploitation de l'image système. L'utilisation d'un émulateur logiciel ralenti les performances, l'homme du métier pourra donc utiliser d'autres types de virtualisation comme un hyperviseur.
Un type d 'hyperviseur utilisé peut être de la technologie XEN permettant de faire tourner plusieurs systèmes d'exploitation et leurs applications de manière isolée sur une même machine physique comme illustré à la figure 5.
L'hyperviseur forme alors une couche de virtualisation. Selon un développement, cette couche pourra être initialement stockée dans la carte de connexion 9 ou dans le module sécurisé 4. Dans ce cas, il sera possible soit lors du premier fonctionnement de l'appareil électronique d'installer automatiquement l'hyperviseur sur l'appareil, soit de démarrer l'hyperviseur avant chaque démarrage par virtualisation.
Bien entendu, tout type de virtualisation existant et futur pourra être adapté par l'homme du métier.
L'interface de démarrage 8 peut être un environnement de démarrage en réseau de l'appareil. Selon une mise en œuvre particulière, il peut s'agir d'une interface de type PXE (Pre-Boot exécution Environment) correspondant à une norme développée par INTEL®. Le fonctionnement précis d'une interface PXE est décrit dans la spécification 2.1 de la norme définie par Intel Corporation du 20 Septembre 1999.
Le serveur d'attribution d'adresses 10 peut être un serveur de type DHCP (« Dynamic Host Configuration Protocol » en anglais). Un tel serveur permet d'assurer la configuration automatique des paramètres Internet (IP pour
« Internet Protocol » en anglais) d'un appareil en lui assignant entre autre une adresse. L'assignation d'une adresse à l'interface de démarrage 8 est nécessaire pour lui permettre de dialoguer par IP avec le serveur de téléchargement 11. Le serveur DHCP a une adresse IP correspondant à l'adresse IP de la carte de connexion 9 ou du module sécurisé 4. Il est joignable, si on utilise la documentation RFC (pour « Request For Comment » en anglais), sur le port 67.
Chaque serveur de téléchargement 11 de fichiers peut être de type : - protocole simplifié de transfert de fichiers TFTP (« Trivial File Transfert Protocol » en anglais). Les avantages de l'utilisation d'un tel serveur de fichiers sont sa simplicité de fonctionnement et sa faible consommation de ressources. Tout autre type de serveur se basant sur les spécifications du FTP (« File Transfert Protocol ») pourra bien entendu être utilisé. Le serveur TFTP a, de préférence, une adresse IP correspondant à l'adresse
IP de la carte de connexion 9 ou du module sécurisé 4. Il est joignable, si on utilise la RFC, sur le port 69,
- HTTP (pour « HyperText Transfert Protocol » en anglais).
Une fois que le noyau démarre, il peut télécharger des fichiers complémentaires constitutifs de l'image système en utilisant, par exemple, un serveur de téléchargement de type système de fichier réseau NFS (pour « Network File System » en anglais).
Ainsi, selon une mise en œuvre du premier mode de réalisation, illustrée à la figure 6, pour démarrer une image système, le PXE récupère une adresse IP (étape E1 ) en émettant une requête DHCP sur le réseau. À réception de la requête DHCP, le serveur DHCP renvoie au PXE une adresse IP qui lui est attribuée. Lors de l'envoi de l'adresse IP, le serveur DHCP peut aussi communiquer des informations supplémentaires au PXE, comme par exemple l'adresse d'un serveur de nom (DNS pour « Domain Name System » en anglais) ou encore le l'adresse du serveur de téléchargement TFTP à contacter et le nom d'un fichier de démarrage à télécharger. Cette adresse IP, et les informations transmises concomitamment, permettent ensuite au PXE de contacter le serveur de téléchargement TFTP pour lui demander de récupérer un fichier de démarrage (étape E5). Le fichier de démarrage comporte des données relatives à un noyau de l'image système et à un type de serveur de téléchargement à contacter pour récupérer le noyau. Le serveur à contacter pour récupérer le noyau peut être le même que celui ayant fourni le fichier de démarrage ou un serveur différent. De préférence, le fichier de démarrage est situé dans le module sécurisé 4 qui est contacté (étape E6) au cours de l'étape E5. Après la récupération du fichier de démarrage (fin de l'étape E5), le PXE peut, après une éventuelle interaction utilisateur, récupérer le noyau de l'image système (étape E2) par l'intermédiaire, par exemple, du serveur TFTP. Si le noyau est stocké dans le module sécurisé, l'étape E3 est réalisée au cours de l'étape E2 préalablement à l'envoi du noyau au PXE. Après récupération du noyau par le PXE, l'image système peut enfin démarrer. Durant la phase de démarrage, le noyau peut extraire de l'image système les fichiers dont il a besoin pour mettre en service la plateforme de services. Les fichiers de l'image système dont le noyau a besoin peuvent être fournis par un serveur de téléchargement distinct, par exemple de type NFS. Bien entendu, les fichiers nécessaires à la mise en place de l'image système peuvent être situés dans le module sécurisé 4, ou si le noyau était dans le module sécurisé 4, dans une autre mémoire par exemple l'unité de stockage 5.
Selon une mise en œuvre du deuxième mode de réalisation, illustrée à la figure 7, les étapes E6 et E3 de la précédente mise en œuvre (figure 6) sont remplacées par les étapes E7 et E4 correspondant toutes les deux à une vérification de la signature des fichiers représentatifs du fichier de démarrage et du noyau par les moyens de vérification 12.
De manière générale, , le PXE peut proposer préalablement au téléchargement du noyau une liste de choix de démarrage à un utilisateur. Cette liste correspond à un même noyau (avec différents paramètres de démarrage) ou à différents noyaux accessibles à partir du module sécurisé 4 par téléchargement ou de l'unité de stockage 5. Avec le PXE, des moyens supplémentaires de test d'intégrité du noyau peuvent être mis en place en utilisant des moyens de vérification de signature intégrés au PXE, faisant partie de la spécification du PXE, et connus sous le nom de BIS (pour « Boot Integrity Service » en anglais).
Dans ce dernier cas, le PXE peut vérifier l'intégrité du noyau avant de le démarrer. Ceci permet d'éviter que le noyau soit modifié au cours du téléchargement. Les moyens de vérification de signature PXE BIS pourront être utilisés en complément en utilisant le même certificat que celui stocké dans le module sécurisé 4.
En cours de fonctionnement de l'image, les fichiers la constituant peuvent être vérifiés afin d'anticiper un redémarrage de l'appareil ou de l'image système, dans le cas où la virtualisation est utilisée.
Les moyens de vérification de signature 12 permettent d'authentifier l'origine d'un fichier et d'en assurer son intégrité. Une signature peut être réalisée, par exemple, en utilisant des mécanismes de cryptographie asymétrique. La cryptographie asymétrique comporte une clé publique et une clé privée, elle est fondée sur l'utilisation de fonctions à sens unique. Une fois la fonction appliquée à un fichier ou à des données, il devient extrêmement difficile d'accéder au fichier ou aux données originales. Des certificats permettant de vérifier l'authenticité sont, par exemple, stockés dans la zone de stockage 3 du module sécurisé 4. Ainsi, l'étape de vérification de l'authenticité permet de certifier l'origine du fichier qui sera signé par le fournisseur. Si une signature est considérée comme non conforme, le processus de démarrage de l'image système pourra être interrompu.
Selon un exemple de réalisation, l'appareil électronique 1 est un appareil communicant comportant une carte de connexion 9 munie de moyens d'émission-réception sans-fils aptes à se connecter à Internet ou des réseaux IP privés par l'intermédiaire d'un réseau cellulaire de type troisième génération (3G/3G+). La troisième génération permet des débits jusqu'à 14Mbps sur le réseau opérateur. Bien entendu, l'invention ne se limite pas à l'utilisation de cette technologie et s'adapte à tout type de réseaux opérateurs (2G, 4G, WIMAX, WIFI, etc.). Ainsi, comme illustré à la figure 8, la carte de connexion 9 de l'appareil électronique 1 permet par les moyens d'émission- réception 20 de connecter l'appareil à une antenne cellulaire 13a faisant partie d'un réseau d'antennes d'un opérateur de téléphonie mobile, et reliée à un réseau d'accès opérateur 15b. Le réseau opérateur 15b permet par l'utilisation d'une passerelle Internet 14 (APN Internet pour « Access Point Name » en Anglais) de connecter l'appareil mobile 1 au réseau Internet 15a, et d'accéder ainsi à des services situés sur des serveurs web distants 19.
Avec les évolutions d'Internet et l'augmentation constante des débits de données, les opérateurs de téléphonie proposent des services de plus en plus complexes. L'accès à ces services peut être compromis par une mise à jour de l'un des éléments du système d'exploitation ou d'une application. À titre d'exemple, après une mise à jour d'un navigateur Internet, certaines pages Internet ne peuvent plus être affichées convenablement. Dans le cadre d'un abonnement, l'opérateur téléphonique peut fournir des services distribués. Par services distribués, on entend des services situés sur un serveur distant 19 (figure 8) et nécessitant une connexion Internet ou un réseau IP privé pour accéder à ce serveur. Si ces services ne sont plus accessibles à cause d'une mise à jour du navigateur, cela entraîne des mécontentements des utilisateurs ne pouvant jouir pleinement de leur abonnement pour lequel ils rétribuent l'opérateur de téléphonie mobile. La qualité de service (QoS pour « Quality of Service » en anglais) est un facteur important pour les utilisateurs.
C'est pourquoi l'utilisation d'un appareil électronique selon l'invention permet à un opérateur de téléphonie mobile de maîtriser la plateforme. Les systèmes d'exploitation et les services fournis par un opérateur téléphonique évoluent. Ainsi, il peut être nécessaire de mettre à jour l'image système pour l'améliorer, ou lui procurer de nouvelles applications en concordance avec les services fournis par l'opérateur de téléphonie mobile. Afin d'assurer à l'utilisateur une qualité de service et un accès complet aux fonctionnalités de son abonnement, l'image système ne peut être modifiée que par l'opérateur de téléphonie mobile et, de préférence, que lorsque ce dernier aura validé les nouvelles applications, ou les mises à jour d'applications, pour vérifier qu'elles n'altèrent pas le fonctionnement de ses services. Les mises à jour peuvent être réalisées par l'opérateur de téléphonie mobile par l'intermédiaire d'une connexion à un réseau virtuel privé VPN (pour « Virtual Private Network » en anglais). De préférence, la connexion VPN utilise des technologies, définie par l'organisme 3GPP (pour « 3rd Génération Partnership Project » en anglais). Ces technologies peuvent être le I-WLAN correspondant à un système d'interconnexion avec un réseau sans-fils local (WIFI, Ethernet, etc.). La technologie j-WLAN permet d'ouvrir un tunnel VPN sécurisé en utilisant les mécanismes d'authentification du module sécurisé 4 (par exemple la norme EAP-SIM). Ainsi, comme sur la figure 8, un tunnel VPN 18 peut s'établir, via un point d'accès WIFI 13b, entre la carte de connexion 9, ou le module sécurisé 4, et une passerelle 17 (PDG pour « Packet Data Gateway » en anglais) de l'opérateur de sorte que la carte de connexion 9 ou le module sécurisé 4 puisse accéder à un réseau privé 21 de l'opérateur de téléphonie mobile via le réseau Internet 15a. Le réseau privé 21 comporte au moins un serveur stockant les différentes mises à jour de l'image système. La carte de connexion 9, ou le module sécurisé 4, peut dès lors télécharger les mises à jour qui seront utilisées lors d'un démarrage ultérieur de l'appareil ou de l'image système. Les mises à jour peuvent être manuelles ou automatiques. Une autre technologie utilisée pour les mises à jour peut consister en une connexion au réseau 15b de l'opérateur via l'antenne cellulaire 13 pour accéder à un APN privé 22 réservé au téléchargement et permettant une connexion directe au serveur de téléchargement 21.
Les mises à jour peuvent être réalisées à l'initiative de l'opérateur en utilisant des mécanismes standardisés de réseau mobile permettant à l'opérateur de téléphonie de modifier à distance des données du module sécurisé 4 (OTA pour « Over The Air » en anglais).
Pour des raisons de sécurité, lors d'une mise à jour, la carte de connexion 9 sera active, mais pourra être configurée pour ne pas être utilisée pour naviguer sur Internet. Si la carte de connexion peut établir deux sessions simultanées au-dessus d'une antenne cellulaire 2 du réseau de l'opérateur de téléphonie ou d'un réseau sans fils, il sera possible que la carte de connexion puisse être utilisée pour naviguer sur Internet lors d'une mise à jour.
L'ajout ou les mises à jours de composants logiciels (ou applications) peuvent être contrôlés ou non par l'opérateur de téléphonie mobile. À titre d'exemple, l'opérateur pourra établir une liste d'applications nécessitant son autorisation pour être installées car connues comme étant susceptibles d'altérer ses services. Ainsi, pour l'installation d'une application correspondant à un traitement de texte n'ayant aucun besoin d'accéder à des ressources Internet, l'utilisateur pourra être libre de choisir la version à installer.
Les composants logiciels nécessaires au fonctionnement de la carte de connexion 9 peuvent être sécurisés par signature électronique ou stockage dans la zone de stockage 3 du module sécurisé 4 de la même manière que l'image système. La signature électronique du contenu est alors vérifié par le module sécurisé 4. Ceci permet d'éviter tout piratage ou modification malintentionnée des composants logiciels embarqués dans la carte de connexion 9 et nécessaires à son fonctionnement.
Un appareil mobile et ses variantes telles que décrites permettent à un opérateur de téléphonie mobile de maîtriser, contrôler et gérer les composants logiciels nécessaires pour constituer la plateforme nécessaire à ses services. De plus, cela permet d'éviter à des solutions concurrentes de l'opérateur de téléphonie de remplacer ou d'altérer ses services.
À titre d'exemple, l'appareil électronique est un routeur de paquets IP (pour « Internet Protocol » en anglais), l'image système comporte alors des applications d'analyse des paquets pour déterminer leurs destinations, des applications de filtrage de certains paquets, etc.
Selon un autre exemple, l'appareil électronique est un appareil interactif mobile ou non muni d'un écran. Il peut alors s'agir d'un téléphone mobile, d'un ordinateur portable ou fixe, etc. Dans cet exemple, l'image système comporte, en plus des applications, une interface homme machine (IHM) permettant à un utilisateur d'interagir avec les applications installées sur l'appareil électronique.

Claims

Revendications
1. Appareil électronique caractérisé en ce qu'il comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé (4) de type carte à puce muni d'une zone de stockage (3), au moins une partie des fichiers représentatifs de l'image système étant contrôlée par le module sécurisé (4).
2. Appareil selon la revendication 1 , caractérisé en ce que le module sécurisé (4) est une carte à puce de type à circuit intégré, une carte à module d'identité d'abonné, ou une carte à module universel d'identité d'abonné.
3. Appareil selon l'une des revendications 1 et 2, caractérisé en ce que les fichiers représentatifs de l'image système sont stockés en totalité ou en partie dans la zone de stockage (3).
4. Appareil selon la revendication 3, caractérisé en ce qu'une partie des fichiers représentatifs de l'image système est stockée dans une unité de stockage (5) distincte de la zone de stockage (3), au moins un des fichiers de l'image système stocké dans l'unité de stockage (5) comporte une signature électronique, et en ce que le module sécurisé (4) comporte des moyens de vérification (12) de la signature électronique coopérant avec un certificat stocké dans le module sécurisé (4).
5. Appareil selon l'une des revendications 3 et 4, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication à une carte de connexion (9) comportant le module sécurisé (4), ladite carte de connexion (9) comportant un serveur d'attribution (10) d'adresses Internet et un serveur de téléchargement (11) de fichiers stockés dans la zone de stockage (3) du module sécurisé (4).
6. Appareil selon l'une des revendications 3 et 4, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication au module sécurisé (4), ledit module sécurisé (4) comportant un serveur de téléchargement (11) de fichiers stockés dans la zone de stockage (3) du module sécurisé (4).
7. Appareil selon l'une des revendications 1 et 2, caractérisé en ce que les fichiers constituant l'image système étant situées dans une unité de stockage (5) distincte de la zone de stockage (3), au moins un des fichiers de l'image système comporte une signature électronique, et en ce que le module sécurisé (4) comporte des moyens de vérification (12) de la signature électronique coopérant avec un certificat stocké dans le module sécurisé (4).
8. Appareil selon la revendication 7, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication à une carte de connexion (9) comportant le module sécurisé (4), ladite carte de connexion comportant un serveur d'attribution (10) d'adresses Internet et un serveur de téléchargement (11 ) de fichiers stockés dans l'unité de stockage (5).
9. Appareil selon la revendication 7, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication au module sécurisé (4), ledit module sécurisé (4) comportant un serveur de téléchargement (11) de fichiers stockés dans l'unité de stockage (5).
10. Appareil selon l'une des revendications 5 et 8, caractérisé en ce que le serveur d'attribution d'adresse (10) et/ou le serveur de téléchargement (11) de fichiers sont embarqués dans le module sécurisé (4).
11. Procédé de démarrage de l'image système d'un appareil selon l'une quelconque des revendications 5, 6, 8, 9 et 10, caractérisé en ce qu'il comporte les étapes successives suivantes : - la récupération d'une adresse Internet par l'interface de démarrage (8) auprès du serveur d'attribution d'adresses Internet (10),
- la connexion de l'interface de démarrage (8) au serveur de téléchargement (11) de fichiers,
- la récupération par l'interface de démarrage (8) d'un fichier de démarrage et d'un noyau de l'image système contenu dans le module sécurisé (4) par téléchargement,
- le démarrage de l'image système réalisé par l'interface de démarrage (8),
- la récupération par le noyau de fichiers de l'image système nécessaires à la mise en place d'une plateforme de services.
12. Procédé selon la revendication 11 , caractérisé en ce que l'étape de récupération du fichier de démarrage et/ou du noyau est réalisée par téléchargement à partir de la zone de stockage (3) du module sécurisé (4).
13. Procédé selon la revendication 11 , caractérisé en ce que l'étape de récupération du fichier de démarrage et/ou du noyau est réalisée par téléchargement dans une unité de stockage (5), et comporte une vérification de l'intégrité avant d'envoyer le noyau et/ou le fichier de démarrage à l'interface de démarrage (8).
14. Procédé selon l'une quelconque des revendications 11 à 13, caractérisé en ce que l'interface de démarrage (10) démarre l'appareil mobile (1) par virtualisation en utilisant le noyau de l'image système téléchargée et un système d'exploitation contenu dans une unité de stockage (5) de l'appareil (1 ).
PCT/FR2010/000254 2009-03-30 2010-03-24 Appareil électronique à image système embarquée pour plateforme de services WO2010112692A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR09/01542 2009-03-30
FR0901542A FR2943810B1 (fr) 2009-03-30 2009-03-30 Appareil electronique a image systeme embarquee pour plateforme de services

Publications (1)

Publication Number Publication Date
WO2010112692A1 true WO2010112692A1 (fr) 2010-10-07

Family

ID=41130468

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2010/000254 WO2010112692A1 (fr) 2009-03-30 2010-03-24 Appareil électronique à image système embarquée pour plateforme de services

Country Status (2)

Country Link
FR (1) FR2943810B1 (fr)
WO (1) WO2010112692A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138158A1 (en) * 2003-12-23 2005-06-23 International Business Machines Corp. Software download method and system
FR2864276A1 (fr) * 2003-12-19 2005-06-24 Thales Sa Procede de detection de modifications illicites des logiciels constructeurs
US20070214348A1 (en) * 2006-03-07 2007-09-13 Sun Microsystems, Inc. Method and apparatus for operating system deployment
US20080270782A1 (en) 2006-10-20 2008-10-30 Vodafone Group Plc Boot process

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2864276A1 (fr) * 2003-12-19 2005-06-24 Thales Sa Procede de detection de modifications illicites des logiciels constructeurs
US20050138158A1 (en) * 2003-12-23 2005-06-23 International Business Machines Corp. Software download method and system
US20070214348A1 (en) * 2006-03-07 2007-09-13 Sun Microsystems, Inc. Method and apparatus for operating system deployment
US20080270782A1 (en) 2006-10-20 2008-10-30 Vodafone Group Plc Boot process

Also Published As

Publication number Publication date
FR2943810B1 (fr) 2011-06-03
FR2943810A1 (fr) 2010-10-01

Similar Documents

Publication Publication Date Title
EP1987653B1 (fr) Procede et dispositif de configuration securisee d'un terminal
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
EP3044913B1 (fr) Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux
WO2014199102A1 (fr) Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
FR2997525A1 (fr) Procede de fourniture d’un service securise
FR3013541A1 (fr) Procede et dispositif pour la connexion a un service distant
EP2077515A1 (fr) Dispositif, systèmes et procédé de démarrage sécurisé d'une installation informatique
EP3549330B1 (fr) Procédé et système pour réaliser une operation sensible au cours d'une session de communication
WO2007010160A2 (fr) Procede de configuration d'un terminal a travers un reseau d'acces
WO2010112692A1 (fr) Appareil électronique à image système embarquée pour plateforme de services
EP1737191B1 (fr) Procédé de création d'un terminal éclaté entre un terminal de base et des équipements connectés en serie
FR2923041A1 (fr) Procede d'ouverture securisee a des tiers d'une carte a microcircuit.
EP2912598B1 (fr) Procédé de téléchargement d'au moins un composant logiciel dans un appareil informatique, produit programme d'ordinateur, appareil informatique et système informatique associés
WO2020259980A1 (fr) Procedes et dispositifs de securisation d'un reseau de peripherie a acces multiple
CA3153796A1 (fr) Procede de connexion d'un noeud de communication, et noeud de communication correspondant
EP3127374B1 (fr) Accès sécurisé à un réseau étendu via un réseau de communication mobile
EP3667530A1 (fr) Accès sécurise à des données chiffrées d'un terminal utilisateur
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
EP2471237A1 (fr) Dispositif électronique nomade configuré pour établir une communication sans fil sécurisé
FR2895857A1 (fr) Systeme, dispositif portable et procede pour la configuration d'un dispositif communicant dans un reseau
WO2019122390A1 (fr) Procédé de sécurisation d'un protocole usb par authentification d'un périphérique usb par un appareil et par chiffrement des échanges entre le périphérique et l'appareil et dispositifs associés
EP2341688B1 (fr) Procédé d'authentification securisée d'un terminal itinérant sur un réseau de télécommunications sans fil
WO2013050674A1 (fr) Boîtier informatique d'accès sécurisé à un système d'information
FR3042362A1 (fr) Moyens de gestion d'acces a des donnees

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10713490

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 10713490

Country of ref document: EP

Kind code of ref document: A1