FR2943810A1 - Appareil electronique a image systeme embarquee pour plateforme de services - Google Patents

Appareil electronique a image systeme embarquee pour plateforme de services Download PDF

Info

Publication number
FR2943810A1
FR2943810A1 FR0901542A FR0901542A FR2943810A1 FR 2943810 A1 FR2943810 A1 FR 2943810A1 FR 0901542 A FR0901542 A FR 0901542A FR 0901542 A FR0901542 A FR 0901542A FR 2943810 A1 FR2943810 A1 FR 2943810A1
Authority
FR
France
Prior art keywords
secure module
system image
files
kernel
storage area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0901542A
Other languages
English (en)
Other versions
FR2943810B1 (fr
Inventor
Lionel Fiat
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0901542A priority Critical patent/FR2943810B1/fr
Priority to PCT/FR2010/000254 priority patent/WO2010112692A1/fr
Publication of FR2943810A1 publication Critical patent/FR2943810A1/fr
Application granted granted Critical
Publication of FR2943810B1 publication Critical patent/FR2943810B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

L'appareil électronique comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé (4) de type carte à puce muni d'une zone de stockage (3). Au moins une partie des fichiers représentatifs de l'image système est contrôlée par le module sécurisé (4).

Description

Appareil électronique à image système embarquée pour plateforme de services Domaine technique de l'invention
L'invention est relative à un appareil électronique. État de la technique
Les appareils électroniques proposent des plateformes de services à 15 destinations d'utilisateurs ou de machines. Classiquement, un appareil électronique repose sur une architecture matérielle au-dessus de laquelle vient se greffer un système d'exploitation de l'appareil muni d'applications spécifiques. Les fournisseurs de plateformes intègrent aux appareils électroniques des systèmes d'exploitations et des applications, pouvant tous 20 deux être développés par des tiers, afin de former la plateforme associée aux services à fournir.
Les fournisseurs se heurtent à des modifications non autorisées de leurs plateformes. Ces modifications peuvent se présenter sous la forme de mises 25 à jour du système d'exploitation, d'applications, ou d'ajouts d'applications modifiant le fonctionnement global de la plateforme de services. Les mises à jours ou ajouts peuvent être réalisés par les concepteurs du système d'exploitation, des applications, ou encore par des utilisateurs souhaitant modifier le comportement de la plateforme et ce à l'insu des fournisseurs. 10 30
Les solutions actuelles ne permettent pas d'assurer à un fournisseur que la plateforme qu'il vend sera toujours fonctionnelle de manière optimale.
Objet de l'invention
Le but de l'invention a pour objet de mettre en oeuvre une solution de contrôle des composants logiciels d'un appareil.
Ce but est atteint en ce que l'appareil comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé de type carte à puce muni d'une zone de stockage, au moins une partie des fichiers représentatifs de l'image système étant contrôlée par le module sécurisé.
Selon une variante, le module sécurisé est une carte à puce de type carte à circuit intégré comportant un module d'identité d'abonné, ou un module universel d'identité d'abonné.
Selon un premier mode de réalisation, les fichiers représentatifs de l'image système sont stockés en totalité ou en partie dans la zone de stockage.
Selon une variante de réalisation du premier mode de réalisation, une partie des fichiers représentatifs de l'image système est stockée dans une unité de stockage distincte de la zone de stockage, au moins un des fichiers de l'image système stocké dans l'unité de stockage comporte une signature électronique, et le module sécurisé comporte des moyens de vérification de la signature électronique coopérant avec un certificat stocké dans le module sécurisé.
Selon un deuxième mode de réalisation, les fichiers constituant l'image système étant situés dans une unité de stockage distincte de la zone de
stockage, au moins un des fichiers de l'image système comporte une signature électronique, et le module sécurisé comporte des moyens de vérification de la signature électronique coopérant avec un certificat stocké dans le module sécurisé.
L'appareil peut comporter une interface de démarrage reliée par un protocole de communication à une carte de connexion comportant le module sécurisé, ladite carte de connexion comportant un serveur d'attribution d'adresses Internet et un serveur de téléchargement de fichiers stockés dans la zone de stockage du module sécurisé dans le premier mode de réalisation ou dans l'unité de stockage dans le deuxième mode de réalisation.
Un autre objet de l'invention est un procédé de démarrage de l'image système d'un appareil comportant les étapes successives suivantes : la récupération d'une adresse Internet par l'interface de démarrage auprès du serveur d'attribution d'adresses Internet, la connexion de l'interface de démarrage au serveur de téléchargement de fichiers, la récupération par l'interface de démarrage d'un fichier de démarrage 20 puis d'un noyau de l'image système, le démarrage de l'image système réalisé par l'interface de démarrage, la récupération par le noyau de fichiers de l'image système nécessaires à la mise en place d'une plateforme de services.
25 Selon un développement, l'étape de récupération du fichier de démarrage et/ou du noyau est réalisée par téléchargement à partir de la zone de stockage du module sécurisé.
Selon un autre développement, l'étape de récupération du fichier de 30 démarrage et/ou du noyau est réalisée par téléchargement dans une unité de
stockage et comporte une vérification de l'intégrité avant d'envoyer le noyau et/ou le fichier de démarrage à l'interface de démarrage.
Description sommaire des dessins
D'autres avantages et caractéristiques ressortiront plus clairement de la description qui va suivre de modes particuliers de réalisation de l'invention donnés à titre d'exemples non limitatifs et représentés aux dessins annexés, io dans lesquels :
La figure 1 illustre un schéma bloc d'un appareil électronique. La figure 2 représente un diagramme relatif à une phase de démarrage d'une image système de l'appareil selon un premier mode de réalisation. 15 La figure 3 représente un diagramme relatif à une phase de démarrage d'une image système de l'appareil selon un deuxième mode de réalisation. Les figures 4 et 5 illustrent deux types de fonctionnement de virtualisation. La figure 6 illustre un diagramme relatif à une phase de démarrage de l'appareil selon une variante du premier mode de réalisation. 20 La figure 7 illustre un diagramme relatif à une phase de démarrage de l'appareil selon une variante du deuxième mode de réalisation. La figure 8 illustre schématiquement la connexion d'un appareil à un serveur de mises à jour.
25 Description de modes préférentiels de réalisation
Comme illustré à la figure 1, l'appareil électronique 1 comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module 30 sécurisé 4 de type carte à puce muni d'une zone de stockage 3. Au moins
une partie des fichiers représentatif de l'image système est contrôlée par le module sécurisé 4.
L'image système forme un ensemble de données nécessaires à l'appareil électronique pour fonctionner et réaliser les actions pour lesquelles il a été fabriqué. L'image système peut contenir un noyau, formant la couche élémentaire permettant à des applications logicielles de dialoguer avec les ressources matérielles de l'appareil électronique, des librairies regroupant les opérations courantes utilisées par les applications logicielles, faisant elles o aussi parties de l'image système. Elle permet donc à un appareil électronique de se transformer en plateforme de services et de garantir que le ou les services fournis par ladite plateforme sont bien ceux prévus par le fournisseur de la plateforme.
15 De manière classique, l'appareil électronique peut comporter une carte-mère 6 représentative des ressources matérielles de l'appareil électronique 1. Cette carte mère peut comporter une unité de stockage 5, un processeur central 7, des entrée sorties, des liens de connexion réseau, etc.
20 La carte à puce, formant le module sécurisé 4, peut être du type carte à circuit(s) intégré(s) UICC (pour Universal Integrated Circuit Card en anglais) comme celles utilisées en téléphonie mobile et plus connues sous le nom de carte à module d'identité d'abonné (SIM pour Subscriber Identity Module en anglais) ou de carte à module universel d'identité d'abonné 25 (USIM pour Universal Subscriber Identity Module en anglais). Une carte à puce intègre en règle générale un ou plusieurs circuits intégrés (ICC pour Integrated Circuit Card en anglais) comportant au moins une mémoire sécurisée (formant la zone de stockage 3), au moins un processeur, etc.
30 Selon un premier mode de réalisation, les fichiers représentatifs de l'image système sont stockés en totalité ou en partie dans la zone de stockage 3.
Ainsi, les fichiers stockés dans la zone de stockage 3 sont sécurisés et assurent un fonctionnement optimal de l'appareil par une image système approuvée par le fournisseur ayant configuré le module sécurisé 4. L'accès à la zone de stockage 3 étant restreint, la modification malintentionnée des fichiers qu'elle contient n'est pas possible. Le contrôle de l'image système est assuré par le fait qu'un des fichiers nécessaire 2 à son fonctionnement est disposé dans la zone de stockage 3 du module sécurisé 4. En effet, cette zone de stockage 3 est maîtrisée et protégée par le module de sécurité. Lors du démarrage de l'image système, si un fichier est manquant ou modifié, ~o l'image sera corrompue et le démarrage interrompu.
De préférence, le fichier stocké dans la zone de stockage 3 est le noyau de l'image système. Les fichiers de l'image système non stockés dans la zone de stockage 3 peuvent être embarqué dans tout type de mémoire disposée 15 dans l'appareil électronique, par exemple une unité de stockage 5 de type disque dur, mémoire, etc. Selon une variante, au moins un des fichiers de l'image système stocké dans l'unité de stockage 5 comporte une signature électronique, et le module sécurisé comporte des moyens de vérification 12 de la signature électronique coopérant avec un certificat stocké dans le 20 module sécurisé 4, de préférence dans la zone de stockage 3, afin de valider ou d'invalider l'intégrité du ou des fichiers correspondant.
L'utilisation d'un module sécurisé 4 à carte à puce de type carte à circuit(s) intégré(s), par exemple SIM ou USIM, permet l'utilisation de leurs protocoles 25 de sécurité intrinsèque pour stocker tout ou partie d'une image système et assurer la maîtrise et la sécurité de cette dernière. Il devient alors difficile de modifier l'image systèrne pour installer ses propres applications et ainsi influer sur le fonctionnement de la plateforme de services.
30 Comme suggéré précédemment, la totalité de l'image système peut être stockée dans la zone de stockage 3 du module sécurisé 4. Ceci est rendu
possible si la taille de la zone de stockage 3 est suffisante. Le fait de disposer la totalité de l'image système dans la zone de stockage 3 du module sécurisé 4 améliore la sécurité de l'image système, rendant plus difficile la modification malintentionnée. En effet, pour modifier le contenu des fichiers disposés dans la zone de stockage 3, il faut connaître des codes d'accès définis seulement connus par le fournisseur ou par un tiers de confiance. Sans ces codes, il est très difficile de modifier le contenu.
Selon un second mode de réalisation, le contrôle de l'image système par le module sécurisé 4 peut être réalisé par une signature électronique d'au moins un fichier constitutif de l'image système. Les fichiers de l'image système peuvent alors être stockés dans une unité de stockage 5 distincte de la zone de stockage 3 du module sécurisé 4. Le module sécurisé 4 comporte alors des moyens de vérification 12 de la signature électronique du ou des fichiers de l'image système avant et/ou pendant le démarrage de cette dernière pour en vérifier l'authenticité. Les moyens de vérification 12 coopèrent avec un certificat stocké dans le module sécurisé 4, de préférence dans la zone de stockage 3, pour authentifier le ou les fichiers. Les moyens de vérification 12 de la signature électronique peuvent aussi vérifier l'authenticité du ou des fichiers de l'image système pendant le fonctionnement de l'appareil, en vue d'un redémarrage de l'image système. La vérification pendant le fonctionnement permet d'assurer que l'image système n'a pas été modifiée de façon malintentionnée entre deux démarrages.
Selon un développement, l'appareil électronique comporte une interface de démarrage 8 reliée par un protocole de communication soit directement au module sécurisé 4 soit à une carte de connexion 9 intégrant le module sécurisé 4. L'interface de démarrage 8 est, de préférence, intégrée à la carte mère 6 de l'appareil 1. Le protocole de communication peut être le protocole Internet IP (pour Internet Protocol en anglais). Le protocole IP offre un
service d'adressage permettant à l'interface de démarrage 8 de dialoguer avec la carte de connexion 9 ou le module sécurisé 4. Dans ce cas, la carte de connexion 9 et/ou le module sécurisé 4 comportent en outre un serveur d'attribution 10 d'adresses Internet et au moins un serveur de téléchargement 11 de fichiers. Pour le premier mode de réalisation, le serveur de téléchargement 11 permet de télécharger les fichiers de l'image système stockés dans la zone de stockage 3 du module sécurisé 4, et le cas échéant dans l'unité de stockage 5. Dans le deuxième mode de réalisation, le serveur de téléchargement 11 permet de télécharger les fichiers de l'image système stockés dans ''unité de stockage 5. Selon un perfectionnement, le serveur d'attribution d'adresse 10 et de téléchargement 11 sont embarqués dans le module sécurisé 4 (non représenté à la figure 1), leur intégrité de fonctionnement est alors garantie par les mécanismes de sécurité du module sécurisé 4.
Dans le cas où l'interface de démarrage 8 est directement reliée au module sécurisé 4, il est possible de s'affranchir du serveur d'attribution d'adresses 10. En effet, il est considéré que l'interface de démarrage a la possibilité d'accéder directement aux fichiers sans avoir besoin d'utiliser des protocoles nécessitant une adresse P.
La carte de connexion 9 peut se présenter sous la forme d'une carte amovible comportant des moyens d'émission réception destinés à connecter la carte à un réseau d'opérateur de téléphonie mobile ou à un réseau local.
Le fournisseur de la plateforme pouvant alors mettre à jour l'image système selon sa convenance à travers ses réseaux ou d'autres disponibles sur l'appareil. Le module sécurisé 4 joue alors le rôle de sécurisation des données et d'identification auprès de l'opérateur de téléphonie mobile ou du fournisseur.30
La phase de démarrage du premier mode de réalisation est illustrée étape par étape au diagramme de la figure 2. Tout d'abord, l'interface de démarrage 8 récupère une adresse Internet (adresse IP) auprès du serveur d'attribution d'adresses 10 (étape El). L'étape El se réalise, de préférence en deux temps, dans un premier temps l'interface de démarrage envoie une requête de demande d'adresse IP sur le réseau, puis dans un second temps le serveur d'attribution d'adresses 10 répond à l'interface de démarrage 8 en lui attribuant une adresse IP. Cette adresse lui permet de communiquer, par exemple en utilisant le protocole Internet, avec le serveur de téléchargement 11.
En effet, pour dialoguer avec un serveur par un protocole réseau de type IP, il faut connaître une adresse IP et un port du serveur. Dans le présent mode de réalisation, les serveurs d'attribution d'adresses 10 et de téléchargement 15 11 sont contenus dans la carte de connexion 9 ou dans le module sécurisé 4, leur adresse IP peut alors être la même. Lorsque les adresses des serveurs sont identiques, les serveurs 10 et 11 sont joignables indépendamment à une même adresse mais sur des ports différents. Chaque serveur 10 ou 11 attend des requêtes d'un client sur son port spécifique. Ici, le client 20 correspond à l'interface de démarrage 8. Ainsi, après réception de son adresse IP, l'interface de démarrage 8 peut contacter le serveur de téléchargement 11 en utilisant un port prédéfini et comme adresse de destination l'adresse source lui ayant été fournie par le serveur d'attribution d'adresses 10. 25 Après récupération de l'adresse Internet (étape E1), l'interface de démarrage 8 va démarrer l'image système et doit pour cela récupérer le noyau de l'image système dans une étape E2. L'étape E2 se déroule en deux temps. Dans un premier temps, l'interface de démarrage 8 se connecte au serveur 30 de téléchargement 11 en demandant à ce dernier de lui fournir un fichier de démarrage. Dans un second temps l'interface de démarrage 8 se reconnecte
au serveur de téléchargement 11 en demandant à ce dernier de lui fournir le noyau de l'image système. Le fichier de démarrage et/ou le noyau sont, de préférence, tous les deux stockés dans la zone de stockage 3 du module sécurisé 4. Ainsi, lors de l'étape E2, le serveur de téléchargement 11 réalise une étape E3 en se connectant au module sécurisé pour accéder aux fichiers de démarrage et/ou du noyau. Le serveur de téléchargement 11 est alors une porte d'accès aux fichiers. Après récupération du noyau, l'image système peut enfin démarrer. Durant la phase de démarrage, le noyau peut récupérer les fichiers de l'image système dont il a besoin pour mettre en place la plateforme de services. Les fichiers de l'image système dont le noyau a besoin peuvent être fournis par le serveur de téléchargement 11 ou par un serveur de téléchargement distinct. Ces fichiers peuvent être stockés dans la zone de stockage 3 du module sécurisé 4 ou dans une unité de stockage 5 distincte.
La phase de démarrage du deuxième mode de réalisation est illustrée étape par étape au diagramme de la figure 3. Le diagramme de la figure 3 est identique au diagramme de la figure 2 à la différence près que l'étape E3 est remplacée par une étape E4 de vérification de la signature du fichier de démarrage et/ou du noyau, stockés dans l'unité de stockage 5, avant de les envoyer à l'interface de démarrage. Ainsi, si les moyens de vérification 12 de la signature détectent une anomalie, le démarrage est interrompu. Une modification du noyau signé par une tierce partie introduira forcément une modification de la signature. Cette modification est détectée en comparant le noyau avec un certificat contenu dans la zone de stockage 3 du module sécurisé 4. Si l'image système n'est pas authentique, le démarrage ne sera pas possible. Les moyens de vérification 12 peuvent être situés dans le module sécurisé 4 ou dans la carte de connexion 9 si cette dernière est présente.30
L'unité de stockage 5 est représentée sur la figure 1 au niveau de la carte mère 6. Bien entendu, cette unité de stockage 5 peut aussi bien être disposée sur la carte de connexion 9 ou dans d'autres zones de l'appareil électronique du moment que celles-ci sont accessibles lors du démarrage de l'image système.
Ainsi, au démarrage de l'image système de l'appareil, les étapes suivantes peuvent être exécutées successivement : la récupération (étape El) d'une adresse Internet par l'interface de démarrage 8 auprès du serveur d'attribution d'adresses Internet 10, la connexion de l'interface de démarrage 8 au serveur de téléchargement de fichiers 11, la récupération par l'interface de démarrage 8 du fichier de démarrage puis du noyau de l'image système, le démarrage du noyau par l'interface de démarrage 8, la récupération, par le noyau, de fichiers nécessaires à la mise en place d'une plateforme de services.
La dernière étape peut être réalisée par téléchargement des fichiers auprès du serveur de téléchargement 11 ou auprès d'un serveur de téléchargement distinct.
Dans le premier mode de réalisation, l'étape de récupération du fichier de démarrage et/ou de récupération du noyau de l'image système sont réalisées par téléchargement des fichiers correspondants dans la zone de stockage 3 du module sécurisé 4.
Selon la variante du premier mode de réalisation, les fichiers non stockés dans la zone de stockage 3 du module sécurisé 4 peuvent être signés électroniquement, et l'intégrité des fichiers correspondant peut être vérifiée par des moyens de vérification 12 intégrés au module sécurisé 4 coopérant
avec un certificat stocké dans le module sécurisé 4, et de préférence dans la zone de stockage 3. Il s'agit en fait d'appliquer le second mode de réalisation à au moins une partie des fichiers constitutifs de l'image système non stockés dans la zone de stockage 3 de sorte que la sécurité soit améliorée. À titre d'exemple, les fichiers requis par le noyau pour la mise en place de l'image système peuvent être stockés dans l'unité de stockage 5 et être signés électroniquement.
Dans le second mode de réalisation, l'étape de récupération du fichier de démarrage et/ou de récupération du noyau de l'image système comporte une vérification de l'intégrité du fichier de démarrage et/ou du noyau de l'image stockés dans une unité de stockage 5 avant l'envoi des fichiers correspondants à l'interface de démarrage 8.
Selon une variante, l'interface de démarrage 8 peut proposer un menu de démarrage permettant, par exemple à un utilisateur, de démarrer soit sur l'image système du fournisseur, soit sur un système d'exploitation contenu dans l'unité de stockage 5 de l'appareil et sur lequel l'utilisateur a tous les droits de modifications. L'appareil peut aussi démarrer par virtualisation de l'image système contrôlée, et d'un système d'exploitation annexe contenu dans l'unité de stockage 5 de l'appareil 1.
La virtualisation est définie par les techniques, logicielles ou matérielles permettant de faire fonctionner sur un même appareil électronique plusieurs systèmes d'exploitations différents comme s'ils fonctionnaient sur des machines distinctes. Un exemple de virtualisation est illustré à la figure 4, il s'agit de lancer sur un appareil un premier système d'exploitation, communément appelé système d'exploitation hôte, faisant l'interface avec le matériel physique de l'appareil. Ce premier système d'exploitation peut être celui contenu dans l'image ou dans l'unité de stockage. Le premier système d'exploitation comporte alors un émulateur logiciel permettant de lancer un
second système d'exploitation, communément appelé système d'exploitation invité. Dans cet exemple, l'utilisateur peut passer du premier système d'exploitation au deuxième système d'exploitation selon sa convenance. Ainsi, lorsque l'utilisateur souhaite travailler dans son propre environnement, il peut utiliser le système d'exploitation de l'unité de stockage 5 dont il a la totale maîtrise des logiciels installés, et lorsqu'il souhaite avoir accès aux services du fournisseur, il utilise le système d'exploitation de l'image système. L'utilisation d'un émulateur logiciel ralenti les performances, l'homme du métier pourra donc utiliser d'autres types de virtualisation comme un hyperviseur.
Un type d'hyperviseur utilisé peut être de la technologie XEN permettant de faire tourner plusieurs systèmes d'exploitation et leurs applications de manière isolée sur une même machine physique comme illustré à la figure 5.
L'hyperviseur forme alors une couche de virtualisation. Selon un développement, cette couche pourra être initialement stockée dans la carte de connexion 9 ou dans le module sécurisé 4. Dans ce cas, il sera possible soit lors du premier fonctionnement de l'appareil électronique d'installer automatiquement l'hyperviseur sur l'appareil, soit de démarrer l'hyperviseur avant chaque démarrage par virtualisation.
Bien entendu, tout type de virtualisation existant et futur pourra être adapté par l'homme du métier.
L'interface de démarrage 8 peut être un environnement de démarrage en réseau de l'appareil. Selon une mise en oeuvre particulière, il peut s'agir d'une interface de type PXE (Pre-Boot eXecution Environment) correspondant à une norme développée par INTEL . Le fonctionnement précis d'une interface PXE est décrit dans la spécification 2.1 de la norme définie par Intel Corporation du 20 Septembre 1999.
Le serveur d'attribution d'adresse 10 peut être un serveur de type DHCP ( Dynamic Host Configuration Protocol en anglais). Un tel serveur permet d'assurer la configuration automatique des paramètres Internet (IP pour Internet Protocol en anglais) d'un appareil en lui assignant entre autre une adresse. L'assignation d'une adresse à l'interface de démarrage 8 est nécessaire pour lui permettre de dialoguer par IP avec le serveur de téléchargement 11. Le serveur DHCP a une adresse IP correspondant à l'adresse IP de la carte de connexion 9 ou du module sécurisé 4. Il est joignable, si on utilise la documentation RFC (pour Request For Comment en anglais), sur le port 67.
Chaque serveur de téléchargement 11 de fichiers peut être de type : protocole simplifié de transfert de fichiers TFTP ( Trivial File Transfert Protocol en anglais). Les avantages de l'utilisation d'un tel serveur de fichiers sont sa simplicité de fonctionnement et sa faible consommation de ressources. Tout autre type de serveur se basant sur les spécifications du FTP ( File Transfert Protocol ) pourra bien entendu être utilisé. Le serveur TFTP a, de préférence, une adresse IP correspondant à l'adresse IP de la carte de connexion 9 ou du module sécurisé 4. II est joignable, si on utilise la RFC, sur le port 69, HTTP (pour HyperText Transfert Protocol en anglais).
Une fois que le noyau démarre, il peut télécharger des fichiers complémentaires constitutifs de l'image système en utilisant, par exemple, un serveur de téléchargement de type système de fichier réseau NFS (pour Network File System en anglais).
Ainsi, selon une mise en oeuvre du premier mode de réalisation, illustrée à la figure 6, pour démarrer une image système, le PXE récupère une adresse IP (étape E1) en émettant une requête DHCP sur le réseau. À réception de la requête DHCP, le serveur DHCP renvoie au PXE une adresse IP qui lui est
attribuée. Lors de l'envoi de l'adresse IP, le serveur DHCP peut aussi communiquer des informations supplémentaires au PXE, comme par exemple l'adresse d'un serveur de nom (DNS pour Domain Name System en anglais) ou encore le l'adresse du serveur de téléchargement TFTP à contacter et le nom d'un fichier de démarrage à télécharger. Cette adresse IP, et les informations transmises concomitamment, permettent ensuite au PXE de contacter le serveur de téléchargement TFTP pour lui demander de récupérer un fichier de démarrage (étape E5). Le fichier de démarrage comporte des données relatives à un noyau de l'image système et à un type de serveur de téléchargement à contacter pour récupérer le noyau. Le serveur à contacter pour récupérer le noyau peut être le même que celui ayant fourni le fichier de démarrage ou un serveur différent. De préférence, le fichier de démarrage est situé dans le module sécurisé 4 qui est contacté (étape E6) au cours de l'étape E5. Après la récupération du fichier de démarrage (fin de l'étape E5), le PXE peut, après une éventuelle interaction utilisateur, récupérer le noyau de l'image système (étape E2) par l'intermédiaire, par exemple, du serveur TFTP. Si le noyau est stocké dans le module sécurisé, l'étape E3 est réalisée au cours de l'étape E2 préalablement à l'envoi du noyau au PXE. Après récupération du noyau par le PXE, l'image système peut enfin démarrer. Durant la phase de démarrage, le noyau peut extraire de l'image système les fichiers dont il a besoin pour mettre en service la plateforme de services. Les fichiers de l'image système dont le noyau a besoin peuvent être fournis par un serveur de téléchargement distinct, par exemple de type NFS. Bien entendu, les fichiers nécessaires à la mise en place de l'image système peuvent être situés dans le module sécurisé 4, ou si le noyau était dans le module sécurisé 4, dans une autre mémoire par exemple l'unité de stockage 5.
Selon une mise en oeuvre du deuxième mode de réalisation, illustrée à la figure 7, les étapes E6 et E3 de la précédente mise en oeuvre (figure 6) sont remplacées par les étapes E7 et E4 correspondant toutes les deux à une
vérification de la signature des fichiers représentatifs du fichier de démarrage et du noyau par les moyens de vérification 12.
De manière générale, le PXE peut proposer préalablement au téléchargement du noyau une liste de choix de démarrage à un utilisateur. Cette liste correspond à un même noyau (avec différents paramètres de démarrage) ou à différents noyaux accessibles à partir du module sécurisé 4 par téléchargement ou de l'unité de stockage 5.
~o Avec le PXE, des moyens supplémentaires de test d'intégrité du noyau peuvent être mis en place en utilisant des moyens de vérification de signature intégrés au PXE, faisant partie de la spécification du PXE, et connus sous le nom de BIS (pour Boot Integrity Service en anglais). Dans ce dernier cas, le PXE peut vérifier l'intégrité du noyau avant de le 15 démarrer. Ceci permet d'éviter que le noyau soit modifié au cours du téléchargement. Les moyens de vérification de signature PXE BIS pourront être utilisés en complément en utilisant le même certificat que celui stocké dans le module sécurisé 4.
20 En cours de fonctionnement de l'image, les fichiers la constituant peuvent être vérifiés afin d'anticiper un redémarrage de l'appareil ou de l'image système, dans le cas où la virtualisation est utilisée.
Les moyens de vérification de signature 12 permettent d'authentifier l'origine 25 d'un fichier et d'en assurer son intégrité. Une signature peut être réalisée, par exemple, en utilisant des mécanismes de cryptographie asymétrique. La cryptographie asymétrique comporte une clé publique et une clé privée, elle est fondée sur l'utilisation de fonctions à sens unique. Une fois la fonction appliquée à un fichier ou à des données, il devient extrêmement difficile 30 d'accéder au fichier ou aux données originales. Des certificats permettant de vérifier l'authenticité sont, par exemple, stockés dans la zone de stockage 3
du module sécurisé 4. Ainsi, l'étape de vérification de l'authenticité permet de certifier l'origine du fichier qui sera signé par le fournisseur. Si une signature est considérée comme non conforme, le processus de démarrage de l'image système pourra être interrompu.
Selon un exemple de réalisation, l'appareil électronique 1 est un appareil communicant comportant une carte de connexion 9 munie de moyens d'émission-réception sans-fils aptes à se connecter à Internet ou des réseaux IP privés par l'intermédiaire d'un réseau cellulaire de type troisième io génération (3G/3G+). La troisième génération permet des débits jusqu'à 14Mbps sur le réseau opérateur. Bien entendu, l'invention ne se limite pas à l'utilisation de cette technologie et s'adapte à tout type de réseaux opérateurs (2G, 4G, WIMAX, WIFI, etc.). Ainsi, comme illustré à la figure 8, la carte de connexion 9 de l'appareil électronique 1 permet par les moyens d'émission- 15 réception 20 de connecter l'appareil à une antenne cellulaire 13a faisant partie d'un réseau d'antennes d'un opérateur de téléphonie mobile, et reliée à un réseau d'accès opérateur 15b. Le réseau opérateur 15b permet par l'utilisation d'une passerelle Internet 14 (APN Internet pour Access Point Name en Anglais) de connecter l'appareil mobile 1 au réseau Internet 15a, 20 et d'accéder ainsi à des services situés sur des serveurs web distants 19.
Avec les évolutions d'Internet et l'augmentation constante des débits de données, les opérateurs de téléphonie proposent des services de plus en plus complexes. L'accès à ces services peut être compromis par une mise à 25 jour de l'un des éléments du système d'exploitation ou d'une application. À titre d'exemple, après une mise à jour d'un navigateur Internet, certaines pages Internet ne peuvent plus être affichées convenablement. Dans le cadre d'un abonnement, l'opérateur téléphonique peut fournir des services distribués. Par services distribués, on entend des services situés sur un 30 serveur distant 19 (figure 8) et nécessitant une connexion Internet ou un réseau IP privé pour accéder à ce serveur. Si ces services ne sont plus
accessibles à cause d'une mise à jour du navigateur, cela entraîne des mécontentements des utilisateurs ne pouvant jouir pleinement de leur abonnement pour lequel ils rétribuent l'opérateur de téléphonie mobile. La qualité de service (QoS pour Quality of Service en anglais) est un facteur important pour les utilisateurs.
C'est pourquoi l'utilisation d'un appareil électronique selon l'invention permet à un opérateur de téléphonie mobile de maîtriser la plateforme.
Les systèmes d'exploitation et les services fournis par un opérateur téléphonique évoluent. Ainsi, il peut être nécessaire de mettre à jour l'image système pour l'améliorer, ou lui procurer de nouvelles applications en concordance avec les services fournis par l'opérateur de téléphonie mobile. Afin d'assurer à l'utilisateur une qualité de service et un accès complet aux fonctionnalités de son abonnement, l'image système ne peut être modifiée que par l'opérateur de téléphonie mobile et, de préférence, que lorsque ce dernier aura validé les nouvelles applications, ou les mises à jour d'applications, pour vér'fier qu'elles n'altèrent pas le fonctionnement de ses services. Les mises à jour peuvent être réalisées par l'opérateur de téléphonie mobile par l'intermédiaire d'une connexion à un réseau virtuel privé VPN (pour Virtual Private Network en anglais). De préférence, la connexion VPN utilise des technologies, définie par l'organisme 3GPP (pour 3rd Generation Partnership Project en anglais). Ces technologies peuvent être le I-WLAN correspondant à un système d'interconnexion avec un réseau sans-fils local (WIFI, Ethernet, etc.). La technologie I-WLAN permet d'ouvrir un tunnel VPN sécurisé en utilisant les mécanismes d'authentification du module sécurisé 4 (par exemple la norme EAP-SIM). Ainsi, comme sur la figure 8, un tunnel VPN 18 peut s'établir, via un point d'accès WIFI 13b, entre la carte de connexion 9, ou le module sécurisé 4, et une passerelle 17 (PDG pour Packet Data Gateway en anglais) de l'opérateur de sorte que la carte de connexion 9 ou le module sécurisé 4
puisse accéder à un réseau privé 21 de l'opérateur de téléphonie mobile via le réseau Internet 15a. Le réseau privé 21 comporte au moins un serveur stockant les différentes mises à jour de l'image système. La carte de connexion 9, ou le module sécurisé 4, peut dès lors télécharger les mises à jour qui seront utilisées lors d'un démarrage ultérieur de l'appareil ou de l'image système. Les mises à jour peuvent être manuelles ou automatiques.
Une autre technologie utilisée pour les mises à jour peut consister en une connexion au réseau 15b de l'opérateur via l'antenne cellulaire 13 pour accéder à un APN privé 22 réservé au téléchargement et permettant une connexion directe au serveur de téléchargement 21.
Les mises à jour peuvent être réalisées à l'initiative de l'opérateur en utilisant des mécanismes standardisés de réseau mobile permettant à l'opérateur de téléphonie de modifier à distance des données du module sécurisé 4 (OTA pour Over The Air en anglais).
Pour des raisons de sécurité, lors d'une mise à jour, la carte de connexion 9 sera active, mais pourra être configurée pour ne pas être utilisée pour naviguer sur Internet. Si la carte de connexion peut établir deux sessions simultanées au-dessus d'une antenne cellulaire 2 du réseau de l'opérateur de téléphonie ou d'un réseau sans fils, il sera possible que la carte de connexion puisse être utilisée pour naviguer sur Internet lors d'une mise à jour.
L'ajout ou les mises à jours de composants logiciels (ou applications) peuvent être contrôlés ou non par l'opérateur de téléphonie mobile. À titre d'exemple, l'opérateur pourra établir une liste d'applications nécessitant son autorisation pour être installées car connues comme étant susceptibles d'altérer ses services. Ainsi, pour l'installation d'une application correspondant à un traitement de texte n'ayant aucun besoin d'accéder à des
ressources Internet, l'utilisateur pourra être libre de choisir la version à installer.
Les composants logiciels nécessaires au fonctionnement de la carte de connexion 9 peuvent êi:re sécurisés par signature électronique ou stockage dans la zone de stockage 3 du module sécurisé 4 de la même manière que l'image système. La signature électronique du contenu est alors vérifié par le module sécurisé 4. Ceci permet d'éviter tout piratage ou modification malintentionnée des composants logiciels embarqués dans la carte de ~o connexion 9 et nécessaire à son fonctionnement.
Un appareil mobile et ses variantes telles que décrites permettent à un opérateur de téléphonie mobile de maîtriser, contrôler et gérer les composants logiciels nécessaires pour constituer la plateforme nécessaire à 15 ses services. De plus, cela permet d'éviter à des solutions concurrentes de l'opérateur de téléphonie de remplacer ou d'altérer ses services.
À titre d'exemple, l'appareil électronique est un routeur de paquets IP (pour Internet Protocol en anglais), l'image système comporte alors des 20 applications d'analyse des paquets pour déterminer leurs destinations, des applications de filtrage de certains paquets, etc.
Selon un autre exemple, l'appareil électronique est un appareil interactif mobile ou non muni d'un écran. Il peut alors s'agir d'un téléphone mobile, 25 d'un ordinateur portable ou fixe, etc. Dans cet exemple, l'image système comporte, en plus des applications, une interface homme machine (IHM) permettant à un utilisateur d'interagir avec les applications installées sur l'appareil électronique.

Claims (14)

  1. Revendications1. Appareil électronique caractérisé en ce qu'il comporte des fichiers représentatifs d'au moins une image système de l'appareil et un module sécurisé (4) de type carte à puce muni d'une zone de stockage (3), au moins une partie des fichiers représentatifs de l'image système étant contrôlée par le module sécurisé (4).
  2. 2. Appareil selon la revendication 1, caractérisé en ce que le module sécurisé (4) est une carte à puce de type à circuit intégré, une carte à module d'identité d'abonné, ou une carte à module universel d'identité d'abonné.
  3. 3. Appareil selon l'une des revendications 1 et 2, caractérisé en ce que les fichiers représentatifs de l'image système sont stockés en totalité ou en partie dans la zone de stockage (3).
  4. 4. Appareil selon la revendication 3, caractérisé en ce qu'une partie des fichiers représentatifs de l'image système est stockée dans une unité de stockage (5) distincte de la zone de stockage (3), au moins un des fichiers de l'image système stocké dans l'unité de stockage (5) comporte une signature électronique, et en ce que le module sécurisé (4) comporte des moyens de vérification (12) de la signature électronique coopérant avec un certificat stocké dans le module sécurisé (4).
  5. 5. Appareil selon l'une des revendications 3 et 4, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication à une carte de connexion (9) comportant le module sécurisé (4), ladite carte de connexion (9) comportant un serveur d'attribution (10) 21 d'adresses Internet et un serveur de téléchargement (11) de fichiers stockés dans la zone de stockage (3) du module sécurisé (4).
  6. 6. Appareil selon l'une des revendications 3 et 4, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication au module sécurisé (4), ledit module sécurisé (4) comportant un serveur de téléchargement (11) de fichiers stockés dans la zone de stockage (3) du module sécurisé (4).
  7. 7. Appareil selon l'une des revendications 1 et 2, caractérisé en ce que les fichiers constituant l'image système étant situées dans une unité de stockage (5) distincte de la zone de stockage (3), au moins un des fichiers de l'image système comporte une signature électronique, et en ce que le module sécurisé (4) comporte des moyens de vérification (12) de la signature électronique coopérant avec un certificat stocké dans le module sécurisé (4).
  8. 8. Appareil selon la revendication 7, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication à une carte de connexion (9) comportant le module sécurisé (4), ladite carte de connexion comportant un serveur d'attribution (10) d'adresses Internet et un serveur de téléchargement (11) de fichiers stockés dans l'unité de stockage (5).
  9. 9. Appareil selon la revendication 7, caractérisé en ce qu'il comporte une interface de démarrage (8) reliée par un protocole de communication au module sécurisé (4), ledit module sécurisé (4) comportant un serveur de téléchargement (11) de fichiers stockés dans la l'unité de stockage (5).
  10. 10. Appareil selon l'une des revendications 5 et 8, caractérisé en ce que le serveur d'attribution d'adresse (10) et/ou le serveur de téléchargement (11) de fichiers sont embarqués dans le module sécurisé (4).
  11. 11. Procédé de démarrage de l'image système d'un appareil selon l'une quelconque des revendications 5, 6, 8, 9 et 10, caractérisé en ce qu'il comporte les étapes successives suivantes : la récupération d'une adresse Internet par l'interface de démarrage (8) auprès du serveur d'attribution d'adresses Internet (10), la connexion de l'interface de démarrage (8) au serveur de téléchargement (11) de fichiers, la récupération par l'interface de démarrage (8) d'un fichier de démarrage et d'un noyau de l'image système contenu dans le module sécurisé (4) par téléchargement, le démarrage de l'image système réalisé par l'interface de démarrage (8), la récupération par le noyau de fichiers de l'image système nécessaires à la mise en place d'une plateforme de services.
  12. 12. Procédé selon la revendication 11, caractérisé en ce que l'étape de récupération du fichier de démarrage et/ou du noyau est réalisée par téléchargement à partir de la zone de stockage (3) du module sécurisé (4).
  13. 13. Procédé selon la revendication 11, caractérisé en ce que l'étape de récupération du fichier de démarrage et/ou du noyau est réalisée par téléchargement dans une unité de stockage (5), et comporte une vérification de l'intégrité avant d'envoyer le noyau et/ou le fichier de démarrage à l'interface de démarrage (8).
  14. 14. Procédé selon l'une quelconque des revendications 11 à 13, caractérisé en ce que l'interface de démarrage (10) démarre l'appareil mobile (1) par virtualisation en utilisant le noyau de l'image système téléchargée et un système d'exploitation contenu dans une unité de stockage (5) de l'appareil (1).
FR0901542A 2009-03-30 2009-03-30 Appareil electronique a image systeme embarquee pour plateforme de services Expired - Fee Related FR2943810B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0901542A FR2943810B1 (fr) 2009-03-30 2009-03-30 Appareil electronique a image systeme embarquee pour plateforme de services
PCT/FR2010/000254 WO2010112692A1 (fr) 2009-03-30 2010-03-24 Appareil électronique à image système embarquée pour plateforme de services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0901542A FR2943810B1 (fr) 2009-03-30 2009-03-30 Appareil electronique a image systeme embarquee pour plateforme de services

Publications (2)

Publication Number Publication Date
FR2943810A1 true FR2943810A1 (fr) 2010-10-01
FR2943810B1 FR2943810B1 (fr) 2011-06-03

Family

ID=41130468

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0901542A Expired - Fee Related FR2943810B1 (fr) 2009-03-30 2009-03-30 Appareil electronique a image systeme embarquee pour plateforme de services

Country Status (2)

Country Link
FR (1) FR2943810B1 (fr)
WO (1) WO2010112692A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138158A1 (en) * 2003-12-23 2005-06-23 International Business Machines Corp. Software download method and system
FR2864276A1 (fr) * 2003-12-19 2005-06-24 Thales Sa Procede de detection de modifications illicites des logiciels constructeurs
US20070214348A1 (en) * 2006-03-07 2007-09-13 Sun Microsystems, Inc. Method and apparatus for operating system deployment
US20080270782A1 (en) * 2006-10-20 2008-10-30 Vodafone Group Plc Boot process

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2864276A1 (fr) * 2003-12-19 2005-06-24 Thales Sa Procede de detection de modifications illicites des logiciels constructeurs
US20050138158A1 (en) * 2003-12-23 2005-06-23 International Business Machines Corp. Software download method and system
US20070214348A1 (en) * 2006-03-07 2007-09-13 Sun Microsystems, Inc. Method and apparatus for operating system deployment
US20080270782A1 (en) * 2006-10-20 2008-10-30 Vodafone Group Plc Boot process

Also Published As

Publication number Publication date
FR2943810B1 (fr) 2011-06-03
WO2010112692A1 (fr) 2010-10-07

Similar Documents

Publication Publication Date Title
US9712486B2 (en) Techniques for the deployment and management of network connected devices
CN105393256B (zh) 用于基于策略的安全web引导的计算设备和方法
EP1987653B1 (fr) Procede et dispositif de configuration securisee d'un terminal
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
EP3044913B1 (fr) Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux
CN108028845A (zh) 使用导出凭证注册企业移动装置管理服务
US20200184078A1 (en) Secure boot of remote servers
WO2014199102A1 (fr) Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces
CN113614719A (zh) 基于具有不同认证凭证的认证令牌提供会话访问的计算***和方法
FR2997525A1 (fr) Procede de fourniture d’un service securise
FR3013541A1 (fr) Procede et dispositif pour la connexion a un service distant
US11595306B2 (en) Executing workloads across multiple cloud service providers
EP3824676A1 (fr) Dispositifs et procedes de gestion d'un attachement d'un dispositif de communication a un reseau d'un operateur
US10009318B2 (en) Connecting to a cloud service for secure access
EP2348763A2 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
FR2943810A1 (fr) Appareil electronique a image systeme embarquee pour plateforme de services
EP3991380A1 (fr) Procedes et dispositifs de securisation d'un reseau de peripherie a acces multiple
EP2912598B1 (fr) Procédé de téléchargement d'au moins un composant logiciel dans un appareil informatique, produit programme d'ordinateur, appareil informatique et système informatique associés
EP3127374B1 (fr) Accès sécurisé à un réseau étendu via un réseau de communication mobile
FR2923041A1 (fr) Procede d'ouverture securisee a des tiers d'une carte a microcircuit.
FR2887717A1 (fr) Procede de creation d'un terminal eclate entre un terminal de base et des equipements connectes en serie
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
WO2014053710A1 (fr) Passerelle d'accès sécurisé a un système d'information
WO2019122390A1 (fr) Procédé de sécurisation d'un protocole usb par authentification d'un périphérique usb par un appareil et par chiffrement des échanges entre le périphérique et l'appareil et dispositifs associés
WO2013050674A1 (fr) Boîtier informatique d'accès sécurisé à un système d'information

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20151130