WO2021165120A1 - Procede et systeme d'authentification sans contact - Google Patents

Procede et systeme d'authentification sans contact Download PDF

Info

Publication number
WO2021165120A1
WO2021165120A1 PCT/EP2021/053212 EP2021053212W WO2021165120A1 WO 2021165120 A1 WO2021165120 A1 WO 2021165120A1 EP 2021053212 W EP2021053212 W EP 2021053212W WO 2021165120 A1 WO2021165120 A1 WO 2021165120A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
control device
access control
server
access
Prior art date
Application number
PCT/EP2021/053212
Other languages
English (en)
Inventor
Thomas Fleury
Original Assignee
Imprimerie Nationale
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Imprimerie Nationale filed Critical Imprimerie Nationale
Priority to EP21703477.6A priority Critical patent/EP4107706A1/fr
Publication of WO2021165120A1 publication Critical patent/WO2021165120A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Collating Specific Patterns (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un système et un procédé d'authentification d'un ou plusieurs utilisateurs : Un utilisateur équipé d'un dispositif comprenant: Un moyen de communication (19a) sans fil pour échanger des informations avec le dispositif de contrôle d'accès et un moyen de communication (19b) sans fil pour échanger des informations avec le serveur, Un processeur (18) configuré pour générer une requête d'authentification Rq vers le serveur, Un serveur d'authentification (10) comprenant : Une base de données (12) contenant pour un utilisateur donné un identifiant et des droits d'accès, Un moyen de communication sans fil longue distance (13), Un processeur (11) configuré pour générer un jeton d'authentification, Un dispositif de contrôle d'accès (2) comportant : Un dispositif d'acquisition (3) de données biométriques Des moyens de communication courte portée (6), Un processeur (4) configuré pour comparer une donnée biométrique capturée avec une donnée biométrique contenu dans un jeton d'autorisation et générer un signal d'autorisation d'accès ou de refus d'accès.

Description

DESCRIPTION
Titre de l’invention : PROCEDE ET SYSTEME D’AUTHENTIFICATION SANS CONTACT
[0001] L’invention concerne un procédé d’authentification sans contact d’une personne ou d’un individu. Elle trouve par exemple son application pour contrôler l’accès à une zone sécurisée. Elle peut être utilisée pour la validation de transactions.
[0002] De nombreuses applications mettent en oeuvre un procédé d’authentification de personnes. Par exemple, lorsque l’on souhaite contrôler l’accès d’un site à une personne. L’authentification est aussi requise pour le passage d’une porte d’embarquement dans un aéroport ou pour accéder à un train.
[0003] Dans le cadre de transactions financières, il est aussi nécessaire de s’authentifier avant d’exécuter une transaction.
[0004] Différents procédés d’authentification sont décrits dans l’art antérieur.
[0005] Par exemple, la demande de brevet WO 2004/100083 décrit un système d’authentification qui utilise une carte d’authentification dans laquelle des données biométriques sont mémorisées.
[0006] Le brevet FR 2922672 divulgue un procédé et un système d’authentification biométrique sans contact. Le système d’authentification comprend un ou plusieurs dispositifs personnels d’authentification, un terminal équipé de moyens biométriques générant des informations biométriques d’un utilisateur, des moyens de communication sans fil. Le dispositif personnel d’authentification comprend une mémoire de stockage des données biométriques du titulaire du dispositif personnel d’authentification. Dans ce système, les informations biométriques sont diffusées à plusieurs dispositifs personnels d’authentification, ce qui conduit à une sécurité limitée. Le dispositif de comparaison des données biométriques est situé dans chacun des dispositifs personnels d’authentification, ce qui conduit à un coût élevé du dispositif personnel. Ceci permet notamment d’augmenter la sécurité dans l’étape d’authentification d’une personne.
[0007] L’idée de la présente invention est de proposer un système et un procédé d’authentification dans lequel les données biométriques ne sont pas localisées en central, mais au niveau du dispositif utilisateur. [0008] L’invention concerne un système d’authentification d’un ou plusieurs utilisateurs comportant un serveur d’authentification, au moins un dispositif de contrôle d’accès caractérisé en ce que :
[0009] Un utilisateur est équipé d’un terminal mobile comprenant :
[0010] Un moyen de communication sans fil configuré pour échanger des informations selon un protocole à courte portée avec le dispositif de contrôle d’accès et un moyen de communication sans fil configuré pour échanger des informations selon un protocole à longue portée avec le serveur,
[0011] Un processeur configuré pour générer une requête d’authentification Rq vers le serveur d’authentification,
[0012] Une base de données comprenant des données biométriques,
[0013] Ledit serveur d’authentification comprend :
[0014] Une base de données contenant pour un utilisateur donné, un identifiant et des droits d’accès,
[0015] Un moyen de communication à longue distance,
[0016] Un processeur configuré pour générer un jeton d’authentification suite à une requête d’authentification émise par l’utilisateur, ledit jeton contenant l’identité d’un dispositif de contrôle d’accès, un aléa, les droits de l’utilisateur, sa signature générée par une clé privée,
[0017] Un dispositif de contrôle d’accès comporte :
[0018] Un dispositif d’acquisition de données biométriques,
[0019] Des moyens de communication à courte portée,
[0020] Un processeur configuré pour comparer une donnée biométrique capturée avec une donnée biométrique fournie avec un jeton d’autorisation émis par le serveur et générer un signal d’autorisation d’accès ou de refus d’accès,
[0021] Une mémoire temporelle.
[0022] Le dispositif de contrôle d’accès peut comprendre un capteur d’empreintes digitales et/ ou une caméra configurée pour acquérir les caractéristiques d’un visage. [0023] Les moyens de communication à courte portée utilisent, par exemple, un protocole de communication de proximité sans contact de type Bluetooth ou en champ proche NFC ou le protocole HTTP/HTTPS.
[0024] L’utilisateur possède un téléphone intelligent, tel qu’un smartphone ou est équipé d’une carte à puce ayant les fonctionnalités adaptées.
[0025] L’invention concerne aussi un procédé d’authentification d’un ou de plusieurs utilisateurs équipés d’un terminal mobile dans lequel sont stockées des données biométriques, au sein d’une infrastructure comprenant au moins un serveur, un dispositif de contrôle d’accès émettant un signal contenant son identifiant, un nombre aléatoire, caractérisé en ce qu’il comporte au moins les étapes suivantes :
[0026] Le terminal mobile d’un utilisateur capte le signal émis par le dispositif de contrôle d’accès et émet une requête d’authentification signée auprès du serveur,
[0027] Le serveur sur réception de la requête Rq vérifie que ledit utilisateur est autorisé à pénétrer dans la zone contrôlée par le dispositif de contrôle d’accès, en comparant un identifiant utilisateur contenu dans la requête avec des droits d’accès mémorisés,
[0028] Lorsque l’utilisateur n’est pas autorisé, alors le serveur génère un signal de non autorisation,
[0029] Lorsque l’utilisateur est autorisé, le serveur génère un jeton d’autorisation d’accès contenant l’identité du dispositif de contrôle d’accès, le challenge, les droits de l’utilisateur, sa signature générée par une clé privée, et transmet le jeton d’autorisation à l’utilisateur,
[0030] L’utilisateur transmet ce jeton d’autorisation au dispositif de contrôle d’accès qui va :
[0031] Acquérir par le dispositif de contrôle d’accès une donnée biométrique de l’utilisateur à authentifier,
[0032] Vérifier que cette donnée biométrique acquise est semblable à la donnée biométrique fournie avec le jeton d’authentification,
[0033] Emettre une commande d’autorisation d’accès si les données correspondent, [0034] Emettre une information de non autorisation si les données biométriques diffèrent.
[0035] Le dispositif de contrôle d’accès peut générer un signal de commande d’ouverture d’un portillon équipant le dispositif de contrôle d’accès.
[0036] Au cours du procédé on va acquérir des empreintes digitales. Un dispositif de contrôle d’accès peut aussi capter une image d’un visage et afficher ladite image sur un écran en ajoutant une étiquette valable ou non valable.
[0037] D’autres caractéristiques, détails et avantages de l’invention ressortiront mieux à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemple non limitatifs et qui représentent, respectivement :
[0038] La figure 1 , un exemple de système d’authentification selon l’invention,
[0039] La figure 2, un schéma de fonctionnement du procédé selon l’invention.
[0040] L’exemple est donné dans le cadre d’une infrastructure de contrôle d’accès qui comporte, par exemple, plusieurs dispositifs de contrôle d’accès, un serveur et plusieurs utilisateurs. L’infrastructure peut effectuer une authentification d’un individu ou de plusieurs individus en parallèle. L’exemple détaillé qui suit concerne l’authentification d’un seul individu, ou d’un groupe d’individus lorsque ces derniers sont contrôlés un par un.
[0041] Les moyens de communication mis en oeuvre dans l’infrastructure sont des moyens de communication sans fil, à courte portée entre un utilisateur et un dispositif de contrôle d’accès et à plus longue portée entre un utilisateur et un serveur d’authentification. Ils permettent d’échanger sans contact les informations entre les différents acteurs du système.
[0042] Comme illustré sur la figure 1 , un système d’authentification 1 selon l’invention comprend un dispositif de contrôle d’accès 2, par exemple une porte d’accès à un espace contrôlé. Le dispositif de contrôle d’accès 2 comprend un lecteur biométrique 3, un processeur 4, une mémoire non permanente (temporelle le temps du traitement des données) 5, un module de communication 6 et éventuellement un dispositif d’affichage 7 du résultat issu de la comparaison des données biométriques acquises et de données biométriques de référence. [0043] Le lecteur biométrique 3 est par exemple configuré pour acquérir une empreinte digitale. Dans ce cas, le processeur sera configuré pour extraire des minuties de l’image résultant de l’acquisition d’une empreinte et la comparer avec les données transmises par l’utilisateur. Ce lecteur pourrait aussi être une caméra lorsque le contrôle biométrique est basé sur la reconnaissance faciale. Le processeur sera alors configuré pour effectuer une reconnaissance faciale par comparaison avec les données faciales contenues dans la requête d’authentification émise par l’utilisateur. Ce lecteur peut aussi être configuré pour une reconnaissance d’iris ou encore pour une reconnaissance vocale en utilisant les paramètres cepstraux.
[0044] Le choix des données biométriques sera fonction de l’application et du nombre d’utilisateurs à authentifier.
[0045] Le module de communication 6 est un module de communication sans fil qui est adapté pour des communications de proximité. Il permet de diffuser un signal contenant notamment un identifiant IDScAet un aléa ou challenge. Le challenge est non prédictible et émis sur une période de temps donnée très courte, choisie afin de permettre à un utilisateur de déclencher le procédé d’authentification. La période de temps très courte est choisie principalement pour pallier une horloge synchronisée sur le SCA (vérification temporelle) et ne pas rejouer la demande d’authentification au niveau du SCA. Le protocole de communication pourra être le protocole de proximité sans contact NFC acronyme anglais pour « Near Field Communication », le protocole wifi, Bluetooth, etc.
[0046] Le dispositif de contrôle d’accès 2 à une zone protégée ou sécurisée est, par exemple, équipé d’un « portillon » 8 qui reçoit un ordre d’ouverture du processeur après traitement des données et l’authentification de l’utilisateur.
[0047] Le dispositif de contrôle d’accès 2 peut aussi être équipé d’un écran de visualisation qui pourra afficher le visage d’une personne et le résultat d’authentification.
[0048] Le système d’authentification selon l’invention comprend un serveur 10 comprenant un processeur 11 configuré pour traiter une requête d’authentification Rq émise par un utilisateur, une base de données 12 contenant pour un utilisateur, l’identifiant du portique IDScAet ses droits d’accès à des espaces sécurisés protégés par des portillons d’accès, des moyens de communication 13 longue portée, afin de dialoguer, échanger des informations avec l’utilisateur. Ces moyens de communication utilisent par exemple le protocole HTTP/HTTPS. Une application 14 exécutée sur le processeur 11 permet notamment de traiter une requête d’authentification Rq émise par l’utilisateur afin de retourner un jeton d’authentification J. Le jeton d’authentification contient le challenge généré par le dispositif de contrôle d’accès, la signature du serveur Sserveur, l’identifiant de I utilisateur, IDutj|jSateur.
[0049] Un site ou une zone sera défini par un ensemble de portiques d’accès ou SCA. L’accès à une zone par un utilisateur devra faire le lien entre l’identifiant utilisateur et les points d’accès autorisés (liste des identifiants SCA).
[0050] Un utilisateur souhaitant s’authentifier dans le système est équipé d’un terminal mobile 16. Le terminal mobile 16 comprend une base de données biométrique 17, un processeur 18 configuré pour traiter le signal émis par le dispositif de contrôle d’accès, des moyens de communication courte distance 19a pour échanger des informations avec le terminal 2 et des moyens de communication longue portée 19b pour échanger des informations avec le serveur. Les données biométriques seront signées par une autorité de confiance tierce, par exemple une entreprise accréditée par le gouvernement.
[0051] Le terminal mobile est par exemple un téléphone intelligent ou « smartphone », une tablette, une carte intelligente, ou tout autre dispositif équivalent.
[0052] La figure 2 décrit un exemple de fonctionnement du système selon l’invention.
[0053] Le dispositif de contrôle d’accès 2 émet en continu un signal comprenant son identifiant IDSCA et un challenge « n », nombre aléatoire qui a une durée de validité T sur une période courte, 210. La génération du challenge est connue de l’homme du métier et ne sera pas détaillée. A l’issue de la durée de validité T, un nouveau challenge est généré.
[0054] Le challenge n ou aléa est constitué des éléments suivants :
[0055] Une donnée non prédictible RND,
[0056] Un identifiant qui référence le dispositif de contrôle d’accès 2 dans une infrastructure comprenant plusieurs terminaux de contrôle, [0057] Une clé publique de type RSA ou ECDSA, sous le contrôle du dispositif de contrôle d’accès (la clé privée est embarquée dans un élément sécurisé),
[0058] Le challenge est accessible par tous les systèmes capables de le capter via un canal de communication en proximité : Bluetooth/iBeacon, NFC, ultrasons.
[0059] Le terminal mobile de l’utilisateur capte le signal S(IDSCA, n), 220, et émet une requête Rq d’authentification auprès du serveur 10, 221.
[0060] La requête d’authentification Rq comporte les éléments suivants :
[0061] L’identifiant IDSCA du dispositif de contrôle d’accès,
[0062] La donnée non prédictible du challenge, « n »,
[0063] La signature SSCA du dispositif de contrôle d’accès 2.
[0064] La requête d’authentification Rq est signée à l’aide d’une clé privée de type RSA ou ECDSA ( Elliptic Curve Digital Signature Algorithm ) sous le contrôle de l’utilisateur et embarquée dans un élément sécurisé du terminal mobile de l’utilisateur. L’élément sécurisé peut être une carte SIM, une zone mémoire sécurisée, etc.
[0065] La requête d’authentification Rq est reçue, 230, par le serveur d’authentification 10 qui vérifie :
[0066] La signature SSCA du dispositif de contrôle d’accès, ce qui authentifie ce dernier au sein de l’infrastructure de contrôle des accès, 231 ,
[0067] La signature SRq de la requête d’authentification, afin d’authentifier l’utilisateur sur le système, 232,
[0068] Les autorisations ou les droits de l’utilisateur, 233, à se trouver dans la zone accessible par le système de contrôle d’accès, en comparant l’identifiant contenu dans la requête et l’identifiant du système de contrôle d’accès à la zone, avec les données mémorisées dans la base de données de référence.
[0069] Lorsque l’utilisateur n’a pas le droit d’accéder à la zone, le serveur peut émettre un signal, 234, indiquant le refus d’accès à l’utilisateur.
[0070] Lorsque l’utilisateur possède le droit d’accéder à la zone, 235, le serveur va retourner à l’utilisateur un jeton d’autorisation contenant :
[0071] L’identité du dispositif de contrôle d’accès et le challenge, [0072] Les autorisations de l’utilisateur,
[0073] Une signature SSA générée par une clé privée asymétrique de type RSA ou ECDSA ( Elliptic Curve Digital Signature Algorithm), sous le contrôle du serveur et certifiée par une Autorité de Certification (PKI - Public Key Infrastructure).
[0074] Les différentes manières de générer des clés ne seront pas explicitées car elles sont connues de l’homme du métier.
[0075] L’utilisateur reçoit le jeton d’authentification J et va transmettre au dispositif de contrôle d’accès le jeton d’authentification et des données biométriques, 241.
[0076] Le terminal mobile de l’utilisateur possède en mémoire, des données biométriques qui sont chiffrées à l’aide d’une clé symétrique de type AES (Advanced Encryption standard) connue de l’infrastructure, et du dispositif de contrôle d’accès, et qui sont signées par une autorité de confiance,
[0077] L’application du terminal mobile génère une clé de session aléatoire AES qu’il chiffre avec la clé publique du dispositif de contrôle d’accès,
[0078] L’application chiffre les données biométriques chiffrées à l’aide de la clé de session,
[0079] Le terminal mobile utilisateur 16 transmet via les moyens de communication courte portée au dispositif de contrôle d’accès 2 les éléments suivants :
[0080] Le jeton d’authentification J fourni par le serveur,
[0081] Les données biométriques certifiées et chiffrées deux fois.
[0082] Le dispositif de contrôle d’accès 2 reçoit ces éléments 250 et simultanément, 251 , capture au moins une donnée biométrique de l’utilisateur à authentifier. Le dispositif de contrôle d’accès vérifie, 252 :
[0083] Que la requête d’authentification Rq a eu lieu dans un instant proche de la capture de la donnée biométrique en vérifiant la valeur du RND contenu dans la requête,
[0084] Les droits d’accès de l’utilisateur à cette une zone, au moyen du jeton d’authentification J généré par le serveur d’authentification, les données biométriques étant fournies avec le jeton, [0085] Que les données biométriques acquises au niveau du dispositif de contrôle d’accès et mémorisées temporellement sont identiques aux données biométriques contenues dans la requête d’accès émise par l’utilisateur.
[0086] Lorsque les données biométriques ne correspondent pas, le dispositif de contrôle d’accès va émettre un signal de refus d’accès, 253.
[0087] Lorsque les données biométriques sont identiques, que l’utilisateur possède les droits d’accéder à la zone et que la donnée non prédictible RND est valable, alors le dispositif de contrôle d’accès émet un signal d’autorisation, 254. Ce signal peut prendre différentes formes.
[0088] Sur un contrôle d’accès classique, la clé AES est déployée dans les SCA, à distance ou localement, par l’exploitant des SCA.
[0089] Lors d’un enrôlement par une autorité d’émission, l’utilisateur recevra ses empreintes chiffrées et signées.
[0090] Dans le cas où le contrôle est un contrôle facial, le signal d’autorisation peut comporter l’affichage sur un écran 7 (figure 1) avec une étiquette permettant le passage, par exemple un V en vert pour la validité du passage. Le signal de refus d’autorisation pourrait se présenter sous la forme d’une croix rouge affichée sur le visage de l’utilisateur. Pour un portillon d’accès, le signal Spassage permet l’ouverture du portillon 8 (figure 1) et l’accès de l’utilisateur à la zone sécurisée.
[0091] Lorsque les données biométriques contrôlées sont des empreintes digitales, le signal peut être simplement, la commande qui actionne le déverrouillage du portillon ou de la porte d’accès.
[0092] Le dispositif de contrôle d’accès est par exemple un tourniquet d’accès à un site sécurisé, une porte d’aéroport, un dispositif de contrôle d’accès à des moyens de paiement, etc.
[0093] Lorsque l’infrastructure doit permettre d’authentifier plusieurs personnes en parallèle, le dispositif de contrôle sera équipé de plusieurs dispositifs de lecture de données biométriques, plusieurs lecteurs d’empreintes digitales, plusieurs caméras, et les processeurs seront choisis pour traiter en parallèle les différentes données acquises sur plusieurs dispositifs. [0094] L’authentification pourra aussi utiliser plusieurs paramètres biométriques de type empreintes digitales, reconnaissance faciale, par exemple, évoqués précédemment.
[0095] Le procédé et le système selon l’invention présentent notamment les avantages suivants :
[0096] Le dispositif de contrôle d’accès peut être autonome et n’a pas besoin d’être connecté à un serveur ni à une horloge, car il utilise un aléa ou challenge ayant une durée limitée dans le temps.
[0097] Le dispositif de contrôle d’accès mémorise les données biométriques pour traitement et non de manière permanente.
[0098] Il peut aussi permettre le contrôle d’authentification de plusieurs personnes en série ou en parallèle, du fait de son fonctionnement sans contact.

Claims

REVENDICATIONS
1. Système d’authentification d’un ou plusieurs utilisateurs comportant un serveur d’authentification (10), au moins un dispositif de contrôle d’accès (2) caractérisé en ce que :
Un utilisateur est équipé d’un terminal mobile (16) comprenant :
Un moyen de communication (19a) sans fil configuré pour échanger des informations selon un protocole à courte portée avec le dispositif de contrôle d’accès et un moyen de communication (19b) sans fil configuré pour échanger des informations selon un protocole à longue portée avec le serveur,
Un processeur (18) configuré pour générer une requête d’authentification Rq vers le serveur d’authentification,
Une base de données (19) comprenant des données biométriques,
Ledit serveur d’authentification (10) comprend :
Une base de données (12) contenant pour un utilisateur donné un identifiant et des droits d’accès,
Un moyen de communication à longue distance (13),
Un processeur (11) configuré pour générer un jeton d’authentification suite à une requête d’authentification émise par l’utilisateur, ledit jeton contenant l’identité d’un dispositif de contrôle d’accès, un aléa, les droits de l’utilisateur, sa signature générée par une clé privée,
Le dispositif de contrôle d’accès (2) comporte :
Un dispositif d’acquisition (3) de données biométriques,
Des moyens de communication à courte portée (6),
Un processeur (4) configuré pour comparer une donnée biométrique capturée avec une donnée biométrique fournie avec un jeton d’autorisation émis par le serveur et générer un signal d’autorisation d’accès ou de refus d’accès,
Une mémoire temporelle (5).
2. Système selon la revendication 1 caractérisé en ce que le dispositif de contrôle d’accès (2) comprend un capteur d’empreintes digitales.
3. Système selon la revendication 1 caractérisé en ce que le dispositif de contrôle d’accès (2) comprend une caméra configurée pour acquérir les caractéristiques d’un visage.
4. Système selon l’une des revendications 1 à 3 caractérisé en ce que les moyens de communication à courte portée utilisent un protocole de communication de proximité sans contact de type Bluetooth ou en champ proche NFC.
5. Système selon l’une des revendications 1 à 4 caractérisé en ce que les moyens de communication longue distance utilisent le protocole HTTP/HTTPS.
6. Système selon l’une des revendications 1 à 5 caractérisé en ce que l’utilisateur est équipé d’un téléphone intelligent.
7. Système selon l’une des revendications 1 à 5 caractérisé en ce que l’utilisateur est équipé d’une carte à puce.
8. Procédé d’authentification d’un ou de plusieurs utilisateurs équipés d’un terminal mobile (16) comprenant des données biométriques au sein d’une infrastructure comprenant au moins un serveur (10), un dispositif de contrôle d’accès (2) émettant un signal contenant son identifiant, un nombre aléatoire, caractérisé en ce qu’il comporte au moins les étapes suivantes :
• Le terminal mobile d’un utilisateur capte le signal émis par le dispositif de contrôle d’accès, (220) et émet une requête d’authentification signée auprès du serveur, (221),
• Le serveur sur réception, (230) de la requête Rq vérifie que ledit utilisateur est autorisé, (233) à pénétrer dans la zone contrôlée par le dispositif de contrôle d’accès, en comparant un identifiant utilisateur contenu dans la requête avec des droits d’accès mémorisés,
• Lorsque l’utilisateur n’est pas autorisé, alors le serveur génère un signal de non autorisation, (234),
• Lorsque l’utilisateur est autorisé, (235) le serveur génère un jeton d’autorisation d’accès contenant l’identité du dispositif de contrôle d’accès, un aléa, les droits de l’utilisateur, sa signature générée par une clé privée, et transmet le jeton d’autorisation à l’utilisateur,
• L’utilisateur transmet, (241) ce jeton d’autorisation au dispositif de contrôle d’accès qui va :
• Acquérir, (251) par le dispositif de contrôle d’accès une donnée biométrique de l’utilisateur à authentifier,
• Vérifier, (252) que cette donnée biométrique acquise est semblable à la donnée biométrique fournie avec le jeton d’authentification, • Emettre une commande d’autorisation d’accès, (254) si les données correspondent,
• Emettre une information de non autorisation, (253) si les données biométriques diffèrent.
9. Procédé selon la revendication 8 caractérisé en ce que le dispositif de contrôle d’accès génère un signal de commande d’ouverture d’un portillon (8) équipant le dispositif de contrôle d’accès.
10. Procédé selon l’une des revendications 8 ou 9 caractérisé en ce que l’on acquiert des empreintes digitales.
11. Procédé selon l’une des revendications 8 ou 9 caractérisé en ce que le dispositif de contrôle d’accès capte une image d’un visage et affiche ladite image sur un écran en ajoutant une étiquette valable ou non valable.
PCT/EP2021/053212 2020-02-17 2021-02-10 Procede et systeme d'authentification sans contact WO2021165120A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP21703477.6A EP4107706A1 (fr) 2020-02-17 2021-02-10 Procede et systeme d'authentification sans contact

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2001539A FR3107384A1 (fr) 2020-02-17 2020-02-17 Procédé et système d’authentification sans contact
FRFR2001539 2020-02-17

Publications (1)

Publication Number Publication Date
WO2021165120A1 true WO2021165120A1 (fr) 2021-08-26

Family

ID=70738688

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/053212 WO2021165120A1 (fr) 2020-02-17 2021-02-10 Procede et systeme d'authentification sans contact

Country Status (3)

Country Link
EP (1) EP4107706A1 (fr)
FR (1) FR3107384A1 (fr)
WO (1) WO2021165120A1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004100083A1 (fr) 2003-05-08 2004-11-18 Koninklijke Philips Electronics N.V. Carte d'authentification intelligente
FR2922672A1 (fr) 2007-10-19 2009-04-24 Auchan France Sa Systeme d'authentification biometrique sans contact et procede d'authentification
EP3355281A1 (fr) * 2015-11-23 2018-08-01 Suprema Inc. Procédé et système pour la gestion d'accès à une porte au moyen d'un signal de balise
US20190139342A1 (en) * 2017-11-06 2019-05-09 Suprema Hq Inc. Access control system and access control method using the same
US20190299932A1 (en) * 2018-03-29 2019-10-03 Idemia Identity & Security France Method for verifying a biometric authentication

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004100083A1 (fr) 2003-05-08 2004-11-18 Koninklijke Philips Electronics N.V. Carte d'authentification intelligente
FR2922672A1 (fr) 2007-10-19 2009-04-24 Auchan France Sa Systeme d'authentification biometrique sans contact et procede d'authentification
EP3355281A1 (fr) * 2015-11-23 2018-08-01 Suprema Inc. Procédé et système pour la gestion d'accès à une porte au moyen d'un signal de balise
US20190139342A1 (en) * 2017-11-06 2019-05-09 Suprema Hq Inc. Access control system and access control method using the same
US20190299932A1 (en) * 2018-03-29 2019-10-03 Idemia Identity & Security France Method for verifying a biometric authentication

Also Published As

Publication number Publication date
FR3107384A1 (fr) 2021-08-20
EP4107706A1 (fr) 2022-12-28

Similar Documents

Publication Publication Date Title
US8473748B2 (en) Mobile device-based authentication
EP4273820A2 (fr) Procédé et système de contrôle d'accès physique automatisé utilisant une reconnaissance biométrique couplée à une authentification d'étiquette
JP2020064664A (ja) アクセス制御される環境へのアクセスを認可するためのシステム及び方法
JP5890033B2 (ja) 虹彩イメージを用いたセキュリティの強化された施錠装置
US20120185397A1 (en) Variable fractions of multiple biometrics with multi-layer authentication of mobile transactions
US20120159599A1 (en) Personalized Multifunctional Access Device Possessing an Individualized Form of Authenticating and Controlling Data Exchange
US20170180361A1 (en) Mobile device-based authentication with enhanced security measures providing feedback on a real time basis
US20200267144A1 (en) Biometric validation process utilizing access device and location determination
JP2006146914A (ja) バイオセンサを有するidカード及びユーザー認証方法
FR2922396A1 (fr) Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
US20100131414A1 (en) Personal identification device for secure transactions
JP2011165102A (ja) 生体認証システムおよび携帯端末
EP2130186A1 (fr) Dispositif d'identification personnelle pour des transactions sécurisées
US11960587B2 (en) Methods, systems and computer program products for monitoring or controlling user access at a point-of-service
WO2020221938A1 (fr) Procédé de connexion sécurisée à un service web embarqué et dispositif correspondant
WO2021165120A1 (fr) Procede et systeme d'authentification sans contact
EP3757832B1 (fr) Système et procédé d'authentification d'une personne détentrice d'un titre d'identité à distance par un tiers
EP1802026A2 (fr) Procédé de déblocage d'une ressource par un dispositif sans contact
EP4083825A1 (fr) Procédé de commande d'une carte intelligente
WO2021110673A1 (fr) Procede et systeme d'identification d'un individu sans friction
FR3105534A1 (fr) Procédé et système de partage de données d’authentification pour un contrôle d’accès et effacement des données après utilisation
FR3131404A1 (fr) Procede d’authentification par voie optique et dispositifs associes

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21703477

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021703477

Country of ref document: EP

Effective date: 20220919