ES2868623T3 - Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia - Google Patents

Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia Download PDF

Info

Publication number
ES2868623T3
ES2868623T3 ES17306748T ES17306748T ES2868623T3 ES 2868623 T3 ES2868623 T3 ES 2868623T3 ES 17306748 T ES17306748 T ES 17306748T ES 17306748 T ES17306748 T ES 17306748T ES 2868623 T3 ES2868623 T3 ES 2868623T3
Authority
ES
Spain
Prior art keywords
file
repertoire
access
files
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17306748T
Other languages
English (en)
Inventor
Xavier Martos
David Daille-Lefevre
Raphaël Geslain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Identity and Security France SAS
Original Assignee
Idemia Identity and Security France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Idemia Identity and Security France SAS filed Critical Idemia Identity and Security France SAS
Application granted granted Critical
Publication of ES2868623T3 publication Critical patent/ES2868623T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Accounting & Taxation (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros, incluyendo la arborescencia de ficheros: - un primer fichero (EF0) que contiene los datos a compartir, - un repertorio (R) que contiene directamente al primer fichero, - una pluralidad de segundos ficheros (EF1, EF2, EF2), - al menos un sub-repertorio (R1, R2) contenido en el repertorio y que incluye a la pluralidad de segundos ficheros, siendo presentado, además, el primer fichero (EF0) por herencia como si estuviese contenido directamente en el sub-repertorio durante un acceso al sub-repertorio (R1, R2), estando caracterizado el procedimiento por que el primer fichero (EF0) es un fichero escondido, y por que cada segundo fichero (EF1, EF2, EF2) define una relación con el primer fichero (R0), y por que incluye las siguientes etapas utilizadas durante una solicitud de acceso a uno cualquiera de los segundos ficheros: - verificación (102) del respeto a las condiciones de acceso predeterminadas por la orden en función de los derechos de acceso propios del segundo fichero, - acceso (110) o no al primer fichero en función del resultado de la verificación, y por que incluye, como respuesta a una solicitud de acceso directo al primer fichero y/o de supresión del primer fichero, una negativa de acceso al primer fichero y la emisión de un mensaje de error indicando que el primer fichero no ha sido encontrado.

Description

DESCRIPCIÓN
Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia
Campo del invento
El presente invento se refiere al campo de los sistemas de ficheros informáticos. El presente invento se refiere de una manera más particular a un procedimiento para compartir datos en una arborescencia de ficheros.
Estado de la técnica.
De una manera bien conocida un sistema de ficheros, llamado igualmente sistema de gestión de ficheros, es un programa de ordenador configurado para organizar el almacenamiento de datos en una memoria de ordenador. Una arborescencia de ficheros generada por un sistema de ficheros incluye de una manera convencional unos ficheros y unos repertorios. Un fichero es un objeto destinado a contener datos. Un repertorio es un objeto destinado a contener uno o varios objetos (ficheros y/o sub-repertorios).
Por convenio, en este texto, se define un objeto (fichero o repertorio) “contenido directamente” en u repertorio como un objeto que no está incluido en un sub-repertorio de este repertorio. De una manera más general, los objetos llamados contenidos en un repertorio en el presente texto incluyen unos objetos directamente contenidos en este repertorio y los objetos contenidos en unos eventuales sub-repertorios de este repertorio.
A título de ejemplo, la arborescencia de ficheros ilustrada en la figura 1 incluye:
• un repertorio raíz R,
• un repertorio R0 contenido directamente en el repertorio raíz R,
• un fichero F1, un repertorio R1 y un repertorio R2 contenidos directamente en el repertorio R0,
• un fichero F2 contenido directamente en el repertorio R1,
• un fichero F3 contenido directamente en el repertorio R2.
Cada fichero de la arborescencia tiene un identificador único.
Cada fichero de la arborescencia dispone, por otra parte, de unos derechos de acceso que le son propios. Estos derechos de acceso permiten típicamente determinar quién puede acceder a los datos contenidos en el fichero, y cual (es) tipo (s) de accesos están autorizados (escritura, lectura, etc.).
Por otra parte, ciertos sistemas de ficheros particulares, típicamente los sistemas de ficheros utilizados por las tarjetas con chip, están configurados para utilizar un mecanismo de herencia. Según este mecanismo, un fichero contenido directamente en un repertorio es presentado igualmente por el sistema de ficheros como estando contenido en un sub-repertorio de este repertorio, durante un acceso a este sub-repertorio.
Además, para tratar una orden que solicita la lista de objetos directamente contenidos en un repertorio de referencia, el sistema de ficheros recorre la arborescencia desde el repertorio de referencia hasta la raíz, y devuelve una lista que incluye no solamente los objetos contenidos directamente en el repertorio de referencia sino igualmente en todo el repertorio padre del repertorio de referencia.
En el ejemplo de la figura 1, como respuesta una orden que solicita la lista de objetos contenidos directamente en el repertorio R1, el sistema de ficheros devuelve una lista que incluye los ficheros F2 y F1; como respuesta a una orden que solicita la lista de objetos contenidos directamente en el repertorio R2, el sistema de ficheros devuelve una lista que incluye los identificadores de los ficheros F3 y F1. Además, los caminos /R/R0/R1/F1 y /R/R0/R2/F1 son considerados válidos por pate del sistema de ficheros, e incluso si el fichero F1 no está contenido físicamente en uno de los repertorios R1 o R2.
Este mecanismo de herencia es ventajoso pues permite compartir de una manera jerarquizada los datos memorizados en un solo emplazamiento de memoria entre varios repertorios. En efecto, los datos del fichero F1 no están copiados físicamente en los sub-repertorios R1 y R2.
Un usuario que está informado de la presencia (ficticia) del fichero F1 en uno de los repertorios R1 o R2 puede solicitar un acceso a este fichero F1 desde uno de estos repertorios (a través de uno de los caminos /R/R0/R1/F1 y /R/R0/R2/F1).
Se puede solicitar un acceso al fichero que contiene los datos compartidos F1 por medio de una orden que coge como parámetro un identificador. En la norma ISO 7816-4, este identificador se llama identificador corto (“Short File Identifier”, en inglés abreviado SFI). Este identificador corto es propio del fichero F1 en el repertorio R0 que lo contiene directamente. En otras palabras, este identificador corto se utiliza por pate del fichero para distinguir el fichero de otros ficheros del mismo repertorio, lo que significa que dos ficheros que se encuentran en dos repertorios diferentes del sistema de ficheros pueden tener el mismo identificador corto.
Cuando el sistema de ficheros recibe una orden de acceso desde el repertorio R1 con un parámetro SFI del fichero F1, el sistema de ficheros busca en primer lugar si existe un fichero físicamente presente en el repertorio R1 y que posea el SFI pasado como parámetro de la orden. Si este no es el caso, puede que el fichero solicitado sea de hecho un fichero presentado como si estuviese en el repertorio en virtud del mecanismo de herencia presentado anteriormente. Desde ese momento, el sistema de ficheros procede a efectuar una búsqueda tal a niveles superiores de la arborescencia hasta la raíz. Aquí, el fichero F1 es encontrado en el repertorio padre R0.
El sistema de ficheros verifica entonces el respeto a las condiciones de acceso predeterminadas al fichero F1 en función de los derechos de acceso propios al fichero F1.
Sin embargo, este procedimiento tiene el inconveniente de ser estresante en términos de derechos de acceso a unos datos compartidos. Si, por ejemplo, los derechos de acceso propios al fichero F1 no permiten nada más que una lectura sola de los datos contenidos en el fichero F1, un usuario no podrá acceder al contenido del fichero F1 nada más que para una lectura sola, y cualquiera que sea el repertorio desde el que el usuario solicita el acceso a este contenido (R0, R1, o R2).
Por otra parte, este procedimiento es igualmente estresante en términos de afectación del identificador SFI. Impone, en efecto, utilizar el mismo SFI para acceder a los mismos datos compartidos desde dos sub-repertorios diferentes. Sin embargo, puede imponerse la utilización de identificadores diferentes en sub-repertorios diferentes, especialmente cuando el contenido de estos sub-repertorios está normalizado por organismos diferentes.
Exposición del invento
Un objetivo del invento es el de hacer más flexible el compartir datos de una arborescencia de ficheros generada por un sistema de ficheros que utiliza un mecanismo de herencia.
Es partiendo desde aquí que se ha propuesto un procedimiento de acceso a los datos compartidos en una arborescencia de ficheros, incluyendo la arborescencia de ficheros:
• un primer fichero que contiene los datos a compartir, estando escondido el primer fichero,
• un repertorio que contiene directamente al primer fichero,
• una pluralidad de segundos ficheros,
• al menos un sub-repertorio contenido en el repertorio y que contiene a la pluralidad de los segundos ficheros, siendo presentado, además, el primer fichero por herencia como si estuviese contenido directamente en el sub­ repertorio durante un acceso al sub-repertorio, en el cual cada segundo fichero define una relación con el primer fichero, y en el que el procedimiento incluye las siguientes etapas utilizadas durante una solicitud de acceso a uno cualquiera de los segundos ficheros:
• verificación del respeto de las condiciones de acceso predeterminadas por pate de la solicitud en función de los derechos de acceso propios al primer fichero,
• acceso o no al primer fichero en función del resultado de la verificación.
Si el primer fichero no estuviese escondido, un usuario sería informado a través de una orden que solicita la lista de los objetos contenidos en el repertorio, de que el repertorio contiene (ficticiamente) este primer fichero, en sus ficheros contenidos realmente en este repertorio, y debido al mecanismo de herencia, lo que sería una fuente de confusión para este usuario. Es, por lo tanto, ventajoso esconder el primer fichero a los ojos del usuario, lo que permite no solamente evitar esta confusión de presentación sino igualmente evitar eludir los derechos de acceso a los segundos ficheros que definen una relación con el primer fichero contenedor de los datos compartidos.
El procedimiento así propuesto puede ser completado con la ayuda de las siguientes características, tomadas solas o en combinación cuando esto sea técnicamente posible.
• el repertorio es un repertorio raíz de la arborescencia de ficheros,
• el procedimiento incluye, como respuesta a una solicitud de acceso directo al primer fichero, una negativa de acceso al fichero y la emisión de un mensaje de error indicando que el primer fichero no ha sido encontrado,
• el procedimiento incluye, como respuesta a una solicitud de supresión del primer fichero, una negativa a suprimir el primer fichero y la emisión de un mensaje de error indicando que el primer fichero no ha sido encontrado,
• un segundo fichero contiene un identificador único del primer fichero,
• al estar memorizada la arborescencia de ficheros por un dispositivo electrónico, la etapa de verificación incluye una comparación entre los datos de prueba proporcionados al dispositivo electrónico y los datos secretos propios del dispositivo electrónico.
Igualmente se ha propuesto, según un segundo aspecto del invento, un sistema de ficheros que incluye unas instrucciones de código del programa para la ejecución de las etapas del procedimiento de una de las reivindicaciones precedentes, cuando este sistema de ficheros se ejecuta por al menos un procesador.
Igualmente se ha propuesto, según un tercer aspecto del invento, un dispositivo electrónico que incluye:
• al menos un procesador configurado para ejecutar el sistema de ficheros según el segundo aspecto del invento, • una memoria configurada para memorizar una arborescencia de ficheros generada por el sistema de ficheros. Este dispositivo puede estar comprendido en una tarjeta con un chip.
Descripción de las figuras
Otras características, objetivos y ventajas del invento surgirán de la descripción que sigue a continuación, que es puramente ilustrativa y no limitativa, y que debe ser leída haciendo referencia a los dibujos anejos en los cuales: • La figura 1 representa a una arborescencia de ficheros en una memoria.
• La figura 2 representa a un dispositivo electrónico según un modo de realización del invento.
• La figura 3 representa a una arborescencia de ficheros en una memoria, según un modo de realización del invento.
• La figura 4 es un organigrama de las etapas de un procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros, según de realización del invento.
En el conjunto de las figuras, los elementos similares llevan referencias idénticas.
Descripción detallada del invento
A/ Dispositivo electrónico
Haciendo referencia a la figura 2, un dispositivo electrónico 1 incluye al menos un procesador 2 y al menos una memoria 4.
El procesador 2 está configurado para ejecutar un programa del tipo sistema de ficheros.
El sistema de ficheros está adaptado para utilizar un mecanismo de herencia tal como el expuesto en la introducción del presente texto. Por ejemplo, el sistema de ficheros está implementado de tal manera que respeta el mecanismo de herencia definido en la norma ISO 7816-4.
La memoria 4 está configurada para memorizar una arborescencia de ficheros generada por el sistema de ficheros, cuando este último es ejecutado por el procesador 2. La memoria es, por ejemplo, del tipo flash.
El dispositivo electrónico 1 incluye, además, un interfaz de comunicación 6 con un tercer equipo 8.
El interfaz de comunicación 6 es, por ejemplo, uno o una pluralidad de contactos eléctricos conectables a uno o a una pluralidad de contactos eléctricos del tercer equipo 8. Como variante, el interfaz de comunicación 6 es del tipo radio sin hilos, por ejemplo, de campo próximo (NFC).
El dispositivo electrónico 1 está incluido típicamente en una tarjeta con un chip.
B/ Arborescencia de ficheros memorizados en el dispositivo electrónico
Haciendo referencia a la figura 3, una arborescencia de ficheros memorizada en la memoria 4 incluye un repertorio raíz R, por ejemplo, dos sub-repertorios R1 y R2 contenidos directamente en un repertorio R0 y él mismo contenido directamente en el repertorio raíz R.
La arborescencia incluye, por otra parte, los ficheros EF1 a EF5.
Cada fichero incluye unos metadatos y una zona de presentación de unos datos llamados “útiles” (“payload”), por oposición a los metadatos. Los metadatos forman típicamente una entente del fichero (“header”), mientras que los datos útiles están destinados a ser leídos o modificados por un usuario.
Los metadatos de un fichero incluyen un identificador único propio del fichero en el sistema de ficheros. Este identificador largo se utiliza por el sistema de ficheros para distinguir al fichero de otros ficheros del citado sistema. En el ámbito de las tarjetas con un chip, este identificador es llamado generalmente “identificador largo” (LID) y está codificado típicamente por 2 octetes. Un identificador largo constituye una variable privada en el sentido en el que no tiene vocación de ser comunicado al exterior del dispositivo electrónico 1.
Los metadatos de un fichero incluyen, además, un identificador corto propio del fichero en su repertorio (Short File Identifier, en inglés, en abreviatura SFI en la norma ISO 7816-4). Este identificador corto se utiliza por parte del sistema de ficheros para distinguir el fichero de otros ficheros del mismo repertorio, lo que significa que dos ficheros que se encuentran en dos repertorios diferentes del sistema de ficheros pueden tener el mismo identificador corto. Como se verá en la continuación, un identificador corto constituye una variable pública en el, sentido en el que constituye un parámetro de mando de acceso a un fichero del dispositivo electrónico 1 susceptible de ser emitido por el tercer equipo 8.
Cada fichero dispone, por otra parte, de unos derechos de acceso que le son propios. A estos efectos, los metadatos de un fichero incluyen unos datos representativos de tales derechos de acceso, generados en el momento de la creación del fichero.
Los datos representativos de los derechos de acceso propios de un fichero definen uno o varios modos de acceso (lectura y/o escritura). Por ejemplo, el fichero EF1 dispone de unos derechos de acceso en lectura y en escritura, mientras que los ficheros EF2, EF3 disponen de unos derechos de acceso de lectura únicamente.
Los datos representativos de los derechos de acceso propios de un fichero pueden estar, además, adaptados para acondicionar un acceso al resultado de una identificación previa utilizada por medio del dispositivo electrónico 1. En un ejemplo de realización, la identificación previa incluye una comparación entre los datos de prueba (proporcionados, por ejemplo, al dispositivo electrónico 1 por el tercer equipo 8 a través de un interfaz de comunicación 6) y los datos secretos memorizados en la memoria 4 del dispositivo electrónico 1, tales como un código PIN; tal autentificación es exitosa cuando los datos comparados son idénticos, y fracasa en el caso contrario. En otro ejemplo de realización, la autentificación previa incluye un tratamiento criptográfico que verifica un código de autentificación del mensaje (“Message Authenticacion Code”, en inglés, abreviado MAC). El tratamiento criptográfico toma en la entrada unos datos (a definir según las especificaciones) emitidos por el tercer equipo 8 y les aplica un cálculo criptográfico utilizando un código secreto compartido entre el dispositivo electrónico 1 y el tercer equipo 8; el resultado de ese cálculo es una serie de 8 octetes.
Por ejemplo, el fichero EF2 dispone de unos derechos de acceso condicionados a una autentificación previa, pero este no es el caso de los ficheros EF1 y EF3.
Los datos representativos de los derechos de acceso para un segundo fichero pueden definir, además, una lista de usuarios autorizados de una manera selectiva a beneficiarse de un acceso.
Los metadatos de un fichero pueden incluir, además, una característica de tipo, informando de una eventual estructura de datos útiles. Por ejemplo, los datos útiles de un fichero del tipo “binario” son unos octetes en desorden, disponiendo cada octete de una dirección relativa en el fichero (“offset”). Además, los datos útiles de un fichero del tipo “record” están organizados en unidades que presentan un tamaño común predeterminado, estando asociada cada unidad a un índice.
Los metadatos de un fichero incluyen, por otra parte, una característica de visibilidad, ya conocida por el experto. Según el valor tomado por esta característica, el fichero es visible o está escondido.
Los metadatos de un fichero incluyen otras características relativas a este fichero informando de su tamaño (tamaño de los metadatos tamaño de los datos útiles), su nombre, etc.
Los metadatos de un fichero incluyen, además, una característica no convencional, utilizada por parte de la partición de datos en la arborescencia de ficheros: esta característica, llamada “característica de partición”, es susceptible de tomar valores diferentes detallados a continuación.
i) Fichero contenedor de datos compartidos
La arborescencia incluye al menos un fichero contenedor de datos compartidos EF0, llamado igualmente “primer” fichero.
La característica de partición del fichero contenedor EF0 tiene un primer valor indicativo del hecho de que el fichero EF0 contiene datos a compartir.
El fichero contenedor EF0 está contenido directamente en el repertorio raíz R (se dice convencionalmente que el fichero contenedor “está en la raíz”).
El fichero contenedor EF0 es, por otra parte, un fichero escondido.
ii) Fichero de relación con un fichero contenedor de datos compartidos
La arborescencia incluye, por otra parte, una pluralidad de ficheros EF1, EF2, EF3 llamados segundos ficheros. Cada segundo fichero define una relación con el fichero contenedor EF0. La característica de partición de cada segundo fichero tiene un segundo valor indicativo del hecho de que el fichero EF1, EF2, EF3 define tal relación con el otro fichero, siendo diferente el segundo valor del primer valor.
Por ejemplo, cada segundo fichero contiene un identificador único (LID) del fichero contenedor EF0 en su zona de almacenamiento de los datos útiles.
Por el contrario, cada segundo fichero no tiene vocación de almacenar datos útiles destinados a ser accedidos por un tercero. Cada segundo fichero es, por lo tanto, de tamaño máximo, pequeño e incluso muy pequeño con respecto al tamaño del fichero contenedor de datos compartidos.
Cada segundo fichero es, además, visible.
Como se verá más adelante, cada segundo fichero está configurado para hacerse pasar ante un tercer equipo 8 por el primer fichero contenedor EF0 con el cual está relacionado.
iii) Otros ficheros.
La arborescencia puede incluir, además, terceros ficheros EF4, EF5. Estos terceros ficheros difieren de los segundos ficheros en que no definen ninguna relación con el fichero contenedor EF0. Estos terceros ficheros están destinados típicamente a almacenar datos útiles no compartidos. La característica de partición de cada tercer fichero tiene un tercer valor diferente a la de los primeros y segundos valores.
C/Órdenes de acceso a la arborescencia de ficheros
Se establece un canal de comunicación entre el interfaz de comunicación 6 del dispositivo electrónico 1 y el tercer equipo 8.
El tercer equipo 8 es susceptible de emitir varios tipos de órdenes tratadas por el sistema de ficheros que conciernen a cada uno de los objetos de la arborescencia de ficheros generada por el sistema de ficheros. En lo que sigue, se llama “objeto de referencia” al objeto visado por una orden.
i) Orden que solicita una lista de los objetos de un repertorio.
Una orden (o una pluralidad de órdenes) susceptible de ser tratada por el sistema de ficheros es una orden que solicita una lista de los objetos contenidos en un repertorio de referencia de la arborescencia, por ejemplo, de todos los objetos contenidos directamente en un repertorio de referencia.
Igualmente se encuentra en ciertos sistemas una orden “SELECT NEXT” destinada a ser invocada varias veces, y volviendo a un único objeto. De esta manera, una pluralidad de llamadas sucesivas a la orden “SELECT NEXT” recorre la arborescencia fichero por fichero, y permite de una manera equivalente obtener una lista de los objetos contenidos directamente en un repertorio de referencia.
A la recepción de tal orden, el sistema de ficheros utiliza el mecanismo de herencia para determinar un conjunto de ficheros susceptibles de ser incluidos en la lista: Si el repertorio de referencia es el repertorio R2, este conjunto incluye a los ficheros EF3, EF5, pero también el fichero EF0 situado en la raíz en virtud del mecanismo de herencia. El sistema de ficheros inspecciona la característica de visibilidad de cada fichero de este conjunto. Están incluidos en la lista los nombres de los ficheros selectivamente visibles de este conjunto. Como el fichero EF0 está escondido, su nombre no está incluido en la lista. La lista no contiene, por lo tanto, nada más que el nombre del fichero EF3, visible, e incluso el nombre del fichero EF5 (si este último es visible). La lista es devuelta a continuación al tercer equipo 8 a través del interfaz de comunicación 6.
De esta manera, a pesar del mecanismo de herencia utilizado, la información según la cual el fichero EF0 es accesible desde el repertorio de referencia R2 no se le da al tercer equipo 8 como respuesta a tal orden. En cambio, el tercer equipo 8 constata la presencia del fichero EF3 en el repertorio de referencia R2.
ii) Orden de acceso a un fichero
Otra orden susceptible de ser tratada por el sistema de ficheros es una orden que solicita un acceso a los datos útiles de un fichero de referencia.
Tal orden de acceso toma como parámetro a un identificador corto (SFI) del fichero de referencia.
Haciendo referencia a la figura 4, se utilizan las siguientes etapas para tratar tal orden.
Como respuesta a la recepción de tal orden (etapa 100), el sistema de ficheros busca el fichero que posee el identificador corto pasado como parámetro de la orden (etapa 101). Como se ha indicado en la introducción, el sistema de ficheros busca en primer lugar si existe un fichero que posea este identificador corto en un repertorio llamado “corriente”. El repertorio corriente ha pasado o bien directamente como parámetro de la orden, o bien ha sido definido en una orden precedente pasada al sistema de ficheros. Si el sistema de ficheros no encuentra ningún fichero que posea este identificador corto en el repertorio corriente, procede a una búsqueda similar en el repertorio padre del repertorio corriente, y, de esta manera, sigue a continuación hasta la raíz, de acuerdo con el mecanismo descrito en la introducción. Si, después de haber alcanzado la raíz, el fichero de referencia no es encontrado, se vuelve a emitir un mensaje de error al emisor de la orden indicando que el fichero no ha sido encontrado.
Cuando se encuentra el fichero de referencia en el transcurso de la etapa de búsqueda, el sistema de ficheros lee en los íes metadatos del fichero de referencia los íes datos representativos de los derechos de acceso.
El sistema de ficheros verifica el respeto a las condiciones de acceso predeterminadas en función de los derechos de acceso propios del fichero de referencia (etapa 102).
Como se ha indicado precedentemente, una primera condición a cumplir puede ser que el modo de acceso solicitado (lectura o escritura) sea identificado como autorizado en los datos de los derechos de acceso propios del fichero de referencia.
Una segunda condición a cumplir puede ser el éxito de una autentificación previa utilizada por medio del dispositivo electrónico 1 supervisada por los derechos de acceso (la toma de un código PIN correcto, como se ha indicado precedentemente, además).
Una tercera condición puede tratar sobre la identidad de un usuario emisor de la solicitud de acceso, que debe estar añadida en los datos de los derechos de acceso.
Por supuesto que, pueden ser verificadas una o varias condiciones en el transcurso de la etapa de verificación, y esta o estas condiciones dependen de los datos de los derechos de acceso presentes en los metadatos del fichero de referencia.
Si las condiciones de acceso exigidas no son respetadas todas, se niega el acceso solicitado en la orden, (etapa 104). Por ejemplo, puede devolverse al tercer equipo 8 un mensaje de error para advertirle de esta negativa de acceso.
Por ejemplo, si se solicita un acceso de escritura y el fichero solicitado es el EF3, el acceso solicitado se niega puesto que los derechos de acceso del fichero EF3 no autorizan nada más que accesos de lectura. Si se solicita un acceso de lectura y el fichero de referencia es el EF2, pero se constata por parte del sistema de ficheros que los datos de prueba proporcionados al dispositivo electrónico 1 son diferentes que los datos secretos del dispositivo electrónico 1, se niega igualmente el acceso solicitado.
Si se respetan todas las condiciones de acceso exigidas, el sistema de ficheros lee en los metadatos del fichero de referencia el valor característico de partición (etapa 106).
Si este valor característico de partición del fichero de referencia es igual al segundo valor, el fichero de referencia es un segundo fichero, es decir, un fichero que define una relación con un fichero contenedor de datos compartidos. Es este caso, el sistema de ficheros busca en la arborescencia el fichero contenedor supervisado por el fichero de referencia, por ejemplo, leyendo el identificador único (LID) memorizado en los datos útiles del fichero de referencia (etapa 108).
La búsqueda utilizada por el sistema de ficheros está restringida al contenido de cada repertorio padre del repertorio que contiene directamente el fichero de referencia. El carácter restrictivo de esta búsqueda trata de respetar las normas de seguridad, por ejemplo, las impuestas por la norma ISO 7816-4. A título de ejemplo, en el caso en el que los repertorios R1 y R2 vecinos sean repertorios utilizados por aplicaciones recurrentes (por ejemplo, aplicaciones bancarias), es deseable que una búsqueda utilizada desde uno de estos dos sub-repertorios no inspeccione el contenido de otro sub-repertorio.
El hecho de haber colocado el fichero contenedor de datos compartidos en la raíz permite garantizar encontrar este fichero, y cualquiera que sea el emplazamiento del fichero de referencia en la arborescencia, respetando al mismo tiempo estas reglas de seguridad impuestas.
Otra ventaja de este emplazamiento en la raíz es que la raíz es el único repertorio que no puede ser suprimido. Podría considerarse colocar al fichero contenedor de datos compartidos EF0 en otro repertorio padre de los sub­ repertorios R0 y R1; sin embargo, este otro repertorio padre podría ser suprimido voluntariamente o de manera involuntaria, suponiendo de esta manera la supresión del fichero contenedor de los datos compartidos.
A continuación, el sistema de ficheros accede a los datos compartidos contenidos en el fichero contenedor considerado (etapa 110).
Se constata aquí que el tercer equipo 8 obtiene un acceso a los datos compartidos sin tener conocimiento directamente del fichero contenedor que contiene estos datos compartidos, ni ce haber solicitado de una manera explícita un acceso a este fichero contenedor sobre la base del identificador corto de este fichero contenedor, ni de haber estado sometido a los derechos de acceso propios de este fichero contenedor; en efecto, estos son los derechos de acceso asociados al fichero de referencia que han sido examinados por el sistema de ficheros.
Si el acceso solicitado es una escritura, los datos compartidos son modificados.
Si el acceso solicitado es una lectura, los datos compartidos son en su totalidad o en parte devueltos al tercer equipo 8.
Si el valor de la característica de partición del fichero leído en el transcurso de la etapa 106 es igual al tercer valor, el fichero de referencia es un tercer fichero. El sistema de ficheros accede entonces de una manera clásica a los datos útiles del fichero de referencia mismo (etapa 107).
Si el valor de la característica de partición del fichero es igual al primer valor, el fichero de referencia es un fichero que contiene los datos compartidos. Se ha visto precedentemente que tal fichero está escondido. En consecuencia, un tercer equipo 8 está preparado para ignorar la existencia de este fichero de referencia y no debería, por lo tanto, emitir órdenes de acceso a este fichero contenedor de los datos compartidos. En particular, el tercer equipo 8 no está preparado para conocer el identificador corto propio de tal fichero contenedor de los datos compartidos. También, en este caso, se niega el acceso al fichero contenedor de los datos compartidos; se devuelve un mensaje de error indicando que el fichero no ha sido encontrado (etapa 105).
Las etapas que preceden pueden utilizarse igualmente durante la recepción de una orden de supresión de un fichero de referencia. Si el fichero de referencia es un fichero que contiene unos datos compartidos, se niega la supresión de este fichero contenedor de datos compartidos; se devuelve un mensaje de error indicando que el fichero no ha sido encontrado (etapa 105).
La tabla de abajo hace un recuento de algunos ejemplos de accesos, para diferentes ficheros de la arborescencia representada en la figura 3.
Figure imgf000008_0001
Se constata con la lectura de esta tabla que los datos contenidos en el fichero EF0 están compartidos entre los repertorios R1 y R2, y que es posible definir unos derechos de acceso diferentes para acceder a estos datos compartidos desde diferentes repertorios.
Por supuesto que, una modificación de los datos compartidos en el fichero contenedor EF0 como respuesta a una primera solicitud de escritura (escritura, por ejemplo, solicitada por EF1) podrá ser constatada en el transcurso de cualquier solicitud ulterior de lectura llegando a una lectura efectiva del contenido del fichero EF0 (lectura solicitada, por ejemplo, por el fichero EF2).
Si el fichero contenedor de los datos compartidos EF0 no estuviese escondido, un usuario sería informado de que el repertorio R1 (o el R2) contiene (de manera ficticia) El fichero EF0, en sus ficheros contenidos realmente en este repertorio, lo que sería una fuente de confusión para el usuario. Es preferible, por lo tanto, esconder el fichero EF0 a los ojos del usuario, lo que permite no solamente evitar esta confusión de presentación sino igualmente evitar eludir los derechos de acceso propios de los dos segundos ficheros que definen una relación con el fichero contenedor de los datos compartidos EF0.
Por supuesto que, el procedimiento que precede puede ser utilizado por varios ficheros contenedores de datos compartidos presentes en la arborescencia. Cada fichero contendor puede entonces ser accedido a través de los segundos ficheros asociados a este fichero contenedor.
Aplicación del procedimiento de acceso a la gestión de titulares de transportes
En una primera aplicación, se configura un programa de gestión de titulares de transportes para acceder al sistema de ficheros contenido en el dispositivo electrónico (estando este programa destinado o bien a ser ejecutado por un procesador del tercer equipo o bien por el procesador del dispositivo electrónico mismo).
El repertorio R1 está asociado a una primera zona geográfica, por ejemplo, a la región de Ile-de-France, y el repertorio R2 está asociado a una segunda zona geográfica, por ejemplo, a la región de Bretaña.
Los ficheros EF1, EF2, EF4 contenidos en el repertorio R1 están asociados cada uno a un medio de transporte disponible en la primera zona geográfica (respectivamente: bus, metro, tranvía).
Los ficheros EF3, EF5 contenidos en el repertorio R2 están asociados cada uno a un medio de transporte disponible en la segunda zona geográfica (respectivamente: bus, tranvía).
El fichero compartido EF0 contiene los datos representativos de un titular de transporte virtual para un medio de transporte disponible en las dos zonas geográficas (aquí, un billete de bus). Se supone aquí que las autoridades organizadoras de los transportes en las dos zonas geográficas se han puesto de acuerdo para compartir los datos representativos de un billete de bus.
Sin embargo, las modalidades de modificación del billete de bus virtual contenido en el fichero EF0 no son las mismas en las dos zonas geográficas consideradas:
• En Ile de France, la orden que permite modificar el fichero es aceptada si:
o se ha efectuado una autentificación con un límite terreno
• en Bretaña, la orden que permite modificar el fichero es aceptada si se respeta una de estas condiciones.
o se ha efectuado una autentificación con un límite terreno
o se ha efectuado una autentificación de un servidor en línea.
Los derechos de acceso propios de los ficheros EF1 y EF3 están configurados para respetar estas reglas, de acuerdo con el procedimiento de acceso descrito precedentemente.
De esta manera, es posible compartir unos billetes de bus entre las regiones de Ile de France y Bretaña no permitiendo al mismo tiempo un mismo modo de recarga en estas dos regiones.
Aplicación del procedimiento de acceso en el ámbito bancario
En una segunda aplicación, un primer programa y un segundo programa concurrentes que rinden un mismo servicio tienen acceso al sistema de ficheros del dispositivo electrónico 1.
Los dos programas son, por ejemplo, unas aplicaciones bancarias relativas a unos medios de pago diferentes (ex: VISA® y Tarjeta Azul ®).
El repertorio R1 es propio del primer programa, y el repertorio R2 es propio del segundo programa.
Los ficheros EF1, EF2, EF4 están destinados para ser accedidos por el primer programa.
Los ficheros EF3, EF5 están destinados a ser accedidos por el segundo programa.
Se considera que los dos programas de pago Visa y Tarjeta Azul comparten el fichero de logos EF0 que permite tener un repertorio de las características de las transacciones recientes utilizadas por medio de uno u otro de los dos programas.
Se supone, por otra parte, que los dos programas de pago imponen utilizar, por razones normativas, unos identificadores cortos diferentes para acceder a los logos contenidos en el fichero EF0.
Los ficheros EF1, EF3 están asociados respectivamente a estos identificadores cortos diferentes exigidos; son utilizados como relaciones para acceder al fichero de logos EF0 de acuerdo con el procedimiento descrito precedentemente.
En esta aplicación, el procedimiento propuesto permite compartir los datos de los ficheros de logos de las transacciones VISA® y Tarjeta Azul® a pesar de la diferencia de estos identificadores cortos.

Claims (7)

REIVINDICACIONES
1.Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros, incluyendo la arborescencia de ficheros:
• un primer fichero (EF0) que contiene los datos a compartir,
• un repertorio (R) que contiene directamente al primer fichero,
• una pluralidad de segundos ficheros (EF1, EF2, EF2),
• al menos un sub-repertorio (R1, R2) contenido en el repertorio y que incluye a la pluralidad de segundos ficheros, siendo presentado, además, el primer fichero (EF0) por herencia como si estuviese contenido directamente en el sub-repertorio durante un acceso al sub-repertorio (R1, R2),
estando caracterizado el procedimiento por que el primer fichero (EF0) es un fichero escondido, y por que cada segundo fichero (EF1, EF2, EF2) define una relación con el primer fichero (R0), y por que incluye las siguientes etapas utilizadas durante una solicitud de acceso a uno cualquiera de los segundos ficheros:
• verificación (102) del respeto a las condiciones de acceso predeterminadas por la orden en función de los derechos de acceso propios del segundo fichero,
• acceso (110) o no al primer fichero en función del resultado de la verificación,
y por que incluye, como respuesta a una solicitud de acceso directo al primer fichero y/o de supresión del primer fichero, una negativa de acceso al primer fichero y la emisión de un mensaje de error indicando que el primer fichero no ha sido encontrado.
2. Procedimiento según la indicación precedente, en el cual el repertorio (R) es un repertorio raíz de la arborescencia de ficheros.
3. Procedimiento según una de las reivindicaciones precedentes, en el cual el segundo fichero (EF1, EF2, EF2) contiene un identificador único del primer fichero (EF0).
4. Procedimiento según una de las reivindicaciones precedentes, en el cual al estar memorizada la arborescencia de ficheros por un dispositivo electrónico (1), la etapa de verificación (102) incluye una comparación entre unos datos de prueba proporcionados al dispositivo electrónico y unos datos secretos propios del dispositivo electrónico.
5. Sistema de ficheros que incluye unas instrucciones de un código del programa para la ejecución de las etapas del procedimiento según una de las reivindicaciones precedentes cuando este sistema de ficheros es ejecutado por al menos un procesador.
6. Dispositivo electrónico (1) que incluye:
• al menos un procesador (2) configurado para ejecutar el sistema de ficheros según la reivindicación 5, • una memoria (4) configurada para memorizar una arborescencia de ficheros generada por el sistema de ficheros.
7. Tarjeta con un chip (1) que incluye un dispositivo según la reivindicación 6.
ES17306748T 2016-12-14 2017-12-12 Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia Active ES2868623T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1662428A FR3060166B1 (fr) 2016-12-14 2016-12-14 Procede d'acces a des donnees partagees dans une arborescence de fichiers geree par un systeme de fichiers mettant en oeuvre un mecanisme d'heritage

Publications (1)

Publication Number Publication Date
ES2868623T3 true ES2868623T3 (es) 2021-10-21

Family

ID=58707633

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17306748T Active ES2868623T3 (es) 2016-12-14 2017-12-12 Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia

Country Status (3)

Country Link
EP (1) EP3336789B1 (es)
ES (1) ES2868623T3 (es)
FR (1) FR3060166B1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3091102B1 (fr) * 2018-12-19 2021-10-15 Idemia France Procede de personnalisation d’une entite electronique, et entite electronique associee

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5544246A (en) * 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
US20030208686A1 (en) * 2002-05-06 2003-11-06 Thummalapally Damodar R. Method of data protection
US8051052B2 (en) * 2004-12-21 2011-11-01 Sandisk Technologies Inc. Method for creating control structure for versatile content control
JP5329884B2 (ja) * 2008-09-18 2013-10-30 株式会社東芝 携帯可能電子装置および携帯可能電子装置におけるデータ処理方法
CN102073634B (zh) * 2009-11-20 2013-10-23 中国银联股份有限公司 一种智能卡文件系统及其文件选择方法

Also Published As

Publication number Publication date
EP3336789B1 (fr) 2021-02-24
FR3060166A1 (fr) 2018-06-15
EP3336789A1 (fr) 2018-06-20
FR3060166B1 (fr) 2018-11-16

Similar Documents

Publication Publication Date Title
ES2904552T3 (es) Método de procesamiento de una transacción a partir de un terminal de comunicación
ES3028363T3 (en) Data protection via aggregation-based obfuscation
ES2808954T3 (es) Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación
US20150096039A1 (en) Dynamic tokenization with multiple token tables
US10200407B1 (en) Network gateway messaging systems and methods
US20240187397A1 (en) Network gateway messaging systems and methods
WO2021114872A1 (zh) 一种基于可验证声明的业务处理方法、装置及设备
CN104318286B (zh) Nfc标签数据的管理方法、管理系统和终端
CN108768963A (zh) 可信应用与安全元件的通信方法和系统
CN105975877A (zh) 一种敏感文件安全存储办法
CN110457945A (zh) 名单查询的方法、查询方设备、服务方设备及存储介质
EP3425846A1 (en) Authorization method and device for joint account, and authentication method and device for joint account
CN105227380B (zh) 用户数据处理的方法、装置及系统
CN105915364A (zh) 一种防止用户身份被恶意分享的方法及其装置
CN102063431B (zh) 信息数据库系统以及控制信息数据库系统访问的方法
CN107342931B (zh) 使用个性化模板的安全消息发送方法和使用该方法的设备
ES2996869T3 (en) Methods and system of preventing duplication of encrypted data
ES2868623T3 (es) Procedimiento de acceso a unos datos compartidos en una arborescencia de ficheros generada por un sistema de ficheros que utilizan un mecanismo de herencia
ES2848284T3 (es) Dispositivo y procedimiento de aumento de la seguridad de comandos intercambiados entre un terminal y circuito integrado
CN110914826B (zh) 用于分布式数据映射的系统和方法
CN109743292A (zh) 一种共享数据分级保护的方法和系统
ES2236137T3 (es) Metodo anticlonacion.
ES2674355T3 (es) Método y sistema para almacenamiento y recuperación de información
CN110008724A (zh) 固态硬盘控制器安全加载方法、装置及存储介质
ES2603585T3 (es) Sistema y procedimiento de transacción segura en línea