WO2002073376A1 - Verification of the consistency of conditions for subjects to access objects in a data processing means - Google Patents

Verification of the consistency of conditions for subjects to access objects in a data processing means Download PDF

Info

Publication number
WO2002073376A1
WO2002073376A1 PCT/FR2002/000845 FR0200845W WO02073376A1 WO 2002073376 A1 WO2002073376 A1 WO 2002073376A1 FR 0200845 W FR0200845 W FR 0200845W WO 02073376 A1 WO02073376 A1 WO 02073376A1
Authority
WO
WIPO (PCT)
Prior art keywords
given
group
rule
access
found
Prior art date
Application number
PCT/FR2002/000845
Other languages
French (fr)
Inventor
Christophe Bidan
Carine Boursier
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Priority to EP02713021A priority Critical patent/EP1374014A1/en
Publication of WO2002073376A1 publication Critical patent/WO2002073376A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the present invention relates generally to the verification of access conditions by first elements, such as subjects constituting users or software modules of a data processing means, to second elements such as data implemented in the means of data processing. More particularly, the invention relates to conditions of access to application data implemented in a smart card, also known as a microcontroller or integrated circuit card, which comprises several applications relating to various services, such as applications e-commerce, electronic wallet, loyalty service, etc. The invention is thus particularly directed towards the management of the conditions of access to a multi-application smart card, that is to say towards the definitions and modifications of the conditions of access to applications.
  • each application has its own data for which the supplier of the application defines access rights specific to the application.
  • the access conditions are means of connection between external accesses which can be users of the card or else software modules, such as user interfaces, and internal accesses to the card such as applications, possibly via other applications or other application software elements in the card.
  • the control of access conditions is based on the authentication of subjects, such as users, which are "active" elements which manipulate information contained in objects, such as application data, which are "passive" elements. "containing data.
  • the conditions of access of subjects to objects are governed by rules of access control between subjects and objects. Each rule includes a right of access, i.e. a link between a subject and an object in the form of an action which can be performed by the subject on the object.
  • the matrix MA relates to three subjects SI, S2 and S3, such as three users, and to three objects 01, 02 and 03, such as files and programs.
  • Each box of the matrix at the intersection of a row and a column contains access rights, that is to say privileged actions which can be performed by the respective subject on the respective object.
  • Access rights can be positive to authorize a predetermined action of a subject on an object, or can be negative to prohibit a predetermined action of a subject on an object.
  • subject S2 can read and execute object 02 but cannot write to this object
  • subject S3 can save and read object 03 but cannot execute object 03.
  • the first approach consists of access control lists ACL (Access Control List) corresponding to the rows of the access matrix MA and each specifying the access rights of subjects to the object associated with the row.
  • ACL Access Control List
  • ACLs define user access to files included in the card.
  • the second approach consists of capacities corresponding to the columns of the MA matrix and each specifying the access rights of the subject associated with the column on the objects.
  • access control relates to applet methods for multi-application smart cards of the JavaCard type in which programs in Java language have been written.
  • the capacities are in the form of pointers making it possible to make calls to objects, in predetermined applets constituting subjects.
  • the group Gl has read rights to object 03. If the entity in charge of modifying access rights wishes to delete the right to reading to the whole group Gl, it removes the reading rule from the group Gl on object 03. But this will not be sufficient: the subject SI has read rights on object 03 and on the other hand subject S2 belongs to the G2 group which has read rights to object 03.
  • a method for verifying a set of rules for accessing first elements to second elements in a data processing means each rule defining at least one right of a first element to perform an action on a second element, is characterized in that it comprises, after any modification of access from a first given element to a second given element, a search for rules applied to the first and second given elements among all the access rules, and a proposal to delete each rule found by the search in order to delete or maintain the rule found.
  • an access control system comprises first elements which are for example subjects such as users, and second elements which are for example objects, such as application data, in a multi-application smart card constituting the data processing means.
  • Some of the first elements can each belong to one or more first element groups.
  • a first element in a group has all the access rights granted to the group.
  • a modification of access from a first given element to a second given element can be i) a modification of a group, that is to say an addition or a deletion of a first element in the group; ii) an addition of a rule in the set of rules, that is to say an addition of a positive or negative rule relating to a first element, or else a addition of a positive or negative rule relating to a group; iii) a deletion of a rule in the set of rules, that is to say a deletion of a positive or negative rule relating to a first element, or else a deletion of a positive or negative rule relating to a group ; iv) addition of a first element or group in the access control system; and v) deletion of a first element or group in the access control system.
  • the search embraces all the rules applied to the first given group.
  • the verification process may further comprise, when the rule applied directly to the first given element deleted from the given group has been deleted or when this rule has not been found, a search for the first given element in the groups and, if the first given element is found in one of the groups, a search for a rule which is applied to said group and to said second given element and which has in common the action with the rule previously applied to the first element so as to signal this rule selected if it is found in said group.
  • the search when the modification relates to the deletion of a given rule applied to a given group and to a second given element, the search embraces all the first elements belonging to the given group.
  • the method may further include when a rule which is applied directly to a first element of the given group and said second element given and which has in common the action with the given rule deleted, has been deleted or when this rule has not been found, a search for the first given element in the groups and, if the first element given is found in one of the groups, a search for a rule which is applied to said group and to said second given element and which has in common the action with the rule previously applied to the first element so as to signal this selected rule if she is found in said group.
  • the verification method further comprises a proposal to delete the first given element of a group when a rule applied to the first and second given elements has been found in order to select the suppression or the maintenance of the first element given in the group. More particularly, when negative rules are present in all of the rules, and when the modification concerns the addition of a given rule defining a right of a given group to perform an action on a given object, research can include all the negative rules applied to the first elements belonging to the given group and to the second given element and which has in common the action with the added rule.
  • the method then further comprises, when a negative rule applied directly to a first element of the given group has been deleted or when a first element of the given group has been deleted from said group or when the negative rule has not been found , a search for the first given element in groups and, if the first given element is found in one of the groups, a search for the negative rule applied to said group and said second element, and a proposal to delete the negative rule or the first given element from said group if the negative rule is found in order to delete the first given element in said group or rule negative relating to said group or to report the negative rule relating to said group.
  • FIG. 2 is an algorithm of a first embodiment of the verification method according to the invention relating to the deletion of a subject in a group, in the absence of negative access rights;
  • FIG. 3 is an algorithm of a second embodiment of the verification method according to the invention relating to the removal of an access right in a given subject group, in the absence of negative access right;
  • FIG. 4 is an algorithm of a third embodiment of the verification method according to the invention relating to the addition of a positive right for a given group of subject, in the presence of negative access rights.
  • EG ⁇ G1, ... Gp, ... GP ⁇ , a subject in a group having all the rights granted to this group, and
  • ER ⁇ RI, ... Re, ... RE ⁇ with 1 ⁇ e ⁇ E.
  • the access control system only includes the following two types of rules if no negative rights are authorized:
  • default rule a rule which applies when a right is not specified
  • priority rule means a rule which applies when a positive right and a negative right are simultaneously defined
  • direct right of the subject Su on the object Ob, a right obtained directly by the rule (SuROb), that is to say without going through a group
  • indirect right of the subject Su on the object Ob, a right obtained by the rule (GpROb) through a group Gp in which the subject Su is included.
  • the two embodiments of the method for verifying the access conditions according to the invention relate to an access control system without negative access rights. It is recalled that, in the absence of a negative access right, a subject is authorized to access an object as soon as the corresponding access right, by positive definition, is determined. Conversely, the absence of the right of access to a given object can be interpreted as the prohibition to access this object (default rule).
  • the method of verifying the access conditions according to the invention then makes it possible to maintain the consistency of the access rights when the composition of existing subject groups is modified, such as the deletion of a subject directly or of a subject. in a group with reference to Figure 2, or as the removal of an access right for a subject or for a group with reference to Figure 3.
  • the verification of access rights after the deletion of a given subject Su belonging to a given group, for example the group Gl, comprises steps ET0 to ET15, as shown in FIG. 2.
  • the method of the invention aims in particular to list the rights lost for the deleted subject Su and to check whether the lost rights are not maintained by other rules relating to the subject Su considered individually or included in d other groups than the given group Gl, so as to indicate indirect rules common to the given group Gl and to other groups containing the given subject Su.
  • the access control system comprises the four sets defined above ES, EO, EG and ER.
  • step ET1 An increment e corresponding to the index of the rules Re of the set ER is set to 0.
  • step ET2 at each value of the increment e, as long as it is strictly less than the integer E, the method increments the increment e by one and selects the corresponding rule Re in step ET2.
  • step ET3 verifies that the selected rule concerns the given group Gl, that is to say is of the form (GIROb) where R denotes a predetermined right of access to "activate" a given object Ob according to the rule Re. If the rule Re is not of the form (GIROb), the process returns to step ET1 and ends in step ET15 if the increment e is greater than or equal to the integer E.
  • step ET4 verifies that the predetermined access right R according to the rule Re is directly applicable to the given subject Su deleted in the group Gl. If the rule (SuROb) exists in the ER rule set, the method proposes to the entity in charge of modifying the access conditions and therefore ES, EO, EG and ER sets, to delete the rule (SuROb), for example by transmitting a message to the entity. If in step ET5, the entity decides not to delete the previous rule, that is to say to maintain the rule (SuROb) in step ET6, the process returns to step ET1.
  • the entity decides to delete the rule (SuROb) corresponding to the selected rule Re, as indicated in step ET7, or if the rule (SuROb) is not found in the rule set ER in step ET4, the predetermined access right R applied to the given subject Su is sought in the groups of the set EG from step ET8, by setting an increment p to 0 corresponding to the current index of Gl to GP groups.
  • step ET9 is the start of an analysis loop of all the groups as long as the increment p is strictly less than P; if p ⁇ P, the process goes to step ET10 to indicate that the right R of the subject Su on the object Ob corresponding to an indirect right and possibly to a direct right concerning the subject Su is lost, step ET10 being followed by step ET1.
  • step ET9 when the increment p is strictly less than the integer P, the method iteratively chooses a group G1 to GP in the step ET11 by incrementing the increment p by one.
  • step ET12 if the subject Su does not belong to the current group Gp, the method returns to step ET9. If the subject Su belongs to the current group Gp, the method checks in step ET13 that the rule (GpROb) which is applied to the group Gp and to the given object Ob and which has in common a right R with the rule (SuROb ) previously applied to the given subject Su deleted in the group Gl, exists in the ER rule set. If this is not the case, the method proceeds to step ET9.
  • the rule (GpROb) which is applied to the group Gp and to the given object Ob and which has in common a right R with the rule (SuROb ) previously applied to the given subject Su deleted in the group Gl, exists in the ER rule set. If this is not the case, the method proceeds to step ET9.
  • step ET14 If the rule (GpROb) is found in the ER set, step ET14 signals the indirect right R of the subject Su on the object Ob obtained by belonging to the group Gp, even if the requested deletion of the rule (SuROb ) in step ET5. The method then returns to step ET1 to increment the increment e by a unit and to choose another rule in step ET2 as described above, if the increment e is strictly less than the integer E.
  • the entity in charge of modifying the access conditions can decide whether or not to maintain an existing rule relating to a given subject Su which is deleted in a given group Gl.
  • the entity is informed of the maintenance for the given subject Su of indirect access to a given object Ob by means of its belonging to another group Gp, while the entity ignored or had forgotten this indirect access.
  • the step ET14 retains rights R common to the given group Gl and to at least one other group of the set EG which are applicable to the given subject Su, and thus does not remove accesses otherwise authorized for the subject Su.
  • the entity can then, at a step subsequent to step ET14, decide to delete the subject Su from the group Gp according to the algorithm of FIG. 2, or else to delete the rule (GpROb) according to the algorithm of FIG. 3.
  • FIG. 2 with the deletion of the step ET3 and the linking of the steps ET2 and ET4 is also applicable for a given subject Su deleted individually in the set ES.
  • the verification of the access rights after the deletion of a given rule (GIROb) concerning for example the first group Gl of the set EG and a given object Ob aims to propose that the rights for each subject Su of the group Gl be maintained or deleted, the index u being considered here as relating to the subjects belonging to the given group Gl and not to the set of subject ES. It is therefore a question of deciding to maintain or delete direct rights relating to rules of the type (SuROb) which are applied to subjects Su belonging to the given group Gl and who have in common an action R with the given rule
  • the method according to FIG. 3 presents, after initial steps ETOa, ETla and ET2a analogous respectively to steps ETO, ET1 and ET2 of FIG. 2, steps ET4 to ET7 identical to those shown in FIG. 2 relating to the maintenance or to the deletion of a rule (SuROb) and of steps ET9 to ET14 respectively identical to those of FIG. 2 and relating mainly to the reporting of an indirect right of the type (GpROb).
  • the increment u relative only to the subjects Su belonging to the group Gl is set to 0.
  • the method checks the updating of the access conditions generated by the deletion of the rule (GIROb) for the given object Ob; the process ends in step ET15 when the increment u has been incremented in step ET2a to be greater than or equal to the integer U after the search for direct and indirect rights related to all the subjects of the given group Gl and relating to the determined right R on the given object Ob.
  • the step ET2a chooses the current subject Su in the given group Gl so that the next step ET4 checks whether there is a rule (SuROb) which directly applies the predetermined access right R about Su from group Gl. Then if the rule (SuROb) is found in the ER set, the entity in charge of modifying the access conditions expresses at step ET5 its desire to maintain this rule by continuing the process through steps ET6 and ETla , or else delete this rule by continuing the process with step ET7 and checking whether an indirect right is not maintained for the subject Su by another group in steps ET8 to ET14.
  • a rule SuROb
  • a group increment p is set to 0 at step ET8.
  • the increment p is incremented by one unit in step ET11 to successively analyze the groups Gl to GP in steps ET12 and ET13 until to find a group Gp which contains the subject Su chosen in step ET2a and such that the rule (GpROb) has in common the action R with the deleted rule (GIROb).
  • step ET14 signals that the indirect rule GpROb is maintained even if the removal of the direct rule (SuROb) had been decided in step ET5.
  • the entity can then, in a later step, choose to delete the subject in the Gp group, or else to delete the rule (GpROb).
  • the method according to FIG. 3 allows the entity having in charge of defining the access rights to verify whether the removal of the right R on the object Ob selectively for each of the subjects belonging to the group Gl is effective or not.
  • FIG. 3 is also applicable for the removal of a direct right R applied to a given subject Su by removing the steps ETla and ET2a relating to the incrementation u, and by directly linking the step ETOa to the step ET4 and the stages ET6, ET10 and ET14 at the end stage ET15.
  • the third embodiment shown in FIG. 4 relates to the verification of the access conditions after the addition of a predetermined positive right R on a given object Ob according to the rule (GIROb) for a given group, for example the group Gl, when the access control system includes negative access rights coexisting with positive access rights.
  • GIROb the rule for a given group, for example the group Gl
  • the method according to the invention verifies that, for any subject belonging to the given group Gl, there will not be both a positive access right and a negative access right on a given object Ob, and if this were the case, proposes to the entity responsible for access rights to delete the negative access rule.
  • the method according to FIG. 4 first invites the entity to express its will to delete an existing negative right which corresponds to the positive right to be added and which is either direct on the object Ob for a subject in the given group Gl, or indirect on the object Ob for a subject in at least one group of the set EG.
  • Adding a positive right for a group according to the process shown in Figure 4 includes steps ET20 to ET38 and checks the consistency of the conditions which are modified by this addition of positive law by proposing to delete certain direct or indirect negative rules on the Ob object for subjects of group Gl or to use priority rules.
  • the four sets ES, EO, EG and ER are defined and an increment u corresponding to the index of subjects Su belonging only to the given group Gl is set to 0.
  • the following stage ET201 immediately and simply search for a rule of non negative law (GIROb) in the rule set
  • a subject Su is chosen from the group Gl, by incrementing the index u by one unit in step ET22. Then the negative law rule no (SuROb) is sought in the rule set ER at step ET23.
  • the microcontroller of the smart card offers the entity in charge of the modification of the access rights, first of all deleting the no negative direct law rule (SuROb) in step ET24, then if this deletion is not accepted, proposes to delete the subject Su in the group given Gl to step ET25. If both the deletion of the non negative law rule (SuROb) and the deletion of the subject Su in the group Gl are refused in steps ET24 and ET25, a priority rule is applied in the next step ET28 which is followed by step ET21.
  • the priority rule is for example a priority choice of the rules of negative law not (SuROb) and not (GpROb) over the rule of positive law (GIROb) to be added.
  • step ET24 the deletion of the negative right for the subject Su has been accepted, as indicated in step ET26, or if in step ET25 the deletion of the subject Su has been accepted, as indicated in l step ET27, the method proceeds to step ET29.
  • Step E29 is also carried out after step ET23 if no negative rule no (SuROb) exists.
  • step ET29 verify that the requested suppression is compatible with the presence or not of a rule relating to the predetermined negative right R in the groups Gl to GP containing the subject Su.
  • step ET29 an increment p corresponding to the index p of the groups G1 to GP of the set EG is set to zero, then is compared to the integer P in step ET30.
  • the subject Su is sought in all the EG groups as long as the increment p is strictly less than the integer P, and as long as the entity responsible for the conditions of access rights has the will to delete a right negative relating to the subject Su or the subject Su itself, as will be seen below. Otherwise the process goes from step ET30 in step ET21 when the increment p is greater than or equal to the integer P.
  • step ET31 succeeding step ET30 when the increment p is strictly less than the integer P, the current group Gp different from the given group Gl is selected from the set EG, by incrementing the index p of a unit. If in the following steps ET32 and ET33, the subject Su was not found in the current group Gp, and / or if the non negative law rule (GpROb) was not found in the rule set ER , the method returns to steps ET30 and ET31 so as to select the following group.
  • GpROb non negative law rule
  • Step ET33 If after the step ET33, the subject Su was found in the group Gp and the rule of negative law not (GpROb) was found in the set ER, the microcontroller of the smart card invites the entity first to delete the no negative law rule (GpROb) in step ET34, then if this deletion is refused, to delete the subject Su in the group Gp in step ET35, in a similar manner to steps ET24 and ET25.
  • Step ET28 is also requested to apply the priority rule if the two deletions reported in steps ET34 and ET35 are refused.
  • step ET34 the deletion of the non negative law rule (GpROb) is decided, as indicated in step ET36, or if after step ET35, the subject Su in the current group Gp is deleted as indicated in step ET37, the process continues by returning to step ET30 to decide whether the subject Su or a corresponding negative law rule should be deleted in the next group G (p + 1).
  • Figure 4 is also applicable for the addition of a negative law rule of the type no (GlROb), after correcting steps ET201, ET202, ET23, ET24, ET26, ET33, ET34 and ET36 which are now related to searches and deletions of positive rules (SuROb) and (GpROb); in this case, the priority rule applied in step ET28 gives, for example, priority to the existing positive law rules SuROb, GIROb and GpROb over the negative law rule to add no (GIROb) to ensure the coexistence of rights positive and negative access.
  • a negative law rule of the type no GlROb
  • the priority rule applied in step ET28 gives, for example, priority to the existing positive law rules SuROb, GIROb and GpROb over the negative law rule to add no (GIROb) to ensure the coexistence of rights positive and negative access.
  • Figure 4 is still applicable for the addition of a positive direct law rule (SuROb) by deleting the steps ET21 and ET22 and by directly linking the step ET201 and ET202 to the step ET23 and the step ET28 to the 'end step ET38.
  • SaROb positive direct law rule

Abstract

A group (ER) of access rules (Re) for subjects (Su) to access objects (Ob) is verified in a chip card-type data processing means wherein the subjects and objects are users and applications. Each rule defines a subject's right to perform an action on an object. In particular, after the deletion or addition of a rule or a given subject (Su) relating to a given object (Ob), suspect rules (SuROb) which apply to the given subject and object are searched for (ET4) among all the access rules. The entity responsible for access rules is prompted (ET5) to delete each rule found by the search so that the rule found can be deleted (ET7), particularly in coherence (ET8-ET14) with rules relating to the given subject in groups, or maintained (ET6).

Description

VERIFICATION DE LA COHERENCE DE CONDITIONS D'ACCES DE SUJETS A DES OBJETS DANS UN MOYEN DE TRAITEMENT DEVERIFICATION OF THE CONSISTENCY OF CONDITIONS OF ACCESS OF SUBJECTS TO OBJECTS IN A PROCESSING MEDIUM
DONNEESDATA
La présente invention concerne d'une manière générale la vérification de conditions d'accès par des premiers éléments, tels que des sujets constituant des utilisateurs ou modules logiciels d'un moyen de traitement de données, à des deuxièmes éléments tels que des données implémentées dans le moyen de traitement de données . Plus particulièrement, l'invention est relative à des conditions d'accès à des données d'application implémentées dans une carte à puce, dite également carte à microcontrôleur ou à circuit intégré, qui comporte plusieurs applications relatives à divers services, tels que des applications de commerce électronique, porte-monnaie électronique, service de fidélité, etc. L'invention est ainsi particulièrement dirigée vers la gestion des conditions d'accès à une carte à puce multi-applicative, c'est-à-dire vers les définitions et les modifications des conditions d'accès à des applications.The present invention relates generally to the verification of access conditions by first elements, such as subjects constituting users or software modules of a data processing means, to second elements such as data implemented in the means of data processing. More particularly, the invention relates to conditions of access to application data implemented in a smart card, also known as a microcontroller or integrated circuit card, which comprises several applications relating to various services, such as applications e-commerce, electronic wallet, loyalty service, etc. The invention is thus particularly directed towards the management of the conditions of access to a multi-application smart card, that is to say towards the definitions and modifications of the conditions of access to applications.
La coexistence et la coopération de plusieurs applications au sein d'une même carte à puce soulève de nombreux problèmes du point de vue de la sécurité. En particulier, chaque application possède ses propres données pour lesquelles le fournisseur de l'application définit des droits d'accès propres à l'application. Les conditions d'accès sont des moyens de liaison entre des accès externes qui peuvent être des utilisateurs de la carte ou bien des modules logiciels, comme des interfaces d'usager, et des accès internes à la carte tels que des applications, éventuellement par l'intermédiaire d'autres applications ou d'autres éléments logiciels d'application dans la carte. Le contrôle des conditions d'accès repose sur 1 ' authentification des sujets, tels que les utilisateurs, qui sont des éléments "actifs" qui manipulent des informations contenues dans des objets, tels que des données d'application, qui sont des éléments "passifs" contenant des données. Les conditions d'accès des sujets aux objets sont régies par des règles de contrôle d'accès entre les sujets et les objets. Chaque règle comporte un droit d'accès, c'est-à-dire un lien entre un sujet et un objet sous la forme d'une action qui peut être accomplie par le sujet sur l'objet.The coexistence and cooperation of several applications within the same smart card raises many problems from a security point of view. In particular, each application has its own data for which the supplier of the application defines access rights specific to the application. The access conditions are means of connection between external accesses which can be users of the card or else software modules, such as user interfaces, and internal accesses to the card such as applications, possibly via other applications or other application software elements in the card. The control of access conditions is based on the authentication of subjects, such as users, which are "active" elements which manipulate information contained in objects, such as application data, which are "passive" elements. "containing data. The conditions of access of subjects to objects are governed by rules of access control between subjects and objects. Each rule includes a right of access, i.e. a link between a subject and an object in the form of an action which can be performed by the subject on the object.
Il est connu de représenter les conditions d'accès de sujets à des objets par une matrice d'accès MA dont les colonnes correspondent à des sujets et dont les lignes correspondent à des objets, comme montré à la figure 1. Par exemple, la matrice MA est relative à trois sujets SI, S2 et S3 , tels que trois utilisateurs, et à trois objets 01, 02 et 03, tels que des fichiers et des programmes. Chaque case de la matrice à l'intersection d'une ligne et d'une colonne contient des droits d'accès, c'est-à-dire des actions privilégiées qui peuvent être accomplies par le sujet respectif sur l'objet respectif.It is known to represent the conditions of access of subjects to objects by an access matrix MA whose columns correspond to subjects and whose rows correspond to objects, as shown in FIG. 1. For example, the matrix MA relates to three subjects SI, S2 and S3, such as three users, and to three objects 01, 02 and 03, such as files and programs. Each box of the matrix at the intersection of a row and a column contains access rights, that is to say privileged actions which can be performed by the respective subject on the respective object.
Les droits d'accès peuvent être positifs pour autoriser une action prédéterminée d'un sujet sur un objet, ou peuvent être négatifs pour interdire une action prédéterminée d'un sujet sur un objet. Par exemple, le sujet S2 peut lire et exécuter l'objet 02 mais ne peut pas écrire dans cet objet, et le sujet S3 peut enregistrer et lire l'objet 03 mais ne peut pas exécuter l'objet 03.Access rights can be positive to authorize a predetermined action of a subject on an object, or can be negative to prohibit a predetermined action of a subject on an object. For example, subject S2 can read and execute object 02 but cannot write to this object, and subject S3 can save and read object 03 but cannot execute object 03.
Comme il est connu, les règles de contrôle d'accès sont généralement traitées suivant deux approches .As is known, access control rules are generally treated according to two approaches.
La première approche consiste en des listes de contrôle d'accès ACL (Access Control List) correspondant aux lignes de la matrice d'accès MA et spécifiant chacune les droits d'accès de sujets à l'objet associé à la ligne. A titre d'exemple, dans une carte à puce multi-applicative du type WINDOWSThe first approach consists of access control lists ACL (Access Control List) corresponding to the rows of the access matrix MA and each specifying the access rights of subjects to the object associated with the row. For example, in a multi-application smart card of the WINDOWS type
(marque enregistrée), des listes de contrôle d'accès(registered trademark), access control lists
ACL définissent des accès d'utilisateurs à des fichiers inclus dans la carte. A l'inverse, la deuxième approche consiste en des capacités correspondant aux colonnes de la matrice MA et spécifiant chacune les droits d'accès du sujet associé à la colonne sur les objets. Par exemple, le contrôle d'accès porte sur des méthodes d'applets pour cartes à puce multi-applicatives de type JavaCard dans lesquelles des programmes en langage Java ont été écrits. Les capacités sont sous la forme de pointeurs permettant d'effectuer des appels à des objets, dans des applets prédéterminés constituant des sujets.ACLs define user access to files included in the card. Conversely, the second approach consists of capacities corresponding to the columns of the MA matrix and each specifying the access rights of the subject associated with the column on the objects. For example, access control relates to applet methods for multi-application smart cards of the JavaCard type in which programs in Java language have been written. The capacities are in the form of pointers making it possible to make calls to objects, in predetermined applets constituting subjects.
Lors de la définition, la suppression, l'ajout et plus généralement lors de la modification de droits d'accès par des sujets à des objets, et plus précisément lors de la modification de données pendant la durée de vie d'un moyen de traitement de données tel que le microcontrôleur d'une carte à puce, se pose le problème de la cohérence entre des droits d'accès supprimés, ajoutés ou plus généralement modifiés par rapport à des droits d'accès déjà existants, et par rapport aux souhaits de l'entité en charge de la modification des conditions d'accès, l'entité étant par exemple un développeur, un serveur ou une applet dans la carte.When defining, deleting, adding and more generally when modifying access rights by subjects to objects, and more precisely when modifying data during the lifetime of a processing means data such as the microcontroller of a smart card, there is the problem of consistency between deleted, added or more generally modified access rights compared to rights already existing access, and in relation to the wishes of the entity in charge of modifying the access conditions, the entity being for example a developer, a server or an applet in the card.
Par exemple, en référence à la matrice d'accès MA de la figure 1, le groupe Gl a un droit de lecture sur l'objet 03. Si l'entité en charge de la modification des droits d'accès souhaite supprimer le droit de lecture à tout le groupe Gl, elle supprime la règle de lecture du groupe Gl sur l'objet 03. Mais cela ne sera pas suffisant : le sujet SI a un droit de lecture sur l'objet 03 et d'autre part le sujet S2 appartient au groupe G2 qui a un droit de lecture sur l'objet 03.For example, with reference to the access matrix MA in FIG. 1, the group Gl has read rights to object 03. If the entity in charge of modifying access rights wishes to delete the right to reading to the whole group Gl, it removes the reading rule from the group Gl on object 03. But this will not be sufficient: the subject SI has read rights on object 03 and on the other hand subject S2 belongs to the G2 group which has read rights to object 03.
Cet exemple met en relief qu'il est nécessaire de vérifier que les changements souhaités par le développeur ou la personne en charge de la définition des droits d'accès sont bien effectifs.This example highlights that it is necessary to verify that the changes desired by the developer or the person in charge of defining access rights are indeed effective.
C'est précisément l'objectif principal de la présente invention de fournir un procédé de vérification des conditions d'accès après la modification, telle que suppression ou ajout, d'une règle de contrôle d'accès dans l'ensemble des règles, ou d'un sujet dans un groupe, de manière à rechercher des règles "suspectes" susceptibles de remettre en cause la cohérence entre les droits d'accès précédents et les droits d'accès nouvellement modifiés, et à garantir la cohérence avec les souhaits de l'entité en charge de la définition/modification des droits d'accès. Pour atteindre cet objectif, un procédé pour vérifier un ensemble de règles d'accès de premiers éléments à des deuxièmes éléments dans un moyen de traitement de données, chaque règle définissant au moins un droit d'un premier élément à accomplir une action sur un deuxième élément, est caractérisé en ce qu'il comprend, après toute modification d'accès d'un premier élément donné à un deuxième élément donné, une recherche de règles appliquées aux premier et deuxième éléments donnés parmi l'ensemble des règles d'accès, et une proposition de supprimer chaque règle trouvée par la recherche afin de supprimer ou de maintenir la règle trouvée.It is precisely the main objective of the present invention to provide a method of verifying the access conditions after the modification, such as deletion or addition, of an access control rule in the set of rules, or of a subject in a group, so as to look for "suspicious" rules likely to call into question the consistency between the previous access rights and the newly modified access rights, and to guarantee consistency with the wishes of the entity in charge of defining / modifying access rights. To achieve this objective, a method for verifying a set of rules for accessing first elements to second elements in a data processing means, each rule defining at least one right of a first element to perform an action on a second element, is characterized in that it comprises, after any modification of access from a first given element to a second given element, a search for rules applied to the first and second given elements among all the access rules, and a proposal to delete each rule found by the search in order to delete or maintain the rule found.
Comme on le verra dans la suite, un système de contrôle d'accès comporte des premiers éléments qui sont par exemple des sujets tels que des utilisateurs, et des deuxièmes éléments qui sont par exemple des objets, tels que des données d'application, dans une carte à puce multi- applicative constituant le moyen de traitement de données .As will be seen below, an access control system comprises first elements which are for example subjects such as users, and second elements which are for example objects, such as application data, in a multi-application smart card constituting the data processing means.
Certains des premiers éléments peuvent appartenir chacun à un ou plusieurs groupes de premier élément . Un premier élément dans un groupe a tous les droits d'accès accordés au groupe.Some of the first elements can each belong to one or more first element groups. A first element in a group has all the access rights granted to the group.
Une modification d'accès d'un premier élément donné à un deuxième élément donné peut être i) une modification d'un groupe, c'est-à-dire un ajout ou bien une suppression d'un premier élément dans le groupe ; ii) un ajout d'une règle dans l'ensemble de règles, c'est-à-dire un ajout d'une règle positive ou négative relative à un premier élément, ou bien un ajout d'une règle positive ou négative relative à un groupe ; iii) une suppression d'une règle dans l'ensemble de règles, c'est-à-dire une suppression d'une règle positive ou négative relative à un premier élément, ou bien une suppression d'une règle positive ou négative relative à un groupe ; iv) un ajout d'un premier élément ou d'un groupe dans le système de contrôle d'accès ; et v) une suppression d'un premier élément ou d'un groupe dans le système de contrôle d'accès.A modification of access from a first given element to a second given element can be i) a modification of a group, that is to say an addition or a deletion of a first element in the group; ii) an addition of a rule in the set of rules, that is to say an addition of a positive or negative rule relating to a first element, or else a addition of a positive or negative rule relating to a group; iii) a deletion of a rule in the set of rules, that is to say a deletion of a positive or negative rule relating to a first element, or else a deletion of a positive or negative rule relating to a group ; iv) addition of a first element or group in the access control system; and v) deletion of a first element or group in the access control system.
Selon une première réalisation, lorsque la modification concerne la suppression d'un premier élément donné dans un groupe donné, la recherche embrasse toutes les règles appliquées au premier groupe donné. Le procédé de vérification peut comprendre, en outre, lorsque la règle appliquée directement au premier élément donné supprimé du groupe donné a été supprimée ou lorsque cette règle n'a pas été trouvée, une recherche du premier élément donné dans les groupes et, si le premier élément donné est trouvé dans l'un des groupes, une recherche d'une règle qui est appliquée audit groupe et audit deuxième élément donné et qui a en commun l'action avec la règle précédemment appliquée au premier élément de manière à signaler cette règle sélectionnée si elle est trouvée dans ledit groupe.According to a first embodiment, when the modification relates to the deletion of a first given element in a given group, the search embraces all the rules applied to the first given group. The verification process may further comprise, when the rule applied directly to the first given element deleted from the given group has been deleted or when this rule has not been found, a search for the first given element in the groups and, if the first given element is found in one of the groups, a search for a rule which is applied to said group and to said second given element and which has in common the action with the rule previously applied to the first element so as to signal this rule selected if it is found in said group.
Selon une deuxième réalisation, lorsque la modification concerne la suppression d'une règle donnée appliquée à un groupe donné et à un deuxième élément donné, la recherche embrasse tous les premiers éléments appartenant au groupe donné. Le procédé peut comprendre, en outre, lorsqu'une règle qui est appliquée directement à un premier élément du groupe donné et audit deuxième élément donné et qui a en commun l'action avec la règle donnée supprimée, a été supprimée ou lorsque cette règle n'a pas été trouvée, une recherche du premier élément donné dans les groupes et, si le premier élément donné est trouvé dans l'un des groupes, une recherche d'une règle qui est appliquée audit groupe et audit deuxième élément donné et qui a en commun l'action avec la règle précédemment appliquée au premier élément de manière à signaler cette règle sélectionnée si elle est trouvée dans ledit groupe.According to a second embodiment, when the modification relates to the deletion of a given rule applied to a given group and to a second given element, the search embraces all the first elements belonging to the given group. The method may further include when a rule which is applied directly to a first element of the given group and said second element given and which has in common the action with the given rule deleted, has been deleted or when this rule has not been found, a search for the first given element in the groups and, if the first element given is found in one of the groups, a search for a rule which is applied to said group and to said second given element and which has in common the action with the rule previously applied to the first element so as to signal this selected rule if she is found in said group.
Selon encore une autre réalisation, le procédé de vérification comprend, en outre, une proposition de supprimer le premier élément donné d'un groupe lorsqu'une règle appliquée aux premier et deuxième éléments donnés a été trouvée afin de sélectionner la suppression ou le maintien du premier élément donné dans le groupe. Plus particulièrement, lorsque des règles négatives sont présentes dans l'ensemble des règles, et lorsque la modification concerne l'ajout d'une règle donnée définissant un droit d'un groupe donné à accomplir une action sur un objet donné, la recherche peut embrasser toutes les règles négatives appliquées aux premiers éléments appartenant au groupe donné et au deuxième élément donné et qui a en commun l'action avec la règle ajoutée. Le procédé comprend alors, en outre, lorsqu'une règle négative appliquée directement à un premier élément du groupe donné a été supprimée ou lorsqu'un premier élément du groupe donné a été supprimée dudit groupe ou lorsque la règle négative n'a pas été trouvée, une recherche du premier élément donné dans les groupes et, si le premier élément donné est trouvé dans l'un des groupes, une recherche de la règle négative appliquée audit groupe et audit deuxième élément, et une proposition de supprimer la règle négative ou le premier élément donné dudit groupe si la règle négative est trouvée afin de supprimer le premier élément donné dans ledit groupe ou la règle négative relative audit groupe ou de signaler la règle négative relative audit groupe.According to yet another embodiment, the verification method further comprises a proposal to delete the first given element of a group when a rule applied to the first and second given elements has been found in order to select the suppression or the maintenance of the first element given in the group. More particularly, when negative rules are present in all of the rules, and when the modification concerns the addition of a given rule defining a right of a given group to perform an action on a given object, research can include all the negative rules applied to the first elements belonging to the given group and to the second given element and which has in common the action with the added rule. The method then further comprises, when a negative rule applied directly to a first element of the given group has been deleted or when a first element of the given group has been deleted from said group or when the negative rule has not been found , a search for the first given element in groups and, if the first given element is found in one of the groups, a search for the negative rule applied to said group and said second element, and a proposal to delete the negative rule or the first given element from said group if the negative rule is found in order to delete the first given element in said group or rule negative relating to said group or to report the negative rule relating to said group.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels : - la figure 1 est un diagramme montrant une matrice de contrôle d'accès entre trois sujets et trois objets, déjà commentée selon la technique antérieure ;Other characteristics and advantages of the present invention will appear more clearly on reading the following description of several preferred embodiments of the invention with reference to the corresponding appended drawings in which: - Figure 1 is a diagram showing a control matrix d access between three subjects and three objects, already commented on according to the prior art;
- la figure 2 est un algorithme d'une première réalisation du procédé de vérification selon l'invention relatif à la suppression d'un sujet dans un groupe, en l'absence de droit d'accès négatif ;- Figure 2 is an algorithm of a first embodiment of the verification method according to the invention relating to the deletion of a subject in a group, in the absence of negative access rights;
- la figure 3 est un algorithme d'une deuxième réalisation du procédé de vérification selon l'invention relatif à la suppression d'un droit d'accès dans un groupe de sujet donné, en l'absence de droit d'accès négatif ; et- Figure 3 is an algorithm of a second embodiment of the verification method according to the invention relating to the removal of an access right in a given subject group, in the absence of negative access right; and
- la figure 4 est un algorithme d'une troisième réalisation du procédé de vérification selon l'invention relatif à l'ajout d'un droit positif pour un groupe de sujet donné, en présence de droits d'accès négatifs.- Figure 4 is an algorithm of a third embodiment of the verification method according to the invention relating to the addition of a positive right for a given group of subject, in the presence of negative access rights.
Les réalisations décrites ci-après du procédé de vérification des conditions d'accès de sujets à des objets se réfèrent à un système de contrôle d'accès qui est implemente dans le microcontrôleur d'une carte à puce et qui comprend les quatre ensembles suivants : - un ensemble de sujet ES = {SI, ... Su, ... SU} avec 1 < u < U,The embodiments described below of the method for verifying the conditions of access of subjects to Objects refer to an access control system which is implemented in the microcontroller of a smart card and which comprises the following four sets: - a set of subject ES = {SI, ... Su, ... SU } with 1 <u <U,
- un ensemble d'objet EO = {01, ... Ob, ... OB} avec 1 < b < B,- a set of object EO = {01, ... Ob, ... OB} with 1 <b <B,
- un ensemble de groupe de sujet EG ={G1, ... Gp, ... GP}, un sujet dans un groupe ayant tous les droits accordés à ce groupe, et- a set of subject groups EG = {G1, ... Gp, ... GP}, a subject in a group having all the rights granted to this group, and
- un ensemble de règle ER = {RI, ... Re, ... RE} avec 1 < e < E.- a set of rules ER = {RI, ... Re, ... RE} with 1 <e <E.
Si R désigne un droit, c'est-à-dire une action telle que lecture, écriture, exécution ou enregistrement, qui peut être accomplie par un sujet quelconque Su sur un objet quelconque Ob, le système de contrôle d'accès ne comprend que les deux types de règles suivantes si aucun droit négatif n'est autorisé :If R designates a right, that is to say an action such as reading, writing, execution or recording, which can be performed by any subject Su on any object Ob, the access control system only includes the following two types of rules if no negative rights are authorized:
- (SuROb) : le sujet Su a le droit R sur l'objet Ob ;- (SuROb): the subject Su has the right R on the object Ob;
- (GpROb) : les sujets du groupe Gp ont le droit R sur 1 ' objet Ob . En outre, lorsque le système de contrôle d'accès autorise également des droits négatifs, les deux types de règles suivantes s'ajoutent aux deux types de règles précédentes :- (GpROb): the subjects of the group Gp have the right R on the object Ob. In addition, when the access control system also authorizes negative rights, the following two types of rules are added to the two previous types of rules:
- non (SuROb) : le sujet Su n'a pas le droit R sur 1 'objet Ob ;- no (SuROb): the subject Su does not have the right R on the object Ob;
- non(GpROb) : les sujets du groupe Gp n'ont pas le droit R sur l'objet Ob.- no (GpROb): subjects in the Gp group do not have the R right on the Ob object.
Dans la suite, on appellera "règle par défaut", une règle qui s'applique lorsqu'un droit n'est pas spécifié ; "règle de priorité", une règle qui s'applique lorsqu'un droit positif et un droit négatif sont simultanément définis ; "droit direct" du sujet Su sur l'objet Ob, un droit obtenu directement par la règle (SuROb), c'est-à-dire sans passer par l'intermédiaire d'un groupe ; et "droit indirect" du sujet Su sur l'objet Ob, un droit obtenu par la règle (GpROb) à travers un groupe Gp dans lequel est inclus le sujet Su.In the following, we will call "default rule", a rule which applies when a right is not specified; "priority rule" means a rule which applies when a positive right and a negative right are simultaneously defined; "direct right" of the subject Su on the object Ob, a right obtained directly by the rule (SuROb), that is to say without going through a group; and "indirect right" of the subject Su on the object Ob, a right obtained by the rule (GpROb) through a group Gp in which the subject Su is included.
Les deux réalisations du procédé de vérification des conditions d'accès selon l'invention qui sont maintenant décrites ci-après en référence aux figures 2 et 3 sont relatives à un système de contrôle d'accès sans droit d'accès négatif. Il est rappelé que, en l'absence de droit d'accès négatif, un sujet est autorisé à accéder à un objet dès lors que le droit d'accès correspondant, par définition positif, est déterminé. Inversement, l'absence du droit d'accès sur un objet donné peut être interprêtée comme l'interdiction d'accéder à cet objet (règle par défaut) .The two embodiments of the method for verifying the access conditions according to the invention which are now described below with reference to FIGS. 2 and 3 relate to an access control system without negative access rights. It is recalled that, in the absence of a negative access right, a subject is authorized to access an object as soon as the corresponding access right, by positive definition, is determined. Conversely, the absence of the right of access to a given object can be interpreted as the prohibition to access this object (default rule).
Le procédé de vérification des conditions d'accès selon l'invention permet alors de maintenir la cohérence des droits d'accès lors de la modification de la composition de groupes de sujet existants, comme la suppression d'un sujet directement ou d'un sujet dans un groupe en référence à la figure 2, ou comme la suppression d'un droit d'accès pour un sujet ou bien pour un groupe en référence à la figure 3.The method of verifying the access conditions according to the invention then makes it possible to maintain the consistency of the access rights when the composition of existing subject groups is modified, such as the deletion of a subject directly or of a subject. in a group with reference to Figure 2, or as the removal of an access right for a subject or for a group with reference to Figure 3.
La vérification de droit d'accès après la suppression d'un sujet donné Su appartenant à un groupe donné par exemple le groupe Gl, comprend des étapes ET0 à ET15, comme montré à la figure 2. Après une suppression du sujet Su, le procédé de l'invention vise particulièrement à lister les droits perdus pour le sujet supprimé Su et à vérifier si les droits perdus ne sont pas maintenus par d'autres règles relatives au sujet Su considéré individuellement ou inclus dans d'autres groupes que le groupe donné Gl, de manière à signaler des règles indirectes communes au groupe donné Gl et à d'autres groupes contenant le sujet donné Su. A l'étape ETO, au début du procédé de vérification de droits d'accès, il est supposé que le système de contrôle d'accès comprend les quatre ensembles définis ci-dessus ES, EO, EG et ER. Un incrément e correspondant à 1 ' indice des règles Re de l'ensemble ER est mis à 0. A l'étape ET1, à chaque valeur de l'incrément e, tant que celui-ci est strictement inférieur à l'entier E, le procédé incrémente d'une unité l'incrément e et sélectionne la règle correspondante Re à l'étape ET2. L'étape suivante ET3 vérifie que la règle sélectionnée concerne le groupe donné Gl, c'est-à-dire est de la forme (GIROb) où R désigne un droit prédéterminé d'accès à "actionner" un objet donné Ob selon la règle Re. Si la règle Re n'est pas de la forme (GIROb) , le procédé revient à 1 ' étape ET1 et se termine à l'étape ET15 si l'incrément e est supérieur ou égal à l'entier E.The verification of access rights after the deletion of a given subject Su belonging to a given group, for example the group Gl, comprises steps ET0 to ET15, as shown in FIG. 2. After a deletion of the subject Su, the method of the invention aims in particular to list the rights lost for the deleted subject Su and to check whether the lost rights are not maintained by other rules relating to the subject Su considered individually or included in d other groups than the given group Gl, so as to indicate indirect rules common to the given group Gl and to other groups containing the given subject Su. In the ETO step, at the start of the access rights verification process, it is assumed that the access control system comprises the four sets defined above ES, EO, EG and ER. An increment e corresponding to the index of the rules Re of the set ER is set to 0. In step ET1, at each value of the increment e, as long as it is strictly less than the integer E, the method increments the increment e by one and selects the corresponding rule Re in step ET2. The next step ET3 verifies that the selected rule concerns the given group Gl, that is to say is of the form (GIROb) where R denotes a predetermined right of access to "activate" a given object Ob according to the rule Re. If the rule Re is not of the form (GIROb), the process returns to step ET1 and ends in step ET15 if the increment e is greater than or equal to the integer E.
Lorsque la règle sélectionnée Re est applicable au groupe donné Gl à l'étape ET3, l'étape ET4 vérifie que le droit d'accès prédéterminé R selon la règle Re est applicable directement au sujet donné Su supprimé dans le groupe Gl . Si la règle (SuROb) existe dans l'ensemble de règle ER, le procédé propose à l'entité en charge de la modification des conditions d'accès et donc des ensembles ES, EO, EG et ER, de supprimer la règle (SuROb) , par exemple en transmettant un message à l'entité. Si à l'étape ET5, l'entité décide de ne pas supprimer la règle précédente, c'est-à-dire de maintenir la règle (SuROb) à l'étape ET6, le procédé revient à l'étape ET1.When the selected rule Re is applicable to the given group Gl in step ET3, step ET4 verifies that the predetermined access right R according to the rule Re is directly applicable to the given subject Su deleted in the group Gl. If the rule (SuROb) exists in the ER rule set, the method proposes to the entity in charge of modifying the access conditions and therefore ES, EO, EG and ER sets, to delete the rule (SuROb), for example by transmitting a message to the entity. If in step ET5, the entity decides not to delete the previous rule, that is to say to maintain the rule (SuROb) in step ET6, the process returns to step ET1.
Par contre, si l'entité décide de supprimer la règle (SuROb) correspondant à la règle sélectionnée Re, comme indiqué à l'étape ET7, ou bien si la règle (SuROb) n'est pas trouvée dans l'ensemble de règle ER à l'étape ET4, le droit d'accès prédéterminé R appliqué au sujet donné Su est recherché dans les groupes de l'ensemble EG à partir de l'étape ET8 , en mettant un incrément p à 0 correspondant à 1 ' indice courant des groupes Gl à GP.However, if the entity decides to delete the rule (SuROb) corresponding to the selected rule Re, as indicated in step ET7, or if the rule (SuROb) is not found in the rule set ER in step ET4, the predetermined access right R applied to the given subject Su is sought in the groups of the set EG from step ET8, by setting an increment p to 0 corresponding to the current index of Gl to GP groups.
L'étape suivante ET9 est le début d'une boucle d'analyse de l'ensemble des groupes tant que 1 ' incrément p est strictement inférieur à P ; si p ≥ P, le procédé passe à l'étape ET10 pour indiquer que le droit R du sujet Su sur l'objet Ob correspondant à un droit indirect et éventuellement à un droit direct concernant le sujet Su est perdue, l'étape ET10 étant suivie par l'étape ET1.The next step ET9 is the start of an analysis loop of all the groups as long as the increment p is strictly less than P; if p ≥ P, the process goes to step ET10 to indicate that the right R of the subject Su on the object Ob corresponding to an indirect right and possibly to a direct right concerning the subject Su is lost, step ET10 being followed by step ET1.
A partir de l'étape ET9, lorsque l'incrément p est strictement inférieur à l'entier P, le procédé choisit itérativement un groupe Gl à GP à l'étape ETll en incrémentant d'une unité l'incrément p. A l'étape suivante ET12, si le sujet Su n'appartient pas au groupe courant Gp, le procédé revient à l'étape ET9. Si le sujet Su appartient au groupe courant Gp, le procédé vérifie à l'étape ET13 que la règle (GpROb) qui est appliquée au groupe Gp et à l'objet donné Ob et qui a en commun un droit R avec la règle (SuROb) précédemment appliquée au sujet donné Su supprimé dans le groupe Gl, existe dans l'ensemble de règle ER. Si ce n'est pas le cas, le procédé passe à l'étape ET9.From step ET9, when the increment p is strictly less than the integer P, the method iteratively chooses a group G1 to GP in the step ET11 by incrementing the increment p by one. In the next step ET12, if the subject Su does not belong to the current group Gp, the method returns to step ET9. If the subject Su belongs to the current group Gp, the method checks in step ET13 that the rule (GpROb) which is applied to the group Gp and to the given object Ob and which has in common a right R with the rule (SuROb ) previously applied to the given subject Su deleted in the group Gl, exists in the ER rule set. If this is not the case, the method proceeds to step ET9.
Si la règle (GpROb) est trouvée dans l'ensemble ER, l'étape ET14 signale le droit indirect R du sujet Su sur l'objet Ob obtenu par son appartenance au groupe Gp, quand bien même la suppression demandée de la règle (SuROb) à l'étape ET5. Le procédé revient ensuite à l'étape ET1 pour incrémenter l'incrément e d'une unité et choisir une autre règle à l'étape ET2 comme cela a été décrit ci-dessus, si l'incrément e est strictement inférieur à l'entier E.If the rule (GpROb) is found in the ER set, step ET14 signals the indirect right R of the subject Su on the object Ob obtained by belonging to the group Gp, even if the requested deletion of the rule (SuROb ) in step ET5. The method then returns to step ET1 to increment the increment e by a unit and to choose another rule in step ET2 as described above, if the increment e is strictly less than the integer E.
Ainsi, grâce aux étapes ET5, ET6 et ET7, l'entité en charge des modifications des conditions d'accès peut décider de maintenir ou non une règle existante relative à un sujet donné Su qui est supprimé dans un groupe donné Gl . Particulièrement en choisissant l'étape ET7, l'entité est informée du maintien pour le sujet donné Su de l'accès indirect à un objet donné Ob par l'intermédiaire de son appartenance à un autre groupe Gp, alors que l'entité méconnaissait ou avait oublié cet accès indirect. L'étape ET14 conserve des droits R communs au groupe donné Gl et à au moins un autre groupe de 1 ' ensemble EG qui sont applicables au sujet donné Su, et ainsi ne supprime pas des accès autorisés par ailleurs pour le sujet Su. L'entité peut alors à une étape ultérieure à 1 ' étape ET14 décider de supprimer le sujet Su du groupe Gp selon l'algorithme de la figure 2, ou bien de supprimer la règle (GpROb) selon l'algorithme de la figure 3.Thus, thanks to steps ET5, ET6 and ET7, the entity in charge of modifying the access conditions can decide whether or not to maintain an existing rule relating to a given subject Su which is deleted in a given group Gl. Particularly by choosing step ET7, the entity is informed of the maintenance for the given subject Su of indirect access to a given object Ob by means of its belonging to another group Gp, while the entity ignored or had forgotten this indirect access. The step ET14 retains rights R common to the given group Gl and to at least one other group of the set EG which are applicable to the given subject Su, and thus does not remove accesses otherwise authorized for the subject Su. The entity can then, at a step subsequent to step ET14, decide to delete the subject Su from the group Gp according to the algorithm of FIG. 2, or else to delete the rule (GpROb) according to the algorithm of FIG. 3.
La figure 2 avec suppression de 1 ' étape ET3 et la liaison des étapes ET2 et ET4 est également applicable pour un sujet donné Su supprimé individuellement dans l'ensemble ES. En référence maintenant à la figure 3, la vérification des droits d'accès après la suppression d'une règle donnée (GIROb) concernant par exemple le premier groupe Gl de l'ensemble EG et un objet donné Ob vise à proposer que les droits pour chaque sujet Su du groupe Gl soient maintenus ou supprimés, 1 ' indice u étant considéré ici comme relatif aux sujets appartenant au groupe donné Gl et non à l'ensemble de sujet ES. Il s'agit donc de décider de maintenir ou de supprimer des droits directs relatifs à des règles du type (SuROb) qui sont appliquées à des sujets Su appartenant au groupe donné Gl et qui ont en commun une action R avec la règle donnéeFIG. 2 with the deletion of the step ET3 and the linking of the steps ET2 and ET4 is also applicable for a given subject Su deleted individually in the set ES. With reference now to FIG. 3, the verification of the access rights after the deletion of a given rule (GIROb) concerning for example the first group Gl of the set EG and a given object Ob aims to propose that the rights for each subject Su of the group Gl be maintained or deleted, the index u being considered here as relating to the subjects belonging to the given group Gl and not to the set of subject ES. It is therefore a question of deciding to maintain or delete direct rights relating to rules of the type (SuROb) which are applied to subjects Su belonging to the given group Gl and who have in common an action R with the given rule
(GIROb) , et des droits indirects selon des règles du type (GpROb) pour des sujets Su appartenant à la fois aux groupes Gl et Gp . Ainsi, le procédé selon la figure 3 présente, après des étapes initiales ETOa, ETla et ET2a analogues respectivement aux étapes ETO, ET1 et ET2 de la figure 2, des étapes ET4 à ET7 identiques à celles montrées à la figure 2 relatives au maintien ou à la suppression d'une règle (SuROb) et des étapes ET9 à ET14 respectivement identiques à celles de la figure 2 et relatives principalement au signalement d'un droit indirect du type (GpROb) . A l'étape ETOa, outre la définition des quatre ensembles ES, EO, EG et ER, l'incrément u relatif seulement aux sujets Su appartenant au groupe Gl est mis à 0. Tant que 1 ' incrément u est strictement inférieur à l'entier U à l'étape suivante ETla, le procédé vérifie la mise à jour des conditions d'accès engendrées par la suppression de la règle (GIROb) pour l'objet donné Ob ; le procédé se termine à l'étape ET15 lorsque l'incrément u a été incrémenté à l'étape ET2a pour être supérieur ou égal à l'entier U après la recherche de droits directs et indirects liés à tous les sujets du groupe donné Gl et relatifs au droit déterminé R sur l'objet donné Ob. Ainsi pour une valeur de l'incrément u, l'étape ET2a choisit le sujet courant Su dans le groupe donné Gl afin que l'étape suivante ET4 vérifie s'il existe une règle (SuROb) qui applique directement le droit d'accès prédéterminé R au sujet Su du groupe Gl . Puis si la règle (SuROb) est trouvée dans l'ensemble ER, l'entité en charge de la modification des conditions d'accès exprime à l'étape ET5 sa volonté de maintenir cette règle en poursuivant le procédé par les étapes ET6 et ETla, ou bien de supprimer cette règle en poursuivant le procédé par l'étape ET7 et de vérifier si un droit indirect n'est pas maintenu pour le sujet Su par un autre groupe aux étapes ET8 à ET14.(GIROb), and indirect rights according to rules of the type (GpROb) for Su subjects belonging to both the Gl and Gp groups. Thus, the method according to FIG. 3 presents, after initial steps ETOa, ETla and ET2a analogous respectively to steps ETO, ET1 and ET2 of FIG. 2, steps ET4 to ET7 identical to those shown in FIG. 2 relating to the maintenance or to the deletion of a rule (SuROb) and of steps ET9 to ET14 respectively identical to those of FIG. 2 and relating mainly to the reporting of an indirect right of the type (GpROb). At the stage ETOa, in addition to the definition of the four sets ES, EO, EG and ER, the increment u relative only to the subjects Su belonging to the group Gl is set to 0. As long as the increment u is strictly less than the integer U in the next step ETla, the method checks the updating of the access conditions generated by the deletion of the rule (GIROb) for the given object Ob; the process ends in step ET15 when the increment u has been incremented in step ET2a to be greater than or equal to the integer U after the search for direct and indirect rights related to all the subjects of the given group Gl and relating to the determined right R on the given object Ob. Thus for a value of the increment u, the step ET2a chooses the current subject Su in the given group Gl so that the next step ET4 checks whether there is a rule (SuROb) which directly applies the predetermined access right R about Su from group Gl. Then if the rule (SuROb) is found in the ER set, the entity in charge of modifying the access conditions expresses at step ET5 its desire to maintain this rule by continuing the process through steps ET6 and ETla , or else delete this rule by continuing the process with step ET7 and checking whether an indirect right is not maintained for the subject Su by another group in steps ET8 to ET14.
Puis à la suite de l'étape ET4 lorsque la règle (SuROb) n'est pas trouvée dans l'ensemble ER ou après l'étape ET7 lorsque l'entité a décidé de supprimer cette règle, un incrément de groupe p est mis à 0 à l'étape ET8. Tant que l'incrément p est strictement inférieur à l'entier P à l'étape ET9, l'incrément p est incrémenté d'une unité à l'étape ETll pour analyser successivement les groupes Gl à GP aux étapes ET12 et ET13 jusqu'à trouver un groupe Gp qui contient le sujet Su choisi à l'étape ET2a et tel que la règle (GpROb) a un commun l'action R avec la règle supprimée (GIROb) . Dès que ce groupe Gp est trouvé, l'étape ET14 signale que la règle indirecte GpROb est maintenue même si la suppression de la règle directe (SuROb) avait été décidée à l'étape ET5. L'entité peut alors, dans une étape ultérieure, choisir de supprimer le sujet dans le groupe Gp, ou bien de supprimer la règle (GpROb) .Then following step ET4 when the rule (SuROb) is not found in the ER set or after step ET7 when the entity has decided to delete this rule, a group increment p is set to 0 at step ET8. As long as the increment p is strictly less than the integer P in step ET9, the increment p is incremented by one unit in step ET11 to successively analyze the groups Gl to GP in steps ET12 and ET13 until to find a group Gp which contains the subject Su chosen in step ET2a and such that the rule (GpROb) has in common the action R with the deleted rule (GIROb). As soon as this group Gp is found, step ET14 signals that the indirect rule GpROb is maintained even if the removal of the direct rule (SuROb) had been decided in step ET5. The entity can then, in a later step, choose to delete the subject in the Gp group, or else to delete the rule (GpROb).
Ainsi, comme pour le procédé selon la figure 2, le procédé selon la figure 3 permet à l'entité ayant en charge de définir les droits d'accès de vérifier si la suppression du droit R sur l'objet Ob sélectivement pour chacun des sujets appartenant au groupe Gl est effective ou non. La figure 3 est également applicable pour la suppression d'un droit direct R appliqué à un sujet donné Su en supprimant les étapes ETla et ET2a relative à l'incrémentation u, et en reliant directement l'étape ETOa à l'étape ET4 et les étapes ET6, ET10 et ET14 à l'étape de fin ET15.Thus, as for the method according to FIG. 2, the method according to FIG. 3 allows the entity having in charge of defining the access rights to verify whether the removal of the right R on the object Ob selectively for each of the subjects belonging to the group Gl is effective or not. FIG. 3 is also applicable for the removal of a direct right R applied to a given subject Su by removing the steps ETla and ET2a relating to the incrementation u, and by directly linking the step ETOa to the step ET4 and the stages ET6, ET10 and ET14 at the end stage ET15.
La troisième réalisation montrée à la figure 4 concerne la vérification des conditions d'accès après l'ajout d'un droit positif prédéterminé R sur un objet donné Ob selon la règle (GIROb) pour un groupe donné, par exemple le groupe Gl, lorsque le système de contrôle d'accès comprend des droits d'accès négatifs coexistant avec des droits d'accès positifs.The third embodiment shown in FIG. 4 relates to the verification of the access conditions after the addition of a predetermined positive right R on a given object Ob according to the rule (GIROb) for a given group, for example the group Gl, when the access control system includes negative access rights coexisting with positive access rights.
Afin de garantir la consistance des accès, le procédé selon l'invention vérifie que, pour tout sujet appartenant au groupe donné Gl, il n'y aura pas à la fois un droit d'accès positif et un droit d'accès négatif sur un objet donné Ob, et si c'était le cas, propose à l'entité ayant en charge les droits d'accès de supprimer la règle d'accès négative. Ainsi, de manière analogue aux figures 2 et 3, le procédé selon la figure 4 invite d'abord l'entité à exprimer sa volonté pour supprimer un droit négatif existant qui correspond au droit positif à ajouter et qui est soit direct sur l'objet Ob pour un sujet dans le groupe donné Gl, soit indirect sur l'objet Ob pour un sujet dans au moins un groupe de l'ensemble EG.In order to guarantee the consistency of the accesses, the method according to the invention verifies that, for any subject belonging to the given group Gl, there will not be both a positive access right and a negative access right on a given object Ob, and if this were the case, proposes to the entity responsible for access rights to delete the negative access rule. Thus, in a manner analogous to FIGS. 2 and 3, the method according to FIG. 4 first invites the entity to express its will to delete an existing negative right which corresponds to the positive right to be added and which is either direct on the object Ob for a subject in the given group Gl, or indirect on the object Ob for a subject in at least one group of the set EG.
L'ajout d'un droit positif pour un groupe selon le procédé montré à la figure 4 comprend des étapes ET20 à ET38 et vérifie la cohérence des conditions d'accès qui sont modifiées par cet ajout de droit positif en proposant de supprimer certaines règles négatives directes ou indirectes sur l'objet Ob pour des sujets du groupe Gl ou d'utiliser des règles de priorité .Adding a positive right for a group according to the process shown in Figure 4 includes steps ET20 to ET38 and checks the consistency of the conditions which are modified by this addition of positive law by proposing to delete certain direct or indirect negative rules on the Ob object for subjects of group Gl or to use priority rules.
A l'étape initiale ET20, les quatre ensembles ES, EO, EG et ER sont définis et un incrément u correspondant à l'indice des sujets Su n'appartenant qu'au groupe donné Gl est mis à 0. L'étape suivante ET201 recherche tout de suite et simplement une règle de droit négatif non (GIROb) dans l'ensemble de règleAt the initial stage ET20, the four sets ES, EO, EG and ER are defined and an increment u corresponding to the index of subjects Su belonging only to the given group Gl is set to 0. The following stage ET201 immediately and simply search for a rule of non negative law (GIROb) in the rule set
ER qui correspond à la négation de la règle ajoutéeER which corresponds to the negation of the added rule
(GIROb) . Si cette règle de droit négatif existe, elle est immédiatement supprimée à l'étape ET202. Que la règle non (GIROb) soit trouvée ou non à l'étape ET202, le procédé est poursuivi par l'étape ET21 qui compare l'incrément u, considéré ici comme l'indice des sujets appartenant au groupe donné Gl, à l'entier U. Le procédé est terminé à l'étape ET38 lorsque toutes les règles de droit négatif associées aux sujets du groupe donné Gl pour l'objet donné Ob et relatives au droit prédéterminé R sont analysées, ou bien éventuellement lorsque l'ensemble de sujet dans le groupe Gl a été entièrement examiné, soit u = U.(GIROb). If this negative law rule exists, it is immediately deleted in step ET202. Whether the rule no (GIROb) is found or not in step ET202, the method is continued by step ET21 which compares the increment u, considered here as the index of subjects belonging to the given group Gl, to the integer U. The method is terminated in step ET38 when all the rules of negative law associated with the subjects of the given group Gl for the given object Ob and relating to the predetermined law R are analyzed, or possibly when the set of subject in group Gl has been fully examined, i.e. u = U.
Au début de la vérification après l'adjonction de la règle positive (GIROb) , un sujet Su est choisi dans le groupe Gl , en incrémentant l'indice u d'une unité à l'étape ET22. Puis la règle de droit négatif no (SuROb) est recherchée dans l'ensemble de règle ER à 1 'étape ET23.At the start of the verification after the addition of the positive rule (GIROb), a subject Su is chosen from the group Gl, by incrementing the index u by one unit in step ET22. Then the negative law rule no (SuROb) is sought in the rule set ER at step ET23.
Si le droit négatif prédéterminé R correspondant à la règle supprimée (GIROb) est déjà appliqué directement au sujet Su, le microcontrôleur de la carte à puce propose à l'entité ayant en charge la modification des droits d'accès, d'abord de supprimer la règle de droit direct négatif non (SuROb) à l'étape ET24, puis si cette suppression n'est pas acceptée, propose de supprimer le sujet Su dans le groupe donné Gl à l'étape ET25. Si à la fois la suppression de la règle de droit négatif non (SuROb) et la suppression du sujet Su dans le groupe Gl sont refusées aux étapes ET24 et ET25, une règle de priorité est appliquée à l'étape suivante ET28 qui est suivie de l'étape ET21. La règle de priorité est par exemple un choix prioritaire des règles de droit négatif non (SuROb) et non (GpROb) sur la règle de droit positif (GIROb) à ajouter.If the predetermined negative duty R corresponding to the deleted rule (GIROb) is already applied directly to the subject Su, the microcontroller of the smart card offers the entity in charge of the modification of the access rights, first of all deleting the no negative direct law rule (SuROb) in step ET24, then if this deletion is not accepted, proposes to delete the subject Su in the group given Gl to step ET25. If both the deletion of the non negative law rule (SuROb) and the deletion of the subject Su in the group Gl are refused in steps ET24 and ET25, a priority rule is applied in the next step ET28 which is followed by step ET21. The priority rule is for example a priority choice of the rules of negative law not (SuROb) and not (GpROb) over the rule of positive law (GIROb) to be added.
En revanche, si à l'étape ET24 la suppression du droit négatif pour le sujet Su a été acceptée, comme indiqué à l'étape ET26, ou si à l'étape ET25 la suppression du sujet Su a été acceptée, comme indiqué à l'étape ET27, le procédé passe à l'étape ET29. L'étape E29 est également effectuée après l'étape ET23 si aucune règle négative non (SuROb) n'existe.On the other hand, if in step ET24 the deletion of the negative right for the subject Su has been accepted, as indicated in step ET26, or if in step ET25 the deletion of the subject Su has been accepted, as indicated in l step ET27, the method proceeds to step ET29. Step E29 is also carried out after step ET23 if no negative rule no (SuROb) exists.
Les étapes suivantes ET29 à ET35 vérifient que la suppression demandée est compatible avec la présence ou non d'une règle relative au droit négatif prédéterminé R dans les groupes Gl à GP contenant le sujet Su. A l'étape ET29, un incrément p correspondant à 1 ' indice p des groupes Gl à GP de l'ensemble EG est mis à zéro, puis est comparé à l'entier P à l'étape ET30. Le sujet Su est recherché dans 1 ' ensemble des groupes EG tant que 1 ' incrément p est strictement inférieur à l'entier P, et tant que l'entité ayant en charge les conditions des droits d'accès a la volonté de supprimer un droit négatif relatif au sujet Su ou le sujet Su lui-même, comme on le verra ci-après. Sinon le procédé passe de l'étape ET30 à l'étape ET21 lorsque l'incrément p est supérieur ou égal à l'entier P.The following steps ET29 to ET35 verify that the requested suppression is compatible with the presence or not of a rule relating to the predetermined negative right R in the groups Gl to GP containing the subject Su. In step ET29, an increment p corresponding to the index p of the groups G1 to GP of the set EG is set to zero, then is compared to the integer P in step ET30. The subject Su is sought in all the EG groups as long as the increment p is strictly less than the integer P, and as long as the entity responsible for the conditions of access rights has the will to delete a right negative relating to the subject Su or the subject Su itself, as will be seen below. Otherwise the process goes from step ET30 in step ET21 when the increment p is greater than or equal to the integer P.
Ainsi, à l'étape ET31 succédant à l'étape ET30 lorsque 1 ' incrément p est strictement inférieur à l'entier P, le groupe courant Gp différent du groupe donné Gl est sélectionné dans l'ensemble EG, en incrémentant l'indice p d'une unité. Si aux étapes suivantes ET32 et ET33, le sujet Su n'a pas été trouvé dans le groupe courant Gp, et/ou bien si la règle de droit négatif non (GpROb) n'a pas été trouvée dans l'ensemble de règle ER, le procédé revient aux étapes ET30 et ET31 de manière à sélectionner le groupe suivant. Si après l'étape ET33, le sujet Su a été trouvé dans le groupe Gp et la règle de droit négatif non (GpROb) a été trouvée dans l'ensemble ER, le microcontrôleur de la carte à puce invite l'entité d'abord à supprimer la règle de droit négatif non (GpROb) à l'étape ET34, puis si cette suppression est refusée, à supprimer le sujet Su dans le groupe Gp à l'étape ET35, de manière analogue aux étapes ET24 et ET25. L'étape ET28 est également sollicitée pour appliquer la règle de priorité si les deux suppressions signalées aux étapes ET34 et ET35 sont refusées. En revanche, si après l'étape ET34, la suppression de la règle de droit négatif non (GpROb) est décidée, comme indiqué à l'étape ET36, ou bien si après l'étape ET35, le sujet Su dans le groupe courant Gp est supprimé comme indiqué à l'étape ET37, le procédé continue en revenant à l'étape ET30 pour décider si le sujet Su ou une règle de droit négatif correspondante doit être supprimée dans le groupe suivant G(p+1) .Thus, in step ET31 succeeding step ET30 when the increment p is strictly less than the integer P, the current group Gp different from the given group Gl is selected from the set EG, by incrementing the index p of a unit. If in the following steps ET32 and ET33, the subject Su was not found in the current group Gp, and / or if the non negative law rule (GpROb) was not found in the rule set ER , the method returns to steps ET30 and ET31 so as to select the following group. If after the step ET33, the subject Su was found in the group Gp and the rule of negative law not (GpROb) was found in the set ER, the microcontroller of the smart card invites the entity first to delete the no negative law rule (GpROb) in step ET34, then if this deletion is refused, to delete the subject Su in the group Gp in step ET35, in a similar manner to steps ET24 and ET25. Step ET28 is also requested to apply the priority rule if the two deletions reported in steps ET34 and ET35 are refused. On the other hand, if after step ET34, the deletion of the non negative law rule (GpROb) is decided, as indicated in step ET36, or if after step ET35, the subject Su in the current group Gp is deleted as indicated in step ET37, the process continues by returning to step ET30 to decide whether the subject Su or a corresponding negative law rule should be deleted in the next group G (p + 1).
La figure 4 est également applicable pour l'ajout d'une règle de droit négatif du type non(GlROb), après avoir corrigé les étapes ET201, ET202, ET23, ET24, ET26, ET33, ET34 et ET36 qui sont maintenant relatives à des recherches et suppressions de règles positives (SuROb) et (GpROb) ; dans ce cas, la règle de priorité appliquée à l'étape ET28 donne par exemple la priorité aux règles de droit positif existantes SuROb, GIROb et GpROb par rapport à la règle de droit négatif à ajouter non (GIROb) pour assurer la coexistence des droits d'accès positifs et négatifs.Figure 4 is also applicable for the addition of a negative law rule of the type no (GlROb), after correcting steps ET201, ET202, ET23, ET24, ET26, ET33, ET34 and ET36 which are now related to searches and deletions of positive rules (SuROb) and (GpROb); in this case, the priority rule applied in step ET28 gives, for example, priority to the existing positive law rules SuROb, GIROb and GpROb over the negative law rule to add no (GIROb) to ensure the coexistence of rights positive and negative access.
La figure 4 est encore applicable pour l'ajout d'une règle de droit direct positif (SuROb) en supprimant les étapes ET21 et ET22 et en reliant directement l'étape ET201 et ET202 à l'étape ET23 et l'étape ET28 à l'étape de fin ET38. Figure 4 is still applicable for the addition of a positive direct law rule (SuROb) by deleting the steps ET21 and ET22 and by directly linking the step ET201 and ET202 to the step ET23 and the step ET28 to the 'end step ET38.

Claims

REVENDICATIONS
1 - Procédé pour vérifier la cohérence entre des règles d'accès (Re) définissant respectivement des droits autorisant et/ou interdisant des premiers éléments (Su) , tels que des utilisateurs, à accomplir des actions sur des deuxièmes éléments (Ob) , tels que des applications implantées dans un moyen de traitement de données tel qu'une carte a puce, caractérisé en ce qu'il comprend, après toute modification d'accès d'un premier élément donné (Su) à un deuxième élément donné (Ob) , une recherche (ET4 ; ET23) de règles (SuROb, non(SuROb)) appliquées aux premier et deuxième éléments donnés parmi l'ensemble des règles d'accès (ER) , et une proposition (ET5 ; ET24) de supprimer chaque règle trouvée par la recherche afin de supprimer (ET7 ; ET26) ou maintenir (ET6 ; ET28) la règle trouvée.1 - Method for checking the consistency between access rules (Re) respectively defining rights authorizing and / or prohibiting first elements (Su), such as users, to perform actions on second elements (Ob), such as applications installed in a data processing means such as a smart card, characterized in that it comprises, after any modification of access from a first given element (Su) to a second given element (Ob) , a search (ET4; ET23) of rules (SuROb, not (SuROb)) applied to the first and second elements given among the set of access rules (ER), and a proposal (ET5; ET24) to delete each rule found by the search in order to delete (ET7; ET26) or maintain (ET6; ET28) the rule found.
2 - Procédé conforme à la revendication 1, selon lequel certains des premiers éléments appartiennent chacun à un ou plusieurs groupes de premier élément (Gp) , un premier élément dans un groupe ayant tous les droits d'accès accordés au groupe, caractérisé en ce que, lorsque la modification concerne la suppression d'un premier élément donné (Su) dans un groupe donné (Gl) , la recherche (ET3 ; ET4) embrasse toutes les règles (Re) appliquées au premier groupe donné (Gl) ainsi qu'au deuxième élément donné (Ob) , et le procédé comprend, en outre, lorsque la règle appliquée directement au premier élément donné (Su) supprimé du groupe donné (Gl) a été supprimée (ET7) ou lorsque cette règle n'a pas été trouvée, une recherche (ET12) du premier élément donné (Su) dans les groupes (EG) et, si le premier élément donné est trouvé dans l'un (Gp) des groupes, une recherche (ET13) d'une règle (GpROb) qui est appliquée audit groupe (Gp) et audit deuxième élément donné (Ob) et qui a en commun l'action (R) avec la règle précédemment appliquée au premier élément, de manière à signaler (ET14) cette règle (GpROb) si elle est trouvée dans ledit groupe (Gp) .2 - Process according to claim 1, according to which some of the first elements each belong to one or more groups of first element (Gp), a first element in a group having all the access rights granted to the group, characterized in that , when the modification concerns the deletion of a first given element (Su) in a given group (Gl), the search (ET3; ET4) embraces all the rules (Re) applied to the first given group (Gl) as well as to second given element (Ob), and the method further comprises when the rule applied directly to the first given element (Su) deleted from the given group (Gl) has been deleted (ET7) or when this rule has not been found , a search (ET12) of the first given element (Su) in the groups (EG) and, if the first given element is found in one (Gp) of the groups, a search (ET13) for a rule (GpROb) which is applied to said group (Gp) and to said second given element (Ob) and which has action (R) in common with the rule previously applied to the first element, so as to signal (ET14) this rule (GpROb) if it is found in said group (Gp).
3 - Procédé conforme à la revendication 1, selon lequel certains des premiers éléments appartiennent chacun à un ou plusieurs groupes de premier élément (Gp) , un premier élément dans un groupe ayant tous les droits d'accès accordés au groupe, caractérisé en ce que, lorsque la modification concerne la suppression d'une règle donnée (GIROb) appliquée à un groupe donné (Gl) et à un deuxième élément donné3 - Process according to claim 1, according to which some of the first elements each belong to one or more groups of first element (Gp), a first element in a group having all the access rights granted to the group, characterized in that , when the modification concerns the deletion of a given rule (GIROb) applied to a given group (Gl) and to a second given element
(Ob) , la recherche (ET4) embrasse tous les premiers éléments (Su) appartenant au groupe donné (Gl) , et le procédé comprend, en outre, lorsqu'une règle qui est appliquée directement à un premier élément du groupe donné et audit deuxième élément donné et qui a en commun l'action (R) avec la règle donnée supprimée, a été supprimée (ET7) ou lorsque cette règle n'a pas été trouvée, une recherche (ET12) du premier élément donné (Su) dans les groupes (Gp) et, si le premier élément donné est trouvé dans l'un des groupes, une recherche (ET13) d'une règle (GpROb) qui est appliquée audit groupe (Gp) et audit deuxième élément donné (Ob) et qui a en commun l'action (R) avec la règle précédemment appliquée au premier élément, de manière à signaler (ET14) cette règle (GpROb) si elle est trouvée dans ledit groupe (Gp) .(Ob), the search (ET4) embraces all the first elements (Su) belonging to the given group (Gl), and the method further comprises, when a rule which is applied directly to a first element of the given group and to said audit second element given and which has in common the action (R) with the given given rule, has been deleted (ET7) or when this rule has not been found, a search (ET12) for the first given element (Su) in the groups (Gp) and, if the first given element is found in one of the groups, a search (ET13) for a rule (GpROb) which is applied to said group (Gp) and to said second given element (Ob) and which has in common the action (R) with the rule previously applied to the first element, so as to signal (ET14) this rule (GpROb) if it is found in said group (Gp).
4 - Procédé conforme à la revendication 1, selon lequel certains des premiers éléments appartiennent chacun à un ou plusieurs groupes de premier élément (Gp) , un premier élément dans un groupe ayant tous les droits d'accès accordés au groupe, comprenant en outre, une proposition (ET25) de supprimer le premier élément donné (Su) d'un groupe (Gl) lorsqu'une règle appliquée aux premier et deuxième éléments donnés a été trouvée afin de sélectionner la suppression (ET27) ou le maintien (ET28) du premier élément donné dans le groupe (Gl) .4 - Process according to claim 1, according to which some of the first elements belong each to one or more first element groups (Gp), a first element in a group having all the access rights granted to the group, further comprising a proposal (ET25) to delete the first given element (Su) from a group (Gl) when a rule applied to the first and second given elements has been found in order to select the deletion (ET27) or the maintenance (ET28) of the first given element in the group (Gl).
5 - Procédé conforme à la revendication 1, selon lequel certains des premiers éléments (Su) appartiennent chacun à un ou plusieurs groupes de premier élément (Gp) , un premier élément dans un groupe ayant tous les droits d'accès accordés au groupe, et selon lequel des règles négatives sont présentes dans l'ensemble de règles, caractérisé en ce que, lorsque la modification concerne l'ajout d'une règle donnée (GIROb) définissant un droit d'un groupe donné (Gl) à accomplir une action (R) sur un objet donné (Ob) , la recherche (ET23) embrasse toutes les règles négatives appliquées aux premiers éléments (Su) appartenant au groupe donné (Gl) et au deuxième élément donné (Ob) et qui a en commun l'action (R) avec la règle ajoutée, et le procédé comprend, en outre, lorsqu'une règle négative (non (SuROb)) appliquée directement à un premier élément (Su) du groupe donné (Gl) a été supprimée (ET26) ou lorsqu'un premier élément (Su) du groupe donné (Gl) a été supprimé dudit groupe ou lorsque la règle négative n'a pas été trouvée, une recherche (ET32) du premier élément donné (Su) dans les groupes (EG) et, si le premier élément donné est trouvé dans l'un (GP) des groupes, une recherche (ET33) de la règle négative appliquée audit groupe (GP) et audit deuxième élément (Ob) , et une proposition (ET34 ; ET35) de supprimer la règle négative (ET36) ou le premier élément donné (Su) dudit groupe (Gp) (ET37) si la règle négative est trouvée afin de supprimer (ET36 ; ET37) le premier élément donné (Su) dans ledit groupe (Gp) , ou la règle négative relative audit groupe, ou de signaler (ET28) la règle négative relative audit groupe . 5 - Method according to claim 1, according to which some of the first elements (Su) each belong to one or more groups of first element (Gp), a first element in a group having all the access rights granted to the group, and according to which negative rules are present in the set of rules, characterized in that, when the modification concerns the addition of a given rule (GIROb) defining a right of a given group (Gl) to perform an action ( R) on a given object (Ob), the search (ET23) embraces all the negative rules applied to the first elements (Su) belonging to the given group (Gl) and to the second given element (Ob) and which has in common the action (R) with the rule added, and the method further comprises when a negative rule (not (SuROb)) applied directly to a first element (Su) of the given group (Gl) has been deleted (ET26) or when 'a first element (Su) of the given group (Gl) has been deleted from the said group or when the negative rule has not been found, a search (ET32) for the first given element (Su) in the groups (EG) and, if the first given element is found in the a (GP) of the groups, a search (ET33) for the negative rule applied to said group (GP) and to said second element (Ob), and a proposal (ET34; ET35) to delete the negative rule (ET36) or the first given element (Su) of said group (Gp) (ET37) if the negative rule is found in order to delete (ET36; ET37) the first given element (Su) in said group (Gp), or the negative rule relating to said group, or to signal (ET28) the negative rule relating to said group.
PCT/FR2002/000845 2001-03-13 2002-03-08 Verification of the consistency of conditions for subjects to access objects in a data processing means WO2002073376A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP02713021A EP1374014A1 (en) 2001-03-13 2002-03-08 Verification of the consistency of conditions for subjects to access objects in a data processing means

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR01/03487 2001-03-13
FR0103487A FR2822257B1 (en) 2001-03-13 2001-03-13 CHECKING THE CONSISTENCY OF CONDITIONS FOR ACCESSING SUBJECTS TO OBJECTS IN A DATA PROCESSING MEANS

Publications (1)

Publication Number Publication Date
WO2002073376A1 true WO2002073376A1 (en) 2002-09-19

Family

ID=8861129

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/000845 WO2002073376A1 (en) 2001-03-13 2002-03-08 Verification of the consistency of conditions for subjects to access objects in a data processing means

Country Status (3)

Country Link
EP (1) EP1374014A1 (en)
FR (1) FR2822257B1 (en)
WO (1) WO2002073376A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11108780B2 (en) * 2019-09-27 2021-08-31 Aktana, Inc. Systems and methods for access control

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5173939A (en) * 1990-09-28 1992-12-22 Digital Equipment Corporation Access control subsystem and method for distributed computer system using compound principals
US5224163A (en) * 1990-09-28 1993-06-29 Digital Equipment Corporation Method for delegating authorization from one entity to another through the use of session encryption keys
WO1997044762A1 (en) * 1996-05-17 1997-11-27 Gemplus, S.C.A. Communication system for managing safely and independently a plurality of applications by each user card and corresponding user card and management method
EP0913966A2 (en) * 1997-10-31 1999-05-06 Sun Microsystems, Inc. Distributed system and method for controlling acces to network resources

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5173939A (en) * 1990-09-28 1992-12-22 Digital Equipment Corporation Access control subsystem and method for distributed computer system using compound principals
US5224163A (en) * 1990-09-28 1993-06-29 Digital Equipment Corporation Method for delegating authorization from one entity to another through the use of session encryption keys
WO1997044762A1 (en) * 1996-05-17 1997-11-27 Gemplus, S.C.A. Communication system for managing safely and independently a plurality of applications by each user card and corresponding user card and management method
EP0913966A2 (en) * 1997-10-31 1999-05-06 Sun Microsystems, Inc. Distributed system and method for controlling acces to network resources

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KARJOTH G: "INTEGRATED ACCESS CONTROL MANAGEMENT", BRINGING TELECOMMUNICATION SERVICES TO THE PEOPLE - ISS & N 1995. THIRD INTERNATIONAL CONFERENCE ON INTELLIGENCE IN BROADBAND SERVICES AND NETWORKS, HERAKLION, CRETE, OCT. 16 - 19, 1995. PROCEEDINGS, PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON INT, vol. CONF. 3, 16 October 1995 (1995-10-16), pages 64 - 74, XP000593469, ISBN: 3-540-60479-0 *

Also Published As

Publication number Publication date
FR2822257B1 (en) 2003-05-30
FR2822257A1 (en) 2002-09-20
EP1374014A1 (en) 2004-01-02

Similar Documents

Publication Publication Date Title
EP1849066B1 (en) Secure dynamic loading
FR2800480A1 (en) Security system for protection of files in smart cards, uses rules sets for file access to maintain both confidentiality and integrity of data by controlling access and file operations
US8675828B2 (en) Authentication of a user to a telephonic communication device
FR2941312A1 (en) METHOD OF SECURING AN INTERFACE BETWEEN A USER AND AN APPLICATION, SYSTEM, TERMINAL AND CORRESPONDING COMPUTER PROGRAM PRODUCT.
CN100593786C (en) Sytem and method for providing access to OMA DRM protected files from JAVA applications
EP1362276A1 (en) Dynamic management of access rights lists in a portable electronic object
FR2728980A1 (en) DEVICE FOR SECURING INFORMATION SYSTEMS ORGANIZED AROUND MICROPROCESSORS
EP1700218A2 (en) Method for determining operational characteristics of a program
FR2833374A1 (en) METHOD AND DEVICE FOR CONTROLLING ACCESS IN AN ONBOARD SYSTEM
WO2003032136A1 (en) Method and system for identifying and verifying content of multimedia documents
WO2002073552A1 (en) Verification of access compliance of subjects with objects in a data processing system with a security policy
WO2002073376A1 (en) Verification of the consistency of conditions for subjects to access objects in a data processing means
EP3937049B1 (en) Method for labelling objects in an environment for processing large volumes of data using binary codes and associated labelling system
CN113542238B (en) Zero trust-based risk judging method and system
EP3350745B1 (en) Management of a display of a view of an application on a screen of an electronic data input device, corresponding method, device and computer program product
EP3470999B1 (en) Securing conditional branching instructions in a computer program written in intermediate code
WO2008084154A2 (en) Processing of data associated with a digital service
FR2923041A1 (en) METHOD OF OPENING SECURED TO THIRDS OF A MICROCIRCUIT CARD.
EP1049968B1 (en) System and method for managing computer applications security
FR2882210A1 (en) METHOD FOR PROTECTING A DIGITAL RIGHTS FILE
CN106886709A (en) A kind of application program dynamic credit method in file encryption
EP3937464B1 (en) Method for labelling objects in an environment for processing large volumes of data and associated labelling system
WO2003003317A1 (en) Method for verifying access rights to computer files
CN106411866A (en) Privacy information sending method and device
FR2835331A1 (en) PROCESS FOR MONITORING THE USE OF DIGITAL CONTENT BY A SECURITY MODULE OR A CHIP CARD INCLUDING LEDIT MODULE

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2002713021

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 2002713021

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2002713021

Country of ref document: EP

REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP