EP2500872A1 - Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable - Google Patents

Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable Download PDF

Info

Publication number
EP2500872A1
EP2500872A1 EP11157388A EP11157388A EP2500872A1 EP 2500872 A1 EP2500872 A1 EP 2500872A1 EP 11157388 A EP11157388 A EP 11157388A EP 11157388 A EP11157388 A EP 11157388A EP 2500872 A1 EP2500872 A1 EP 2500872A1
Authority
EP
European Patent Office
Prior art keywords
message
interface
data field
lock
marker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP11157388A
Other languages
German (de)
English (en)
Inventor
Pascal Metivier
Aitor Agueda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Openways Sas
Original Assignee
Openways Sas
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Openways Sas filed Critical Openways Sas
Priority to EP11157388A priority Critical patent/EP2500872A1/fr
Priority to US13/412,643 priority patent/US8793784B2/en
Publication of EP2500872A1 publication Critical patent/EP2500872A1/fr
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • G07C2009/0023Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks with encription of the transmittted data signal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/06Involving synchronization or resynchronization between transmitter and receiver; reordering of codes

Definitions

  • the invention relates to lock devices electrically controlled by means of a dematerialized and encrypted key, this key can be conveyed by a portable object held by the user such as a mobile phone, a badge or a contactless card, etc. .
  • lock device is meant not only a lock stricto sensu, that is to say a mechanism placed for example on a door to condemn the opening, but also any device to achieve a comparable result, for example a lock gun considered in isolation, or a more specific locking device comprising various members not grouped in the same lock box, the ultimate goal being to obtain the conviction by mechanical means of physical access to a place or given space, and access to this place or space by unlocking the lock device, on the order of a user, after verification that this user has access rights (i) that are specific to him and (ii) who are specific to the lock device.
  • the lock device may also include, or be associated with, an alarm system that is to disable to allow access to a given space, or conversely activate to protect this space before or after the to have left.
  • an alarm system that is to disable to allow access to a given space, or conversely activate to protect this space before or after the to have left.
  • the portable object when approaching the lock, plays the role of a key to control the opening.
  • Numerous systems are known for coupling the portable object to the lock by galvanic means (smart card contacts) or non-galvanic (portable object inductive coupling or RFID type card).
  • This coupling ensures between lock and badge communication allowing in particular the lock to read in the memory of the badge accreditation data to control the opening if this data is recognized as compliant.
  • a mobile phone equipped with a Near Field Communication ( NFC) chip and an NFC antenna can also be used, the UICC (Universal Integrated Circuit Card) corresponding to the "SIM card" for the GSM telephony functions) of the telephone that can be used as a security element.
  • NFC Near Field Communication
  • UICC Universal Integrated Circuit Card
  • the WO 2011/010052 proposes a technique that can be used with any conventional mobile phone, not necessarily equipped with NFC circuits, and without the need for a dedicated additional portable object such as a badge or card.
  • This technique relies on the use of Crypto Acoustic Credential ( CAC) encrypted acoustic accreditations in the form of single-use audio signals, for example consisting of a succession of dual DTMF tones.
  • CAC Crypto Acoustic Credential
  • These acoustic accreditations can be generated by a secure remote site and transmitted over the telephone by usual telephone transmission channels (voice or data), via the Mobile Network Operator ( MNO ) and a TSM trusted service provider ( Trusted Service Manager).
  • MNO Mobile Network Operator
  • TSM trusted service provider Trusted Service Manager
  • the user approaches his phone lock and triggers the transmission by the speaker of his phone in the series of tones corresponding to encrypted acoustic accreditation, so that these tones can be captured by a microphone incorporated or coupled to the lock.
  • the latter decodes the accreditation, verifies it and, in case of conformity, unlocks the mechanical parts.
  • the acoustic accreditation generated in this way is transmitted to the mobile phone to be reproduced by the latter in front of the lock.
  • the acoustic signal picked up by the lock is the object of an inverse conversion, making it possible to restore the accreditation in original DDC digital data from the CAC acoustic accreditation detected and analyzed.
  • the acoustic module of the lock "opens the envelope" (the acoustic accreditation CAC) to extract intact DDC digital information that had previously been placed in this envelope by the cryptographic engine of the remote site , all without intervention on the contents of this digital accreditation DDC.
  • acoustic accreditation requires an interfacing of the third-party source (which owns and delivers the DDC digital accreditation) with the remote site's cryptographic engine (which generates the acoustic accreditations CAC). This interfacing is always rather difficult to implement, and specific to each third source, hence the additional costs of setting up the system.
  • DDC Digital Accreditation is a relatively large message because it has to carry a lot of information, especially when it is to be used with standalone locks.
  • the DDC accreditation message must indeed be able to manage various functions such as the revocation of old authorizations, the updating of the list of authorized users stored in the lock, etc.
  • DDC digital accreditation may also include specific data, for example necessary to verify correct reading of a dedicated card or badge, but which will be of no use if the accreditation is issued via a mobile phone through a CAC Acoustic Accreditation.
  • the transmission of accreditation from the phone to the lock device can take a relatively long time compared to reading a simple dedicated badge, and this in a useless way.
  • Another object of the invention is, in the case of autonomous locks, to resynchronize the internal clock of this lock.
  • Another object of the invention is to allow the use of unsecured coupling technologies - thus easy to implement - between the telephone and the lock, and to overcome the complexity of secure coupling systems generally used. in access control applications.
  • a typical example of unsecured coupling is the "peer to peer" mode in NFC which, unlike the "card emulation” mode, does not use not the security elements of the phone (SIM card or other security element) and is therefore not dependent on the mobile network operator MNO who issued the security element and is likely to control its use.
  • the invention does not seek to prevent the interception or duplication of signals exchanged between the lock and the telephone (or the badge, card, ...), but only to render inoperative a accreditation that has been duplicated or reconstituted (for example by reverse engineering) and fraudulently applied to the lock.
  • the basic idea of the invention is to ensure that the digital accreditation of the third source, which makes it possible to unlock the lock, is no longer located in the "envelope", but in an interface module. reading coupled to the lock, for example in the firmware (firmware) of this module.
  • the size of the information to be transmitted can be reduced in significant proportions.
  • the size of the envelope can be adapted to convey specific information (authorized hours, expiry date, etc.) but in any case the size can be reduced and optimized according to the real needs of system complexity, so as to reduce the transmission to the single envelope, without DDC content.
  • the reading interface module will only check the validity of the envelope and transmit to the lock the accreditation stored in memory (in the module) for controlling the unlocking of the lock.
  • the conformity check of the invention is based on a timestamp or equivalent technique (sequential counter), implemented from data contained in a field of the envelope, the value of which will be compared with a horizontal internal clock of the horizontal type. real-time clock ( RTC ), or an internal counter of the interface module.
  • RTC real-time clock
  • 1 "" opening “of the envelope by the interfacing module may advantageously control the resetting of the internal clock of the module, so as to avoid excessive drift of this internal clock.
  • the opening of the envelope may also control the revocation of any previous authorization of opening given to a user.
  • the opening of the door by a new customer holding a portable object will automatically revoke any authorization given to a previous customer, even if this authorization does not apply. is not expired, and this without having to reprogram the lock.
  • the message generated in step a) further comprises a field containing an encryption method identifier, and the data field is encrypted by said encryption method, and step d) further comprises a reading of the encryption method identifier in the unencrypted field, and the decryption of the data field is performed by applying the encryption method read.
  • the field containing the encryption method identifier is preferably an unencrypted field, or encrypted according to a predetermined encryption.
  • the application software selects the encryption method identified in the message from among a plurality of possible encryption methods, said selection being operated in a pseudo-random manner according to a predetermined secret algorithm; and in step d), after reading the encryption method identifier in the unencrypted field, the read interface selects, by implementing a predetermined secret matching algorithm, the method to be used for the decrypting the data field among a plurality of methods stored in memory.
  • DKE Digital Key Envelope
  • SWA SoftWare Application
  • the DKE messages are transmitted, by various modes that will be explained below, to communication devices CD (Communication Device) referenced 16, which can be constituted by a mobile phone, a dedicated remote control, a computer system, etc.
  • CD Communication Device
  • the application software SWA can be integrated in the communication device CD 16, or in another computing device, since it makes it possible to implement the temporal reference constituted by the clock 12 and / or the sequence counter 14 to securely identify the communication device 16 receiving and using the DKE message.
  • the message DKE consists of a data flow intended to allow the opening of the lock device 18. This message is transmitted by the communication device CD 16 to an interfacing module 20, called ERED (Envelope Reading Electronic Device) , forming part of the lock device 18.
  • ERED envelope Reading Electronic Device
  • the coupling between the communication device 16 and the lock device 20 can be operated by various well-known techniques such as acoustic transmission, inductive coupling of the NFC type (in particular in peer-to-peer mode ), Bluetooth coupling , other coupling. radio frequency, infrared coupling, light coupling, vibration coupling, etc., this coupling having no need to be secured, as mentioned above.
  • the DKE message does not carry DDC type digital accreditation issued by a third party source (lock manufacturer), and it is the DKE message that itself becomes an accreditation, even in the absence of digital accreditation conveyed by the message.
  • the interface 20 checks the integrity and the validity of the DKE message it receives and sends a CMD command to the lock, including an unlock command (OPEN), but also a revocation command of a given authorization to a user previous (CANCEL), or any other command useful to the management of the lock device.
  • a CMD command including an unlock command (OPEN), but also a revocation command of a given authorization to a user previous (CANCEL), or any other command useful to the management of the lock device.
  • the interface 20 is software that is implemented by a microcontroller 22 and a receiving circuit 24 adapted to receive the DKE message that is transmitted to it by one of the coupling modes mentioned above.
  • the microcontroller 22 is also connected to an internal RTC real time clock 26 (independent or included in the microcontroller 22), specific to the interface 20 and / or to a sequence counter 28, so as to have a time reference which will be compared with the time reference of the SWA application software 10 (clock 12 and / or sequence counter 14), after the latter has been transmitted via the DKE message and received by the microcontroller 22.
  • the interface 20 also comprises a memory 30 enabling in particular to manage the various decryption operations of the received DKE message.
  • the lock device 20 may also be designed to be used in combination with dedicated keys or badges acting as physical accreditation, that is to say that the detection of such a badge will be considered as an authorization given to the wearer. of this badge.
  • the transmission of the DKE message from the application software 10 to the communication device CD 16 can be carried out in different ways.
  • a first mode of transmission is a real-time mode "online”, with immediate and direct transmission at the time of use, that is to say when the opening of the lock is requested.
  • the transmission can also be performed by a method of "call back" type where the user makes telephone contact with a remote site, which does not respond immediately but after hang up rings the mobile phone for the user establish contact with the site again, and that is when the DKE message is delivered.
  • This "online" mode is particularly simple to implement, since it suffices to use, for example, an existing mobile telephone network infrastructure (voice or data), without prior adaptation of the telephone and without any prior intervention on the telephone. -this.
  • Another advantage lies in the ability to check in real time that the phone belongs to an authorized user, with the possibility of immediately taking into account a "blacklist" of users.
  • Another feature available with the online mode is the ability to program or reprogram the lock.
  • the communication device CD 16 is coupled to the remote server via the interfacing module ERED 20, the system reads the identifier UID (Unique IDentifier) stored in the lock (identifier which is uniquely assigned and allows uniquely identify the lock) and transmit it to the server, possibly after it has been added an explicit abbreviated name ("cave”, "garage”, service door ", etc.) given by the user by means of the communication device
  • the server will send back, in the data field of the DKE message, the (re) programming data of the lock.
  • the reading and sending to the server of the unique identifier UID of the lock can also be used for a simplified implementation of the opening command. Indeed, since the server has a lock identifier, that it can check and compare the corresponding information it holds in its database, it is possible for this server to locate in real time the user when he requests the opening of the lock by sending a request to the server. Once the usual checks have been made, the server will be able to send back a DKE message authorizing the opening of this particular lock, but containing only the information strictly necessary for this opening. The size of the message, and the time necessary for its transmission, can be reduced in this way in significant proportions.
  • the online mode thus offers a significant number of potentialities, thanks to the possibility of establishing a direct bidirectional link between the lock and the server.
  • this mode implies having access to the mobile network, which is not always possible (underground car parks, uncovered areas, etc.).
  • offline Another mode of transmission, "offline" is used especially if access to the network is not assured at the time of use.
  • the communication device CD connects in advance to the remote site and receives from it a predetermined number of DKE messages generated by the SWA application software at the remote site. These DKE messages are stored securely in the phone.
  • the user launches a built-in application on his phone that searches for the first DKE message among those that have been stored, and forwards it to the lock interface, then deletes it from memory, and so continued for the following messages.
  • each of the generated and stored DKE messages is uniquely individualized by a time stamp in the form of a different sequence number, in order to render inoperative a DKE that would have been duplicated or reconstructed (this aspect will be developed below in detail).
  • the DKE message also comprises an auxiliary sequence number which is the same for all the DKEs sent to the same communication device CD during the same download and storage session of DKE. If the lock detects an incrementation of this auxiliary number, it will interpret this modification as a change of user, and may then order the revocation of any authorization given to a previous user and stored in the memory of the read interface 20 (purge previous authorizations).
  • the application allowing this implementation is a midlet stored in the phone, previously sent to it by the mobile network operator, or downloaded or received via an Internet connection.
  • this message pool will be reloaded for future use.
  • the Figure 2 illustrates the basic structure of a DKE message.
  • It comprises two zones, an unencrypted zone I, or encrypted with a method known in advance, and an encrypted zone II containing DATA data and a time marker such as a TS timestamp or a sequence number SEQ. .
  • Zone I contains an encryption method flag CM, which refers to a method chosen from among several different possible methods, zone II having been encrypted by the SWA application software 10 by means of the selected method indicated in the CM field of the method. zone I.
  • CM encryption method flag
  • the encryption method used to encrypt the zone II is modified with each generation of a new DKE message by the SWA application software 10, and the selection of the CM encryption method is performed by a pseudo-random generation algorithm, so as to make unpredictable the determination of the encryption method that will be chosen.
  • Encryption methods can be as well known methods as AES, 3DES, etc., as "proprietary" encryption methods specific to the system designer.
  • the interface 20 When it receives the DKE message, the interface 20 reads in the field I the CM indicator of encryption method used, selects from among several algorithms that corresponding to the CM method read in the DKE message, and decrypts the zone II by this method, in order to deliver in clear the data fields DATA and time marker TS / SEQ.
  • the length of the DKE message can be a fixed length (static message) or variable (dynamic message).
  • the validity of the DKE message is controlled by comparing the information contained in the TS / SEQ field of the received message (information that reflects the state of the reference clock 12 and / or the counter 14 associated with the application software 10 that has generated the message) with the value of the real-time clock 26 and / or the sequence counter 28 of the interface 20.
  • a comparison between the clocks 12 and 26 is conceivable only in the case of a direct online transmission of the DKE message from the SWA application software 10 to the interface 20.
  • the consistency between the values of the two clocks is appreciated to a near uncertainty, necessary because of the possible drift of the real-time clock 26 of the interface 20 which belongs to an autonomous device, this tolerance being able to be predetermined, or specified in a field of the DKE message.
  • the clock 26 is reset to the reference clock 12, that is to say, the timestamp data TS contained in the DKE message.
  • the consistency check between the sequence counters 14 and 28 is however applicable in all cases, and in particular when the DKE message is not transmitted in real time.
  • the sequencing follows a predetermined algorithm (linear or not), known only SWA application software 10 and interface 20.
  • the counter 28 is updated, giving it the value of counter 14 read in the DKE message.
  • the interface 20 issues a digital CMD accreditation to the lock itself 18 to open it ( OPEN command ).
  • OPEN command the valid opening command is followed by an invalidation command (CANCEL) of any authorization previously given to a different user, which would still be present in the lock device.
  • CANCEL invalidation command

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Ce procédé consiste à : a) générer par un logiciel applicatif (SWA) un message formant clef (DKE) comprenant un champ de données crypté contenant un marqueur temporel d'horodatage ou de séquencement ; b) transférer le message à un dispositif de communication (CD) portable, détenu par un utilisateur ; c) transmettre à courte portée le message du dispositif de communication à une interface de lecture (ERED) couplée à un dispositif de serrure (LOCK) ; d) analyser le message par décryptage du champ de données et vérification de la cohérence du marqueur temporel avec une horloge interne de l'interface ou avec un numéro de séquence mémorisé dans l'interface ; et e) en cas de message conforme, envoyer de l'interface au dispositif de serrure une accréditation numérique (OPEN) conservée en mémoire dans l'interface et propre à commander le déverrouillage du dispositif de serrure sur reconnaissance de la conformité de cette accréditation numérique.

Description

  • L'invention concerne les dispositifs de serrure commandés électriquement au moyen d'une clé dématérialisée et chiffrée, cette clé pouvant être véhiculée par un objet portatif détenu par l'utilisateur tel qu'un téléphone portable, un badge ou une carte sans contact, etc.
  • Par "dispositif de serrure" on entendra non seulement une serrure stricto sensu, c'est-à-dire un mécanisme posé par exemple sur une porte pour en condamner l'ouverture, mais également tout dispositif permettant d'aboutir à un résultat comparable, par exemple un canon de serrure considéré isolément, ou un dispositif de verrouillage plus spécifique comprenant divers organes non regroupés dans un même coffre de serrure, le but final étant d'obtenir la condamnation par des moyens mécaniques de l'accès physique à un lieu ou espace donné, et l'accès à ce lieu ou espace par déverrouillage du dispositif de serrure, sur commande d'un utilisateur, après vérification que cet utilisateur dispose bien des droits d'accès (i) qui lui sont propres et (ii) qui sont propres au dispositif de serrure. Le dispositif de serrure peut également comprendre, ou être associé à, un système d'alarme qu'il s'agit de désactiver pour permettre l'accès à un espace donné, ou inversement d'activer pour protéger cet espace avant ou après l'avoir quitté. Pour la simplicité de la description, on parlera par la suite simplement de "serrure", mais ce terme doit être entendu dans son sens le plus large, sans aucun caractère restrictif à un type d'équipement particulier.
  • L'objet portatif, lorsqu'il est approché de la serrure, joue le rôle d'une clé permettant d'en commander l'ouverture. On connaît de nombreux systèmes permettant de coupler l'objet portatif à la serrure par voie galvanique (carte à puce à contacts) ou non galvanique (objet portatif à couplage inductif ou carte de type RFID). Ce couplage assure entre serrure et badge une communication permettant notamment à la serrure de lire dans la mémoire du badge la donnée d'accréditation afin de commander l'ouverture si cette donnée est reconnue conforme. On peut également utiliser à la place d'un badge dédié un téléphone mobile équipé d'une puce NFC (Near Field Communication, communication en champ proche) et d'une antenne NFC, la carte UICC (Universal Integrated Circuit Card, correspondant à la "carte SIM" pour les fonctions de téléphonie GSM) du téléphone pouvant être utilisée comme élément de sécurité. La mise en communication du téléphone avec un site gestionnaire permet de procéder aisément à des vérifications en ligne, de modifier les éléments de sécurité ou d'en télécharger de nouveaux, etc.
  • Le WO 2011/010052 (Openways SAS) propose une technique utilisable avec n'importe quel téléphone mobile conventionnel, non nécessairement muni de circuits NFC, et sans recours obligatoire à un objet portatif additionnel dédié tel que badge ou carte. Cette technique repose sur l'utilisation d'accréditations acoustiques chiffrées CAC (Crypto Acoustic Credential) en forme de signaux audio à usage unique, par exemple constituées d'une succession de tonalités doubles DTMF. Ces accréditations acoustiques peuvent être générées par un site distant sécurisé et transmises au téléphone par des canaux de transmission téléphonique habituels (voix ou données), via l'opérateur de téléphonie mobile MNO (Mobile Network Operator) et un fournisseur de services de confiance TSM (Trusted Service Manager).
  • Pour utiliser l'accréditation, l'utilisateur approche son téléphone de la serrure et déclenche l'émission par le haut-parleur de son téléphone de la série de tonalités correspondant à l'accréditation acoustique chiffrée, de manière que ces tonalités puissent être captées par un microphone incorporé ou couplé à la serrure. Cette dernière décode l'accréditation, la vérifie et en cas de conformité déverrouille les organes mécaniques.
  • La demande européenne EP 09 170 475.9 du 16 septembre 2009, au nom de Openways SAS pour un "Système de gestion sécurisé de serrures à commande numérique, adapté à un fonctionnement par accréditations acoustiques chiffrées" décrit plus précisément la technique employée. Celle-ci consiste à utiliser les accréditations en données numériques DDC (Digital Data Credential) originelles, propres au fabricant de la serrure, en les conservant avec leur contenu et leur format propre, et en les convertissant en accréditations acoustiques CAC. En termes imagés, le moteur cryptographique du site sécurisé crée une "enveloppe" acoustique dans laquelle est "glissée" l'accréditation numérique DDC préexistante, et ceci indépendamment du contenu de cette dernière car le moteur cryptographique n'a pas besoin de connaître la définition des champs, le codage, etc., de l'accréditation DDC.
  • L'accréditation acoustique générée de cette manière est transmise au téléphone portable pour être reproduite par ce dernier devant la serrure.
  • Le signal acoustique capté par la serrure fait l'objet d'une conversion inverse, permettant de restituer l'accréditation en données numériques DDC originelle à partir de l'accréditation acoustique CAC détectée et analysée. En d'autres termes, le module acoustique de la serrure "ouvre l'enveloppe" (l'accréditation acoustique CAC) pour en extraire, intactes, les informations numériques DDC qui avaient été auparavant placées dans cette enveloppe par le moteur cryptographique du site distant, le tout sans intervention sur le contenu de cette accréditation numérique DDC.
  • Cette technique est particulièrement efficace et sûre. Notamment, le fait que ce soit la même source tierce (le fabricant/gestionnaire de la serrure) qui génère toutes les accréditations numériques DDC assure une identification sécurisée des utilisateurs habilités, quel que soit le procédé de délivrance de l'accréditation : soit par le téléphone sous forme d'une accréditation acoustique CAC, soit autrement par lecture d'une carte ou d'un badge spécifique, par exemple.
  • Toutefois, elle présente plusieurs inconvénients.
  • En premier lieu, la génération de l'accréditation acoustique impose un interfaçage de la source tierce (qui détient et délivre l'accréditation numérique DDC) avec le moteur cryptographique du site distant (qui génère les accréditations acoustiques CAC). Cet interfaçage est toujours assez difficile à mettre en oeuvre, et spécifique à chaque source tierce, d'où des surcoûts de mise en place du système.
  • En second lieu, l'accréditation numérique DDC représente un message de taille relativement importante, car elle doit véhiculer un nombre important d'informations, en particulier lorsqu'elle doit être utilisée avec des serrures autonomes. Le message de l'accréditation DDC doit en effet permettre de gérer diverses fonctions telles que la révocation d'anciennes autorisations, la mise à jour de la liste des utilisateurs habilités mémorisée dans la serrure, etc. L'accréditation numérique DDC peut également inclure des données spécifiques, par exemple nécessaires à la vérification d'une lecture correcte d'une carte ou d'un badge dédié, mais qui ne seront d'aucune utilité si l'accréditation est délivrée via un téléphone portable par le biais d'une accréditation acoustique CAC. De ce fait, la transmission de l'accréditation du téléphone au dispositif de serrure peut prendre un temps relativement long par rapport à la lecture d'un simple badge dédié, et ceci de façon inutile.
  • Le but de l'invention est de proposer une technique permettant, avec le même niveau de sécurité que ce que l'on vient d'exposer, d'éviter le recours à une accréditation numérique générée par une source tierce, avec les avantages corrélatifs suivants :
    • aucune nécessité d'interfaçage avec le serveur d'une source tierce ;
    • utilisation de la même technique avec tous les dispositifs de serrures, quels que soient leurs fabricants ;
    • utilisation de messages relativement compacts, donc pouvant être transmis en un temps très bref ;
    • possibilité de prévoir néanmoins des critères d'utilisation tels que : horaires d'accès limités, date d'expiration, accès à une ou plusieurs portes pour un utilisateur donné, etc. ;
    • avec des serrures autonomes, possibilité de révoquer des autorisations antérieures données à d'autres utilisateurs avec des badges dédiés, même si cette habilitation n'est pas expirée.
  • Un autre but de l'invention est, dans le cas de serrures autonomes, de réaliser une resynchronisation de l'horloge interne de cette serrure.
  • En effet, dans la mesure où une grande partie de la sécurité du système est basée sur la gestion de l'obsolescence dans le temps des autorisations, il est important de corriger les problèmes liés à la dérive des horloges internes des serrures qui, notamment dans certaines conditions de température, peuvent avoir un impact non négligeable pouvant empêcher le système de fonctionner correctement. Il importe donc de pouvoir prendre en compte cette dérive et réajuster l'horloge interne de la serrure sur une horloge de référence avec laquelle elle doit être synchronisée.
  • Un autre but encore de l'invention est de permettre l'utilisation de technologies de couplage non sécurisées ― donc simples à mettre en oeuvre-entre le téléphone et la serrure, et s'affranchir ainsi de la complexité des systèmes de couplage sécurisés généralement utilisés dans les applications de contrôle d'accès.
  • Un exemple typique d'un couplage non sécurisé est le mode "peer to peer" en NFC qui, à la différence du mode "émulation de carte" n'utilise pas les éléments de sécurité du téléphone (carte SIM ou autre élément de sécurité) et n'est donc pas dépendant de l'opérateur de réseau mobile MNO qui a émis l'élément de sécurité et est susceptible d'en contrôler l'utilisation.
  • En effet, comme on le verra, l'invention ne cherche pas à empêcher l'interception ou la duplication des signaux échangés entre la serrure et le téléphone (ou le badge, la carte, ...), mais seulement à rendre inopérante une accréditation qui aurait été dupliquée ou reconstituée (par exemple par reverse engineering) et frauduleusement appliquée à la serrure. L'idée de base de l'invention est de faire en sorte que l'accréditation numérique de la source tierce, qui permet de déverrouiller la serrure, ne se situe plus dans 1"'enveloppe", mais dans un module d'interfaçage de lecture couplé à la serrure, par exemple dans le micrologiciel (firmware) de ce module.
  • De ce fait, il ne sera plus nécessaire d'interfacer l'objet portatif (téléphone portable ou autre) avec la source tierce, et plus besoin de mettre un contenu dans l'enveloppe. Celle-ci pourra être vide, c'est-à-dire qu'elle ne contiendra pas de clé de partie tierce telle qu'une accréditation numérique de type DDC comme dans le système antérieur.
  • Ainsi, la taille des informations à transmettre pourra être réduite dans des proportions importantes. Dans des applications particulières la taille de l'enveloppe pourra être adaptée de manière à véhiculer des informations spécifiques (horaires autorisés, date d'expiration, etc.) mais en tout état de cause la taille pourra être réduite et optimisée en fonction des vrais besoins de complexité du système, de manière à réduire la transmission à la seule enveloppe, sans contenu DDC.
  • Le module d'interfaçage de lecture vérifiera seulement la validité de l'enveloppe et transmettra à la serrure l'accréditation conservée en mémoire (dans le module) permettant de commander le déverrouillage de la serrure.
  • Le contrôle de conformité de l'invention est basé sur un horodatage ou technique équivalente (compteur séquentiel), mis en oeuvre à partir de données contenues dans un champ de l'enveloppe, dont la valeur sera comparée à une horloge interne propre de type horizontal temps réel RTC (Real Time Clock), ou à un compteur interne du module d'interfaçage. Dans le cas de dispositifs de serrure autonomes, 1"'ouverture" de l'enveloppe par le module d'interfaçage pourra avantageusement commander le recalage de l'horloge interne du module, de manière à éviter les dérives excessive de cette horloge interne.
  • Toujours dans le cas de dispositifs autonomes, l'ouverture de l'enveloppe pourra également commander la révocation de toute autorisation antérieure d'ouverture donnée à un utilisateur. Par exemple, dans le cas d'une application hôtelière, l'ouverture de la porte par un nouveau client détenteur d'un objet portatif (téléphone portable ou autre) révoquera automatiquement toute autorisation donnée à un client antérieur, même si cette autorisation n'est pas expirée, et ceci sans avoir à reprogrammer la serrure.
  • En tout état de cause, et à la différence des systèmes conventionnels à badges ou à clés, il ne s'agit pas d'empêcher la duplication d'une enveloppe, mais seulement de rendre inopérante une enveloppe dupliquée. Il sera ainsi possible d'utiliser des technologies de couplage non sécurisées, simples et sûres, entre l'objet portatif (téléphone ou badge) et l'interface de lecture de la serrure.
  • Plus précisément, l'invention propose un procédé caractérisé par les étapes suivantes :
    1. a) générer par un logiciel applicatif un message formant clef, ce message comprenant un champ de données crypté contenant un marqueur temporel, ce marqueur temporel étant un marqueur d'horodatage par une horloge de référence couplée au logiciel applicatif, ou un marqueur de séquencement incrémenté par le logiciel applicatif ;
    2. b) transférer le message à un dispositif de communication portable, détenu par un utilisateur ;
    3. c) transmettre le message, par une technique de transmission à courte portée, du dispositif de communication à une interface de lecture couplée à un dispositif de serrure ;
    4. d) analyser le message au sein de l'interface de lecture par décryptage du champ de données, et vérification de la cohérence du marqueur temporel contenu dans le champ de données avec une horloge interne de l'interface de lecture dans le cas d'un marqueur d'horodatage, ou avec un numéro de séquence mémorisé dans l'interface de lecture dans le cas d'un marqueur de séquencement ; et
    5. e) en cas de message avéré conforme à la suite des vérifications de l'étape d), envoyer de l'interface de lecture au dispositif de serrure une accréditation numérique, conservée en mémoire dans l'interface de lecture, propre à commander le déverrouillage du dispositif de serrure sur reconnaissance de la conformité de cette accréditation numérique.
  • Très avantageusement, le message généré à l'étape a) comporte en outre un champ contenant un identifiant de méthode de cryptage, et le champ de données est crypté par ladite méthode de cryptage, et l'étape d) comprend en outre une lecture de l'identifiant de méthode de cryptage dans le champ non crypté, et le décryptage du champ de données est opéré par application de la méthode de cryptage lue.
  • Le champ contenant l'identifiant de méthode de cryptage est de préférence un champ non crypté, ou crypté selon un cryptage prédéterminé. À l'étape a) le logiciel applicatif sélectionne la méthode de cryptage identifiée dans le message parmi une pluralité de méthodes de cryptage possibles, ladite sélection étant opérée de manière pseudo-aléatoire selon un algorithme secret prédéterminé ; et à l'étape d), après lecture de l'identifiant de méthode de cryptage dans le champ non crypté, l'interface de lecture sélectionne, par mise en oeuvre d'un algorithme secret prédéterminé de correspondance, la méthode à utiliser pour le décryptage du champ de données parmi une pluralité de méthodes conservées en mémoire.
  • Selon diverses caractéristiques subsidiaires avantageuses :
    • lorsque le marqueur temporel est un marqueur d'horodatage par une horloge couplée au logiciel applicatif, il est prévu en outre une étape consistant à recaler l'horloge interne de l'interface de lecture à partir du marqueur temporel lu dans le champ de données ;
    • lorsque le marqueur temporel est un marqueur de séquencement, il est prévu en outre, en cas de message avéré conforme suite aux vérifications de l'étape d), une étape consistant à mettre à jour le numéro de séquence mémorisé dans l'interface de lecture à partir du marqueur temporel lu dans le champ de données ;
    • il est prévu en outre, en cas de message avéré conforme suite aux vérifications de l'étape d), une étape consistant à invalider, si elle est présente, une précédente habilitation relative à un utilisateur antérieur, stockée dans l'interface de lecture ;
    • l'étape a) est exécutée au sein d'un serveur distant intégrant le logiciel applicatif ;
    • le dispositif de communication est un téléphone portable, et l'étape a) est exécutée au sein du dispositif de communication par une midlet interne intégrant le logiciel applicatif ;
    • le champ de données crypté contient en outre des conditions spécifiques d'autorisation d'accès, et l'étape d) comprend en outre une sous-étape de vérification de la conformité des conditions spécifiques d'autorisation d'accès lues dans le champ de données ;
    • l'étape c) de transmission du message du dispositif de communication à l'interface de lecture est une transmission sans contact galvanique par un moyen du groupe formé par : transmission de signaux acoustiques ; transmission inductive NFC, notamment en mode peer-to-peer ; transmission radiofréquence, notamment Bluetooth ; transmission de signaux lumineux, notamment IR ; transmission de vibrations par contact mécanique.
  • On va maintenant décrire un exemple de mise en oeuvre du dispositif de l'invention, en référence aux dessins annexés où les mêmes références numériques désignent d'une figure à l'autre des éléments identiques ou fonctionnellement semblables.
    • La Figure 1 est une représentation schématique des différents éléments impliqués dans la mise en oeuvre de l'invention.
    • La Figure 2 illustre la structure du bloc de données utilisé par le procédé de l'invention.
  • L'invention est basée sur l'utilisation de messages ci-après désignés DKE (Digital Key Envelope). Ces messages DKE sont générés par un logiciel applicatif SWA (SoftWare Application) symbolisé par le bloc 10 sur la Figure 1, sur la base notamment d'une horloge de référence 12 et/ou d'un compteur de séquence 14.
  • Les messages DKE sont transmis, par différents modes qu'on exposera plus bas, à des dispositifs de communication CD (Communication Device) référencés 16, qui peuvent être constitués par un téléphone portable, une télécommande dédiée, un système informatique, etc.
  • En variante, le logiciel applicatif SWA peut être intégré au dispositif de communication CD 16, ou dans un autre dispositif informatique, dès lors qu'il permet de mettre en oeuvre la référence temporelle constituée par l'horloge 12 et/ou le compteur de séquence 14 pour identifier de manière sûre le dispositif de communication 16 recevant et utilisant le message DKE.
  • Le message DKE est constitué d'un flux de données destinées à permettre l'ouverture du dispositif de serrure 18. Ce message est transmis par le dispositif de communication CD 16 à un module d'interfaçage 20, dénommé ERED (Envelope Reading Electronic Device), faisant partie du dispositif de serrure 18.
  • Le couplage entre le dispositif de communication 16 et le dispositif de serrure 20 peut être opéré par diverses techniques en elles-mêmes bien connues telles que transmission acoustique, couplage inductif de type NFC (notamment en mode peer to peer), couplage Bluetooth, autre couplage radiofréquence, couplage infrarouge, couplage lumineux, couplage par vibrations, etc., ce couplage n'ayant aucunement besoin d'être sécurisé, comme on l'a indiqué plus haut.
  • De façon caractéristique, le message DKE ne transporte pas d'accréditation numérique de type DDC émise par une source tierce (fabricant de serrures), et c'est le message DKE qui devient lui-même une accréditation, même en l'absence d'accréditation numérique véhiculée par le message.
  • L'interface 20 vérifie l'intégrité et la validité du message DKE qu'il reçoit et envoie une commande CMD à la serrure, notamment une commande de déverrouillage (OPEN), mais également une commande de révocation d'une autorisation donnée à un utilisateur antérieur (CANCEL), ou toute autre commande utile à la gestion du dispositif de serrure.
  • L'interface 20 est un logiciel qui est mis en oeuvre par un microcontrôleur 22 et un circuit de réception 24 propre à recevoir le message DKE qui lui est transmis par l'un des modes de couplage évoqués plus haut. Le microcontrôleur 22 est également relié à une horloge temps réel RTC interne 26 (indépendante ou incluse dans le microcontrôleur 22), propre à l'interface 20 et/ou à un compteur de séquence 28, de manière à pouvoir disposer d'un repère temporel qui sera comparé à la référence temporelle du logiciel applicatif SWA 10 (horloge 12 et/ou compteur de séquence 14), après que cette dernière ait été transmise via le message DKE et reçue par le microcontrôleur 22. L'interface 20 comporte également une mémoire 30 permettant en particulier de gérer les différentes opérations de décryptage du message DKE reçu.
  • Le dispositif de serrure 20 peut être également prévu pour être utilisé en combinaison avec des clés ou badges dédiés faisant fonction d'accréditation physique, c'est-à-dire que la détection d'un tel badge sera considérée comme une habilitation donnée au porteur de ce badge.
  • La transmission du message DKE du logiciel applicatif 10 au dispositif de communication CD 16 peut être effectuée de différentes manières.
  • Un premier mode de transmission est un mode temps réel "en ligne", avec une transmission immédiate et directe au moment de l'utilisation, c'est-à-dire au moment où l'ouverture de la serrure est demandée.
  • En variante, la transmission peut être également exécutée par un procédé de type "call back" où l'utilisateur entre en contact téléphonique avec un site distant, qui ne lui répond pas immédiatement mais après raccrochage fait sonner le téléphone mobile pour que l'utilisateur établisse à nouveau le contact avec le site, et c'est à ce moment que le message DKE lui est délivré.
  • Ce mode "en ligne" est particulièrement simple à mettre en oeuvre, dans la mesure où il suffit d'utiliser par exemple une infrastructure de réseau téléphonique mobile (voix ou données) existante, sans adaptation préalable du téléphone et sans aucune intervention préalable sur celui-ci.
  • Un autre avantage réside dans la possibilité de vérifier en temps réel que le téléphone appartient bien à un utilisateur autorisé, avec la possibilité de prendre en compte immédiatement une "liste noire" d'utilisateurs.
  • De plus, grâce à ce mode en ligne, il est possible de disposer au niveau d'un site distant d'un grand nombre d'informations sur l'utilisation faite du message, notamment la date et l'heure de son utilisation, et éventuellement la situation géographique de l'utilisateur par identification de la cellule du réseau d'où émane l'appel de l'utilisateur.
  • En particulier, dans la mesure où l'on dispose d'une communication bidirectionnelle entre la serrure et le serveur distant (via le module d'interfaçage ERED 20 et le dispositif de communication CD 16 couplé en mode peer-to-peer) il devient possible de faire remonter au serveur une information confirmant la bonne utilisation du message DKE et l'ouverture effective de la serrure, le tout avec indication de la date et de l'heure d'utilisation, de l'identité de la serrure, de celle du dispositif de communication CD utilisé, etc.
  • Une autre fonctionnalité disponible avec le mode en ligne est la possibilité de programmer ou reprogrammer la serrure. Pour cela, lorsque le dispositif de communication CD 16 est couplé au serveur distant via le module d'interfaçage ERED 20, le système lit l'identifiant UID (Unique IDentifier) mémorisé dans la serrure (identifiant qui est attribué de manière unique et permet d'identifier de façon univoque la serrure) et le transmet au serveur, éventuellement après que lui ait été adjoint un nom abrégé explicite ("cave", "garage", porte de service", etc.) donné par l'utilisateur au moyen du dispositif de communication. Après les vérifications usuelles, le serveur enverra en retour, dans le champ de données du message DKE, les données de (re)programmation de la serrure.
  • La lecture et l'envoi au serveur de l'identifiant unique UID de la serrure peut également servir à une mise en oeuvre simplifiée de la commande d'ouverture. En effet, dans la mesure où le serveur dispose d'un identifiant de serrure, qu'il peut vérifier et confronter aux informations correspondantes qu'il détient dans sa base de données, il est possible à ce serveur de localiser en temps réel l'utilisateur lorsqu'il demande l'ouverture de la serrure par envoi d'une requête au serveur. Une fois les vérifications usuelles effectuées, le serveur pourra envoyer en retour un message DKE autorisant l'ouverture de cette serrure particulière, mais ne contenant que les informations strictement indispensables à cette ouverture. La taille du message, et le temps nécessaire à sa transmission, peuvent être de cette manière réduits dans des proportions importantes.
  • Le mode en ligne offre ainsi un nombre important de potentialités, grâce à la possibilité d'établir une liaison bidirectionnelle directe entre la serrure et le serveur.
  • En revanche, ce mode implique de disposer d'un accès au réseau mobile, ce qui n'est pas toujours possible (parkings souterrains, zones non couvertes, etc.).
  • Un autre mode de transmission, "hors ligne", est utilisable notamment si l'accès au réseau n'est pas assuré au moment de l'utilisation.
  • Dans ce cas, le dispositif de communication CD se connecte à l'avance au site distant et reçoit de celui-ci un nombre prédéterminé de messages DKE générés par le logiciel applicatif SWA au niveau du site distant. Ces messages DKE sont stockés de façon sûre dans le téléphone. Au moment de l'utilisation, l'utilisateur lance une application intégrée à son téléphone qui recherche le premier message DKE parmi ceux qui ont été stockés, et le transmet à l'interface de serrure, puis le supprime de la mémoire, et ainsi de suite pour les messages suivants.
  • Chacun des messages DKE générés et stockés est individualisé de façon unique par un marqueur temporel sous forme d'un numéro de séquence différent, ceci afin de rendre inopérante un DKE qui aurait été dupliqué ou reconstitué (cet aspect sera développé plus bas en détail). Avantageusement, le message DKE comporte également un numéro de séquence auxiliaire qui est le même pour tous les DKE envoyés à un même dispositif de communication CD au cours d'une même session de téléchargement et de stockage de DKE. Si la serrure détecte une incrémentation de ce numéro auxiliaire, elle interprétera cette modification comme un changement d'utilisateur, et pourra alors ordonner la révocation de toute habilitation donnée à un précédent utilisateur et conservée dans la mémoire de l'interface de lecture 20 (purge des habilitations antérieures). L'application permettant cette mise en oeuvre est une midlet conservée dans le téléphone, préalablement envoyée à celui-ci par l'opérateur de réseau mobile, ou bien téléchargée ou reçue via une connexion Internet. Lorsque la provision de messages DKE mémorisés dans le téléphone sera épuisée, ou sera en voie d'épuisement, et que l'utilisateur sera à nouveau capable d'accéder au réseau, cette réserve de messages sera rechargée pour permettre des utilisations ultérieures.
  • La Figure 2 illustre la structure de base d'un message DKE.
  • Celui-ci comporte deux zones, une zone I non-cryptée, ou cryptée avec une méthode connue à l'avance, et une zone II cryptée contenant des données DATA et un marqueur temporel tel qu'un horodatage TS ou un numéro de séquence SEQ.
  • La zone I contient un indicateur CM de méthode de cryptage, qui fait référence à une méthode choisie parmi plusieurs méthodes différentes possibles, la zone II ayant été cryptée par le logiciel applicatif SWA 10 au moyen de la méthode sélectionnée indiquée dans le champ CM de la zone I.
  • Avantageusement, la méthode de cryptage utilisée pour crypter la zone II est modifiée à chaque génération d'un nouveau message DKE par le logiciel applicatif SWA 10, et la sélection de la méthode de cryptage CM est opérée par un algorithme de génération pseudo-aléatoire, de manière à rendre imprévisible la détermination de la méthode de cryptage qui sera choisie. Les méthodes de cryptage peuvent être aussi bien des méthodes connues telles que AES, 3DES, etc., que des méthodes de cryptage "propriétaires" propres au concepteur du système.
  • Lorsqu'il reçoit le message DKE, l'interface 20 lit dans le champ I l'indicateur CM de méthode de cryptage utilisée, sélectionne parmi plusieurs algorithmes celui correspondant à la méthode CM lue dans le message DKE, et décrypte la zone II par cette méthode, de manière à délivrer en clair les champs de données DATA et de marqueur temporel TS/SEQ.
  • La longueur du message DKE peut être une longueur fixe (message statique) ou variable (message dynamique).
  • Dans le cas d'un message statique, correspondant à la configuration la plus simple, le champ de données DATA peut comprendre les informations suivantes :
    • identification du site où se trouve la ou les serrures que l'utilisateur est autorisé à ouvrir ;
    • identification de la porte ou des portes du site que l'utilisateur est autorisé à ouvrir ;
    • en-tête indiquant qu'il s'agit d'un message statique et donnant sa longueur ;
    • dans le cas d'un horodatage, écart maximal autorisé entre l'horodatage donné par l'interface au moment de l'ouverture et l'horodatage contenu dans le message ;
    • nombre limité d'ouvertures autorisées d'une même porte ;
    • nombre limité d'ouvertures de porte du site, etc.
  • Dans le cas d'un message dynamique, il est possible d'allonger le champ de données (la longueur étant indiquée dans l'en-tête) pour prendre en compte des informations telles que :
    • accès à la porte n° 1, n° 2, ..., n° n ;
    • accès aux portes dont le numéro est compris dans la plage x à y ;
    • date d'expiration de l'autorisation, etc.
  • La validité du message DKE est contrôlée par comparaison de l'information contenue dans le champ TS/SEQ du message reçu (information qui reflète l'état de l'horloge de référence 12 et/ou du compteur 14 associé au logiciel applicatif 10 ayant généré le message) avec la valeur de l'horloge temps réel 26 et/ou du compteur de séquence 28 de l'interface 20.
  • Une comparaison entre les horloges 12 et 26 n'est concevable que dans le cas d'une transmission directe, en ligne, du message DKE depuis le logiciel applicatif SWA 10 jusqu'à l'interface 20. La cohérence entre les valeurs des deux horloges est appréciée à une incertitude près, nécessaire du fait de la dérive possible de l'horloge temps réel 26 de l'interface 20 qui appartient à un dispositif autonome, cette tolérance pouvant être prédéterminée, ou spécifiée dans un champ du message DKE. Par ailleurs, si le message DKE est conforme, l'horloge 26 est recalée sur l'horloge de référence 12, c'est-à-dire sur la donnée d'horodatage TS contenue dans le message DKE.
  • Le contrôle de cohérence entre les compteurs de séquence 14 et 28 est en revanche applicable dans tous les cas, et notamment lorsque le message DKE n'est pas transmis en temps réel. Le séquencement suit un algorithme prédéterminé (linéaire ou non), connu des seuls logiciel applicatif SWA 10 et interface 20. En cas de cohérence entre les compteurs de séquence 14 et 28, le compteur 28 est mis à jour, en lui donnant la valeur du compteur 14 lue dans le message DKE.
  • En cas de conformité de l'horodatage et/ou du compteur de séquence, l'interface 20 émet une accréditation numérique CMD à destination de la serrure proprement dite 18 permettant d'ouvrir celle-ci (commande OPEN). Avantageusement, la commande d'ouverture valide est suivie d'une commande d'invalidation (CANCEL) de toute autorisation précédemment donnée à un utilisateur différent, qui serait encore présente dans le dispositif de serrure.

Claims (11)

  1. Un procédé sécurisé de commande d'ouverture de dispositifs de serrure, caractérisé par les étapes suivantes :
    a) générer par un logiciel applicatif (SWA) un message formant clef (DKE), ce message comprenant un champ de données crypté contenant un marqueur temporel, ce marqueur temporel étant un marqueur d'horodatage par une horloge de référence couplée au logiciel applicatif, ou un marqueur de séquencement incrémenté par le logiciel applicatif ;
    b) transférer le message à un dispositif de communication (CD) portable, détenu par un utilisateur ;
    c) transmettre le message, par une technique de transmission à courte portée, du dispositif de communication à une interface de lecture (ERED) couplée à un dispositif de serrure (LOCK) ;
    d) analyser le message au sein de l'interface de lecture par :
    - décryptage du champ de données, et
    - vérification de la cohérence du marqueur temporel contenu dans le champ de données avec une horloge interne de l'interface de lecture dans le cas d'un marqueur d'horodatage, ou avec un numéro de séquence mémorisé dans l'interface de lecture dans le cas d'un marqueur de séquencement ; et
    e) en cas de message avéré conforme à la suite des vérifications de l'étape d), envoyer de l'interface de lecture au dispositif de serrure une accréditation numérique (OPEN), propre à commander le déverrouillage du dispositif de serrure sur reconnaissance de la conformité de cette accréditation numérique.
  2. Le procédé de la revendication 1 dans lequel :
    - le message généré à l'étape a) comporte en outre un champ contenant un identifiant de méthode de cryptage (CM), et le champ de données est crypté par ladite méthode de cryptage, et
    - l'étape d) comprend en outre une lecture de l'identifiant de méthode de cryptage dans le champ non crypté, et le décryptage du champ de données est opéré par application de la méthode de cryptage lue.
  3. Le procédé de la revendication 2 dans lequel le champ contenant l'identifiant de méthode de cryptage est un champ non crypté, ou crypté selon un cryptage prédéterminé.
  4. Le procédé de la revendication 2 dans lequel :
    - à l'étape a) le logiciel applicatif sélectionne la méthode de cryptage identifiée dans le message parmi une pluralité de méthodes de cryptage possibles, ladite sélection étant opérée de manière pseudo-aléatoire selon un algorithme secret prédéterminé ; et
    - à l'étape d), après lecture de l'identifiant de méthode de cryptage dans le champ non crypté, l'interface de lecture sélectionne, par mise en oeuvre d'un algorithme secret prédéterminé de correspondance, la méthode à utiliser pour le décryptage du champ de données parmi une pluralité de méthodes conservées en mémoire.
  5. Le procédé de la revendication 1 dans lequel, lorsque le marqueur temporel est un marqueur d'horodatage par une horloge couplée au logiciel applicatif, il est prévu en outre une étape consistant à :
    f) recaler l'horloge interne de l'interface de lecture à partir du marqueur temporel lu dans le champ de données.
  6. Le procédé de la revendication 1 dans lequel, lorsque le marqueur temporel est un marqueur de séquencement, il est prévu en outre, en cas de message avéré conforme suite aux vérifications de l'étape d), une étape consistant à :
    f) mettre à jour le numéro de séquence mémorisé dans l'interface de lecture à partir du marqueur temporel lu dans le champ de données.
  7. Le procédé de la revendication 1 dans lequel il est prévu en outre, en cas de message avéré conforme suite aux vérifications de l'étape d), une étape consistant à :
    f) invalider, si elle est présente, une précédente habilitation relative à un utilisateur antérieur, stockée dans l'interface de lecture.
  8. Le procédé de la revendication 1 dans lequel l'étape a) est exécutée au sein d'un serveur distant intégrant le logiciel applicatif.
  9. Le procédé de la revendication 1 dans lequel le dispositif de communication est un téléphone portable, et l'étape a) est exécutée au sein du dispositif de communication par une midlet interne intégrant le logiciel applicatif.
  10. Le procédé de la revendication 1 dans lequel :
    - le champ de données crypté contient en outre des conditions spécifiques d'autorisation d'accès, et
    - l'étape d) comprend en outre une sous-étape de vérification de la conformité des conditions spécifiques d'autorisation d'accès lues dans le champ de données.
  11. Le procédé de la revendication 1 dans lequel l'étape c) de transmission du message du dispositif de communication à l'interface de lecture est une transmission sans contact galvanique par un moyen du groupe formé par : transmission de signaux acoustiques ; transmission inductive NFC, notamment en mode peer-to-peer ; transmission radiofréquence, notamment Bluetooth ; transmission de signaux lumineux, notamment IR ; transmission de vibrations par contact mécanique.
EP11157388A 2011-03-08 2011-03-08 Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable Ceased EP2500872A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP11157388A EP2500872A1 (fr) 2011-03-08 2011-03-08 Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable
US13/412,643 US8793784B2 (en) 2011-03-08 2012-03-06 Secure method for controlling the opening of lock devices by means of a communicating object such as a mobile phone

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP11157388A EP2500872A1 (fr) 2011-03-08 2011-03-08 Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable

Publications (1)

Publication Number Publication Date
EP2500872A1 true EP2500872A1 (fr) 2012-09-19

Family

ID=44312342

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11157388A Ceased EP2500872A1 (fr) 2011-03-08 2011-03-08 Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable

Country Status (2)

Country Link
US (1) US8793784B2 (fr)
EP (1) EP2500872A1 (fr)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2720199A1 (fr) 2012-10-11 2014-04-16 Openways Sas Procédé sécurisé de commande d'ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
US20150213658A1 (en) * 2011-03-17 2015-07-30 Unikey Technologies, Inc. Wireless access control system and related methods
CN105894622A (zh) * 2015-12-14 2016-08-24 乐视移动智能信息技术(北京)有限公司 门禁识别方法、装置、系统及终端
CN110462691A (zh) * 2017-01-21 2019-11-15 云丁网络技术(北京)有限公司 智能门锁的开锁方法、移动终端、智能门锁及云服务器

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9135352B2 (en) 2010-06-03 2015-09-15 Cisco Technology, Inc. System and method for providing targeted advertising through traffic analysis in a network environment
US8588809B2 (en) * 2011-06-21 2013-11-19 Cisco Technology, Inc. Managing public resources
US20130335193A1 (en) * 2011-11-29 2013-12-19 1556053 Alberta Ltd. Electronic wireless lock
US8792912B2 (en) 2011-12-22 2014-07-29 Cisco Technology, Inc. System and method for providing proximity-based dynamic content in a network environment
CN104412536B (zh) * 2012-02-13 2017-11-21 爱克西德Id公司 凭证管理方法
WO2014124300A1 (fr) 2013-02-07 2014-08-14 Schlage Lock Company Llc Système et procédé d'authentification poste à poste de communication en champ proche (nfc) et transfert de données sécurisé
US9307403B2 (en) 2013-02-07 2016-04-05 Schlage Lock Company Llc System and method for NFC peer-to-peer authentication and secure data transfer
US9363261B2 (en) * 2013-05-02 2016-06-07 Sync-N-Scale, Llc Synchronous timestamp computer authentication system and method
WO2015187707A1 (fr) * 2014-06-02 2015-12-10 Schlage Lock Company Llc Système de gestion de justificatifs d'identité électroniques
US9526010B2 (en) 2015-05-14 2016-12-20 Yuan-Chou Chung System for controlling key access using an internet-connected key box device
US10554725B2 (en) 2015-07-01 2020-02-04 Samsung Electronics Co., Ltd. System, method and apparatus for providing access to services
US9847020B2 (en) 2015-10-10 2017-12-19 Videx, Inc. Visible light communication of an access credential in an access control system
EP3384471B1 (fr) * 2015-12-03 2022-04-13 Nokia Technologies Oy Gestion d'accès
US11257315B2 (en) 2016-02-04 2022-02-22 Carrier Corporation Encoder multiplexer for digital key integration
JP6728390B2 (ja) 2016-04-06 2020-07-22 オーチス エレベータ カンパニーOtis Elevator Company モバイル訪問者管理
US9947160B2 (en) * 2016-06-07 2018-04-17 Mastercard International Incorporated Systems and methods for wirelessly transmitting token data to a key card reading device
US10477398B2 (en) 2016-09-16 2019-11-12 Samsung Electronics Co., Ltd. Method of providing secure access to hotel IoT services through mobile devices
ES2943290T3 (es) 2016-10-19 2023-06-12 Dormakaba Usa Inc Núcleo de cerradura electromecánico
CN111094676B (zh) 2017-09-08 2022-04-08 多玛卡巴美国公司 机电锁芯
CN107564159A (zh) * 2017-09-11 2018-01-09 安徽天俣科技有限公司 一种智能蓝牙锁群管理控制系统
CA3097041C (fr) 2018-04-13 2022-10-25 Dormakaba Usa Inc. Partie centrale de verrou electromecanique
US11466473B2 (en) 2018-04-13 2022-10-11 Dormakaba Usa Inc Electro-mechanical lock core
WO2021023164A1 (fr) 2019-08-02 2021-02-11 云丁网络技术(北京)有限公司 Procédé et système de commande de verrou intelligent
EP4055569A4 (fr) * 2019-11-06 2024-01-17 iLOQ Oy Technologie de verrouillage numérique mobile
US11847875B2 (en) * 2020-08-14 2023-12-19 Big Belly Llc System and method of providing remote management of access to a group of devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996037065A1 (fr) * 1995-05-18 1996-11-21 Defa A/S Systeme de communication unidirectionnelle sur
US5612683A (en) * 1994-08-26 1997-03-18 Trempala; Dohn J. Security key holder
EP0917047A2 (fr) 1997-11-04 1999-05-19 Nippon Telegraph and Telephone Corporation Procédé et dispositif pour l'inversion modulaire à l'usage de la sécurité d'information et d'enregistrement comportant une programme pour la mise en oeuvre du procédé
US20020110242A1 (en) * 2000-12-19 2002-08-15 Bruwer Frederick Johannes Method of and apparatus for transferring data
US20100141381A1 (en) * 2006-12-20 2010-06-10 Olle Bliding Access control system, lock device, administration device, and associated methods and computer program products
WO2011010052A1 (fr) 2009-07-21 2011-01-27 Openways Sas Systeme securise de commande d'ouverture de dispositifs de serrure par accreditations acoustiques chiffrees

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1249903B (it) * 1991-06-07 1995-03-30 Trw Sipea Spa Telecomando a sicurezza ottimizzata
US5351293A (en) * 1993-02-01 1994-09-27 Wave Systems Corp. System method and apparatus for authenticating an encrypted signal
US5363448A (en) * 1993-06-30 1994-11-08 United Technologies Automotive, Inc. Pseudorandom number generation and cryptographic authentication
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US5878330A (en) * 1996-05-20 1999-03-02 Worldcomm Systems, Inc. Satellite communications system including automatic frequency control
SE516589C2 (sv) * 1998-11-26 2002-01-29 Phone Comm Ab M Sätt och anordning vid behörighetskontroll
WO2001040605A1 (fr) * 1999-11-30 2001-06-07 Bording Data A/S Dispositif a cle electronique, systeme et procede de gestion des informations de la cle electronique
NO314530B1 (no) * 2000-02-25 2003-03-31 Ericsson Telefon Ab L M Trådlös reservering, innsjekking, tilgangskontroll, utsjekking og betaling
GB2364202A (en) * 2000-06-27 2002-01-16 Nokia Mobile Phones Ltd Mobile phone for opening locks
DE10031981A1 (de) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Verfahren zur Übertragung von Informationen durch einen Rundfunksender, Verfahren zum Empfang von durch einen Rundfunksender ausgestrahlten Informationen, Verfahren zur Steuerung eines Rundfunkempfängers und Rundfunkempfänger
FI20002255A (fi) * 2000-10-13 2002-04-14 Nokia Corp Menetelmä lukkojen hallintaan ja kontrollointiin
US20020070879A1 (en) * 2000-12-12 2002-06-13 Gazit Hanoch Amatzia "On-board" vehicle safety system
US7114178B2 (en) * 2001-05-22 2006-09-26 Ericsson Inc. Security system
DE10126440A1 (de) * 2001-05-31 2002-03-28 Ulrich Link Einrichtung zum Entriegeln einer Tür mittels drahtloser Fernbedienung
EP1407426A1 (fr) * 2001-07-05 2004-04-14 EM Microelectronic-Marin SA Procede de deverrouillage "sans cle" d'une porte d'acces a un espace clos
US6885281B2 (en) * 2001-10-18 2005-04-26 Corporate Safe Specialists, Inc. Method and apparatus for controlling a safe having an electronic lock
EP1324276B1 (fr) * 2001-12-28 2008-10-15 Matsushita Electric Works, Ltd. Utilisation d'une clef électronique et système électronique de sécurité
CA2516704C (fr) * 2003-02-21 2012-07-31 Ge Interlogix, Inc. Commande de cle pour communications en temps reel vers des lieux distants
US6885738B2 (en) * 2003-02-25 2005-04-26 Bellsouth Intellectual Property Corporation Activation of electronic lock using telecommunications network
GB2402840A (en) * 2003-06-10 2004-12-15 Guy Frank Howard Walker Mobile with wireless key entry system
WO2005029374A1 (fr) * 2003-09-19 2005-03-31 Telefonaktiebolaget Lm Ericsson (Publ) Procede et dispositif de distribution ou d'obtention d'un produit
SE0400425L (sv) * 2004-02-24 2004-11-30 Tagmaster Ab Förfarande för behörighetsgivande
EP1703479A1 (fr) * 2005-03-18 2006-09-20 Hewlett-Packard Development Company, L.P. Système informatique et dispositif d'utilisateur
FI20055344A0 (fi) * 2005-06-23 2005-06-23 Jouni Koljonen Kulunvalvontajärjestelmän tiedonsiirtomenetelmä
US20070176739A1 (en) * 2006-01-19 2007-08-02 Fonekey, Inc. Multifunction keyless and cardless method and system of securely operating and managing housing facilities with electronic door locks
EP1985047A2 (fr) * 2006-02-01 2008-10-29 Coco Communications Corp. Couche lien de protocole
US20070271596A1 (en) * 2006-03-03 2007-11-22 David Boubion Security, storage and communication system
SE529849C2 (sv) * 2006-04-28 2007-12-11 Sics Swedish Inst Of Comp Scie Accesstyrsystem och förfarande för att driva systemet
WO2008003081A2 (fr) * 2006-06-29 2008-01-03 Hewlett-Packard Development Company, L.P. Personnalisation, diagnostics et gestion de terminal pour des dispositifs mobiles dans un réseau
EP2156636A2 (fr) * 2007-05-16 2010-02-24 Panasonic Corporation Procédés dans un réseau mixte et gestion de mobilité à base d'hôte
US20090282461A1 (en) * 2008-05-07 2009-11-12 Nils Haustein Method of and system for controlling access to an automated media library
US8543091B2 (en) * 2008-06-06 2013-09-24 Ebay Inc. Secure short message service (SMS) communications
US8797138B2 (en) * 2009-01-13 2014-08-05 Utc Fire & Security Americas Corporation, Inc. One-time access for electronic locking devices
UY32806A (es) * 2009-08-04 2010-09-30 Telefonica Sa Sistema y procedimiento para control de acceso a contenidos
ES2428004T3 (es) * 2009-09-16 2013-11-05 Openways Sas Sistema asegurado de gestión de cerraduras de control digital, adaptado a un funcionamiento mediante acreditaciones acústicas cifradas

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5612683A (en) * 1994-08-26 1997-03-18 Trempala; Dohn J. Security key holder
WO1996037065A1 (fr) * 1995-05-18 1996-11-21 Defa A/S Systeme de communication unidirectionnelle sur
EP0917047A2 (fr) 1997-11-04 1999-05-19 Nippon Telegraph and Telephone Corporation Procédé et dispositif pour l'inversion modulaire à l'usage de la sécurité d'information et d'enregistrement comportant une programme pour la mise en oeuvre du procédé
US20020110242A1 (en) * 2000-12-19 2002-08-15 Bruwer Frederick Johannes Method of and apparatus for transferring data
US20100141381A1 (en) * 2006-12-20 2010-06-10 Olle Bliding Access control system, lock device, administration device, and associated methods and computer program products
WO2011010052A1 (fr) 2009-07-21 2011-01-27 Openways Sas Systeme securise de commande d'ouverture de dispositifs de serrure par accreditations acoustiques chiffrees

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150213658A1 (en) * 2011-03-17 2015-07-30 Unikey Technologies, Inc. Wireless access control system and related methods
EP2720199A1 (fr) 2012-10-11 2014-04-16 Openways Sas Procédé sécurisé de commande d'ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
FR2996947A1 (fr) * 2012-10-11 2014-04-18 Openways Sas Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique
US9258281B2 (en) 2012-10-11 2016-02-09 Openways Sas Secured method for controlling the opening of lock devices from messages implementing a symmetrical encryption
CN105894622A (zh) * 2015-12-14 2016-08-24 乐视移动智能信息技术(北京)有限公司 门禁识别方法、装置、系统及终端
CN110462691A (zh) * 2017-01-21 2019-11-15 云丁网络技术(北京)有限公司 智能门锁的开锁方法、移动终端、智能门锁及云服务器
US11335144B2 (en) 2017-01-21 2022-05-17 Yunding Network Technology (Beijing) Co., Ltd. Method for unlocking intelligent lock, mobile terminal, intelligent lock and server

Also Published As

Publication number Publication date
US8793784B2 (en) 2014-07-29
US20120233687A1 (en) 2012-09-13

Similar Documents

Publication Publication Date Title
EP2500872A1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable
EP2720199B1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
EP2306407B1 (fr) Système de gestion sécurisée de serrures à commande numérique, adapté à un fonctionnement par accréditations acoustiques chiffrées
CN109272606B (zh) 一种基于区块链的智能锁监管设备、方法及存储介质
CN111478917B (zh) 一种为访问控制装置和用户终端提供网络服务的后台系统
TWI448922B (zh) 用於提供對一設施之存取的方法及在生物測定密鑰與伺服器之間的通信方法
EP2008483A1 (fr) Procede de securisation de l'acces a un module de communication de proximite dans un terminal mobile
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
WO2016102833A1 (fr) Entité électronique sécurisée, appareil électronique et procédé de vérification de l'intégrité de données mémorisées dans une telle entité électronique sécurisée
EP3241137A1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
EP3308564A1 (fr) Procédé de chargement d'une clé virtuelle et terminal utilisateur associé
EP1393272B1 (fr) Proc d et dispositif de certification d'une transaction
FR3086414A1 (fr) Procede de traitement d'une transaction, dispositif, systeme et programme correspondant
US20130117815A1 (en) Method of Authorizing a Person, an Authorizing Architecture and a Computer Program Product
EP1653415A1 (fr) Procédé et équipement de gestion de badges de contrôle d'accès
CN110113153B (zh) 一种nfc密钥更新方法、终端及系统
WO2016102834A1 (fr) Procédé d'authentification d'un utilisateur et d'un module sécurisé, appareil électronique et système associes
EP3095223A1 (fr) Méthode de transmission de données chiffrées, méthode de réception, dispositifs et programmes d'ordinateur correspondants
EP4224442B1 (fr) Procédé de contrôle d'accès à des bâtiments
WO2017005644A1 (fr) Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance
EP4224441A1 (fr) Procédé de contrôle d accès à des bâtiments
EP4224443A1 (fr) Procédé de contrôle d'accès à des bâtiments
KR100857081B1 (ko) 클라이언트 인증 중계 시스템

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

17P Request for examination filed

Effective date: 20130314

17Q First examination report despatched

Effective date: 20180328

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20200712