Note: Descriptions are shown in the official language in which they were submitted.
CA 022~2001 1998-10-14
WO 97/40473 PCT/FR97/00676
SYSTEME SÉCURISÉ DE CONTROLE D'ACCES PERMETTANT
L'INVALIDATION AUTOMATIQUE DE CLÉS ÉLECTRONIQUES VOLÉES
OU PERDUES ET/OU LE TRANSFERT D'HABILITATION A PRODUIRE
DES CLÉS.
La présente invention se rapporte à un système
sécurisé de contrôle d'accès permettant l'invalidation
automatique des clés logiques volées ou perdues et/ou
le transfert d'habilitation à produire des clés.
L'invention s'applique tout particulièrement au
domaine du contrôle d'accès à des bâtiments, à des
systèmes informatiques ou à toutes sortes d'objets dont
l'ouverture ou l'utilisation doit être contrôlée.
on connait de la demande PCT/FRgS/00935 publiée
sous le numéro W096/02899, un système de contrôle
d'accès limités à des plages horaires autorisées et
renouvelables.
Ce système repose sur l'utilisation de supports de
mémorisation portables tels que des cartes à puce
(cartes à circuits intégrés) à contacts affleurants ou
sans contacts, des cartes magnétiques, des badges, des
clés électroniques à contact ou sans contact. Ces
supports sont distribués à tous les utilisateurs pour
qui l'accès sera autorisé.
Pour cela, les supports de mémorisation possèdent
en mémoire une clé électronique donnant un droit
d'accès.
Cette clé comprend une donnée correspondant à une
période d'autorisation d'accès et une signature
numérique de cette donnée. La période d'utilisation
correspond en pratique à une date d'utilisation et à
une plage horaire d'utilisation si bien que la clé
n'est valable que pendant un jour et pour la plage
- horaire définie.
CA 022~2001 1998-10-14
W~97/40473 2 PCTA~7/00676
Ces clés ont une durée de vie courte et sont
particulièrement bien adaptées à une application telle
que la distribution ou le ramassage du courrier par un
préposé. L'utilisateur d'un tel support doit tous le
jours recharger son support avec une nouvelle clé
valable.
Le problème du vol ou de la perte d'un support
d'information comportant une telle clé ne se pose plus
puisque la durée de vie de la clé logique est éphémère.
La personne qui a trouvé ou volé le support ne
pourra plus l'utiliser le lendemain. Il n'est de ce
fait même plus utile de tenir une liste noire de tous
les supports volés ou perdus.
Ce système de contrôle d'accès est très efficace
dans des applications pour lesquelles on ne désire pas
donner un droit d'accès permanent ou de très longue
durée. En revanche, il s'avère ne pas être adapté dans
le cas contraire.
Des systèmes de contrôle plus anciens proposent la
tenue d'une liste noire pour les support volés ou
perdus afin d'empêcher que les personnes non autorisées
qui détiennent de tels supports ne puissent pas accéder
à l'ensemble protégé.
La tenue de telles listes nécessite lne
intervention auprès des serrures électroniques. Il faut
en effet enregistrer sur les serrures les numéros
d'identification des supports volés ou perdus après que
leur titulaire en ait fait la déclaration. Ces
interventions sont contraignantes.
La présente invention a pour objet de résoudre ce
problème.
Le système sécurisé de contrôle d'accès proposé
permet l'invalidation automatique des clés déclarées
perdues ou volées.
CA 022~2001 1998-10-14
W097/40473 3 PCT~R97/00676
En effet selon l'invention, il n'y aucune
intervention particulière à effectuer auprès des
serrures électroniques. Ce sont les supports des
utilisateurs qui vont permettre d'effectuer
automatiquement une invalidation des supports volés ou
perdus.
D'autre part, dans le cas où une personne ayant une
habilitation à produire des clés électroniques et à les
enregistrer sur les supports de mémorisation, se voit
retirer cette habilitation (dans le cas des droits
d'accès à un immeuble, il s'agit par exemple du
changement de syndic ou du gestionnaire de l'immeuble),
le transfert d'habilitation à une autre personne,
impose de donner à tous les utilisateurs qui avaient
des droits d'accès, de nouveaux supports sur lesquels
les clés électroniques sont calculées avec le moyen de
production de clé qui détient la nouvelle habilitation.
Ceci est une contrainte qui entraîne des frais
importants.
Le système sécurisé de contrôle d'accès selon
l'invention permet de résoudre également ce problème,
les supports délivrés restent toujours valables même en
cas de transfert d'habilitation à une autre personne ou
plus exactement à un autre moyen de production de clés.
L'invention à plus particulièrement pour objet
un système de contrôle d'accès au moyen d'un support de
mémorisation portable (C) sur lequel est enregistrée
une clé électronique (CL) incluant une donnée
d'identification de l'utilisateur, et un moyen assurant
une fonction de serrure électronique ~L) apte à
autoriser l'accès dans le cas où le support de
mémorisation comporte la clé électronique requise,
principalement caractérisé en ce que :
-
CA 022~2001 1998-10-14
W097/40473 4 PCT~7/00676
- la clé électronique comporte en outre une donnée
propre DpA à l'utilisateur et au support, et la
signature numérique S de ces données,
- ces données sont enregistrées dans la serrure à
la première utilisation du support,
- on produit une nouvelle clé électronique et on
enregistre cette clé sur un autre support de
mémorisation pour ce meme utilisateur dans le cas
de perte ou de vol du support précédent, avec une
nouvelle donnée propre ayant une valeur
supérieure à la précédente et invalidant. la
prédédente,
- à chaque utilisation du support, la serrure (L)
vérifie la signature numérique S et vérifie que
la donnée propre DpA de la clé CL du support est
égale ou supérieure à la donnée déjà enregistrée
et n'autorise l'accès que lorsque ces conditions
sont réalisées.
Selon une autre caractéristique, la signature S est
calculée à partir d'un algorithme à clé secrète k et
d'une clé publique K correspondante par des moyens de
production LE, la serrure possède en mémoire la clé
publique K, une fonction de vérification VK de cette
signature S et des moyens pour mettre en oeuvre cette
fonction de vérification.
Selon une autre caractéristique, pour vérifier une
donnée propre DpA à un utilisateur, la serrure :
- compare la donnée propre DpA présente sur le
support, à la donnée déjà enregistrée lors de la
première utilisation pour cet utilisateur, et
- enregistre cette donnée à la place de la donnée
déjà enregistrée lorsque sa valeur est supérieure
à la donnée déjà enregistrée.
-
CA 022~200l l998-l0-l4
W097/40473 5 PCT~R97/00676
La donnée propre DpA à un utilisateur peut etre la
date de personnalisation de son support de
mémorisation.
La donnée propre DpA peut etre une valeur obtenue
par un compteur, cette valeur étant incrémentée à
chaque nouvelle version de clé pour un utilisateur
donné.
Ces opérations permettent de mettre à jour de façon
automatique la délivrance d'un nouveau support à un
utilisateur par l'enregistrement dans la serrure de la
nouvelle donnée du support propre à l'utilisateur~ en
remplacement de la précédente.
Lorsque l'on personnalise un nouveau support pour
un utilisateur donné, la donnée propre DpA (date de
personnalisation) a une valeur supérieure à la
précédente.
La clé électronique CL enregistrée sur un support
comporte également une donnée identifiant ce support,
ou prendra par exemple comme donnée le numéro de série
de fabrication du support.
Pour augmenter la sécurité, la serrure électronique
comporte une donnée correspondant à une valeur de
référence DH; l'autorisation d'accès n'est donnée que
si en outre, la donnée propre DpA à l'utilisateur a une
valeur inférieure à la valeur de référence DH.
La donnée de référence DH est la date courante
fournie par une horloge interne de la serrure
électronique.
Selon une autre caractéristique de l'invention, les
moyens de production comportent une information
~ d'habilitation HA donnée par une autorité pour produire
les clés CL, incluant une clé publique K, et la
- signature numérique CER de cette information; et on
opère un transfert d'habilitation à de nouveaux moyens
CA 022~200l l998-l0-l4
W097/40473 6 PCTn~7/00676
de production en enregistrant une nouvelle clé
publique K' et la signature correspondante CER'.
La serrure vérifie toute nouvelle habilitation.
A cette fin toute nouvelle clé publique est
enregistrée dans la serrure électronique pour la
vérification avec son certificat qui ne sera pas en
principe conservé.
Selon une autre caractéristique, les données
relatives aux moyens de production comportent une
donnée d'identification ID, une période de validité VAL
et la clé publique K, la période de validité affectée à
l'ancienne clé K ayant une date de fin qui correspond à
la date de début de validité de la période de validité
de la nouvelle clé K', cette date pouvant lui être
postérieure (soit par exemple de un mois).
Selon une autre caractéristique, pour la
vérification d'une nouvelle version de clé K' de
signature CER', la serrure compare et remplace la date
de fin de période de validité de l'ancienne clé par la
date de début de validité de la clé suivante.
Avantageusement, lors d'une vérification d'une clé
électronique CL, la serrure réalise en outre les étapes
suivantes :
- comparer la date de personnalisation DpA à la
période de validité VAL de la clé publique K qui a été
utilisée,
- autoriser l'accès dans le cas où cette date est
dans la période de validité de cette clé, et refuser
l'accès dans le cas contraire.
Les clés publiques K, K' sont obtenues par
l'autorité à partir d'une fonction de production FKA à
clé publique KA, avec une clé secrète ka. La serrure
comporte en mémoire au moment de la vérification une
-
CA 022~2001 1998-10-14
W097/40473 7 PCT~R97/00676
fonction de vérification VKA et la clé KA pour la
vérification des signatures CER ou CER'.
L'invention à également pour objet, un système de
contrôle d'accès au moyen d'un support de mémorisation
portable C sur lequel est enregistrée une clé
électronique CL, des moyens de production de ces clés
électroniques et un moyen assurant une fonction de
serrure électronique L apte à autoriser l'accès dans le
cas où le support de mémorisation comporte la clé
électronique requise, selon lequel les moyens de
production comportent une information d'habilitation HA
à produire les clés CL, incluant une clé publique K, et
la signature numérique CER de cette information, et
dans lequel on opère un transfert d'habilitation à de
nouveaux moyens de production en enregistrant une
nouvelle clé publique K' et la signature correspondante
CER'. Cette nouvelle clé publique est, après
vérification de l'habilitation, enregistrée dans la
serrure électronique L qui vérifie les clés CL
produites par ces moyens LE.
Selon une autre caractéristique les données
relatives aux moyens de production comportent une
données d'identification ID, une durée de validité VAL
et la clé publique K; la durée de validité affectée à
une nouvelle clé K' a une date de départ qui correspond
à la date de fin de validité de la période de validité
de la clé précédente K.
Avantageusement, pour la vérification d'une
nouvelle version de clé publique de signature CER', la
serrure compare la date de début de période de validité
de la nouvelle clé à la date de fin de validité de la
clé précédente.
~ Les clés pu~liques sont obtenues par l'autorité à
partir d'une fonction de production FKA à clé
CA 022~200l l998-l0-l4
W097/40473 8 PCT~R97/00676
publique KA, avec une clé secrète ka, la serrure
comportant en mémoire au moment de la vérification une
fonction de vérification VKA et la clé KA pour la
vérification de ces signatures CER ou CER'.
Ainsi, lorsqu'un nouveau moyen de production est en
service, ce moyen est déclaré auprès de la serrure qui
va contrôler les clés produites par ce moyen.
Pour cela, l'autorité enregistre le certificat
d'habilitation auprès de la serrure et la clé KA
qu'elle a utilisé pour le calcul. Le moyen de
production peut lui-même enregistrer son habilitation
auprès de la serrure.
Les supports dont les clés ont été produites de
manière frauduleuse par des moyens qui ne sont plus
habilités, ne permettent pas l'accès aux ensembles
protégés.
En effet, le transfert d'habilitation est réalisé
par chargement sécurisé d'une nouvelle clé publique
auprès de la serrure.
Les clés publiques précédentes sont en principe
conservées à moins que l'algorithme de production ait
été cassé ou la clé secrète du couple clé secrète, clé
publique ait été découverte.
D'autres avantages et particularités de l'invention
appara~tront à la lecture de la description suivante
qui est faite à titre indicatif et non limitatif et en
regard des dessins sur lesquels:
- la figure 1, représente un système de contrôle
d'accès sécurisé selon un premier objet de l'invention,
- la figure 2, représente un système de contrôle
d'accès sécurisé selon un deuxième objet de
l'invention.
CA 022~200l l998-l0-l4
W097/40473 9 PCTn~7/00676
Il est précisé que l'on entend par autorité un
organisme possédant des clés secrètes, des moyens aptes
à délivrer des clés publiques et des données
d'habilitation.
On entend par clé secrète, une donnée numérique qui
n'est connue que d'un organe de l'autorité ou d'un
moyen de production.
on entend par clé publique KA, K, K' une donnée
numérique partagée par plusieurs utilisateurs à savoir,
l'autorité et les moyens de production des clés
électroniques ou les moyens de production et la serrure
électronique.
On entend par moyens de production LE de clés un
appareil de traitement d'informations numériques, par
exemple un microodinateur, détenant une information
d'habilitation ~A et ayant des moyens de calcul pour
réaliser la signature numérique de données mettant en
oeuvre des fonctions telles qu'un algorithme à clé
publique classique.
On entend par clé électronique ou clé logique C~,
une donnée numérique ou plusieurs données numériques
accompagnées de leur signature numérique donnant droit
à un accès.
L'invention est décrite à titre d'exemple, dans
l'application à la gestion d'accès à des immeubles.
On pourra se reporter au schéma de la figure 1 pour
mieux comprendre.
Les supports de mémorisation C comprenant les clés
électroniques distribuées à des utilisateurs autorisés
pourront etre soit des cartes à puce, soit des clés à
puce, soit des badges ou cartes magnétiques. La
transmission entre le support C et la serrure L peut
etre faite à travers des contacts électroniques ou par
CA 022~2001 1998-10-14
W097/40473 10 PCT~R97/00676
des moyens radio-électriques ou par la lecture d'une
bande magnétique.
A titre d'exemple, on a choisi comme support une
carte à puce.
Elle comporte une interface d'entrée-sortie I/O 100
et une mémoire non volatile inscriptible
électriquement 101.
Dans l'exemple décrit, la personnalisation d'un
support C consiste en particulier à inscrire en mémoire
une information d'identification IDA de l'utilisateur A
comportant par exemple son nom, le numéro de son
appartement et la donnée propre DpA qui lui est
affectée. Il s'agit selon un exemple préféré de
réalisation de la date de personnalisation de son
support de mémorisation.
On inscrit aussi en mémoire une information
identifiant le support, il s'agit par exemple du numéro
de série NS de fabrication du support. En général,
cette information est entrée à la fin de la
fabrication, avant de remettre le support à
l'autorite AT.
La personnalisation des supports est faite par
l'appareil LE (et la personne qui l'utilise) qui
détient une habilitation HA (ID, KA, CER, K).
L'appareil de production LE es par exemple réalisé
par un microordinateur de type PC, muni d'un lecteur de
cartes.
Le schéma de la figure 1, représente
schématiquement les différents blocs fonctionnels de
cet appareil LE.
L'appareil de production LE comporte une unité de
traitement de type microprocesseur 200 relié par un
bus 201 à des mémoires. Une mémoire volatile travail de
type RAM 202 contient les données de l'application.
CA 022~2001 1998-10-14
WO 97/40473 1 1 PCT/FR97/00676
Une mémoire non volatile de type EEPROM comporte en
zone protégée la clé secrète k utilisée pour la
production des clés électroniques. Elle comporte en
outre le programme de production de clés électroniques.
Ce programme met en oeuvre un algorithme de production
de type algorithme à clé publique FK utilisant la clé
secrète k et la clé publique K correspondante.
La mémoire 203 comporte en outre le programme de
personnalisation qui consiste à écrire la donnée
propre, c'est-à-dire selon le mode préféré de
réalisation la date DpA du jour de personnalisation
(plus l'heure éventuellement). Cette information est
obtenue à partir d'une horloge interne 204.
La donnée propre peut également être obtenue par un
compteur 206 dont la valeur est augmentée (incrémentée
de 1 par exemple) à chaque nouvelle version de clé.
L'exécution de ces programmes est lancée par la
personne habilitée au moyen du clavier 205.
Selon un autre aspect de l'invention, la mémoire
volatile 203, peut contenir également la clé
publique KA et le certificat d'habilitation CER.
En effet, un appareil de production LE doit être
habilité à produire des clés CL. L'habilitation lui est
reprise par l'autorité AT.
En pratique, l'autorité lui donne une clé
publique K qui va lui servir dans le calcul des
clés CL. Cependant, la clé K lui est transmise avec une
signature que l'on appelle ici certificat CER.
Ce certificat CER est donc la signature numérique
d'un ensemble de données incluant l'identité de la
personne habilitée ID, sa clé publique K et la période
de validité VAL tel que :
CER = FKA (ID, VAL, K),
CA 022~2001 1998-10-14
W097/40473 12 PCT~R97/00676
FKA étant l'algorithme à clé publique, ka
étant la clé secrète de calcul du certificat et KA la
clé publique correspondante. Ce calcul est fait par
l'autorité AT.
Les serrures électroniques CL sont constituées par
un appareil de type lecteur de cartes à puce ou
microordinateur équipé d'une interface lecteur de
cartes à puce pour l'exemple de réalisation décrit.
La serrure L comporte une unité de traitement 300,
une mémoire non volatile 301 électriquement
programmable et une mémoire de travail 302. La
mémoire 301 comprend le programme de vérification des
clés mettant en oeuvre une fonction de vérification VK
des clés électroniques CL.
Cette mémoire 301 contient également la clé
publique K correspondant à la clé secrète k qui été
utilisée pour la production des clés CL.
La serrure L permet, selon un premier objet de
l'invention, de détecter de fausses clés électroniques.
Pour cela, la serrure compare la date de
personnalisation DpA de la clé CL à la date de
personnalisation qu'elle a en mémoire pour le même
support (identification IDA).
S'il y a égalité, la serrure autorise l'accès. Si
la date DpA > à la date de personnalisation présente
dans la serrure, alors il s'agit d'une nouvelle version
de clé, la serrure met à jour sa liste de clés,
c'est-à-dire qu'elle enregistre la nouvelle date de
personnalisation à la place de l'ancienne.
Si la date DpA < à la date de personnalisation
présente dans la serrure, alors il s'agit d'une
réutilisation d'une clé déclarée volée ou perdue.
L'accès est interdit. Il n'y a pas de mise à jour
de la liste des clés.
CA 022~2001 1998-10-14
V~D97/40473 13 PCT~R97/00676
Lorsque l'on affecte une habilitation HA le couple
clé publique et certificat CER de l'appareil LE de
production des clés ainsi que la clé KA sont
enregistrés dans la serrure en mémoire de travail par
exemple, pour permettre à la serrure d'effectuer une
vérification de l'habilitation.
Cette vérification est faite à chaque nouvelle
habilitation. Pour cela la serrure contient aussi le
programme de vérification du certificat, ce programme
mettant en oeuvre une fonction de vérification VKA du
certificat. A l'issue de cette vérification, si le
certificat correspond bien à la clé publique K la clé
est enregistrée en mémoire EEPROM, le certificat et la
clé KA ne sont pas conservés.
Lorsqu'un changement d'habilitation à lieu, un
certificat CER' pour une nouvelle clé K' est calculé
par l'autorité AT et chargé dans l'appareil LE, on
pourra se reporter pour la suite au schéma de la figure
2.
Ainsi conformément à un deuxième objet de
l'invention, ce changement d'habilitation consiste à
utiliser une nouvelle clé publique K' et à affecter
cette nouvelle clé K' à l'appareil.
Des clés électroniques CL calculées par l' appareil
qui avaient l'ancienne clé publique K seront toujours
valables ainsi que les nouvelles qui sont produites par
un appareil qui a la clé K', dès l'instant où la
serrure a vérifié cette nouvelle habilitation.
On choisit la durée de validité affectée à la clé K
pour qu'elle ait une date de fin de validité égale à la
date de début de la période de validité affectée à la
clé K' ou une date légèrement postérieure (un mois par
exemple)
-
CA 022~2001 1998-10-14
W097/40473 14 PCT~7/00676
Dans le cas où un appareil de production LE a une
donnée d'habilitation HA (ID, KA, CER, K) qu'il
s'agisse d'une première habilitation ou d'une nouvelle
habilitation, et dans le cas où les clé produites CL
(S, DpA, IDA) ont une donnée propre telle que la date
de personnalisation du support sur lequel elles sont
enregistrées, la serrure pourra vérifier les conditions
d'accès énoncées dans la première partie de la
description et en outre comparer la date DpA à la
période de validité de la clé publique de l'appareil.
Cette comparaison va permettre par exemple de
déceler les clés CL qui auraient été produites alors
que l'appareil de production LE n'avait plus
l'habilitation.
En effet, les dates de personnalisations DpA
tombent obligatoirement soit dans l'une, soit dans
l'autre des périodes de validité VAL ou VAL' des clés K
ou K'.
Dans chaque cas, la serrure pourra alors comparer
la date de personnalisation à la période de validité de
la clé publique correspondante. La serrure autorise
l'accès lorsque, à l'issue de cette vérification, elle
trouve que la date DpA est à l'intérieur de la période
de validité de la clé publique correspondante.
Comme chaque clé publique K ou K' a une période de
validité qui lui est propre, il est facile de détecter
la fraude.