SYSTEME SECURISE DE CONTROLE D'ACCES PERMETTANT LE TRANSFERT D'HABILITATION A PRODUIRE DES CLES

SECURITY ACCESS CONTROL SYSTEM ENABLING TRANSFER OF AUTHORISATION TO MAKE KEYS

English Abstract

An access control system rendered secure by means of a portable storage medium (C) on which is registered an electronic key (CL) comprises electronic key production means (LE) and means ensuring an electronic locking function (L) to authorise access when the storage medium comprises the required electronic key. According to the invention, to transfer the authorisation to make (CL) keys from one production means (LE) to another, a new public key (K') and signature (CER') of this key are loaded into it. The invention is useful in the management of buildings.

French Abstract

L'invention a pour objet un système de contrôle d'accès sécurisé au moyen d'un
support de mémorisation portable (C) sur lequel est enregistrée une clé
électronique (CL), des moyens de production (LE) de clés électroniques et un
moyen assurant une fonction de serrure électronique (L) apte à autoriser
l'accès dans le cas où le support de mémorisation comporte la clé électronique
requise. Selon l'invention, pour transférer une habilitation à produire des
clés (CL) d'un moyen de production (LE) à un autre, on lui charge une nouvelle
clé publique (K') et la signature (CER') de cette clé. Application à la
gestion des immeubles.

Claims

12
REVENDICATIONS
1. Système de contrôle d'accès au moyen d'un
support de mémorisation portable (C) sur lequel est
enregistré une clé électronique CL, comportant des
moyens de production (LE) des clés électroniques et un
moyen assurant une fonction de serrure électronique (L)
apte à autoriser l'accès dans le cas où le support de
mémorisation comporte la clé électronique requise,
caractérisé en ce que les moyens de production (LE)
comportent une information d'habilitation (HA) à
produire les clés CL, incluant une clé publique (K), et
la signature numérique CER de cette clé, et en ce que
l'on opère un transfert d'habilitation à de nouveaux
moyens de productions en enregistrant une nouvelle clé
publique K' et la signature correspondante CER'.
2. Système de contrôle d'accès selon la
revendication 1, caractérisé en ce que l'information
d'habilitation comporte une donnée d'identification
(ID), une durée de validité VAL et la clé publique K,
et en ce que la durée de validité affectée à l'ancienne
clé K a une date de fin qui correspond à la date de
début de validité de la période de validité de la
nouvelle clé K', cette date pouvant lui être
postérieure.
3. Système de contrôle d'accès selon la
revendication 1 et 2, caractérisé en ce que pour la
vérification d'une nouvelle version de clé K' de
signature CER', la serrure utilise une fonction de
vérification à clé publique, en outre la serrure
compare la date de fin de validité de la clé précédente

13
à la date de début de validité de la nouvelle clé.
4. Système de contrôle d'accès selon l'une
quelconque des revendications précédentes 1 a 3,
caractérisé en ce que les signatures des clés K sont
obtenues par l'autorité (AT) a partir d'une fonction de
production F KA a clé publique KA, la serrure comportant
en mémoire au moment de la vérification une fonction de
vérification V KA et la clé publique KA.

Description

CA 022~2002 1998-10-14
W097/40474 PCTn~7/00677
SYSTEME SÉCURISÉ DE CONTROLE D'ACCES PERMETTANT
LE TRANSFERT D'HABILITATION A PRODUIRE DES CLÉS.
La présente invention se rapporte à un système
sécurisé de contrôle d'accès permettant le transfert
d'habilitation à produire des clés.
L'invention s'applique tout particulièrement au
domaine du contrôle d'accès à des bâtiments, à des
systèmes informatiques ou à toutes sortes d'objets dont
l'ouverture ou l'utilisation doit être contrôlée.
on conna~t de la demande PCT/FR95/00935 publiée
sous le numéro W096/02899, un système de contrôle
d'accès limités à des plages horaires autorisées et
renouvelables.
Ce système repose sur l'utilisation de supports de
mémorisation portables tels que des cartes à puce
(cartes à circuits intégrés) à contacts affleurants ou
sans contacts, des cartes magnétiques, des badges, des
clés électroniques à contact ou sans contact. Ces
supports sont distribués à tous les utilisateurs pour
qui l'accès sera autorisé.
Pour cela, les supports de mémorisation possèdent
en mémoire une clé électronique donnant un droit
d'accès.
Cette clé comprend une donnée correspondant à une
période d'autorisation d'accès et une signature
numérique de cette donnée. La période d'utilisation
correspond en pratique à une date d'utilisation et à
une plage horaire d'utilisation si bien que la clé
n'est valable que pendant un jour et pour la plage
horaire définie.
Ces clés ont une durée de vie courte et sont
particulièrement bien adaptées à une application telle
que la distribution ou le ramassage du courrier par un

CA 022~2002 1998-10-14
W097/40474 2 PCT~7/00677
préposé. L'utilisateur d'un tel support doit tous le
jours recharger son support avec une nouvelle clé
valable.
Le problème du vol ou de la perte d'un support
d'information comportant une telle clé ne se pose plus
puisque la durée de vie de la clé logique est éphémere.
La personne qui a trouvé ou volé le support ne
pourra plus l'utiliser le lendemain. Il n'est de ce
fait même plus utile de tenir une liste noire de tous
les supports volés ou perdus.
Ce système de contrôle d'acces est tres efficace
dans des applications pour lesquelles on ne désire pas
donner un droit d'acces permanent ou de très longue
durée. En revanche, il s'avere ne pas être adapté dans
le cas contraire.
Des systèmes de controle plus anciens proposent la
tenue d'une liste noire pour les support volés ou
perdus afin d'empecher que les personnes non autorisées
qui détiennent de tels supports ne puissent pas accéder
à l'ensemble protégé.
La tenue de telles listes nécessite une
intervention aupres des serrures électroniques. Il faut
en effet enregistrer sur les serrures les numéros
d'identification des supports volés ou perdus après que
leur titulaire en ait fait la déclaration. Ces
interventions sont contraignantes.
Dans le cas où une personne a une habilitation a
produire des clés électroniques et a les enregistrer
sur les supports de mémorisation, se voit retirer cette
habilitation (dans le cas des droits d'acces a un
i~meuble, il s'agit par exemple du changement de syndic
ou du gestionnaire de l'immeuble), le transfert
d'habilitation a une autre personne, impose de donner a
- tous les utilisateurs qui avaient des droits d'accès,

CA 022~2002 1998-10-14
W097/40474 3 PCTn~7/00677
de nouveaux supports sur lesquels les clés
électroniques sont calculées avec le moyen de
production de clé qui détient la nouvelle habilitation.
Ceci est une contrainte qui entra~ne des frais
importants.
Le système sécurisé de contrôle d'accès selon
l'invention permet de résoudre ce problème, les
supports délivrés restent toujours valables même en cas
de transfert d'habilitation à une autre personne ou
plus exactement a un autre moyen de production de clés.
L'invention a plus particulièrement pour objet
un système de contrôle d'acces au moyen d'un support de
mémorisation portable C sur lequel est enregistrée une
clé électronique CL, comportant des moyens de
production LE de ces clés électroniques et un moyen
assurant une fonction de serrure électronique L apte à
autoriser l'acces dans le cas où le support de
mémorisation comporte la clé électronique requise,
selon lequel les moyens de production comportent une
information d'habilitation HA à produire les clés CL,
incluant une clé publique K, et la signature
numérique CER de cette information, et dans lequel on
opère un transfert d'habilitation à de nouveaux moyens
de production en enregistrant une nouvelle clé
publique K' et la signature correspondante CER'. Cette
nouvelle clé publique est, après vérification de
l'habilitation, enregistrée dans la serrure
électronique L qui vérifie les clés CL produites par
ces moyens LE.
Selon une autre caractéristique, les données
relatives aux moyens de production comportent une
donnée d'identification ID, une durée de validité VAL
et la clé publique K; la durée de validité affectée à
- l'ancienne clé K a une date de fin qui correspond à la

CA 022~2002 1998-10-14
W097/40474 4 PCT~7/~677
date de début de validité de la période de validité de
la nouvelle cle K', cette date pouvant lui etre
posterieure (soit par exemple de un mois).
Avantageusement, pour la vérification d'une
nouvelle version de cle publique de signature CER', la
serrure compare et remplace la date de fin de période
de validité de l'ancienne clé à la date de début de
validité de la clé suivante (nouvelle clé).
Les clés publiques K et K' sont obtenues par
l'autorité à partir d'une fonction de production FKA à
clé publique KA, avec une clé secrète ka, la serrure
comportant en memoire au moment de la vérification une
fonction de vérification VKA et la clé KA pour la
vérification de ces signatures CER ou CER'.
La serrure vérifie toute nouvelle habilitation.
Ainsi, lorsqu'un nouveau moyen de production est en
service, ce moyen est déclaré auprès de la serrure qui
va contrôler les clés produites par ce moyen.
Pour cela, l'autorité enregistre le certificat
d'habilitation auprès de la serrure et la clé KA
qu'elle a utilisé pour le calcul. Le moyen de
production peut lui-même enregistrer son habilitation
auprès de la serrure.
Les supports dont les clés ont été produites de
maniere frauduleuse par des moyens qui ne sont plus
habilites, ne permettent pas l'acces aux ensembles
protégés.
En effet, le transfert d'habilitation est réalisé
par chargement sécurise d'une nouvelle clé publique
aupres de la serrure.
Les clés publiques précédentes sont en principe
conservees a moins que l'algorithme de production ait
été casse ou la cle secrete du couple clé secrète, cle
- publique ait été découverte.

CA 022~2002 1998-10-14
W097/40474 5 PCT~R97/~677
Selon une autre caractéristique, une signature
électronique S est calculée à partir d'un algorithme à
clé secrète k et d'une clé publique K correspondante
par des moyens de production LE, la serrure possède en
mémoire la clé publique K, une fonction de
vérification VK de cette signature S et des moyens pour
mettre en oeuvre cette fonction de vérification.
La clé électronique CL enregistrée sur un support
comporte une donnée d'identification de l'utilisateur
et une donnée identifiant le support, on prendra par
exemple pour cette dernière donnée le numéro de série
de fabrication du support et la signature électronique
de ces données.
D'autres avantages et particularités de l'invention
apparaîtront à la lecture de la description suivante
qui est faite à titre indicatif et non limitatif et en
regard du dessin de la figure 1 qui représente le
schéma d'un système de contrôle d'accès sécurisé selon
l'objet de l'invention.
Il est précisé que l'on entend par autorité un
organisme possédant des clés secrètes, des moyens aptes
à délivrer des clés publiques et des données
d'habilitation.
On entend par clé secrète, une donnée numérique qui
n'est connue que d'un organe de l'autorité ou du moyen
de production.
On entend par clé publique KA, K, K' une donnée
numérique partagée par plusieurs utilisateurs à savoir,
l'autorité et les moyens de production des clés
électroniques ou les moyens de production et la serrure
~ électronique.

CA 022~2002 l998-l0-l4
W097/40474 6 PCT~R97/00677
on entend par moyens de production LE de clés un
appareil de traitement d'informations numériques, par
exemple un microodinateur, détenant une information
d'habilitation HA et ayant des moyens de calcul pour
réaliser la signature numérique de données mettant en
oeuvre des fonctions telles qu'un algorithme à clé
publique classique.
On entend par clé electronique ou clé logique CL,
une donnée numérique ou plusieurs données accompagnées
de leur signature numérique donnant droit à un accès.
L'invention est décrite à titre d'exemple, dans
l'application à la gestion d'accès à des immeubles.
on pourra se reporter au schéma de la figure 1 pour
mieux comprendre.
Les supports de mémorisation C comprenant les clés
électroniques distribuées à des utilisateurs autorisés
pourront être soit des cartes à puce, soit des clés à
puce, soit des badges ou cartes magnétiques. La
transmission entre le support C et la serrure L peut
être faite à travers des contacts électroniques ou par
des moyens radio-électriques ou par la lecture d'une
bande magnétique.
A titre d'exemple, on a choisi comme support une
carte a puce.
Elle comporte une interface d'entrée-sortie I/O 100
et une mémoire non volatile inscriptible électriquement
101 .
Dans l'exemple décrit, la personnalisation d'un
support C consiste en particulier à inscrire en mémoire
une information d'identification IDA de l'utilisateur A
comportant par exemple son nom, le numéro de son
appartement et la donnée propre DpA qui lui est
- affectée. Il s'agit selon un exemple préféré de

CA 022~2002 1998-10-14
WO 97/40474 7 PCT/FR97/00677
réalisation, de la date de personnalisation de son
support de mémorisation.
On inscrit aussi en mémoire une information
identifiant le support, il s'agit par exemple du numéro
de série NS de fabrication du support. En général,
cette information est entrée a la fin de la
fabrication, avant de remettre le support à
l'autorité AT.
La personnalisation des supports est faite par
l'appareil LE (et la personne qui l'utilise) qui
détient une habilitation HA (ID, KA, CER, K).
L'appareil de production LE est par exemple réalisé
par un microordinateur de type PC, muni d'un lecteur de
cartes.
La figure 1, représente schématiquement les
différents blocs fonctionnels de cet appareil LE.
L'appareil de production LE comporte une unité de
traitement de type microprocesseur 200 reliée par un
bus 201 a des mémoires. Une mémoire volatile de travail
de type RAM 202 contient les données de l'application.
Une mémoire non volatile de type EEPROM comporte en
zone protégée la clé secrete k utilisée pour la
production des clés électroniques. Elle comporte en
outre le programme de production de clés électroniques.
Ce programme met en oeuvre un algorithme de production
de type algorithme à clé publique FK utilisant la clé
secrete k et la clé publique K correspondante.
La mémoire 203 comporte en outre le programme de
personnalisation qui consiste a écrire la donnée
propre, c'est-a-dire selon le mode préféré de
réalisation la date DpA du jour de personnalisation
(plus l'heure éventuellement). Cette information est
obtenue a partir d'une horloge interne.
~ La donnée propre peut également être obtenue par un

CA 022~2002 l998-l0-l4
W-097/40474 8 PCT~7/00677
compteur dont la valeur est augmentée (incrémentée de 1
par exemple) à chaque nouvelle version de clé.
L'exécution de ces programmes est lancée par la
personne habilitée au moyen du clavier 205.
Selon un autre aspect de l'invention, la mémoire
volatile 203, peut contenir également la clé
publique KA et le certificat d'habilitation CER.
En effet, un appareil de production LE doit etre
habilité à produire des clés CL. L'habilitation lui est
reprise par l'autorité AT.
En pratique, l'autorité lui donne une clé
publique K qui va lui servir dans le calcul des
clés CL. Cette clé K est transmise avec une durée de
validité comprenant au moins une date de début de
validité. Cependant, la cle K lui est transmise avec
une signature que l'on appelle ici certificat CER.
Ce certificat CER est donc la signature numerique
d'un ensemble de donnees incluant l'identite de la
personne habilitee ID, sa clé publique K et sa période
de validite VAL tel que :
CER = FKA ( I D , VAL , K ),
FKA etant l'algorithme à clé publique, ka
étant la clé secrète de calcul du certificat et KA la
clé publique correspondante. Ce calcul est fait par
l'autorité AT.
Les serrures électroniques CL sont constituées par
un appareil de type lecteur de cartes à puce ou
microordinateur équipé d'une interface lecteur de
cartes à puce pour l'exemple de réalisation décrit.
La serrure L comporte une unité de traitement 300,
une mémoire non volatile 301 électriquement
programmable et une mémoire de travail 302. La
mémoire 301 comprend le programme de vérification des
- clés mettant en oeuvre une fonction de vérification VK

CA 022~2002 1998-10-14
WO 97/40474 9 PCT/FR97/00677
des clés électroniques CL.
Cette mémoire 301 contient également la clé
publique K correspondant à la clé secrète k qui été
utilisée pour la production des clés CL.
La serrure L permet de détecter de fausses clés
électroniques.
Pour cela, la serrure compare la date de
personnalisation DpA de la clé CL à la date de
personnalisation qu'elle a en mémoire pour le meme
support (identification IDA).
S'il y a égalité, la serrure autorise l'accès. Si
la date DpA > à la date de personnalisation présente
dans la serrure, alors il s'agit d'une nouvelle version
de clé, la serrure met à jour sa liste de clés,
c'est-à-dire qu'elle enregistre la nouvelle date de
personalisation à la place de l'ancienne.
Si la date DpA < à la date de personnalisation
présente dans la serrure, alors il s'agit d'une
réutilisation d'une clé declaree volée ou perdue.
L'accès est interdit. Il n'y a pas de mise à jour
de la liste des clés.
Lorsque l'on affecte une habilitation HA le couple
clé publique K et certificat CER de l'appareil LE de
production des clés ainsi que la clé KA sont
enregistrés par l'autorité dans la serrure en mémoire
de travail par exemple, pour permettre à la serrure
d'effectuer une vérification de l'habilitation.
Cette vérification est faite à chaque nouvelle
habilitation. Pour cela la serrure contient aussi le
programme de vérification du certificat, ce programme
mettant en oeuvre une fonction de vérification VKA du
certificat. A l'issue de cette vérification, si le
certificat correspond bien à la cle publique K, cette
~ clé est enregistrée en mémoire EEPROM, le certificat et

CA 022~2002 l998-l0-l4
W097/40474 l0 PCT~7/00677
la cle KA ne sont pas conserves.
Lorsqu'un changement d'habilitation a lieu, un
certificat CER' pour une nouvelle cle K' est calculé
par l'autorité AT et chargé dans l'appareil LE tel que
cela est illustre par le schema de la figure 1.
Ainsi conformement à l'invention, ce changement
d'habilitation consiste à utiliser une nouvelle clé
publique K' et à affecter cette nouvelle clé K' à
l'appareil.
Des cles electroniques CL calculées par l'appareil
qui avaient l'ancienne cle publique K seront toujours
valables ainsi que les nouvelles qui sont produites par
un appareil qui a la cle K', dès l'instant où la
serrure a vérifie cette nouvelle habilitation.
On choisit la duree de validité affectee à la clé K
pour qu'elle ait une date de fin de validite egale à la
date de debut de la periode de validite affectee à la
cle K' ou une date legèrement posterieure (un mois par
exemple).
Dans le cas où un appareil de production LE a une
donnée d'habilitation HA (ID, KA, CER, K) qu'il
s'agisse d'une première habilitation ou d'une nouvelle
habilitation, et dans le cas où les clé produites CL
(S, DpA, IDA) ont une donnee propre telle que la date
de personnalisation du support sur lequel elles sont
enregistrées, la serrure pourra verifier les conditions
d'accès enoncees dans la première partie de la
description et en outre comparer la date DpA à la
période de validite de la cle publique de l'appareil.
Cette comparaison va permettre par exemple de
déceler les cles CL qui auraient eté produites alors
que l'appareil de production LE n'avait plus
l'habilitation.
- En effet, les dates de personnalisation DpA tombent

CA 022~2002 1998-10-14
W097/40474 11 PCT~R97/00677
obligatoirement soit dans l'une, soit dans l'autre des
périodes de validité VAL ou VAL' des clés K ou K'.
Dans chaque cas, la serrure pourra alors comparer
la date de personnalisation à la période de validité de
la clé publique correspondante. La serrure autorise
l'acces lorsque, a l'issue de cette vérification, elle
trouve que la date DpA est à l'intérieur de la période
de validité de la clé publique correspondante.
Comme chaque clé publique K ou K' a une période de
validité qui lui est propre, il est facile de détecter
la fraude.

Representative Drawing