FR3090921A1 - Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique - Google Patents

Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique Download PDF

Info

Publication number
FR3090921A1
FR3090921A1 FR1873345A FR1873345A FR3090921A1 FR 3090921 A1 FR3090921 A1 FR 3090921A1 FR 1873345 A FR1873345 A FR 1873345A FR 1873345 A FR1873345 A FR 1873345A FR 3090921 A1 FR3090921 A1 FR 3090921A1
Authority
FR
France
Prior art keywords
access
electronic
data packet
reading terminal
electronic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1873345A
Other languages
English (en)
Other versions
FR3090921B1 (fr
Inventor
Cyril Thomas
Arnaud SOURDRILLE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Idemia France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Idemia France SAS filed Critical Idemia France SAS
Priority to FR1873345A priority Critical patent/FR3090921B1/fr
Publication of FR3090921A1 publication Critical patent/FR3090921A1/fr
Application granted granted Critical
Publication of FR3090921B1 publication Critical patent/FR3090921B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1056Simplification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/20Employing a main memory using a specific memory technology
    • G06F2212/202Non-volatile memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique L’invention vise un procédé réalisé par un dispositif (DV1) comportant : une première mémoire (MR1) comprenant des paquets de données (PQ) et une deuxième mémoire (MR2) comprenant des règles de contrôle (RL), chaque règle définissant des conditions (CD) à satisfaire pour autoriser l’accès aux paquet de données (PQ) ; le procédé comprenant : détermination d’une première empreinte électronique (CS) à partir d’un premier contexte sécuritaire lors d’une première requête d’accès (RQ) à un paquet ; et en réponse à une deuxième requête d’accès (RQ) du terminal de lecture pour accéder à un deuxième paquet de données (PQ2) dans la première mémoire (MR1) : détermination d’un nouveau contexte sécuritaire (CX) courant comportant des états caractérisant une procédure de contrôle en cours ; détermination d’une deuxième empreinte électronique (CS) à partir du nouveau contexte sécuritaire ; et gestion de l’accès au deuxième paquet (PQ2) en comparant les premier et deuxième signatures électroniques. Figure pour l’abrégé : Fig. 1.

Description

Description
Titre de l'invention : Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique
Domaine technique
[0001] L’invention se rapporte à l’accès à des données dans une mémoire sécurisée et concerne plus particulièrement la gestion de l’accès en lecture à des données dans une mémoire d’un dispositif électronique, notamment lors d’une procédure d’authentification auprès d’un terminal.
Technique antérieure
[0002] L’usage des documents électroniques identitaires, tels que les cartes d’identité électroniques et passeports électroniques, s’est développé de façon importante ces dernières années. Le recours à ce type de document a permis de grandement sécuriser les données personnelles de leurs porteurs.
[0003] Ces documents électroniques comprennent une mémoire, typiquement sous la forme d’une puce électronique, cette mémoire étant destinée à stocker des données sensibles, notamment des données personnelles propres à l’utilisateur (nom, prénom, état civil, date de naissance...). Grâce à ce type de documents, il est possible d’authentifier le porteur avec un niveau de sécurité renforcé, notamment en comparant les données personnelles stockées dans la mémoire du document électronique avec des données de référence que les autorités de contrôle compétentes ont en leur possession.
[0004] L’accès à la mémoire de tels documents électroniques est généralement sécurisé afin de n’autoriser l’accès aux données personnelles qu’aux autorités de contrôle compétentes. Un processus d’authentification peut être mis en œuvre entre le document électronique et le terminal de lecture et par ailleurs les échanges de données peuvent être chiffrés.
[0005] Ainsi, lors d’un contrôle en douane par exemple, les autorités douanières compétentes peuvent utiliser un terminal d’authentification pour vérifier l’authenticité d’un document électronique identitaire d’un porteur. Pour ce faire, le terminal d’authentification communique avec la puce du document électronique (passeport électronique, carte d’identité électronique ou équivalent) pour récupérer de façon sécurisée des données personnelles du porteur. Ces données personnelles peuvent ensuite être traitées par le terminal d’authentification ou par le douanier notamment pour authentifier le porteur du document électronique. Ainsi, en comparant les données personnelles récupérées avec des données de référence stockées dans une base de données en association avec le porteur, le douanier peut s’assurer que le document est authentique et n’a pas été falsifié.
[0006] Lors de ce processus de contrôle, le terminal d’authentification doit donc lire des données dans la mémoire locale du document électronique. Les données présentes dans la mémoire d’un tel document électronique peuvent être plus ou moins volumineuses selon le cas et peuvent être segmentées en une série de paquets de données que le terminal d’authentification doit lire pour récupérer les données souhaitées.
[0007] De façon connue, un document électronique effectue un certain nombre de vérifications pour déterminer si une entité tierce a le droit d’accéder à des paquets de données stockées dans sa mémoire. Ces vérifications peuvent être fastidieuses et coûteuse en ressources pour le document électronique dont les capacités sont généralement relativement limitées. En particulier, le temps et les ressources nécessaires pour réaliser de telles vérifications peuvent croître significativement lorsque les données en question sont volumineuses.
[0008] Un besoin existe aujourd’hui pour une solution permettant une gestion efficace de l’accès à des données dans une mémoire d’un document électronique tel que ceux cités ci-dessus, et plus généralement dans la mémoire d’un dispositif électronique. En particulier, il n’existe pas de solution satisfaisante pour permettre à un dispositif électronique de réaliser efficacement les contrôles nécessaires lorsqu’une entité tierce, telle qu’un terminal de lecture ou un terminal d’authentification, tente d’accéder à des données dans la mémoire du dispositif électronique.
Exposé de l’invention
[0009] A cet effet, la présente invention vise un procédé de traitement mis en œuvre par un dispositif électronique, le dispositif électronique comportant :
- une première mémoire non volatile comprenant des paquets de données susceptibles d’être accédés par un terminal de lecture ;
- une deuxième mémoire non volatile dans laquelle au moins une règle de contrôle est enregistrée, chaque règle de contrôle définissant au moins une condition à satisfaire pour autoriser l’accès à un paquet de données dans la première mémoire non volatile ;
dans lequel le procédé comprend :
- réception, en provenance du terminal de lecture, d’une première requête d’accès à un premier paquet de données dans la première mémoire non volatile ;
- détermination d’un premier contexte sécuritaire courant comportant au moins un état courant caractérisant une procédure de contrôle en cours du dispositif électronique auprès du terminal de lecture ;
- consultation dans la deuxième mémoire non volatile de ladite au moins une règle de contrôle pour déterminer chaque condition que ledit au moins un état courant doit satisfaire pour autoriser l’accès au premier paquet de données ; et
- si chaque condition est satisfaite, autorisation de l’accès au premier paquet de données par le terminal de lecture ;
le procédé comprenant en outre :
- détermination d’une première empreinte électronique à partir du premier contexte sécuritaire courant ; et
- en réponse à une deuxième requête d’accès du terminal de lecture, ultérieure à la première requête d’accès, pour accéder à un deuxième paquet de données dans la première mémoire non volatile :
- détermination d’un nouveau contexte sécuritaire courant comportant au moins un état courant caractérisant ladite procédure de contrôle en cours ;
- détermination d’une deuxième empreinte électronique à partir du nouveau contexte sécuritaire courant ; et
- gestion de l’accès au deuxième paquet de données à partir d’une comparaison de la première signature électronique avec la deuxième signature électronique.
[0010] Dans le cas où les première et deuxième empreintes électroniques coïncident l’une avec l’autre (sont identiques), le dispositif électronique peut ainsi accepter l’accès au deuxième paquet de données sans consulter les règles dans la deuxième mémoire non volatile pour déterminer la ou les conditions applicables, ni même vérifier si le nouveau contexte sécuritaire courant satisfait ces conditions applicables. La gestion de l’accès se fait alors à partir de la comparaison entre les première et deuxième empreintes électroniques, ce qui permet d’économiser du temps et les ressources du dispositif électronique. Le gain est particulièrement significatif lorsque le contexte sécuritaire est relativement constant dans le temps.
[0011] Selon un mode de réalisation particulier, un contexte sécuritaire courant est représentatif d’un degré de sécurité avec lequel le dispositif électronique coopère à un instant courant avec le terminal de lecture dans la procédure de contrôle en cours.
[0012] Selon un mode de réalisation particulier, un état courant est au moins l’un parmi : - un état indiquant si un code, transmis par le terminal de lecture pour s’authentifier auprès du dispositif électronique dans la procédure de contrôle en cours, a été vérifié avec succès ;
- un état indiquant si un canal sécurisé établi entre le dispositif électronique et le terminal de lecture lors de la procédure de contrôle est toujours présent à un instant courant ;
- un état indiquant que le terminal de lecture a été préalablement authentifié par le dispositif électronique dans la procédure de contrôle ; et
- un état indiquant qu’un protocole a été exécuté avec succès.
[0013] Selon un mode de réalisation particulier, le procédé comprend une étape d’enregistrement de la première empreinte électronique dans une mémoire du dispositif électronique.
[0014] Selon un mode de réalisation particulier, lors de ladite gestion de l’accès du deuxième paquet de données, si les première et deuxième empreintes électroniques coïncident, le dispositif électronique autorise l’accès du terminal de lecture au deuxième paquet de données.
[0015] Selon un mode de réalisation particulier, lors de ladite gestion de l’accès du deuxième paquet de données, si les première et deuxième empreintes électroniques ne coïncident pas, le dispositif électronique :
- consulte dans la deuxième mémoire non volatile ladite au moins une règle de contrôle pour déterminer chaque condition que ledit au moins un état courant du nouveau contexte sécuritaire courant doit satisfaire pour autoriser l’accès au deuxième paquet de données ; et
- si chaque condition est satisfaite, autorise l’accès du terminal de lecture au deuxième paquet de données.
[0016] Selon un mode de réalisation particulier, lors de la gestion de l’accès au deuxième paquet de données, si les première et deuxième empreintes électroniques ne coïncident pas et si au moins une condition n’est pas satisfaite, le dispositif électronique bloque l’accès par le terminal de lecture au deuxième paquet de données.
[0017] Selon un mode de réalisation particulier, les première et deuxième empreintes digitales sont des sommes de contrôle représentatives respectivement du premier contexte sécuritaire courant et du nouveau contexte sécuritaire courant.
[0018] Selon un mode de réalisation particulier, le dispositif électronique est un document électronique.
[0019] Selon un mode de réalisation particulier, les paquets de données stockées dans la première mémoire non-volatile définissent au moins l’un parmi :
- une image ; et
- une empreinte biométrique.
[0020] Dans un mode particulier de réalisation, les différentes étapes du procédé de traitement sont déterminées par des instructions de programmes d’ordinateurs.
[0021] En conséquence, l’invention vise aussi un programme d’ordinateur sur un support d’informations (ou support d’enregistrement), ce programme étant susceptible d’être mis en œuvre dans un dispositif électronique tel qu’un document électronique ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de traitement tel que défini dans ce document.
[0022] Ce programme peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
[0023] L’invention vise aussi un support d'informations (ou support d’enregistrement) lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné dans ce document.
[0024] Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.
[0025] D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
[0026] Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
L’invention vise également un dispositif électronique correspondant. Plus particulièrement, l’invention vise un dispositif électronique comprenant :
- une première mémoire non volatile comprenant des paquets de données susceptible d’être accédés par un terminal de lecture ;
- une deuxième mémoire non-volatile dans laquelle au moins une règle de contrôle est enregistrée, chaque règle de contrôle définissant au moins une condition à satisfaire pour autoriser l’accès à un paquet de données dans la première mémoire non volatile ;
- un module de réception configuré pour recevoir, en provenance du terminal de lecture, une première requête d’accès à un premier paquet de données dans la première mémoire non volatile ;
- un premier module de détermination configuré pour déterminer un premier contexte sécuritaire courant comportant au moins un état courant caractérisant une procédure de contrôle en cours du dispositif électronique auprès du terminal de lecture ;
- un module de consultation configuré pour consulter dans la deuxième mémoire non volatile ladite au moins une règle de contrôle pour déterminer chaque condition que ledit au moins un état courant doit satisfaire pour autoriser l’accès au premier paquet de données ; et
- un module de gestion configuré, si chaque condition est satisfaite, pour autoriser l’accès au premier paquet de données par le terminal de lecture ;
le dispositif électronique comprenant en outre :
- un deuxième module de détermination configuré pour déterminer une première empreinte électronique à partir du premier contexte sécuritaire courant ;
dans lequel, en réponse à une deuxième requête d’accès du terminal de lecture, ul6 térieure à la première requête d’accès, pour accéder à un deuxième paquet de données dans la première mémoire non volatile :
- le premier module de détermination est configuré pour déterminer un nouveau contexte sécuritaire courant comportant au moins un état courant caractérisant ladite procédure de contrôle en cours ;
- le deuxième module de détermination est configuré pour déterminer une deuxième empreinte électronique à partir du nouveau contexte sécuritaire courant ; et
- le module de gestion est configuré pour gérer l’accès au deuxième paquet de données à partir d’une comparaison de la première signature électronique avec la deuxième signature électronique.
[0027] Selon un mode de réalisation particulier, le module de gestion est configuré pour réaliser la comparaison de la première signature électronique avec la deuxième signature électronique.
[0028] A noter que les différents modes de réalisation mentionnés ci-avant en relation avec le procédé de traitement de l’invention s’appliquent de façon analogue au dispositif électronique de l’invention.
[0029] Selon un mode de réalisation, l'invention est mise en œuvre au moyen de composants logiciels et/ou matériels. Dans cette optique, le terme « module » peut correspondre dans ce document aussi bien à un composant logiciel, qu'à un composant matériel ou à un ensemble de composants matériels et logiciels.
[0030] Un composant logiciel correspond à un ou plusieurs programmes d'ordinateur, un ou plusieurs sous-programmes d'un programme, ou de manière plus générale à tout élément d'un programme ou d'un logiciel apte à mettre en œuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit dans ce document pour le module concerné.
[0031] De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit dans ce document pour le module concerné. Il peut s'agir d'un composant matériel programmable ou avec processeur intégré pour l'exécution de logiciel, par exemple un circuit intégré, une carte à puce, une carte à mémoire, une carte électronique pour l'exécution d'un micrologiciel (firmware), etc. Brève description des dessins
[0032] D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent des exemples de réalisation dépourvus de tout caractère limitatif. Sur les figures:
[0033] [fig.l] la figure 1 représente schématiquement un dispositif électronique apte à coopérer avec un terminal, selon un mode de réalisation particulier de l’invention ;
[0034] [fig.2] la figure 2 représente schématiquement des modules mis en œuvre par un dispositif électronique, selon un mode de réalisation particulier de l’invention ;
[0035] [fig.3] la figure 3 représente schématiquement des règles de contrôle selon un mode de réalisation particulier de l’invention ;
[0036] [fig.4] la figure 4 représente, sous forme d'un diagramme, les étapes d’un procédé de traitement, selon un mode de réalisation particulier de l'invention ; et
[0037] [fig.5] la figure 5 représente, sous forme d'un diagramme, les étapes d’un procédé de traitement, selon un mode de réalisation particulier de l'invention.
Description des modes de réalisation
[0038] Comme indiqué précédemment, l’invention concerne la gestion de l’accès en lecture à des données dans une mémoire d’un dispositif électronique, en particulier lors d’une procédure d’authentification auprès d’un terminal d’authentification.
[0039] Dans ce document, des modes de réalisation sont décrits en rapport avec un document électronique, tel qu’une carte d’identité électronique ou un passeport électronique (dit aussi « e-passeport ») par exemple. Un document électronique est un dispositif portable configuré pour stocker des données dans une mémoire locale. Il peut s’agir notamment, mais pas exclusivement, d’un document électronique identitaire, c’est-à-dire un document électronique destiné à identifier et authentifier un porteur à l’aide de données personnelles appropriées (nom, prénom, date de naissance, identifiant du document, signature, données biométriques, etc.) stockées dans sa mémoire locale. Un document électronique peut se présenter par exemple sous la forme d’un livret ou d’une carte à puce (ou sous toute autre forme appropriée), ce document étant doté d’une puce électronique comprenant une mémoire pour stocker des données personnelles.
[0040] Plus généralement, l’invention s’applique à un quelconque dispositif électronique comportant au moins une mémoire locale dans laquelle sont stockées des données susceptibles d’être accédées par un terminal externe, dit terminal de lecture.
[0041] L’invention se propose de faciliter la gestion de l’accès à des données dans la mémoire d’un dispositif électronique tel qu’un document électronique par exemple. Pour ce faire, lorsqu’un terminal de lecture (ou terminal externe) tente de lire un premier paquet de données dans la mémoire du dispositif électronique, ce dernier détermine un premier contexte sécuritaire représentatif du degré de sécurité courant dans lequel le dispositif électronique interagit avec le terminal de lecture lors d’une interaction ou procédure en cours (procédure de lecture, procédure d’authentification ou de contrôle...). Le dispositif électronique détermine en outre une première empreinte électronique à partir de ce premier contexte sécuritaire. Puis, en réponse à une demande d’accès ultérieure du terminal de lecture pour accéder à un deuxième paquet de données dans la mémoire du dispositif électronique, ce dernier détermine une nouvelle empreinte électronique à partir du nouveau contexte sécuritaire courant, et compare cette nouvelle empreinte électronique avec la première empreinte électronique pour déterminer la manière dont cette demande d’accès ultérieure doit être traitée. En particulier, la demande d’accès ultérieure n’est acceptée par le dispositif électronique que si la première empreinte électronique et la nouvelle empreinte électronique coïncident l’une avec l’autre.
[0042] La gestion de l’accès à des paquets de données à partir d’une telle comparaison d’empreintes électroniques permet d’éviter la réalisation répétée de vérifications coûteuses en ressources, par le dispositif électronique, à chaque requête d’accès provenant du terminal d’authentification. Le dispositif électronique peut gérer l’accès au deuxième paquet de données sans vérifier si le nouveau contexte sécuritaire satisfait des conditions prédéfinies, et sans qu’il soit nécessaire de déterminer au préalable ces conditions prédéfinies.
[0043] En outre, l’invention vise notamment le dispositif électronique lui-même, ainsi qu’un programme d’ordinateur correspondant et un support d’informations pour stocker un tel programme.
[0044] D’autres aspects et avantages de la présente invention ressortiront des exemples de réalisation décrits ci-dessous en référence aux dessins mentionnés ci-avant.
[0045] Sauf indications contraires, les éléments communs ou analogues à plusieurs figures portent les mêmes signes de référence et présentent des caractéristiques identiques ou analogues, de sorte que ces éléments communs ne sont généralement pas à nouveau décrits par souci de simplicité.
[0046] La figure 1 représente schématiquement un dispositif électronique DV1 apte à communiquer avec un terminal de lecture Tl (dit aussi « terminal de contrôle »), selon un mode de réalisation particulier.
[0047] Le dispositif électronique DV1 et le terminal de lecture Tl sont configurés pour interagir ensemble lors d’une procédure de contrôle notée PR1 de sorte que le terminal de lecture Tl accède à des données stockées en mémoire dans le dispositif électronique DV1.
[0048] Cette procédure de contrôle PR1 désigne la procédure (ou l’interaction) dans laquelle s’inscrivent les échanges entre le dispositif DV1 et le terminal de lecture Tl. Il peut s’agir par exemple d’une procédure de contrôle (ou procédure d’authentification) du dispositif DV1 auprès du terminal Tl. Dans un exemple particulier, le terminal Tl est un terminal d’authentification configuré pour accéder à des données dans la mémoire du dispositif DV1 pour authentifier ce dispositif DV1.
[0049] Le dispositif électronique DV 1 peut être un document électronique et se présente dans cet exemple sous la forme d’une carte à puce, bien que d’autres implémentations soient possibles. Le document électronique DV1 est par exemple un document électronique identitaire, tel qu’une carte d’identité électronique, un permis de conduire électronique, une carte d’accès électronique ou encore un passeport électronique, d’autres exemples étant possibles.
[0050] Plus précisément, le dispositif DV 1 comprend dans cet exemple un processeur 2, des contacts externes 4, une mémoire volatile 6 (de type RAM) et des mémoires non volatiles réinscriptibles MRI, MR2 et MR3.
[0051] On suppose dans cet exemple que le dispositif DV 1 communique avec le terminal de lecture Tl par contact via une liaison L1 établie au moyen des contacts externes 4. Dans un exemple particulier, les contacts externes, et plus généralement la carte à puce DV1, sont conformes à la norme ISO 7816.
[0052] Selon une variante, le dispositif DV 1 communique avec le terminal de lecture Tl en mode sans contact, à l’aide d’une antenne RF (non représentée) dont est équipé le dispositif DV1.
[0053] Le processeur 2 est apte à commander les différents composants internes du dispositif DV1 et exécuter des processus internes en utilisant sa mémoire volatile 6. Comme décrit par la suite, la mémoire volatile 6 est apte à stocker temporairement certaines données générées par le dispositif DV1, telles que des contextes sécuritaires CX et des empreintes électroniques CS.
[0054] Un contexte sécuritaire CX au sens de l’invention est représentatif d’un degré de sécurité avec lequel le dispositif DV1 coopère avec le terminal de lecture Tl dans la procédure de contrôle PR1 en cours. Autrement dit, le contexte sécuritaire CX courant indique dans quelle mesure le dispositif DV 1 peut faire confiance au terminal de lecture Tl qui demande l’accès à un paquet de données PQ dans la mémoire non volatile MRI.
[0055] Un contexte sécuritaire CX comporte au moins un état courant ST caractérisant la procédure de contrôle PR1 en cours du dispositif électronique DV1 auprès du terminal de lecture TL Chaque état ST caractérisant le contexte sécuritaire ST à un instant courant peut représenter un état sécuritaire dans lequel se trouve le dispositif DV 1 visà-vis du terminal Tl dans le cadre de la procédure de contrôle PRL Ces états ST peuvent correspondre par exemple à l’état d’un paramètre interne enregistré dans le dispositif DV 1 ou à un évènement détecté par le dispositif DV 1 lors de la procédure de contrôle PRL
[0056] Une empreinte électronique CS est représentative d’un contexte sécuritaire CX précédemment déterminé par le dispositif DV1. Une telle empreinte électronique peut être une somme de contrôle (pour « checksum » en anglais) ou tous autres types d’empreintes calculée à partir d’un contexte sécuritaire CX.
[0057] La génération et l’usage des contextes sécuritaires CX et des empreintes électronique CS seront décrits plus en détail ultérieurement.
[0058] Par ailleurs, les mémoires non volatiles MRI, MR2 et MR3 peuvent être des mémoires indépendantes les unes des autres ou différentes zones mémoires d’une seule mémoire ou de plusieurs mémoires distinctes. Ces mémoires MRI, MR2 et MR3 peuvent être de type Flash, EEPROM ou tous autres types appropriés.
[0059] Dans cet exemple, la première mémoire non volatile MRI est destinée à stocker des données DT susceptibles d’être accédées par le terminal de lecture Tl, ces données DT se présentant sous la forme d’une série de paquets de données notés PQ. On suppose dans cet exemple que les données DT comprennent des paquets notés PQ1 à PQn, n étant un nombre entier au moins égal à 2.
[0060] Les données DT peuvent être de diverses natures selon le cas. On suppose dans cet exemple que les données DT sont des données personnelles d’un utilisateur UR. Les paquets de données PQl-PQn peuvent par exemple définir au moins l’un parmi une image (celle du porteur du document DV par exemple) et une empreinte biométrique (par exemple une empreinte digitale du porteur).
[0061] Toujours dans cet exemple, la deuxième mémoire non volatile MR2 est destinée à stocker au moins une règle de contrôle RL. Comme décrit plus en détail par la suite, chaque règle de contrôle RL définit au moins une condition CD qu’un contexte sécuritaire CX courant (et plus particulièrement les états ST qu’il définit) doit satisfaire pour que l’accès du terminal de lecture Tl à un paquet de données PQ dans la mémoire MRI soit autorisé. Autrement dit, la ou les conditions CD définies dans chaque règle RL sont représentatives d’un degré de sécurité requis pour que soit autorisé l’accès à un paquet de données respectifs dans la mémoire non volatile MRI.
[0062] Le processeur 4 peut ainsi consulter les règles de contrôle RL dans la mémoire MR2 et en déduire chaque condition CD que le ou les états ST d’un contexte sécuritaire CX courant doivent satisfaire pour autoriser l’accès à un paquet de données PQ stocké dans la mémoire MRI.
[0063] Des exemples de conditions CD et d’états ST sont décrits ultérieurement. On suppose dans cet exemple que la deuxième mémoire non volatile MR2 comprend des règles de contrôle notées RL1, RL2 et RL3, d’autres exemples étant toutefois possibles.
[0064] La troisième mémoire non volatile MR3 est une mémoire non volatile réinscriptible (ou éventuellement une mémoire morte (ROM)), cette mémoire constituant un support d’enregistrement (ou support d’informations) conforme à un mode de réalisation par ticulier, lisible par le dispositif électronique DV1, et sur lequel est enregistré un programme d’ordinateur PG1 conforme à un mode de réalisation particulier. Ce programme d’ordinateur PG1 comporte des instructions pour l’exécution des étapes d’un procédé de traitement selon un mode de réalisation particulier. Les étapes de ce procédé de traitement sont décrites ultérieurement.
[0065] De manière générale, le terminal de lecture Tl est configuré pour interagir avec le dispositif DV1 lors de la procédure de contrôle PR1 pour accéder à des données DT stockées dans la mémoire locale MRI du dispositif DV1. Pour ce faire, le terminal Tl peut envoyer au dispositif DV 1 des requêtes RQ pour requérir l’accès à des paquets de données PQ respectifs dans la première mémoire non volatile MRI. Pour chaque paquet PQ que le terminal de lecture Tl souhaite lire, le dispositif DV 1 reçoit du terminal de lecture Tl une requête d’accès RQ correspondante.
[0066] Comme décrit par la suite, le terminal de lecture Tl peut ainsi lire et vérifier les données DT stockées dans la mémoire locale MRI du dispositif DV1. A partir des données DT ainsi récupérées, le terminal de lecture Tl peut par exemple authentifier le dispositif DV 1 et/ou réaliser toutes opérations appropriées.
[0067] L’accès aux données DT est contrôlé par le dispositif DV 1 qui accepte ou refuse chaque requête d’accès RQ émise par le terminal de lecture Tl. Le niveau de sécurité dans lequel se trouve le dispositif DV 1 peut varier selon différents facteurs ou évènements se produisant au cours de la procédure de contrôle DV1. Le contexte sécuritaire peut par exemple se dégrader si le terminal de lecture Tl n’est plus authentifié lors de la procédure de contrôle PR1 ou pour une quelconque autre raison. Comme déjà indiqué, le dispositif DV 1 peut déterminer, à un instant courant, un contexte sécuritaire CX représentatif de ce niveau de sécurité. Ainsi, le dispositif DV 1 peut gérer l’accès aux données DT stockées dans sa mémoire locale MRI en fonction du contexte sécuritaire CX à un instant courant.
[0068] Un contexte sécuritaire courant peut par exemple comporter au moins l’un parmi les états suivants :
a) un état indiquant si un code, transmis par le terminal de lecture Tl pour s’authentifier auprès du dispositif électronique DV1 dans la procédure de contrôle PR1 en cours, a été vérifié avec succès par le dispositif DV 1 ;
b) un état indiquant si un canal sécurisé L1 établi entre le dispositif électronique DV1 et le terminal de lecture Tl lors de la procédure de contrôle PR1 est toujours présent à un instant courant ;
c) un état indiquant que le terminal de lecture a été préalablement authentifié par le dispositif électronique dans la procédure de contrôle ; et
d) un état indiquant qu’un protocole a été exécuté avec succès.
[0069] Une règle de contrôle RL peut par exemple définir, en tant que conditions CD à remplir, que les états a), b) et c) doivent être satisfaits pour autoriser l’accès à un paquet de données PQ en réponse à une requête d’accès RQ.
[0070] A noter que certains éléments généralement présents dans une carte à puce ont été volontairement omis car ils ne sont pas nécessaires à la compréhension de la présente invention. Plus généralement, on comprendra que le dispositif électronique DV1 représenté en figure 1 ne constitue qu’un exemple de réalisation non limitatif, d’autres mises en œuvre étant possibles dans le cadre de l’invention. L’homme du métier comprend en particulier que certains éléments du dispositif DV 1 ne sont décrits ici que pour faciliter la compréhension de l’invention, ces éléments n’étant pas nécessaires pour mettre en œuvre l’invention.
[0071] Comme représenté en figure 2 dans un mode de réalisation particulier, le processeur 2 piloté par le programme d’ordinateur PG1 met ici en œuvre un certain nombre de modules, à savoir : un module de réception MD2, un premier module de détermination MD4, un module de consultation MD6, un module de gestion MD8 et un deuxième module de détermination MD 10.
[0072] Le module de réception MD2 est configuré pour recevoir des requêtes d’accès RQ émises par le terminal de lecture Tl. Plus précisément, le module de réception MD2 est configuré pour recevoir, en provenance du terminal de lecture Tl, une première requête d’accès RQ à un premier paquet de données PQ1 dans la première mémoire non volatile MRI.
[0073] Le premier module de détermination MD4 est configuré pour déterminer un premier contexte sécuritaire CX courant comportant au moins un état ST courant caractérisant la procédure de contrôle PR1 en cours du dispositif électronique DV1 auprès du terminal de lecture Tl.
[0074] Le module de consultation MD6 est configuré pour consulter dans la deuxième mémoire non volatile MR2 les règles de contrôle RL pour déterminer chaque condition CD que ledit au moins un état ST courant doit satisfaire pour autoriser l’accès au premier paquet de données PQ1.
[0075] Le module de gestion MD8 est configuré pour autoriser l’accès au premier paquet de données PQ1 par le terminal de lecture Tl seulement si chaque condition CD applicable est satisfaite.
[0076] Le deuxième module de détermination MD10 est configuré pour déterminer une première empreinte électronique CS à partir du premier contexte sécuritaire CX courant.
[0077] En outre, en réponse à une deuxième requête d’accès RQ du terminal de lecture Tl, ultérieure à la première requête d’accès RQ, pour accéder à un deuxième paquet de données PQ2 dans la première mémoire non volatile MRI, le premier module de détermination MD2 est configuré pour déterminer un nouveau contexte sécuritaire CX courant comportant au moins un état ST courant caractérisant la procédure de contrôle PR1 en cours.
[0078] Le deuxième module de détermination MD10 est alors configuré pour déterminer une deuxième empreinte électronique CS à partir du nouveau contexte sécuritaire CX courant.
[0079] Le module de gestion MD8 est en outre configuré pour gérer l’accès au deuxième paquet de données PQ2 à partir d’une comparaison de la première signature électronique CS avec la deuxième signature électronique CS. En particulier, le module de gestion MD8 est configuré pour :
autoriser l’accès du terminal de lecture Tl au deuxième paquet de données PQ seulement si les première et deuxième empreintes électroniques CS coïncident l’une avec l’autre ; et refuser l’accès du terminal de lecture Tl au deuxième paquet de données PQ si les première et deuxième empreintes électroniques CS ne coïncident pas l’une avec l’autre.
[0080] Dans le cas où les première et deuxième empreintes électroniques CS coïncident l’une avec l’autre (sont identiques), le processeur 2 peut ainsi accepter l’accès au deuxième paquet de données PQ sans consulter les règles RL dans la deuxième mémoire non volatile MR2 pour déterminer la ou les conditions CD applicables, ni même vérifier si le nouveau contexte sécuritaire CX courant satisfait ces conditions CD applicables. Dans ce cas, la gestion de l’accès se fait alors uniquement à partir de la comparaison entre les première et deuxième empreintes électroniques CS, ce qui permet d’économiser du temps et des ressources. Le gain est particulièrement significatif lorsque le contexte sécuritaire est relativement constant dans le temps.
[0081] Selon un exemple particulier, le dispositif DV1 ne consulte les règles RL et vérifie si le nouveau contexte sécuritaire courant satisfait les conditions CD applicables que si les première et deuxième empreintes électroniques CS ne coïncident pas l’une avec l’autre.
[0082] La configuration et le fonctionnement des modules MD2-MD10 du dispositif DV 1 apparaîtront plus précisément dans les exemples de réalisation décrits ci-après en référence aux figures 3, 4 et 5.
[0083] A noter que les modules MD2-MD10 tels que représentés en figure 2 ne représentent qu’un exemple de mise en œuvre non limitatif de l’invention.
[0084] Un mode de réalisation particulier est à présent décrit en référence aux figures 3-5. Plus précisément, le dispositif électronique DV 1 met en œuvre un procédé de traitement, en coopération avec le terminal de lecture Tl, en exécutant le programme d’ordinateur PG 1.
[0085] Dans cet exemple, on suppose que le terminal de lecture Tl tente de lire des paquets de données PQ stockées dans la mémoire non volatile MRI du dispositif DV1. Pour ce faire, le dispositif électronique DV1 et le terminal de lecture Tl coopèrent ensemble au cours d’une procédure de contrôle PR1. Cette procédure de contrôle PR1 vise par exemple à contrôler ou authentifier le dispositif électronique DV1 auprès du terminal de lecture Tl (dit aussi terminal d’authentification).
[0086] Comme représenté en figure 3, on suppose en outre dans cet exemple que les règles de contrôle RL enregistrées dans la mémoire non volatiles MR2 sont telles que :
- la règle RL1 définit les conditions CDla, CDlb et CDlc à satisfaire pour autoriser l’accès à un paquet de données PQ dans la première mémoire non volatile MRI ;
- la règle RL2 définit les conditions CD2a, CD2b, CD2c et CD2d à satisfaire pour autoriser l’accès à un paquet de données PQ dans la première mémoire non volatile MRI ; et
- la règle RL3 définit les conditions CD3a, CD3b et CD3c à satisfaire pour autoriser l’accès à un paquet de données PQ dans la première mémoire non volatile MRI.
[0087] Dans cet exemple, chaque règle RL1, RL2 et RL3 définit ainsi des conditions CD qu’un contexte sécuritaire CX à un instant courant doit satisfaire pour autoriser l’accès à un paquet de données PQ que le terminal de lecture Tl souhaite lire. La manière dont le dispositif DV 1 détermine quelle règle de contrôle RL1, RL2 ou RL3 est applicable à un instant courant peut varier selon le cas et peut être adaptée par l’homme du métier.
[0088] Comme représenté en figure 4, le terminal Tl envoie (B2) au dispositif DV1 une première requête d’accès RQ1 pour accéder au paquet de données PQ1 dans la première mémoire non volatile MRI. Le dispositif DV1 reçoit cette première requête RQ1 au cours d’une étape A2 de réception.
[0089] Au cours d’une étape A4 de détermination, le dispositif DV 1 détermine un premier contexte sécuritaire courant, noté CX1, comportant au moins un état ST courant caractérisant la procédure de contrôle PR1 en cours du dispositif DV 1 auprès du terminal de lecture TL Pour ce faire, le dispositif DV1 peut consulter des données ou paramètres enregistrés au préalable dans sa mémoire et/ou dialoguer avec le terminal de lecture Tl ou avec toutes autres entités externes.
[0090] Le dispositif DV 1 enregistre (A4) ce premier contexte sécuritaire CX1 dans sa mémoire volatile 6.
[0091] Au cours d’une étape A6 de consultation, le dispositif DV 1 consulte dans la deuxième mémoire non volatile MR2 la règle de contrôle RL applicable pour déterminer chaque condition CD applicable que les états ST du contexte sécuritaire CX1 doivent satisfaire pour autoriser l’accès au premier paquet de données PQ1. Dans l’exemple envisagé ici, le dispositif DV1 détermine (A6) que la règle de contrôle RL1 est applicable ce qui signifie que les états ST du contexte sécuritaire CX1 doivent satisfaire chacune des conditions CDla, CDlb et CDlc pour que le terminal de lecture
Tl puisse accéder au paquet PQ1 dans la mémoire non volatile MRI. Comme indiqué ci-avant, la manière dont le dispositif DV1 détermine quelle règle RL est applicable à un instant donné peut être adaptée selon le cas.
[0092] Au cours d’une étape A8 de gestion, le dispositif DV 1 gère l’accès au paquet de données PQ1 en fonction de la conformité ou non du contexte sécuritaire CX1 courant vis-à-vis des conditions CD applicables. Plus précisément, si chaque condition CD applicable est satisfaite, le dispositif DV 1 autorise (A10) l’accès au premier paquet de données PQ1 par le terminal de lecture Tl. Dans ce cas, le dispositif DV1 envoie (A 12) ainsi le paquet PQ1 au terminal de lecture Tl qui le reçoit lors d’une étape B10 de réception.
[0093] Si au contraire au moins une condition CD applicable n’est pas satisfaite par le contexte sécuritaire CX1, le dispositif DV 1 décline la requête d’accès RQ1 et bloque (A12) l’accès au premier paquet de données PQ1.
[0094] On suppose par exemple dans cet exemple que le dispositif DV 1 détecte en A4 que la règle de contrôle RL1 est applicable à l’instant courant. Les conditions CD applicables définies dans la règle RL1 sont par exemple les suivantes :
- CD la : un code, transmis par le terminal de lecture Tl pour s’authentifier auprès du dispositif électronique DV1 dans la procédure de contrôle PR1 en cours, a été vérifié avec succès par le dispositif DV 1 ;
- CDlb : un canal sécurisé L1 établi entre le dispositif électronique DV1 et le terminal de lecture Tl lors de la procédure de contrôle PR1 est toujours présent à un instant courant ; et
- CD le : le terminal de lecture Tl a été préalablement authentifié par le dispositif électronique DV1 dans la procédure de contrôle PR1.
[0095] On suppose ici que le dispositif DV 1 détecte à l’étape A8 de gestion que les états ST du contexte sécuritaire CX1 déterminé en A4 satisfont chacune des conditions applicables CDla, CDlb et CDlc, de sorte que le dispositif DV1 accepte l’accès au paquet de données PQ1 à l’étape A8 de gestion, envoie (A10) le paquet de données PQ1, puis procède à une étape A14 de détermination décrite plus en détail ci-après. Plus précisément, dans l’exemple envisagé ici, le contexte sécuritaire CX1 comprend donc les états ST suivants :
- un état ST indiquant qu’un code, transmis par le terminal de lecture Tl pour s’authentifier auprès du dispositif électronique DV1 dans la procédure de contrôle PR1 en cours, a été vérifié avec succès par le dispositif DV 1 ;
- un état ST indiquant qu’un canal sécurisé L1 établi entre le dispositif électronique DV 1 et le terminal de lecture Tl lors de la procédure de contrôle PR1 est toujours présent à un instant courant ; et
- un état ST indiquant que le terminal de lecture Tl a été préalablement authentifié par le dispositif électronique DV1 dans la procédure de contrôle PR1.
[0096] Au cours de l’étape A14 de détermination, le dispositif DV1 détermine une première empreinte électronique CS1 à partir du premier contexte sécuritaire CX1 courant. Cette empreinte CS1 est représentative du contexte sécuritaire CX1, et plus particulièrement de ses états ST. Cette empreinte électronique CS1 est par exemple une somme de contrôle (ou « checksum ») calculée par le dispositif DV1.
[0097] Le dispositif DV 1 enregistre (A14) cette première empreinte électronique CS 1 dans sa mémoire volatile 6.
[0098] Le terminal de lecture Tl envoie (B 16) ensuite au dispositif DV1 une deuxième requête d’accès RQ2, ultérieure à la première requête d’accès RQ1, pour accéder à un deuxième paquet de données PQ2 dans la première mémoire non volatile MRI. Le dispositif DV1 reçoit cette deuxième requête d’accès RQ2 au cours d’une étape A16 de réception.
[0099] En réponse à cette deuxième requête d’accès RQ2, le dispositif DV 1 détermine (A 18) un nouveau contexte sécuritaire courant, noté CX2, c’est-à-dire un nouveau contexte sécuritaire représentant à un instant courant le degré de sécurité avec lequel le dispositif DV1 coopère avec le terminal de lecture Tl dans la procédure de contrôle PR1 en cours. On comprend que cette détermination Al8 est réalisée à un instant courant postérieur dans le temps à la détermination A4 du premier contexte sécuritaire CX1. Ce nouveau contexte sécuritaire CX2 comporte au moins un état ST courant caractérisant la procédure de contrôle PR1 en cours du dispositif DV 1 auprès du terminal de lecture TL Cette étape A18 est réalisée de façon identique à l’étape A4 de détermination.
[0100] A ce stade, le dispositif DV 1 ne consulte pas dans sa mémoire MR2 la règle RL applicable à l’instant courant (comme lors de l’étape A4 de consultation). A fortiori, il ne vérifie pas non plus si le ou les états ST du nouveau contexte sécuritaire CX2 sont conformes à la règle RL applicable pour déterminer si l’accès au deuxième paquet de données PQ2 doit être autorisé ou refusé au terminal de lecture Tl (comme lors de l’étape A8 de gestion). Comme expliqué ci-après, en évitant de réaliser ces étapes de façon répétée pour chaque demande d’accès à un paquet de données PQ, le dispositif DV 1 accélère la procédure PR1 et économise ses ressources. Comme indiqué ci-après, le dispositif met en œuvre un mécanisme à base d’empreintes électroniques pour déterminer comment gérer la requête RQ2 et les éventuelles requêtes ultérieures.
[0101] Ainsi, au cours d’une étape A20 de détermination, le dispositif DV1 détermine une deuxième empreinte électronique CS2 à partir du nouveau contexte sécuritaire CX2 courant. Cette empreinte CS2 est représentative du contexte sécuritaire CX2, et plus particulièrement de ses états ST. Cette empreinte électronique CS2 est par exemple une somme de contrôle (ou « checksum ») calculée par le dispositif DV1. Cette étape A20 est réalisée de façon identique à l’étape A14 de détermination.
[0102] Le dispositif DV1 compare (A22) ensuite la première empreinte électronique CS 1 précédemment déterminée avec la deuxième empreinte électronique CS2.
[0103] Au cours d’une étape A24 de gestion, le dispositif DV 1 gère l’accès au deuxième paquet de données PQ2 à partir du résultat de la comparaison A22 entre les première et deuxième empreintes électroniques CS1, CS2.
[0104] Plus précisément, si le dispositif DV 1 détecte (A22) que les première et deuxième empreintes électroniques CS1, CS2 coïncident l’une avec l’autre (CS1 = CS2), il autorise en A24 (figure 4) l’accès du terminal de lecture Tl au deuxième paquet de données PQ2 et ce, sans consulter les règles de contrôle RL stockées dans sa mémoire non volatile MR2 ni vérifier si le contexte sécuritaire CX2 courant satisfait chaque condition CD applicable. Ainsi, en réponse à la deuxième requête d’accès RQ2, le dispositif DV1 envoie (A26) au terminal de lecture Tl le deuxième paquet de données PQ2.
[0105] Si, en revanche, le dispositif DV 1 détecte (A22) que les première et deuxième empreintes électroniques CS1, CS2 ne coïncident pas l’une avec l’autre (CS1 Ψ CS2), alors il réalise un traitement A28 au cours duquel il gère l’accès au deuxième paquet de données PQ2 en fonction de si le nouveau contexte sécuritaire CX2 satisfait ou non chaque condition CD définie dans la règle de contrôle RL applicable. Pour ce faire, le dispositif DV 1 doit consulter la règle de contrôle RL applicable et déterminer chaque condition CD applicable comme expliqué ci-après.
[0106] A noter que si les empreintes électronique CS1 et CS2 ne coïncident pas lors de l’étape A22 (figure 4) de comparaison, cela n’indique pas nécessairement une dégradation du contexte sécuritaire mais tout du moins un changement de celui-ci qui nécessite par conséquent d’appliquer à nouveau la règle de contrôle RL adéquate présente dans la mémoire non-volatile MR2 pour décider si la requête d’accès RQ2 doit être autorisée ou non.
[0107] Dans un exemple particulier illustré en figure 5, lors du traitement A28, le dispositif DV 1 consulte (A30) dans sa deuxième mémoire non volatile MR2 la règle de contrôle RL applicable, à savoir la règle RL2, pour déterminer chaque condition CD2a-CD2d applicable que les états ST du contexte sécuritaire CX2 doivent satisfaire pour que l’accès au deuxième paquet de données PQ2 soit autorisé au terminal de lecture Tl. Comme déjà indiqué, la manière dont le dispositif DV 1 détermine quelle règle RL est applicable à un instant donné peut être adaptée selon le cas.
[0108] Le dispositif DV1 vérifie (A32) ensuite si les états ST du contexte sécuritaire CX2 courant satisfont chacune des conditions CD2a, CD2b, CD2c et CD2d définies dans la règle de contrôle RL2. Dans la négative, le dispositif DV 1 décline la requête d’accès RQ2 et bloque (A34) l’accès au deuxième paquet de données PQ2. Autrement dit, si les empreintes électroniques CS1 et CS2 ne coïncident pas et si au moins une condition CD applicable n’est pas satisfaite, le dispositif électronique DV1 bloque (A34) l’accès par le terminal de lecture Tl au deuxième paquet de données PQ2.
[0109] Si, au contraire, chaque condition CD2a-CD2d applicable est satisfaite, le dispositif DV2 autorise (A36) l’accès du terminal de lecture Tl au deuxième paquet de données PQ2.
[0110] Dans le cas envisagé ici, on suppose par exemple que les conditions CD2a-CD2d applicables définies dans la règle de contrôle RL2 sont les suivantes :
- CD2a : un code, transmis par le terminal de lecture Tl pour s’authentifier auprès du dispositif électronique DV1 dans la procédure de contrôle PR1 en cours, a été vérifié avec succès par le dispositif DV1 ;
- CD2b : un canal sécurisé L1 établi entre le dispositif électronique DV1 et le terminal de lecture Tl lors de la procédure de contrôle PR1 est toujours présent à un instant courant ;
- CD2c : le terminal de lecture Tl a été préalablement authentifié par le dispositif électronique DV1 dans la procédure de contrôle PR1 ; et
- CD2d : un protocole a été exécuté avec succès par le dispositif DV 1 lors de la procédure de contrôle PR1.
[0111] Le dispositif DV 1 accepte donc en A36 l’accès au paquet de données PQ2 seulement si les états ST du contexte sécuritaire CX2 déterminé en Al8 comprennent les états ST suivants :
- un état indiquant qu’un code, transmis par le terminal de lecture Tl pour s’authentifier auprès du dispositif électronique DV1 dans la procédure de contrôle PR1 en cours, a été vérifié avec succès par le dispositif DV 1 ;
- un état indiquant qu’un canal sécurisé L1 établi entre le dispositif électronique DV1 et le terminal de lecture Tl lors de la procédure de contrôle PR1 est toujours présent à un instant courant ;
- un état indiquant que le terminal de lecture Tl a été préalablement authentifié par le dispositif électronique DV1 dans la procédure de contrôle PR1 ; et
- un état indiquant qu’un protocole a été exécuté avec succès par le dispositif DV 1 lors de la procédure de contrôle PRL
[0112] L’invention est avantageuse en ce qu’elle permet au dispositif électronique DV 1 de gérer de façon rapide et efficace l’accès aux données DT stockées dans sa mémoire non volatile MRI. En réponse à une première requête d’accès RQ1 émise par le terminal de lecture Tl pour accéder à un premier paquet de données PQ1, le dispositif DV 1 détermine le contexte sécuritaire CX1 à l’instant courant et vérifie si ce contexte sécuritaire est conforme à la ou les conditions CD définies par une règle de contrôle RL applicable. Dans l’affirmative, en plus d’autoriser l’accès au paquet de données
PQ1, le dispositif DV1 calcule une empreinte électronique CS1 à partir du contexte sécuritaire CX1 courant.
[0113] Ainsi, pour chaque requête d’accès ultérieure reçue (depuis le terminal de lecture Tl ou éventuellement depuis d’autres terminaux), le dispositif DV1 détermine le nouveau contexte sécuritaire CX2 à un instant courant et calcule une nouvelle empreinte électronique CS2 à partir de ce nouveau contexte sécuritaire courant. Si la nouvelle empreinte CS2 coïncide avec la première empreinte CS1, alors le dispositif DV1 accepte la requête d’accès ultérieure sans qu’il soit nécessaire que le dispositif DV1 consulte dans sa mémoire non volatile MR2 la règle de contrôle RL applicable et a fortiori sans que le dispositif DV1 n’ait besoin de vérifier la conformité du nouveau contexte sécuritaire CX2 courant avec la ou les conditions CD définies dans la règle de contrôle RL applicable. L’invention permet ainsi d’économiser le temps et les ressources nécessaires pour réaliser de telles opérations.
[0114] En particulier, la lecture dans une mémoire non volatile peut s’avérer relativement coûteuse, le temps de traitement étant d’autant plus long lorsqu’un grand nombre de paquets de données PQ est accédé successivement depuis l’extérieur du dispositif DV1. La vérification de la conformité de chaque contexte sécuritaire CX courant avec la ou les conditions applicables peut également s’avérer coûteuse en temps et en ressources dans la mesure où les conditions CD applicables peuvent varier régulièrement et peuvent être parfois nombreuses et nécessiter des vérifications relativement complexes.
[0115] En particulier lorsque le contexte sécuritaire CX varie rarement d’une requête d’accès à une autre, un gain significatif en temps de traitement et en ressources peut être obtenu grâce à l’invention. Si le contexte sécuritaire CX courant ne varie pas d’une requête d’accès à une autre, on peut supposer que le niveau de sécurité est suffisant pour autoriser l’accès au paquet de données PQ demandé, sans compromettre la sécurité des données DT.
[0116] Le calcul d’une empreinte électronique et sa comparaison avec une autre empreinte électronique accessible depuis une mémoire volatile requièrent un temps de traitement et des ressources relativement limitées par rapport aux opérations précités, ce qui permet une gestion plus rapide et efficace de l’accès aux données DT.
[0117] Dans une application particulière, le dispositif DV 1 est un document électronique identitaire, tel que l’un de ceux précités (carte d’identité électronique, ...), ce document faisant l’objet d’une procédure de contrôle (ou d’une procédure authentification) auprès d’un terminal de lecture d’une autorité de contrôle compétente, telle qu’une autorité douanière par exemple. L’invention permet d’accélérer et faciliter la procédure de contrôle, en particulier lorsque des centaines ou milliers de paquets de données doivent être accédés dans une mémoire non volatile du dispositif DV1.
[0118] Un homme du métier comprendra que les modes de réalisation et variantes décrits ciavant ne constituent que des exemples non limitatifs de mise en œuvre de l’invention. En particulier, l’homme du métier pourra envisager une quelconque adaptation ou combinaison des modes de réalisation et variantes décrits ci-avant afin de répondre à un besoin bien particulier.

Claims (1)

  1. [Revendication 1]
    Revendications
    Procédé de traitement mis en œuvre par un dispositif électronique (DV1), le dispositif électronique comportant :
    - une première mémoire non volatile (MRI) comprenant des paquets de données (PQ) susceptibles d’être accédés par un terminal de lecture (Tl);
    - une deuxième mémoire non volatile (MR2) dans laquelle au moins une règle de contrôle (RL) est enregistrée, chaque règle de contrôle définissant au moins une condition (CD) à satisfaire pour autoriser l’accès à un paquet de données (PQ) dans la première mémoire non volatile ; le procédé comprenant :
    - réception (A2), en provenance du terminal de lecture, d’une première requête d’accès (RQ1) à un premier paquet de données (PQ1) dans la première mémoire non volatile (MRI) ;
    - détermination (A4) d’un premier contexte sécuritaire (CX1) courant comportant au moins un état (ST) courant caractérisant une procédure de contrôle (PR1) en cours du dispositif électronique auprès du terminal de lecture ;
    - consultation (A6) dans la deuxième mémoire non volatile (MR2) de ladite au moins une règle de contrôle (RL) pour déterminer chaque condition (CD) que ledit au moins un état courant doit satisfaire pour autoriser l’accès au premier paquet de données (PQ1) ;
    - si chaque condition est satisfaite, autorisation (A8, A10) de l’accès au premier paquet de données par le terminal de lecture ;
    le procédé comprenant en outre :
    - détermination (A 14) d’une première empreinte électronique (CS1) à partir du premier contexte sécuritaire courant ; et
    - en réponse à une deuxième requête d’accès (RQ2) du terminal de lecture, ultérieure à la première requête d’accès, pour accéder à un deuxième paquet de données (PQ2) dans la première mémoire non volatile :
    - détermination (A 18) d’un nouveau contexte sécuritaire (CX2) courant
    - comportant au moins un état courant caractérisant ladite procédure de contrôle en cours ;
    - détermination (A20) d’une deuxième empreinte électronique (CS2) à partir du nouveau contexte sécuritaire courant ; et
    - gestion (A24) de l’accès au deuxième paquet de données à partir d’une
    comparaison de la première signature électronique avec la deuxième signature électronique. [Revendication 2] Procédé selon la revendication 1, dans lequel un contexte sécuritaire (CX) courant est représentatif d’un degré de sécurité avec lequel le dispositif électronique (DV1) coopère à un instant courant avec le terminal de lecture (Tl) dans la procédure de contrôle en cours. [Revendication 3] Procédé selon la revendication 1 ou 2, dans lequel un état (ST) courant est au moins l’un parmi : - un état indiquant si un code, transmis par le terminal de lecture pour s’authentifier auprès du dispositif électronique dans la procédure de contrôle en cours, a été vérifié avec succès ; - un état indiquant si un canal sécurisé établi entre le dispositif électronique et le terminal de lecture lors de la procédure de contrôle est toujours présent à un instant courant ; - un état indiquant que le terminal de lecture a été préalablement authentifié par le dispositif électronique dans la procédure de contrôle ; et - un état indiquant qu’un protocole a été exécuté avec succès. [Revendication 4] Procédé selon l’une quelconque des revendications 1 à 3, comprenant une étape d’enregistrement de la première empreinte électronique dans une mémoire du dispositif électronique. [Revendication 5] Procédé selon l’une quelconque des revendications 1 à 4, dans lequel, lors de ladite gestion (A24) de l’accès du deuxième paquet de données, si les première et deuxième empreintes électroniques coïncident, le dispositif électronique autorise (A26) l’accès du terminal de lecture au deuxième paquet de données. [Revendication 6] Procédé selon l’une quelconque des revendications 1 à 5, dans lequel, lors de ladite gestion (A24) de l’accès du deuxième paquet de données, si les première et deuxième empreintes électroniques ne coïncident pas, le dispositif électronique : - consulte (A30) dans la deuxième mémoire non volatile (MR2) ladite au moins une règle de contrôle pour déterminer chaque condition (CD) que ledit au moins un état (ST) courant du nouveau contexte sécuritaire courant doit satisfaire pour autoriser l’accès au deuxième paquet de données (PQ2) ; et - si chaque condition est satisfaite, autorise (A36) l’accès du terminal de lecture au deuxième paquet de données. [Revendication 7] Procédé selon l’une quelconque des revendications 1 à 6, dans lequel, lors de la gestion (A24) de l’accès au deuxième paquet de données, si
    les première et deuxième empreintes électroniques ne coïncident pas et si au moins une condition n’est pas satisfaite, le dispositif électronique bloque (A34) l’accès par le terminal de lecture au deuxième paquet de données. [Revendication 8] Procédé selon l’une quelconque des revendications 1 à 7, dans lequel les première et deuxième empreintes digitales (CS1, CS2) sont des sommes de contrôle représentatives respectivement du premier contexte sécuritaire courant (CX1) et du nouveau contexte sécuritaire courant (CX2). [Revendication 9] Procédé selon l’une quelconque des revendications 1 à 8, dans lequel le dispositif électronique est un document électronique. [Revendication 10] Procédé selon l’une quelconque des revendications 1 à 9, dans lequel les paquets de données (PQ) stockées dans la première mémoire nonvolatile (MRI) définissent au moins l’un parmi : - une image ; et - une empreinte biométrique. [Revendication 11] Programme d’ordinateur (PG1) comportant des instructions pour l’exécution des étapes d’un procédé de traitement selon l’une quelconque des revendications 1 à 10 lorsque ledit programme est exécuté par un ordinateur. [Revendication 12] Support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur (PG1) comprenant des instructions pour l’exécution des étapes d’un procédé de traitement selon l’une quelconque des revendications 1 à 10. [Revendication 13] Dispositif électronique (DV1) comprenant : - une première mémoire non volatile (MRI) comprenant des paquets de données (PQ) susceptible d’être accédés par un terminal de lecture (Tl); - une deuxième mémoire non-volatile (MR2) dans laquelle au moins une règle de contrôle (RL) est enregistrée, chaque règle de contrôle définissant au moins une condition (CD) à satisfaire pour autoriser l’accès à un paquet de données dans la première mémoire non volatile ; - un module de réception (MD2) configuré pour recevoir, en provenance du terminal de lecture, une première requête d’accès (RQ1) à un premier paquet de données dans la première mémoire non volatile ; - un premier module de détermination (MD4) configuré pour déterminer un premier contexte sécuritaire courant comportant au moins un état courant caractérisant une procédure de contrôle en cours du dispositif
    électronique auprès du terminal de lecture ;
    - un module de consultation (MD6) configuré pour consulter dans la deuxième mémoire non volatile ladite au moins une règle de contrôle pour déterminer chaque condition que ledit au moins un état courant doit satisfaire pour autoriser l’accès au premier paquet de données ;
    - un module de gestion (MD8) configuré, si chaque condition est satisfaite, pour autoriser l’accès au premier paquet de données par le terminal de lecture ;
    le dispositif électronique comprenant en outre :
    - un deuxième module de détermination (MD 10) configuré pour déterminer une première empreinte électronique (CS1) à partir du premier contexte sécuritaire courant ;
    dans lequel, en réponse à une deuxième requête d’accès (RQ2) du terminal de lecture, ultérieure à la première requête d’accès, pour accéder à un deuxième paquet de données (PQ2) dans la première mémoire non volatile :
    - le premier module de détermination (MD4) est configuré pour déterminer un nouveau contexte sécuritaire courant (CX2) comportant au moins un état courant caractérisant ladite procédure de contrôle en cours ;
    - le deuxième module de détermination (MD 10) est configuré pour déterminer une deuxième empreinte électronique (CS2) à partir du nouveau contexte sécuritaire courant ; et
    - le module de gestion (MD8) est configuré pour gérer l’accès au deuxième paquet de données à partir d’une comparaison de la première signature électronique avec la deuxième signature électronique.
    [Revendication 14] Dispositif électronique selon la revendication 13, dans lequel le module de gestion est configuré pour réaliser la comparaison de la première signature électronique avec la deuxième signature électronique.
FR1873345A 2018-12-19 2018-12-19 Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique Active FR3090921B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1873345A FR3090921B1 (fr) 2018-12-19 2018-12-19 Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1873345A FR3090921B1 (fr) 2018-12-19 2018-12-19 Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique

Publications (2)

Publication Number Publication Date
FR3090921A1 true FR3090921A1 (fr) 2020-06-26
FR3090921B1 FR3090921B1 (fr) 2021-11-19

Family

ID=66690529

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1873345A Active FR3090921B1 (fr) 2018-12-19 2018-12-19 Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique

Country Status (1)

Country Link
FR (1) FR3090921B1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6785790B1 (en) * 2002-05-29 2004-08-31 Advanced Micro Devices, Inc. Method and apparatus for storing and retrieving security attributes
CN101484903A (zh) * 2006-07-07 2009-07-15 桑迪士克股份有限公司 用于控制从存储器装置供应的信息的***和方法
US8874866B1 (en) * 2010-01-25 2014-10-28 Altera Corporation Memory access system
FR3021435A1 (fr) * 2014-05-23 2015-11-27 Oberthur Technologies Procede de diffusion d'une donnee a partir de documents identitaires

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6785790B1 (en) * 2002-05-29 2004-08-31 Advanced Micro Devices, Inc. Method and apparatus for storing and retrieving security attributes
CN101484903A (zh) * 2006-07-07 2009-07-15 桑迪士克股份有限公司 用于控制从存储器装置供应的信息的***和方法
US8874866B1 (en) * 2010-01-25 2014-10-28 Altera Corporation Memory access system
FR3021435A1 (fr) * 2014-05-23 2015-11-27 Oberthur Technologies Procede de diffusion d'une donnee a partir de documents identitaires

Also Published As

Publication number Publication date
FR3090921B1 (fr) 2021-11-19

Similar Documents

Publication Publication Date Title
EP1570648B1 (fr) Méthode de sécurisation des mises à jour de logiciels
EP3455812B1 (fr) Procédé de sécurisation d'un dispositif electronique, et dispositif electronique correspondant
FR2958770A1 (fr) Procede de controle d'un dispositif apte a fonctionner en mode avec ou sans verification de code pour effectuer une transaction
WO2017203146A1 (fr) Procede de securisation d'un dispositif electronique, et dispositif electronique correspondant
WO2005006646A9 (fr) Méthode de sécurisation d'un certificat électronique
EP3531729B1 (fr) Configuration d'un module d'identité de souscripteur embarqué
FR3090921A1 (fr) Gestion de l’accès à des données dans une mémoire non volatile d’un dispositif électronique
FR3103990A1 (fr) Procédés et applications de contrôle d’accès distribué à un réseau de télécommunications
EP3166252B1 (fr) Procédé d'enregistrement sécurisé de données, dispositif et programme correspondants
EP2912640A1 (fr) Procede de gestion d'identifiants dans une carte a circuit integre et carte a circuit integre correspondante
WO2017109405A1 (fr) Procédé d'authentification
FR3071943B1 (fr) Controle d'acces a un service
EP1413158B1 (fr) Procede d'acces a un service specifique propose par un operateur virtuel et carte a puce d'un dispositif correspondant
EP3912065A1 (fr) Autorisation du chargement d'une application dans un élément de sécurité
EP3179400B1 (fr) Procédé de chargement d'une ressource informatique au sein d'un dispositif électronique, module électronique et programme d'ordinateur correspondant
FR3090959A1 (fr) Traitement d’un service de tickets électroniques
EP4075358B1 (fr) Gestion de la mémoire dans un dispositif de traitement de transactions
EP1547005B9 (fr) Carte à microcircuit dont les performances peuvent être modifiées après personnalisation
FR3055761A1 (fr) Procede de controle d'un dispositif electronique et dispositif electronique correspondant
EP3836060A1 (fr) Traitement de transactions selon un profil opérationnel
FR3092412A1 (fr) Authentification d’un utilisateur d’un dispositif électronique
WO2022096824A1 (fr) Procede de delegation d'acces a une chaine de blocs
EP3985531A1 (fr) Enrôlement biométrique avec vérification
FR3108818A1 (fr) Procédé et dispositif d’authentification d’un utilisateur auprès d’une application.
FR3114714A1 (fr) Procédé d’accès à un ensemble de données d’un utilisateur.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20200626

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6