EP0965106A1 - Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede - Google Patents

Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede

Info

Publication number
EP0965106A1
EP0965106A1 EP99900507A EP99900507A EP0965106A1 EP 0965106 A1 EP0965106 A1 EP 0965106A1 EP 99900507 A EP99900507 A EP 99900507A EP 99900507 A EP99900507 A EP 99900507A EP 0965106 A1 EP0965106 A1 EP 0965106A1
Authority
EP
European Patent Office
Prior art keywords
key
electronic key
verification
access
self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP99900507A
Other languages
German (de)
English (en)
Inventor
Patrick Langlet
Yves Thorigne
Marc Girault
Fabrice Clerc
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LA POSTE
Original Assignee
LA POSTE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LA POSTE filed Critical LA POSTE
Publication of EP0965106A1 publication Critical patent/EP0965106A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code

Definitions

  • the present invention relates to a method of self-checking an electronic key in a system for controlling access to a resource, as well as an electronic key implementing such a method.
  • the invention applies more particularly to access control systems using a portable means of access to resources, called an electronic key, having a large calculation potential and autonomous in energy, so as to be able to maintain a time clock. while the accessed resource has only limited potential for verifying access rights.
  • an electronic signature can be obtained using various cryptographic mechanisms, such as encryption mechanisms, or authentication. It can for example be obtained using a secret key signature algorithm or a public key signature algorithm.
  • This protocol generally includes at least verification of the electronic signature of the validity range.
  • the validity range can be either the actual period during which it is possible to access the resource, or the period of validity of a signature key of the accessing resource allowing it to authenticate vis-à-vis of the accessed resource, or any other parameter making it possible to limit in time an attack by fraudulent use of the accessing resource.
  • the main advantage of a logical means of access to a resource compared to a physical means of access generally lies in the possibility of allowing access to the resource only within a relatively short time slot.
  • predetermined also called predetermined validity range.
  • Document FR-A-2 722 596 describes an access control system limited to authorized and renewable time periods by means of a portable storage medium. This system, based on cryptographic mechanisms, makes it possible to limit the period of validity of access rights to a short duration, in order to avoid illegitimate use in the event of loss, theft, transfer or illegal duplication.
  • the solution described has the drawback of relying solely on the control potential of the accessed resource. This leaves considerable latitude to a fraudster, having in his possession an electronic key, in an attempt to inhibit the control potential of the resource to which he seeks to have access, for example by deactivating the real time clock of the lock. electronic.
  • the present invention aims to remedy the aforementioned drawbacks by providing the electronic key with an internal self-checking and self-invalidation device, based on the real time clock of the key, on certain internal data stored in the key, as well as its cryptographic potential, allowing it to perform a certain number of verifications.
  • the present invention proposes a self-checking protocol for an electronic key provided with a real time clock delivering a time variable and an access right, with which is associated a signature value of the range.
  • this self-checking protocol by this electronic key consists at least of: (a) a verification of the signature value of the range of validity relating to this access right, this verification step being carried out using a specific verification key; (b) a comparison of whether the time variable belongs to the range of validity;
  • steps (c) a step of self-invalidation of the electronic key on negative response to one of the steps of verification, respectively of comparison.
  • steps (a) and (b) can be reversed.
  • the specific verification key can be a public or secret key.
  • the aforementioned range of validity may include several separate ranges of validity.
  • the validity range is an interval comprising two limits each expressed as a date in day, month, year and a timetable in hours, minutes, seconds.
  • the self-invalidation step consists, with respect to data stored in the registers protected access memory, either to assign a set of internal status data to an arbitrary value causing the electronic key to be locked in the out-of-service position, or to trigger the complete erasure of a plurality of these status data , or to cause the short-circuit of the autonomous electrical energy supply.
  • the present invention also provides an electronic key comprising, arranged on a portable support, a calculation unit, storage registers, with protected access, of a set of internal state data and a real time clock delivering a time variable, the electronic key being provided with an access right, which is associated with a signature value of the range of validity relating to this access right, the electronic key being remarkable in that it further comprises: - a module verifying the signature value of the range of validity relating to this access right, this verification module comprising at least one specific verification key, as well as a verification algorithm; a module for comparing the membership of the time variable in the validity range, and, commanded by the verification module and the comparison module, a module for self-invalidation of the electronic key on negative response, ie from the module or the comparison module.
  • FIG. 1 is a flowchart of the self-checking protocol of the present invention, in a particular embodiment
  • - Figure 2 shows schematically a particular embodiment of the short-circuiting electric power supply in the access control system of the present invention
  • FIG. 3 schematically represents an electronic key in accordance with the present invention, in a particular embodiment.
  • the electronic key and lock have a calculation unit.
  • the electronic key is produced in a portable support which can have the shape of a gun, a rod, a card, or any other form deemed appropriate.
  • the key is provided with an autonomous electrical energy supply, which maintains a real time clock in the key.
  • This real-time clock delivers a time variable, for example in the form of a current hourly value VH, expressed in day, month, year, hours, minutes, seconds.
  • VH current hourly value
  • PH [VH1, VH2], or more broadly as a meeting of such intervals:
  • a first step 1001 of the method consists in reading or establishing, in the key, an electronic signature S (PH) of the predetermined time slot PH.
  • This electronic signature S (PH) may have been calculated beforehand, for example by an external entity for calculating signatures, independent of the key.
  • a validation entity transfers and stores the signature S (PH) in the key before this key is put into service.
  • the key can itself establish the signature, if the private key necessary for this operation, as well as the cryptographic signature algorithm, has been stored in the electronic key, and if this electronic key has the necessary computing resources.
  • the electronic signature S (PH) can be calculated using a public key algorithm, of the RSA (Rivest Shamir Adleman) type for example, or using a secret key algorithm, of the DES type ( Data Encryption Standard) for example.
  • a process of self-control of the right of access of this key to this lock is first of all implemented in the key.
  • the current hourly value VH delivered by the real time clock of the key is stored in the key.
  • the electronic signature S (PH) of the validity range PH as well as the current hourly value VH are transmitted to internal self-checking modules of the key.
  • the signature S (PH) stored in the key is checked. If the signature calculation algorithm is a public key algorithm, step 1004 consists, for the electronic key, in applying the public key K P , previously stored in the key, to the verification algorithm.
  • the positive verification of the signature makes it possible to ensure the authenticity of the range of validity, ie [VH1, VH2] in the particular non-limiting case of a range of validity limited to an interval, said range being obtained, either by restoration of the message during the signature verification step, either by simple reading if it was transmitted in clear with the signature.
  • the consistency between the current hourly value transmitted VH and the predetermined time range PH is checked. For example, in the case of a time slot reduced to an interval ⁇ [VHl, VH2], it is verified that VH is later than VHl and earlier than VH2.
  • step 1004 and 1005 If the checks carried out in steps 1004 and 1005 are satisfied, the key being by default in a validated state, access to the electronic lock remains possible, the validated state allowing the progress of a key - lock dialogue, this is ie the exchange of messages or data allowing a logical access control to be carried out.
  • the key is self-validating, thus preventing access to the lock.
  • the self-invalidation step, represented at 1006 in FIG. 1, can be carried out in various ways.
  • the key can be provided with storage registers with protected access, containing a state variable HS of binary type.
  • the protected access storage registers benefit from a level of protection corresponding to that of the protected memory areas of a microprocessor card.
  • a first value of the variable HS corresponds to a “in service” state, in which the key is validated and can have access to the lock.
  • a second value of the variable HS corresponds to an “out of service” state.
  • the self-invalidation of the key consists in assigning this second value to the state variable HS and in storing it in the storage registers with protected access. This has the effect of locking the key and preventing its access to the lock.
  • the “in service” state can only be restored by a legitimate validation authority, during a key reloading session, using a validation terminal for example.
  • the self-invalidation step may consist in deleting, in the key storage registers, data used by the key to access the lock, such as the key public or private signing key, for example. These data can be reintroduced later in the key by means of a validation terminal, as well as previously.
  • the previous self-invalidation operations may be replaced or accompanied by a short circuit in the electrical power supply to the key.
  • the supply of electrical energy 1, of the electric cell or battery type for example can be connected to a short-circuiting module 2 which may have any known structure deemed appropriate, such as a switch constituted by a transistor TB and a resistor for limiting current Rd, according to a conventional arrangement, the transistor being controlled by an invalidation command.
  • the self-checking protocol which is the subject of the invention, instead of using a signature value of the time range of validity, it is possible to use a variable chosen arbitrarily, apply to this variable a coding or compression algorithm determined from a password and store the variable thus coded or compressed in the electronic key.
  • the verification step 1004 consists, in this case, in applying a decoding or decompression algorithm previously stored in the electronic key from the same password and corresponding to operations opposite to those performed by the coding algorithm or compression.
  • Such coding / decoding or compression / decompression algorithms are commercially available.
  • the verification step whether verifying a signature value or any other variable, can be entirely omitted.
  • the step 1001 described above is omitted; in step 1003, only the current hourly value VH is transmitted to the internal self-checking modules of the electronic key; step 1004 is deleted; step 1005 is maintained; in step 1006, the key is self-invalidating only if the comparison of the current hourly value VH with the time range PH indicates that VH is outside of PH.
  • the two previous embodiments although having a much lower degree of security, make it possible to reduce the necessary calculation potential of the key, and therefore, to reduce costs.
  • a particular embodiment of an electronic key in accordance with the present invention will now be described with the aid of FIG. 3.
  • the electronic key 3 comprises a module 30 for autonomous energy supply, comprising the supply 1 mentioned above, possibly provided with a short-circuiting module such as the module 2 described above.
  • the module 30 supplies an internal real time clock 31 which delivers a current hourly value VH as defined above.
  • the key 3 also includes storage registers with protected access 32, in which are stored in particular the current hourly value VH, the electronic signature S (PH) of the validity range PH, and the binary state variable HS indicating the "in service” or "out of service” status of the electronic key.
  • the storage registers 32 are accessible in read and write. They can for example be produced in the form of one or more random access memories of the RAM type.
  • the registers 32 are connected to a calculation unit 34, which controls the key self-control protocol, via a validation command CDV sent to a verification module 330, which verifies the electronic signature S (PH) stored in the registers 32.
  • the verification module 330 has for this purpose the specific verification key associated with the algorithm which made it possible to calculate the signature S (PH).
  • the verification module 330 receives the signature S (PH) of the validity range and, in the case where the signature calculation algorithm used is a public key algorithm, applies the public key K P to the signature S (PH) received.
  • the calculation unit 34 is also connected to the circuits for transmitting and receiving messages or data from the electronic key 3.
  • the comparison module 331 tests whether VH> VH1 and VH ⁇ VH2.
  • the verification module 330 and the comparison module 331 are connected to a self-invalidation module 332 and control the operation thereof. Indeed, in the event of a negative response, either at the end of step 1004, or at the end of step 1005 described above, the self-invalidation module 332 is controlled so as to prohibit the use of the electronic key, by acting, as described above, either on a binary state variable “in use” / “out of service” HS and / or other operating data stored in the registers 32, or on the power supply module 30.
  • the self-invalidation module 332 can be included in an electrically reprogrammable memory of the EPROM or EEPROM type 33, in which are stored program modules corresponding to the execution of the operations illustrated by the flowchart of FIG. 1 described previously.
  • the present invention finds an application particularly suitable for access, by mail attendants, to mailboxes, which are not energy independent.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)

Abstract

Suivant ce protocole d'auto-contrôle d'une clé électronique munie d'une horloge temps réel délivrant une variable temporelle (VH) et d'un droit d'accès, auquel est associée une valeur de signature (S(PH)) de la plage de validité (PH) relative à ce droit d'accès: on vérifie, à partir d'une clé de vérification spécifique, la valeur de signature (S(PH)) de la plage de validité (PH) relative au droit d'accès; on compare la variable temporelle (VH) à la plage de validité (PH); et la clé électronique s'auto-invalide sur réponse négative à l'une des étapes de vérification, respectivement de comparaison.

Description

PROCÉDÉ D'AUTO-CONTRÔLE D'UNE CLÉ ÉLECTRONIQUE
DANS UN SYSTÈME DE CONTRÔLE D'ACCÈS À UNE RESSOURCE
ET CLÉ ÉLECTRONIQUE METTANT EN ŒUVRE UN TEL PROCÉDÉ
La présente invention concerne un procédé d'auto- contrôle d'une clé électronique dans un système de contrôle d'accès à une ressource, ainsi qu'une clé électronique mettant en œuvre un tel procédé.
Elle s'applique au contrôle d'accès à une ressource quelconque, ressource accédée, dont on souhaite contrôler l'utilisation, que la ressource considérée soit un bâtiment, un système informatique, ou tout autre objet, tel qu'une boîte aux lettres ou un coffre de banque.
L'invention s'applique plus particulièrement aux systèmes de contrôle d'accès utilisant un moyen portable d'accès aux ressources, appelé clé électronique, disposant d'un potentiel de calcul important et autonome en énergie, de façon à pouvoir maintenir une horloge temps réel, tandis que la ressource accédée ne dispose que d'un potentiel limité de vérification des droits d'accès.
Par « droit d'accès », on entend la signature électronique d'une plage de validité. Une signature électronique peut être obtenue à l'aide de mécanismes cryptographiques divers, tels que des mécanismes de chiffrement, ou d' authentification. Elle peut par exemple être obtenue à l'aide d'un algorithme de signature à clé secrète ou d'un algorithme de signature à clé publique.
Lorsqu'une « ressource accédante », ou « clé électronique », présente un droit d'accès à une « ressource accédée », ou « serrure électronique », un protocole de vérification du droit d'accès est mis en œuvre. Ce protocole comporte généralement au moins la vérification de la signature électronique de la plage de validité.
La plage de validité peut être, soit la période proprement dite pendant laquelle il est possible d'accéder à la ressource, soit la période de validité d'une clé de signature de la ressource accédante lui permettant de s'authentifier vis-à-vis de la ressource accédée, soit tout autre paramètre permettant de limiter dans le temps une attaque par utilisation frauduleuse de la ressource accédante.
Le principal avantage d'un moyen d'accès logique à une ressource par rapport à un moyen d'accès physique réside généralement dans la possibilité de ne permettre l'accès à la ressource qu'à l'intérieur d'une plage horaire relativement courte prédéterminée, dite aussi plage de validité prédéterminée.
Dans ces conditions, si la clé électronique est perdue, volée, cédée ou dupliquée, elle ne permettra pas à son détenteur illégitime d'accéder à la ressource en dehors de la plage horaire prédéterminée. Cela suppose cependant que la ressource accédée soit en mesure de vérifier que cette plage horaire est respectée. Cela implique généralement que la ressource accédée dispose d'un potentiel minimal de vérification des droits d'accès. Le document FR-A-2 722 596 décrit un système de contrôle d'accès limités à des plages horaires autorisées et renouvelables au moyen d'un support de mémorisation portable. Ce système, fondé sur des mécanismes cryptographiques, permet de limiter la période de validité des droits d'accès à une courte durée, afin d'éviter une utilisation illégitime en cas de perte, vol, cession ou duplication illicite. Toutefois, la solution décrite présente l'inconvénient de reposer uniquement sur le potentiel de contrôle de la ressource accédée. Cela laisse une latitude non négligeable à un fraudeur, ayant en sa possession une clé électronique, pour tenter d'inhiber le potentiel de contrôle de la ressource à laquelle il cherche à avoir accès, par exemple en désactivant l'horloge temps réel de la serrure électronique .
En outre, cela permet au fraudeur de s'attaquer à la clé elle-même, sans être limité dans le temps, pour tenter d'en extraire des éléments significatifs qui lui permettront éventuellement d'attaquer ultérieurement l'ensemble du système. Si la portée d'une telle attaque est relativement limitée lorsque la clé contient un simple droit d'accès, elle est en revanche beaucoup plus lourde de conséquences lorsque la clé électronique contient une clé secrète lui permettant de produire des signatures électroniques.
La présente invention a pour but de remédier aux inconvénients précités en dotant la clé électronique d' un dispositif interne d'auto-contrôle et d'auto-invalidation, fondé sur l'horloge temps réel de la clé, sur certaines données internes mémorisées dans la clé, ainsi que sur son potentiel cryptographique, lui permettant d'effectuer un certain nombre de vérifications. Dans ce but, la présente invention propose un protocole d'auto-contrôle d'une clé électronique munie d'une horloge temps réel délivrant une variable temporelle et d'un droit d'accès, auquel est associée une valeur de signature de la plage de validité relative à ce droit d'accès, remarquable en ce que ce protocole d'auto-contrôle par cette clé électronique consiste au moins en : (a) une vérification de la valeur de signature de la plage de validité relative à ce droit d'accès, cette étape de vérification étant conduite à partir d'une clé de vérification spécifique ; (b) une comparaison d'appartenance de la variable temporelle à la plage de validité ;
(c) une étape d'auto-invalidation de la clé électronique sur réponse négative à l'une des étapes de vérification, respectivement de comparaison. En variante, l'ordre d'exécution des étapes (a) et (b) peut être interverti.
La clé de vérification spécifique peut être une clé publique ou secrète.
La plage de validité précitée peut comprendre plusieurs plages de validité disjointes.
Dans un mode particulier de réalisation, la plage de validité est un intervalle comportant deux bornes exprimées chacune comme une date en jour, mois, année et un horaire en heures, minutes, secondes. Dans un mode particulier de réalisation où la clé électronique est munie de registres de mémorisation à accès protégé et d'une alimentation en énergie électrique autonome, l'étape d'auto-invalidation consiste, vis-à-vis de données mémorisées dans les registres de mémorisation à accès protégé, soit à attribuer un ensemble de données d'état internes à une valeur arbitraire entraînant le verrouillage de la clé électronique en position hors service, soit à déclencher l'effacement complet d'une pluralité de ces données d'état, ou encore à provoquer la mise en court-circuit de l'alimentation en énergie électrique autonome. La présente invention propose également une clé électronique comportant, agencés sur un support portable, une unité de calcul, des registres de mémorisation, à accès protégé, d'un ensemble de données d'état internes et une horloge temps réel délivrant une variable temporelle, la clé électronique étant munie d'un droit d'accès, auquel est associée une valeur de signature de la plage de validité relative à ce droit d'accès, la clé électronique étant remarquable en ce qu'elle comporte en outre : - un module de vérification de la valeur de signature de la plage de validité relative à ce droit d'accès, ce module de vérification comportant au moins une clé de vérification spécifique, ainsi qu'un algorithme de vérification ; - un module de comparaison d'appartenance de la variable temporelle à la plage de validité, et, commandés par le module de vérification et le module de comparaison, un module d' auto-invalidation de la clé électronique sur réponse négative, soit du module de vérification, soit du module de comparaison.
D'autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description détaillée qui suit d'un mode particulier de réalisation, donné à titre d'exemple non limitatif. La présente invention se réfère aux dessins annexés, dans lesquels : la figure 1 est un organigramme du protocole d'auto-contrôle de la présente invention, dans un mode particulier de réalisation ; - la figure 2 représente de façon schématique un mode particulier de réalisation de la mise en court-circuit de l'alimentation en énergie électrique dans le système de contrôle d'accès de la présente invention ; et la figure 3 représente de façon schématique une clé électronique conforme à la présente invention, dans un mode particulier de réalisation.
Dans toute la suite, on considère une clé électronique utilisée pour une tentative d'accès à une serrure électronique. La clé et la serrure électroniques disposent d'une unité de calcul. La clé électronique est réalisée dans un support portable pouvant avoir la forme d'un pistolet, d'une tige, d'une carte, ou toute autre forme jugée appropriée .
La clé est munie d'une alimentation en énergie électrique autonome, qui maintient dans la clé une horloge temps réel. Cette horloge temps réel délivre une variable temporelle, par exemple sous forme d'une valeur horaire courante VH, exprimée en jour, mois, année, heures, minutes, secondes. On souhaite limiter l'accès de la clé à la serrure à une plage horaire donnée PH, définie comme l'intervalle de temps compris entre deux valeurs horaires VHl et VH2 déterminées : PH = [VH1,VH2], ou de manière plus large comme une réunion de tels intervalles :
PH = [VHl,VH2] [VH3,VH4]U..Λ [VHn-l,VHn] .
Comme l'indique la figure 1, une première étape 1001 du procédé consiste à lire ou à établir, dans la clé, une signature électronique S(PH) de la plage horaire prédéterminée PH.
Cette signature électronique S(PH) peut avoir été calculée au préalable, par exemple par une entité extérieure de calcul de signatures, indépendante de la clé. Dans ce cas, lors d'une étape de chargement, par exemple au moyen d'une borne de validation, une entité de validation transfère et mémorise la signature S(PH) dans la clé avant que cette clé soit mise en service. En variante, la clé peut établir elle-même la signature, si on a mémorisé dans la clé électronique la clé privée nécessaire à cette opération, ainsi que l'algorithme cryptographique de signature, et si cette clé électronique dispose des ressources calculatoires nécessaires. La signature électronique S(PH) peut être calculée à l'aide d'un algorithme à clé publique, du type RSA (Rivest Shamir Adleman) par exemple, ou à l'aide d'un algorithme à clé secrète, du type DES (Data Encryption Standard) par exemple . On considère une situation où la clé électronique est utilisée pour tenter d'accéder à la serrure électronique. Cette situation peut se traduire de diverses façons, selon la forme et la nature des supports contenant la clé et la serrure. A titre d'exemple non limitatif, si la clé comporte une partie tubulaire ou en forme de languette plate, la tentative d'accès se fait par introduction de la partie tubulaire dans une cavité tubulaire complémentaire de la serrure, ou dans une fente complémentaire, respectivement. Il est également prévu un système d'émission et de réception de messages ou données entre la clé et la serrure, pour réaliser un dialogue de contrôle d'accès logique.
Un processus d'auto-contrôle du droit d'accès de cette clé à cette serrure est tout d'abord mis en œuvre dans la clé. Comme indiqué en 1002, lors de la tentative d'accès, on mémorise dans la clé la valeur horaire courante VH délivrée par l'horloge temps réel de la clé. Puis on transmet, en 1003, la signature électronique S(PH) de la plage de validité PH ainsi que la valeur horaire courante VH à des modules d'auto-contrôle internes de la clé. En 1004, on vérifie la signature S(PH) mémorisée dans la clé. Si l'algorithme de calcul de signatures est un algorithme à clé publique, l'étape 1004 consiste, pour la clé électronique, à appliquer la clé publique KP, préalablement mémorisée dans la clé, à l'algorithme de vérification. La vérification positive de la signature permet d'assurer l'authenticité de la plage de validité, soit [VH1,VH2] dans le cas particulier non limitatif d'une plage de validité limitée à un intervalle, ladite plage étant obtenue, soit par rétablissement du message au cours de l'étape de vérification de signature, soit par simple lecture si elle a été transmise en clair avec la signature.
En 1005, on vérifie la cohérence entre la valeur horaire courante transmise VH et la plage horaire prédéterminée PH. Par exemple, dans le cas d'une plage horaire réduite à un intervalle^ [VHl, VH2] , on vérifie que VH est postérieure à VHl et antérieure à VH2.
Si les vérifications effectuées aux étapes 1004 et 1005 sont satisfaites, la clé étant par défaut dans un état validé, l'accès à la serrure électronique reste possible, l'état validé permettant le déroulement d'un dialogue clé - serrure, c'est-à-dire l'échange de messages ou données permettant d'effectuer un contrôle d'accès logique.
Si l'une des vérifications effectuées aux étapes 1004 et 1005 donne lieu à une réponse négative, la clé s' autoinvalide, s' interdisant ainsi l'accès à la serrure. L'étape d'auto-invalidation, représentée en 1006 sur la figure 1, peut être réalisée de diverses façons. Par exemple, la clé peut être munie de registres de mémorisation à accès protégé, contenant une variable d'état HS de type binaire. Les registres de mémorisation à accès protégé bénéficient d'un niveau de protection correspondant à celui des zones de mémoire protégées d'une carte à microprocesseur .
Une première valeur de la variable HS correspond à un état « en service », dans lequel la clé est validée et peut avoir accès à la serrure. Une seconde valeur de la variable HS correspond à un état « hors service ». L'auto- invalidation de la clé consiste à attribuer cette seconde valeur à la variable d'état HS et à la mémoriser dans les registres de mémorisation à accès protégé. Cela a pour effet de verrouiller la clé et d'interdire son accès à la serrure. L'état « en service » ne pourra être restauré que par une autorité légitime de validation, lors d'une séance de rechargement de la clé, au moyen d'une borne de validation par exemple.
En variante, ou en plus de l'opération précédente, l'étape d'auto-invalidation peut consister à effacer, dans les registres de mémorisation de la clé, des données utilisées par la clé pour accéder à la serrure, telles que la clé publique ou la clé privée de signature, par exemple. Ces données pourront être réintroduites ultérieurement dans la clé au moyen d'une borne de validation, de même que précédemment .
Les opérations précédentes d'auto-invalidation peuvent être remplacées ou accompagnées par une mise en court- circuit de l'alimentation en énergie électrique de la clé. Pour cela, comme l'illustre la figure 2, l'alimentation en énergie électrique 1, du type pile électrique ou batterie par exemple, peut être reliée à un module de mise en court- circuit 2 pouvant avoir toute structure connue jugée appropriée, telle qu'un interrupteur constitué par un transistor TB et une résistance de limitation de courant Rd, selon un montage classique, le transistor étant commandé par une commande d'invalidation.
Dans un mode de réalisation simplifié du protocole d'auto-contrôle objet de l'invention, au lieu d'utiliser une valeur de signature de la plage horaire de validité, on peut utiliser une variable choisie de façon arbitraire, appliquer à cette variable un algorithme de codage ou de compression déterminé à partir d'un mot de passe et mémoriser la variable ainsi codée ou compressée dans la clé électronique. L'étape de vérification 1004 consiste, dans ce cas, à appliquer un algorithme de décodage ou de décompression préalablement mémorisé dans la clé électronique à partir du même mot de passe et correspondant à des opérations inverses de celles effectuées par l'algorithme de codage ou de compression. De tels algorithmes de codage/décodage ou compression/décompression sont disponibles dans le commerce.
En variante, l'étape de vérification, qu'il s'agisse de la vérification d'une valeur de signature ou de toute autre variable, peut être intégralement supprimée. Dans ce cas, l'étape 1001 décrite précédemment est supprimée ; à l'étape 1003, on transmet uniquement la valeur horaire courante VH aux modules d'auto-contrôle internes de la clé électronique ; l'étape 1004 est supprimée ; l'étape 1005 est maintenue ; à l'étape 1006, la clé s ' auto-invalide uniquement si la comparaison de la valeur horaire courante VH à la plage horaire PH indique que VH est en dehors de PH . Les deux variantes de réalisation précédentes, bien que présentant un degré de sécurité bien moindre, permettent de réduire le potentiel de calcul nécessaire de la clé, et donc, de réduire les coûts. Un mode particulier de réalisation d'une clé électronique conforme à la présente invention va maintenant être décrit à l'aide de la figure 3.
La clé électronique 3 comprend un module 30 d'alimentation en énergie autonome, comprenant l'alimentation 1 mentionnée précédemment, éventuellement munie d'un module de mise en court-circuit tel que le module 2 décrit ci-dessus. Le module 30 alimente une horloge temps réel interne 31 qui délivre une valeur horaire courante VH telle que définie précédemment. La clé 3 comprend également des registres de mémorisation à accès protégé 32, dans lesquels sont notamment mémorisées la valeur horaire courante VH, la signature électronique S(PH) de la plage de validité PH, et la variable d'état binaire HS indiquant l'état « en service » ou « hors service » de la clé électronique.
Les registres de mémorisation 32 sont accessibles en lecture et en écriture. Ils peuvent par exemple être réalisés sous la forme d' une ou plusieurs mémoires vives du type RAM. Les registres 32 sont reliés à une unité de calcul 34, qui commande le protocole d'auto-contrôle de la clé, par l'intermédiaire d'une commande de validation CDV envoyée à un module de vérification 330, qui vérifie la signature électronique S(PH) mémorisée dans les registres 32. Le module de vérification 330 dispose pour cela de la clé de vérification spécifique associée à l'algorithme qui a permis de calculer la signature S(PH). Le module de vérification 330 reçoit la signature S(PH) de la plage de validité et, dans le cas où l'algorithme de calcul de signatures utilisé est un algorithme à clé publique, applique la clé publique KP à la signature S(PH) reçue. L'unité de calcul 34 est également reliée aux circuits d'émission et de réception de messages ou données de la clé électronique 3.
La clé 3 comprend en outre un module 331 de comparaison, qui reçoit la valeur horaire courante VH et la compare à la plage horaire prédéfinie, soit PH = [VH1,VH2] dans le cas particulier où la plage de validité est réduite à un intervalle. Le module 331 de comparaison teste si VH > VHl et VH < VH2.
Le module de vérification 330 et le module de comparaison 331 sont reliés à un module d'auto-invalidation 332 et commandent le fonctionnement de celui-ci. En effet, en cas de réponse négative, soit à l'issue de l'étape 1004, soit à l'issue de l'étape 1005 décrites plus haut, le module d'auto-invalidation 332 est commandé de façon à interdire l'utilisation de la clé électronique, en agissant, de la façon décrite précédemment, soit sur une variable d'état binaire « en service » / « hors service » HS et/ou d'autres données de fonctionnement mémorisées dans les registres 32, soit sur le module 30 d'alimentation en énergie. Le module de vérification 330, le module de comparaison
331 et le module d'auto-invalidation 332 peuvent être compris dans une mémoire reprogrammable électriquement du type EPROM ou EEPROM 33, dans laquelle sont mémorisés des modules de programme correspondant à l'exécution des opérations illustrées par l'organigramme de la figure 1 décrite précédemment. La présente invention trouve une application particulièrement adaptée à l'accès, par les préposés au courrier, à des boîtes aux lettres, qui ne sont pas autonomes en énergie.

Claims

REVENDICA IONS
1. Protocole d'auto-contrôle d'une clé électronique (3) munie d'une horloge temps réel (31) délivrant une variable temporelle (VH) et d'un droit d'accès, auquel est associée une valeur de signature (S(PH)) de la plage de validité (PH) relative à ce droit d'accès, caractérisé en ce que ledit protocole d'auto-contrôle par cette clé électronique (3) consiste au moins en : (a) une vérification de ladite valeur de signature (S(PH)) de la plage de validité (PH) relative à ce droit d'accès, ladite étape de vérification étant conduite à partir d'une clé de vérification spécifique ;
(b) une comparaison d'appartenance de ladite variable temporelle (VH) à ladite plage de validité (PH) ;
(c) une étape d'auto-invalidation de ladite clé électronique (3) sur réponse négative à l'une des étapes de vérification, respectivement de comparaison.
2. Protocole selon la revendication 1, caractérisé en ce que l'ordre d'exécution des étapes (a) et (b) est interverti .
3. Protocole selon la revendication 1 ou 2, caractérisé en ce que ladite clé de vérification spécifique est une clé publique ou secrète.
4. Protocole selon la revendication 1, 2 ou 3, caractérisé en ce que ladite plage de validité (PH) comprend plusieurs plages de validité disjointes.
5. Protocole selon l'une quelconque des revendications 1 à 4, caractérisé en ce que chaque plage de validité est un intervalle comportant deux bornes exprimées chacune comme une date en jour, mois, année et un horaire en heures, minutes, secondes.
6. Protocole selon l'une quelconque des revendications 1 à 5, caractérisé en ce, ladite clé électronique (3) étant munie de registres de mémorisation à accès protégé (32) et d'une alimentation en énergie électrique autonome (30), ladite étape d'auto-invalidation consiste, vis-à-vis de données mémorisées dans lesdits registres (32), soit à attribuer un ensemble de données d'état internes à une valeur arbitraire entraînant le verrouillage de la clé électronique (3) en position hors service, soit à déclencher l'effacement complet d'une pluralité de ces données d'état, ou encore à provoquer la mise en court-circuit de ladite alimentation en énergie électrique autonome (30) .
7. Clé électronique (3) comportant, agencés sur un support portable, des moyens de calcul (34), des moyens de mémorisation à accès protégé (32) d'un ensemble de données d'état internes et une horloge temps réel (31) délivrant une variable temporelle (VH) , ladite clé électronique (3) étant munie d'un droit d'accès, auquel est associée une valeur de signature (S(PH)) de la plage de validité (PH) relative à ce droit d'accès, caractérisée en ce que ladite clé (3) comporte en outre : des moyens (330) de vérification de ladite valeur de signature (S(PH)) de la plage de validité (PH) relative à ce droit d'accès, lesdits moyens (330) de vérification comportant au moins une clé de vérification spécifique, ainsi qu'un algorithme de vérification ; des moyens (331) de comparaison d'appartenance de ladite variable temporelle (VH) à ladite plage de validité (PH) , et, commandés par lesdits moyens (330) de vérification et lesdits moyens (331) de comparaison, des moyens (332) d'auto-invalidation de ladite clé électronique (3) sur réponse négative, soit des moyens (330) de vérification, soit des moyens (331) de comparaison.
EP99900507A 1998-01-08 1999-01-08 Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede Withdrawn EP0965106A1 (fr)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9800126A FR2773426B1 (fr) 1998-01-08 1998-01-08 Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede
FR9800126 1998-01-08
PCT/FR1999/000022 WO1999035616A1 (fr) 1998-01-08 1999-01-08 Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede

Publications (1)

Publication Number Publication Date
EP0965106A1 true EP0965106A1 (fr) 1999-12-22

Family

ID=9521600

Family Applications (1)

Application Number Title Priority Date Filing Date
EP99900507A Withdrawn EP0965106A1 (fr) 1998-01-08 1999-01-08 Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede

Country Status (4)

Country Link
EP (1) EP0965106A1 (fr)
JP (1) JP2001517413A (fr)
FR (1) FR2773426B1 (fr)
WO (1) WO1999035616A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10212158A1 (de) * 2002-03-19 2003-10-02 Metanomics Gmbh & Co Kgaa Population transgener Pflanzen, davon abgeleitetes biologisches Material, entsprechende Plasmidkollektion und Population transformierter Wirtsorganismen, sowie deren Verwendung und Verfahren zu deren Erzeugung

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01259483A (ja) * 1988-04-08 1989-10-17 Minolta Camera Co Ltd Icカード
FR2666671B1 (fr) * 1990-09-12 1994-08-05 Gemplus Card Int Procede de gestion d'un programme d'application charge dans un support a microcircuit.
WO1993003246A1 (fr) * 1991-08-05 1993-02-18 Supra Products, Inc. Systemes de securite electroniques ameliores
FR2704081B1 (fr) * 1993-04-16 1995-05-19 France Telecom Procédé de mise à jour d'une carte à mémoire et carte à mémoire pour la mise en Óoeuvre de ce procédé.
FR2704341B1 (fr) * 1993-04-22 1995-06-02 Bull Cp8 Dispositif de protection des clés d'une carte à puce.
FR2722596A1 (fr) * 1994-07-13 1996-01-19 France Telecom Systeme de controle d'acces limites a des places horaires autorisees et renouvables au moyen d'un support de memorisation portable

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO9935616A1 *

Also Published As

Publication number Publication date
JP2001517413A (ja) 2001-10-02
WO1999035616A1 (fr) 1999-07-15
FR2773426A1 (fr) 1999-07-09
FR2773426B1 (fr) 2000-03-03

Similar Documents

Publication Publication Date Title
EP0719438B1 (fr) Systeme de controle d&#39;acces limites a des plages horaires autorisees et renouvelables au moyen d&#39;un support de memorisation portable
EP0941525B1 (fr) Systeme d&#39;authentification a carte a microcircuit
EP3547270B1 (fr) Procédé de vérification d&#39;une authentification biométrique
EP1055203B1 (fr) Protocole de controle d&#39;acces entre une cle et une serrure electronique
EP2720199B1 (fr) Procédé sécurisé de commande d&#39;ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
EP0055986A2 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
FR2892252A1 (fr) Procede et dispositif de creation d&#39;une signature de groupe et procede et dispositif de verification d&#39;une signature de groupe associes.
EP2909963A1 (fr) Procédé de signature electronique a signature ephemere
CA2407288A1 (fr) Procede et dispositif de controle d&#39;habilitation d&#39;un appareil electrique connecte a un reseau
EP3965361B1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
WO1997036264A1 (fr) Systeme de controle d&#39;acces a une fonction, dans lequel le chiffrement implique plusieurs variables dynamiques
EP0960406B1 (fr) Systeme de transport securise d&#39;objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable
EP0965106A1 (fr) Procede d&#39;auto-controle d&#39;une cle electronique dans un systeme de controle d&#39;acces a une ressource et cle electronique mettant en oeuvre un tel procede
FR2877453A1 (fr) Procede de delegation securisee de calcul d&#39;une application bilineaire
EP1044433B1 (fr) Procede et systeme de controle d&#39;acces a une ressource limite a certaines plages horaires
WO2004084525A2 (fr) Procede de protection d’un terminal de telecommunication de type telephone mobile
EP1149361A1 (fr) Procede et systeme de controle d&#39;acces a une ressource limite a certaines plages horaires, les ressources accedante et accedee etant depourvues d&#39;horloge temps reel
WO2004029873A1 (fr) Entite electronique securisee avec gestion du temps
FR2786903A1 (fr) Procede et systeme de controle d&#39;acces a une ressource limite a certaines plages horaires, a partir d&#39;un compteur dynamique
EP1802026A2 (fr) Procédé de déblocage d&#39;une ressource par un dispositif sans contact
FR3137769A1 (fr) Procédé de sauvegarde de données personnelles sensibles sur une chaîne de blocs
EP4278282A1 (fr) Procede et systeme de controle d&#39;acces
WO2012152581A1 (fr) Systeme d&#39;identification d&#39;un individu
WO2017037351A1 (fr) Gestion d&#39;un parc de compteurs d&#39;energie et/ou de fluide, l&#39;energie et/ou le fluide etant fournis en quantites prepayees
WO2013140078A1 (fr) Procede de generation et de verification d&#39;identite portant l&#39;unicite d&#39;un couple porteur-objet

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19990916

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

RBV Designated contracting states (corrected)

Designated state(s): AT BE CH DE ES FR GB IT LI NL SE

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20050319