FR2989857A1 - Procede d'acces a un service local d'un dispositif communicant via une borne. - Google Patents

Procede d'acces a un service local d'un dispositif communicant via une borne. Download PDF

Info

Publication number
FR2989857A1
FR2989857A1 FR1253703A FR1253703A FR2989857A1 FR 2989857 A1 FR2989857 A1 FR 2989857A1 FR 1253703 A FR1253703 A FR 1253703A FR 1253703 A FR1253703 A FR 1253703A FR 2989857 A1 FR2989857 A1 FR 2989857A1
Authority
FR
France
Prior art keywords
data
access
terminal
communicating device
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1253703A
Other languages
English (en)
Other versions
FR2989857B1 (fr
Inventor
Arnaud Tarrago
Edouard Siekierski
Pierre Nguyen
Pascal Sitbon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electricite de France SA
Original Assignee
Electricite de France SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electricite de France SA filed Critical Electricite de France SA
Priority to FR1253703A priority Critical patent/FR2989857B1/fr
Priority to US14/396,461 priority patent/US9852307B2/en
Priority to PCT/FR2013/050874 priority patent/WO2013160595A1/fr
Priority to EP13723838.2A priority patent/EP2842091A1/fr
Priority to JP2015507581A priority patent/JP6207590B2/ja
Publication of FR2989857A1 publication Critical patent/FR2989857A1/fr
Application granted granted Critical
Publication of FR2989857B1 publication Critical patent/FR2989857B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/346Cards serving only as information carrier of service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks
    • G06Q20/4033Local solvency checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Finance (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne l'accès à un service selon un procédé comprenant les étapes de : - accès au service via une borne d'accès (BC, BNC) par un dispositif communicant (DC) ; - lecture (S1, S3) par la borne d'accès (BC, BNC) de données du dispositif communicant (DC), les données étant des données personnelles relatives au dispositif communicant (DC) et/ou des données tierces de service ; - écriture (S7) par la borne d'accès des données du dispositif communicant, les données tierces écrites étant choisies (S6) parmi un ensemble de données tierces de service, le choix des données tierces à écrire (DB ) par la borne d'accès (BC, BNC) étant fonction de critères de choix (CC).

Description

Procédé d'accès à un service local d'un dispositif communicant via une borne. La présente invention concerne l'accès à un service local délivré depuis une borne d'accès, laquelle borne d'accès réparti des données associées au service sur des dispositifs communicants y accédant. Selon l'état de la technique, de nombreux services dans le domaine des transports, de la banque, du commerce, de la télécommunication ou autre, peuvent être déployés et mis en oeuvre de sorte à être accessibles via des bornes d'accès. Ces bornes d'accès autorisent l'accès au service après authentification d'un utilisateur muni d'un moyen d'accès.
Typiquement, avec le développement des technologies embarquées, un tel moyen d'accès peut être une carte à puce prévue pour échanger des informations avec la borne d'accès. A titre d'exemple, dans le domaine de la banque, un service de distribution automatique de billets permet à un utilisateur, via des bornes d'accès telles que des distributeurs automatiques, de retirer de l'argent grâce à un moyen d'accès comme sa carte bancaire (comprenant conventionnellement une puce électronique). Classiquement, les bornes d'accès sont connectées à au moins un système central assurant la gestion et la supervision du service délivré par les bornes. Cette connexion peut être assurée par l'intermédiaire d'une liaison filaire, un réseau de télécommunication cellulaire ou autre, et ceci afin d'échanger des informations relatives au service entre le serveur et les bornes d'accès. Ainsi, le système central peut par exemple récupérer des informations contenues dans le moyen d'accès, autoriser l'accès au service à un utilisateur en fonction des informations du moyen d'accès, ou encore commander sur les bornes d'accès la mise à jour des informations associées à un utilisateur. Toutefois, la connexion précitée entre une borne d'accès et un serveur central peut être complexe voire techniquement non envisageable dans certaines conditions d'installation (pas de couverture de réseau de télécommunication cellulaire ou disposition d'un lieu ne permettant pas de réaliser une liaison filaire par exemple). En outre, une telle connexion constitue une infrastructure onéreuse à mettre en place limitant ainsi le nombre de bornes d'accès déployées pour un service (moins de possibilités d'accès au service).
Le document US 6,726,100 divulgue un système comprenant une pluralité de bornes d'accès à un service dont certaines ne sont pas connectées au système central précité. Ce document décrit que des informations liées au service peuvent être directement stockées sur les moyens d'accès. D'une part, les informations stockées sont des informations récupérées par les moyens d'accès auprès de borne d'accès connectées au système central, laquelle regroupe les informations liées au service. Ainsi, les bornes d'accès non connectées se voient diffuser les informations du service par l'intermédiaire des données stockées dans les moyens d'accès. D'autre part, le moyen d'accès peut récupérer des informations comportées sur une base de données d'une borne d'accès non connectée, ceci de manière à remonter des informations à mettre à jour auprès du système central. Ainsi, le service est correctement délivré par les bornes sur la base des données échangées via les moyens d'accès et ce, sans nécessairement avoir l'intégralité des bornes d'accès de connectées au système central.
Cependant, les moyens d'accès précités présentent généralement de faibles capacités de stockage ne permettant pas de récupérer une grande quantité d'informations relatives au service. En conséquence, pour un service comprenant par exemple un grand nombre d'utilisateurs et/ou de nombreuses informations sur chacun des utilisateurs, les informations communiquées par la borne d'accès risquent d'être perdues ou écrasées au niveau de moyen d'accès présentant une insuffisance de stockage. De tels évènements sont alors susceptibles de provoquer des dysfonctionnements du service eu égard d'informations mal diffusées, non complètes ou erronées. En outre, les informations de service contenues par les moyens d'accès sont susceptibles d'être récupérées et déchiffrées par un utilisateur malveillant, compromettant ainsi la sécurité et l'intégrité du système. La présente invention vient améliorer la situation. A cet effet, l'invention propose un procédé d'accès à un service local, comprenant les étapes de : - accès au service via une borne d'accès par un dispositif communicant ; - lecture par la borne d'accès de données du dispositif communicant, les données étant des données personnelles relatives au dispositif communicant et/ou des données tierces de service ; - écriture par la borne d'accès des données du dispositif communicant, les données tierces écrites étant choisies parmi un ensemble de données tierces de service, le choix des données tierces à écrire par la borne d'accès étant fonction de critères de choix.
De cette manière, la lecture des données sur le dispositif communicant (lequel constitue le moyen d'accès précité) permet à la borne d'accès de récupérer des données relatives au service local et/ou d'autres services comme il le sera détaillé plus loin. Par l'intermédiaire des données contenues dans les dispositifs communicants et récupérées à la lecture par les bornes, les données de service sont propagées entre les bornes d'accès via une diffusion asynchrone assurée par les dispositifs communicants accédants. Cette diffusion de données de service vient alors se substituer à la connexion habituellement requise avec un système central. On comprendra en conséquence qu'une borne d'accès exempte de connexion au système central peut ainsi délivrer convenablement ledit service local sur la base des données lues depuis les dispositifs communicants. Par ailleurs, l'écriture de données tierces initiée par la borne sur les dispositifs communicants permet de communiquer des données à diffuser aux autres entités associées au service comme par exemple : - d'autres bornes d'accès, ou - un système central de gestion du service (typiquement un système d'information), lequel est accessible auprès d'une borne dite « connectée » (ayant une liaison filaire avec le système central par exemple). Alternativement et comme décrit plus loin, le dispositif communicant, les bornes d'accès et le système central sont susceptibles de communiquer entre eux via des moyens de communication à distance. Dans une telle alternative, une liaison physique entre le système central et les bornes d'accès n'est plus utile. Bien entendu, on comprendra que les bornes d'accès dites « non connectées » sont des bornes ne comportant pas de liaison directe avec le système central précité. Les bornes d'accès non connectées sont des bornes recevant/diffusant les données de service par le simple intermédiaire des données lues/écrites sur les dispositifs communicants accédants. Ainsi, les données écrites par les bornes d'accès non connectées peuvent être « remontées » indirectement au système central via les dispositifs communicants. En effet, lorsqu'une borne non connectée écrit des données sur un dispositif, ce dernier peut les remonter auprès d'autres bornes auxquelles il accède ultérieurement. De cette manière, les données sont distribuées aux autres bornes (connectées ou non), et peuvent notamment être rapatriées auprès du système central lors d'une lecture par une borne connectée. Le procédé mis en oeuvre permet ainsi une diffusion de données de service comparable à une diffusion synchrone par l'intermédiaire de moyens de communication asynchrones tels que les dispositifs communicants. Les données du service local sont réparties par les bornes d'accès sur les dispositifs communicants de sorte à diffuser les données du service sans obligatoirement déployer une infrastructure de communication pour chacune des bornes. La borne d'accès peut donc être installée sans considération d'une liaison à établir avec le système central du service. Typiquement, la borne d'accès peut alors être disposée : - dans un parking souterrain pour la délivrance d'énergie électrique en vue d'une recharge de batteries de véhicule ; - chez un particulier au niveau de son compteur électrique de sorte à proposer des services complémentaires ; - à l'intérieur de commerces, par exemple pour la délivrance d'énergie électrique au niveau de prises d'alimentation permettant une recharge d'appareil électronique ou l'alimentation électrique d'un ordinateur ; - ou autre. En outre, les données tierces sont réparties à l'écriture par les bornes d'accès (connectées ou non) sur les dispositifs communicants selon des critères de choix. Les critères de choix permettent en l'occurrence la sélection appropriée des données à écrire parmi un ensemble de données de service. De cette manière, les données écrites sont susceptibles d'être des données estimées utiles, avantageuses voire indispensables pour une diffusion à d'autres entités du service telles que d'autres bornes d'accès et/ou le système central. En l'espèce, la sélection de données à écrire permet de choisir les données essentielles voire urgentes en tenant compte des capacités limitées de l'espace mémoire des dispositifs communicants. A titre d'exemple purement illustratif et comme il le sera précisé plus loin, les critères de choix peuvent être déterminés relativement à un indice de fréquentation des bornes par un dispositif communicant, un niveau d'urgence de diffusion de données, un type de dispositif communicant accédant (administrateur ou utilisateur par exemple) ou autre. De surcroît, les critères de choix sont avantageusement prévus pour distribuer et répartir des données à diffuser selon plusieurs bribes de données, un ensemble de bribes de données constituant une instruction ou une information par exemple. Chacune des bribes peut être diffusée sur un ou plusieurs dispositifs communicants. On comprendra alors que les données de service contenues sur un dispositif communicant ne permettent pas de reconstruire complètement l'instruction ou l'information relative, les bribes de données nécessaires à cette reconstruction étant réparties entre plusieurs dispositifs. Un utilisateur malveillant ne peut alors récupérer qu'en partie l'instruction ou l'information précitée. En outre, d'un point de vue utilisateur, les données sont réparties selon une distribution pseudo-aléatoire (régie par les critères de choix déterminés par les bornes) entre les dispositifs communicants, rendant complexe une quelconque tentative d'attaque malveillante pour la récupération de l'ensemble des bribes de données. Les critères de choix peuvent également être prévus pour assurer une redondance des données réparties sur les dispositifs communicants. A cet égard, les données ou une même bribe de données peuvent être écrites par une borne sur plusieurs dispositifs communicants. En substance, lorsqu'un dispositif communicant est détruit ou perdu par exemple, au moins un autre dispositif peut comporter les données personnelles et/ou les données tierces de service du dispositif communicant détruit/perdu. Ainsi, le service local continu d'être délivré correctement sur la base des données réparties sur les autres dispositifs. En outre, il est possible de récupérer les données qui étaient initialement comprises dans ce dispositif détruit/perdu pour en produire un nouvel exemplaire.
De fait, la répartition de données en fonction des critères de choix permet de rendre plus robuste la sécurité des informations diffusées et la fiabilité de diffusion de données via les dispositifs communicants. Avantageusement, lesdits critères de choix sont définis par la borne d'accès relativement aux données lues du dispositif communicant. A titre purement illustratif, les critères de choix sont relatifs : - au type de carte accédant, administrateur ou utilisateur (information renseignée dans les données personnelles d'un dispositif communicant par exemple) ; historique d'utilisation du service (information renseignée dans les données personnelles et pouvant être comparées à des historiques analogues d'utilisateurs renseignés dans les données tierces de ce même dispositif communicant) ; - capacités mémoires disponibles du dispositif communicant ; - prestations souscrites par l'utilisateur du service ; ou autre. En variante ou en complément, lesdits critères de choix sont définis par la borne d'accès relativement aux données lues de dispositifs communicants ayant précédemment accédés à ladite borne d'accès. A titre d'exemple, les critères de choix sont ainsi relatifs à : - la criticité d'une information à diffuser en regard des données lues par la borne ; - la redondance d'une bribe de données à mettre en oeuvre ; - une communication de nouvelles prestations souscrites par des utilisateurs ; ou autre.
Dans une réalisation avantageuse, les critères de choix adaptent la quantité de données à écrire par la borne en fonction de la capacité mémoire disponible (renseignée dans les données personnelles par exemple) d'un dispositif communiquant accédant. Ainsi, on évite d'écraser ou de perdre des données à écrire suite à une insuffisance mémoire. Par ailleurs, les critères de choix déterminent, en fonction de l'espace mémoire restant, les données estimées prioritaires ou critiques à écrire, notamment afin de remonter ces données au plus vite auprès du système central. Selon un autre exemple, la borne d'accès écrit les données tierces en fonction de critères de choix basés sur le comportement d'utilisation du service par l'utilisateur du dispositif accédant (bornes d'accès consultées habituellement, prestation du service la plus sollicitée, etc.). A titre illustratif, les données écrites sont alors des données de mise à jour à destination d'une borne que l'utilisateur fréquente régulièrement. Avantageusement, les données tierces du dispositif communicant comprennent des données personnelles d'au moins un autre dispositif. Par ailleurs, on entend par « données personnelles » tout type de donnée associée à une information concernant le dispositif communicant lui-même et/ou relative à l'utilisateur du dispositif en question. A titre purement illustratif, les données personnelles de dispositif communicant peuvent être du type : - crédits en cours d'un compte utilisateur prépayé ; - historique d'utilisation et/ou consommation du service ; - profil, comportement ou caractéristique de l'utilisateur ; - identité et coordonnées de l'utilisateur du dispositif ; - références du compteur électrique de rattachement de l'utilisateur ; - liste des services souscrits ou accessibles ; - chaîne de validité de la facturation ; - type de dispositif (dispositif administrateur par exemple) ; - capacité mémoire totale et/ou restante du dispositif ; - ou autre. On entend par « données tierces » des données n'appartenant pas à l'utilisateur du dispositif communicant et ne le concernant pas directement. Ces données sont donc avantageusement non accessibles (via une solution de restriction d'accès par authentification par exemple) ou sécurisées par une technique de cryptographie (notamment par chiffrement de données ou impossibilité de reconstruction d'information sans la possession de n parmi m informations). En l'occurrence, les données tierces de service peuvent être du type : - listes de dispositifs communicants autorisés à accéder (dites « whitelists » en anglais) ou non (dites « blacklists » en anglais) au service local ; - historiques d'utilisation des bornes par les dispositifs communicants ; - données de services annexes ou de services autres que le service local ; - remontées d'incidents d'une borne d'accès ; - ou autre. Lorsque les données tierces de service sont des données relatives à d'autres services, on comprendra que les dispositifs communicants jouent également le rôle de support de diffusion de données à d'autres bornes d'accès, au système central et/ou à d'autres systèmes relatifs aux autres services en question, ceci selon le procédé mis en oeuvre par l'invention.
En variante ou en complément, lesdites données tierces du dispositif communicant comprennent des données de transfert à destination de la borne d'accès. On entend par données de transfert des données de mises à jour, de configuration, de message de service de la borne d'accès, ou encore d'instructions à destination d'une ou plusieurs bornes. En complément, lesdites données personnelles du dispositif communicant peuvent comprendre des informations relatives à un compte utilisateur du service local. Ainsi, les données personnelles sont par exemple des informations concernant un crédit d'utilisation disponible pour l'utilisateur, un nombre de jetons d'accès aux bornes de service, une durée de validité d'utilisation ou un montant prépayé restant. A titre purement illustratif, pour un service de délivrance d'énergie électrique depuis des bornes d'accès telles que des bornes de recharge, un utilisateur N règle un temps T de recharge auprès d'une borne non connectée. Si l'utilisateur N n'exploite pas la totalité de son temps T de recharge, son crédit temps d'utilisation peut être mis à jour sur son compte utilisateur via l'utilisateur N+1 accédant ultérieurement à la même borne. En effet, l'utilisateur N+1 récupère les informations personnelles de l'utilisateur N (et donc les informations du temps non utilisé) lorsque la borne écrit les données personnelles de l'utilisateur N dans les données tierces de l'utilisateur N+1. Ensuite, lorsque l'utilisateur N+1 se présente à une borne d'accès connectée, les données tierces lues par la borne permettent d'obtenir les informations du temps non utilisé par l'utilisateur N de sorte à les remonter auprès du système central et les mettre à jour en conséquence sur le compte de l'utilisateur N. Avantageusement, lesdites données écrites par la borne d'accès sont chiffrées et les données lues depuis le dispositif communicant sont déchiffrées par la borne d'accès, ceci selon une technique de cryptographie adaptée au dispositif communicant. Ainsi, la sécurité d'accès aux données contenues en mémoire du dispositif communicant est renforcée.
En variante ou en complément, lesdites données lues dudit dispositif communicant sont sécurisées par un contrôle d'accès. En ce sens, les données ne sont rendues accessibles à la borne qu'après avoir rempli des critères d'authentification prédéterminés (code secret tapé sur la borne par l'utilisateur du dispositif par exemple). En variante ou en complément, les données contenues par le dispositif communicant peuvent être sécurisées par un processus de demande d'authentification ou autres méthodes de sécurisation qui apparaîtront à l'homme du métier. L'invention concerne aussi un programme informatique comportant des instructions pour la mise en oeuvre du procédé précité lorsque ce programme est exécuté par une unité électronique de traitement de données. Typiquement, cette unité électronique de traitement de données peut être un processeur, un microcontrôleur ou autres moyens aptes à traiter des données informatiques. Un exemple des principales étapes mises en oeuvre par ce programme informatique sont représentées à la figure 2.
L'invention concerne également une borne d'accès à un service local comprenant : un moyen de gestion de l'accès au service ; - un module de lecture/écriture de données contenues dans un dispositif communicant ; - un moyen de stockage de données adapté à enregistrer au moins une partie des données lues dans le dispositif communicant, les données lues du dispositif étant des données personnelles relatives au dispositif communicant et/ou des données tierces de service ; - un contrôleur adapté à commander l'écriture dans le dispositif communicant de données tierces choisies parmi un ensemble de données tierces du service enregistrées dans ledit moyen de stockage, le choix des données tierces à écrire étant fonction de critères de choix. En complément, le contrôleur peut être prévu pour commander la lecture dans le dispositif communicant de données tierces. Typiquement, cette commande de lecture permet de lire tout ou partie des données personnelles du dispositif communicant ou des données tierces de service qu'il comporte, ou encore des données personnelles et des données tierces conjointement. Lors d'une lecture des données, la borne d'accès peut mettre à jour une base de données constituée en son moyen de stockage. Toutefois, si les données lues sont déjà présentes dans la base de données de la borne, les données lues mettent à jour la base de données seulement si elles sont plus récentes que celles déjà enregistrées.
Lors d'une écriture de données, la borne d'accès met à jour les données contenues par un dispositif communicant selon les critères de choix précités (redondance de données, criticité de données à diffuser, espace mémoire restant, etc.). Ainsi, les données lues mettent à jour la base de données des bornes et les données écrites constituent des données à mettre à jour auprès d'autres bornes d'accès ou du système central. De cette manière, les données du service sont convenablement relayées entre les entités du service permettant alors de délivrer convenablement le service sur la base des données diffusées par les dispositifs communicants. Préférentiellement, la borne est prévue pour établir au moins une communication locale avec un dispositif communicant. On entend par communication locale une communication entre la borne et le dispositif dans un périmètre de quelques mètres. Typiquement, cette communication peut être mise en oeuvre selon : - une liaison sans-fil locale selon la norme IEEE 802.11 (comme le Wi-Fi), la norme IEEE 802.15.4 (comme du ZigBee), infrarouge, Bluetooth, ou autre ; - en champ proche selon une technologie d'identification radiofréquence RFID par exemple (pour « Radio Frequency IDentification » en anglais) ; - ou autre. Avantageusement, lesdits critères de choix sont déterminés par le contrôleur relativement aux données lues du dispositif communicant. En complément ou en variante, lesdits critères de choix sont déterminés par le contrôleur relativement aux données lues enregistrées dans ledit moyen de stockage.
En complément ou en variante, lesdites données tierces lues du dispositif communicant comprennent des instructions à destination de la borne pour exécution par le contrôleur. Ces instructions sont avantageusement comprises dans les données de transfert précitées. Ainsi, les données communiquées ou à communiquer par les dispositifs peuvent être : - des données de mises à jour logicielles des bornes ; - des messages de service ; - des données d'ordre ou de services particuliers à mettre en oeuvre par des bornes ; - ou autre. Avantageusement, la borne d'accès peut comprendre des moyens de chiffrement/déchiffrement de données prévus pour la mise en oeuvre de la technique de cryptographie précitée de données lues/écrites selon le procédé. Une telle technique peut en outre permettre de vérifier la provenance des données lues/écrites et l'intégrité de ces données de sorte à sécuriser encore davantage l'accès aux données contenues sur les dispositifs communicants.
En variante ou en complément, la borne peut comprendre un moyen de contrôle d'accès auxdites données lues. Ce moyen de contrôle d'accès peut être prévu pour authentifier un utilisateur (par exemple via un code secret) afin d'ensuite autoriser l'accès auxdites données lues sécurisées précitées. Selon un mode de réalisation d'une borne connectée, la borne d'accès comprend avantageusement un moyen de communication à distance. Dans ce mode de réalisation, le dispositif communicant et/ou le système central peuvent comporter un moyen de communication correspondant de sorte à pouvoir établir une communication à distance avec la borne d'accès. Ainsi, la lecture/écriture de données du dispositif communicant par la borne peut être effectuée à distance, comme les mises à jour réalisées avec le système central. Typiquement, le moyen de communication à distance précité peut être un module de communication de réseau cellulaire (adapté à la norme téléphonique 3G par exemple). Selon une autre réalisation possible, seuls le système central et les dispositifs communicants comportent un moyen de communication à distance. De cette manière, les mises à jour de données de service entre les bornes d'accès et le système central peuvent être réalisées à distance directement via les dispositifs communicants. Ainsi, on comprendra qu'aucune liaison (ni filaire, ni par réseau cellulaire) n'est alors requise entre les bornes et le système central, les données étant ici rapatriées et diffusées : - auprès des bornes d'accès lors d'une consultation de la borne par les dispositifs communicants (lecture/écriture de données à communiquer), et - auprès du système central par l'intermédiaire du moyen de communication à distance des dispositifs (envoi/réception de données à diffuser). A titre illustratif, les données de service sont communiquées par des dispositifs communicants suivant une diffusion invisible pour l'utilisateur (par l'intermédiaire d'une technologie OTA par exemple, « Over The Air » en anglais).
L'invention concerne en outre un système d'accès à un service local comprenant : - au moins un système d'information (nommé système central précédemment) comprenant des données de service ; - au moins un dispositif communicant ; et - au moins la borne précitée d'accès au service.
D'autres avantages et caractéristiques de l'invention apparaîtront à la lecture de la description détaillée ci-après d'exemples de réalisations présentés à titre illustratif, aucunement limitatifs, et en référence aux dessins annexés sur lesquels : - la figure 1 illustre le système d'accès à un service local selon l'invention ; - la figure 2 est un organigramme du procédé selon l'invention ; - les figures 3a et 3b illustrent un exemple d'accès au service local d'un dispositif communicant via une borne connectée ; - les figures 4a, 4b et 4c illustrent un exemple d'accès au service local du dispositif communicant via une borne non connectée ; - la figure 5a, 5b et 5c illustrent un exemple d'accès au service local du dispositif communicant via la borne connectée, ceci après avoir consulté une borne non connectée ; et - la figure 6 illustre la répartition et la redondance des données tierces écrites par les bornes sur les dispositifs communicants.
Pour des raisons de clarté, les dimensions des différents éléments représentés sur ces figures ne sont pas nécessairement en proportion avec leurs dimensions réelles. Sur les figures, des références identiques correspondent à des éléments identiques. On se réfère tout d'abord à la figure 1 sur laquelle est illustré un exemple de système d'accès à un service local conforme à l'invention et comprenant : - le système central SC, lequel comprend des données de service et notamment du service local en question ; - des bornes d'accès au service local, dont au moins une borne d'accès BC connectée au système central SC et au moins une borne d'accès BNC non connectée ; - des dispositifs communicants DC1 à DC4, chacun comportant un espace mémoire MEM prévu pour être lu et/ou écrit par des bornes d'accès BC et BNC et ainsi comporter des données personnelles (représentées par des cercles vides) du dispositif communicant et/ou des données tierces de service (représentées par des cercles pleins).
A titre d'exemple, le service local visé peut concerner la délivrance d'énergie électrique au niveau des bornes d'accès ou la location d'un véhicule à partir de ces bornes. Toutefois, le service local peut concerner d'autres services qui apparaîtront à l'homme du métier au regard de l'objet de l'invention. Le système central SC est typiquement un système d'information distant de type serveur.
Un rôle du système central SC est notamment de réunir, contrôler et diffuser les données associées à des services et en l'occurrence, des données liées au service local.
La borne d'accès BC est connectée au système central SC par l'intermédiaire d'une liaison L 1 pouvant être physique comme par exemple une connexion filaire à haut débit. Alternativement, la borne BC est connectée au serveur central SC via un lien de communication cellulaire, aussi détaillé plus loin. Bien évidemment, on comprendra que la borne d'accès BNC est une borne non connectée au système central SC, ne disposant pas, par définition, de liaison de communication directe avec celui-ci. Les dispositifs communicants représentés à titre illustratif sont tels que : - le dispositif communicant DC1 ne comporte ici que des données personnelles relatives au dispositif communicant ; - le dispositif communicant DC2 n'a pas de droits d'accès au service local ; - le dispositif communicant DC3 comporte des données personnelles et des données de transfert à communiquer à une borne d'accès non connectée BNC ; et - le dispositif communicant DC4 comporte des données personnelles et des données tierces de service (comprenant des données personnelles d'un autre dispositif) à diffuser aux autres bornes d'accès de sorte à les remonter auprès du système central SC. Dans un mode de réalisation possible, le dispositif communicant DC2 est lu/écrit par la borne d'accès afin de récupérer/écrire les données qu'il comporte, ceci sans toutefois lui délivrer le service pour lequel il n'a pas les droits d'accès. Ainsi, on comprendra que d'autres dispositifs que ceux aptes à se voir délivrer le service peuvent également propager les données entre différentes bornes d'accès. A la lumière des données personnelles précédemment décrites, on comprendra que ces données concernent directement le dispositif communicant (droits d'accès, type de dispositif administrateur/utilisateur, taille mémoire, etc.), un compte utilisateur (crédit restant, prestation souscrites, etc.) ou l'utilisateur du dispositif (identité et coordonnées, référence compteur de rattachement, etc.). Ici, les dispositifs communicants sont représentés sous la forme de carte avec un espace mémoire MEM, laquelle carte est apte à établir une communication locale avec les bornes d'accès BC et BNC. En particulier, cette carte peut être de type carte à puce. Toutefois, on comprendra que cet exemple est purement illustratif et non limitatif, les dispositifs communicants pouvant être également : - des téléphones portables ou tablettes numériques, lesquels disposent d'un module de communication en champ proche répondant à la norme NFC par exemple (pour « Near Field Communication » en anglais) ; - des dispositifs électroniques avec un module de communication de type Bluetooth ; - des ordinateurs portables à connexion Wi-Fi ; - ou autre. Par ailleurs, les bornes d'accès BC et BNC qui sont les points d'entrée pour accéder au service local, comprennent : - un moyen de gestion de l'accès au service (non représenté sur les figures) ; - un module de lecture/écriture COM de données contenues dans un dispositif communicant ; - un moyen de stockage de données DB adapté à enregistrer au moins une partie des données lues dans le dispositif communicant, les données lues du dispositif étant des données personnelles relatives au dispositif communicant et/ou des données tierces de service ; - un contrôleur CTRL adapté à commander l'écriture dans le dispositif communicant de données tierces choisies parmi un ensemble de données tierces de service enregistrées dans ledit moyen de stockage, le choix des données tierces à écrire étant fonction de critères de choix.
Le module COM est adapté pour lire/écrire localement les données sur des dispositifs communicants cherchant à accéder au service local. On entend par « localement », une lecture/écriture pouvant être effectuée dans un périmètre de quelques mètres, ceci selon les limites de la technologie de communication utilisée par les bornes d'accès et les dispositifs communicants (NFC, Bluetooth, Wi-Fi, etc.).
Le contrôleur CTRL peut constituer un moyen de mise en oeuvre d'une technique de cryptographie permettant notamment un chiffrement/déchiffrement sécurisant l'accès aux données contenues dans l'espace mémoire MEM des dispositifs communicants. Dans un mode de réalisation, les bornes d'accès BC comportent un moyen de communication à distance (non représenté sur les figures). Ainsi, les bornes peuvent communiquer à distance avec le système central SC via un réseau NET et une liaison L2 de type réseau cellulaire de téléphonie mobile. Dans ce mode de réalisation, on peut envisager une communication à distance directement établie entre les bornes et les dispositifs communicants (lesquels auraient un moyen de communication longue portée). Les données tierces de service ne concernent pas directement l'utilisateur du dispositif communicant. Ces données sont donc avantageusement non accessibles et/ou sécurisées.
Les données tierces de service peuvent être par exemple : - des données personnelles d'au moins un autre dispositif communicant ; - des listes de dispositifs communicants autorisés à accéder ou non au service local ; - des historiques d'utilisation de borne par des dispositifs communicants ; - des données de transfert à destination de bornes d'accès ; ou - des données de divers services, alternativement ou en complément de ceux délivrés par les bornes d'accès. Ainsi, à son insu, l'utilisateur reçoit et diffuse des données tierces de service lors de son utilisation du service local avec son dispositif communicant. En l'espèce, lorsqu'un utilisateur se présente à une borne d'accès BC connectée, tout ou partie des données contenues dans la mémoire MEM du dispositif communicant peuvent être enregistrées sur le moyen de stockage DB de la borne et communiquées au système central SC qui les intègre aux données liées au service local et/ou à d'autres services si elles y sont associées. En retour, et comme expliqué en référence aux prochaines figures, les données peuvent être écrites en fonction de critères de choix déterminés par le contrôleur CTRL de la borne. Les données écrites peuvent complétées, remplacées ou effacées les données que comporte la mémoire MEM des dispositifs communicants par des données à diffuser aux autres bornes, notamment les non connectées. Lorsque l'utilisateur se présente à une borne d'accès BNC non connectée, tout ou partie des données contenues dans la mémoire MEM de son dispositif sont également stockées sur le moyen DB de la borne BNC. A ce titre, il est avantageux de prévoir des moyens de stockage DB aux capacités élevées, au moins pour ces bornes BNC qui ne sont pas prévues pour récupérer directement les données auprès du système central SC. Ainsi, pour substituer la connexion directe, toutes les données des dispositifs accédants au service sont sauvegardées de sorte à constituer une base de données de service en local. On comprendra que les bornes d'accès (notamment les bornes BNC) peuvent alors jouer un rôle de « tampon » ou « répéteur » permettant de fiabiliser la diffusion, la répartition et la redondance des données comme expliqué plus loin. De telles bornes peuvent être choisies grâce aux critères de choix déterminés à l'écriture de données, relayant alors des informations à diffuser au sein du système. Le phénomène de diffusion des données décrit ci-dessus peut être comparé à une « pollinisation » de données par les dispositifs communicants auprès des bornes.
Selon un mode de réalisation, un dispositif communicant de type administrateur peut comporter un espace mémoire MEM de taille plus importante qu'un dispositif communicant de type utilisateur. De cette manière, les dispositifs communicants « administrateurs » peuvent contenir plus de données tierces de service, plus de données tierces de transfert ou autre.
On comprendra que par le biais de la répartition et de la redondance des données (détaillées plus loin) effectuées par les bornes BC et BNC sur les dispositifs communicants, une perte ou une destruction d'un des dispositifs communicants (le dispositif DC1 par exemple) ne met pas en péril le système puisqu'il est possible de récupérer les données qu'il contenait initialement auprès d'autres bornes auxquelles il s'est déjà présenté ou via ses données écrites dans les données tierces d'autres dispositifs (par exemple le dispositif DC4). On se réfère maintenant à la figure 2 sur laquelle on a représenté les principales étapes du procédé mis en oeuvre par les bornes d'accès BC et BNC. Dans une première étape S 1, un dispositif communicant DC est approché de la borne d'accès dans l'intention d'accéder au service. Le dispositif communicant DC est alors détecté par le module COM lorsqu'il est à une distance suffisante pour établir une communication locale. Dans une deuxième étape S2, le contrôleur CTRL commande au module COM la lecture d'au moins une partie des données du dispositif communicant pour déterminer si le dispositif accédant a des droits et/ou une autorisation d'accès au service et/ou à la borne. Le cas échéant, les données lues par le module COM peuvent êtres déchiffrées par le contrôleur CTRL selon une technique de cryptographie appropriée à celle procédée par les bornes lors de l'écriture de données sur les dispositifs. Lorsque le dispositif communicant accédant n'a pas de droits ni d'autorisation d'accès (flèche N à l'issue du test de l'étape S2), la communication avec le dispositif communicant est achevée par la borne (selon l'étape S8), le service n'étant alors pas délivré. Lorsque le dispositif communicant a effectivement les droits et/ou l'autorisation d'accès (flèche O à l'issue du test de l'étape S2), le contrôleur CTRL commande au module COM à une étape S3 la lecture de la totalité des données ME-data du dispositif communicant DC contenues dans son espace mémoire MEM, lesquelles données comprennent les données personnelles du dispositif communicant accédant et/ou des données tierces de service. A une étape S4, les données MEMdata sont comparées avec les données DBdata, ces dernières étant mémorisées dans le moyen de stockage DB de la borne. Les DBdata peuvent être des données lues sur des dispositifs communicants ayant précédemment accédés à la borne ou des données en provenance du système central si la borne est connectée. Lorsque la comparaison des données MEMdata et DBdata détermine que des données MEMdata sont plus récentes que des données DBdata (flèche O à l'issue du test de l'étape S4), alors le contrôleur commande à une étape S5 la mise à jour des données DBdata par les données lues MEMdata plus récentes, ceci via une fonction de mise à jour MAJ par exemple. Lorsque les données MEMdata ne sont pas plus récentes (flèche N à l'issue du test de l'étape S4), la borne d'accès met directement en oeuvre une étape S6. A l'étape S6, le contrôleur CTRL de la borne choisi des données DBdatacc selon les critères de choix, nommés ici CC, parmi les données lues MEMdata et les données DBdata. Les critères de choix CC déterminés par le contrôleur CTRL sont définis relativement : - aux données lues MEMdata du dispositif communicant accédant, lesquelles auront pu être mises à jour dans le moyen de stockage DB ; - aux données lues de dispositifs communicants ayant précédemment accédé à la borne d'accès, données DBdata déjà contenues dans DB.
Comme précité, les critères de choix peuvent être une urgence de diffusion d'information, une redondance ou une répartition de données à réaliser, les capacités mémoires du dispositif communicant ou autre. A une étape suivante S7, le contrôleur CTRL commande au module COM l'écriture sur le dispositif communicant DC accédant des données choisies DBdatacc. Les données écrites par le module COM mettent alors à jour les données MEMdata contenues dans l'espace mémoire MEM du dispositif DC, ceci selon une fonction MAJ équivalente. Les données écrites par le module COM peuvent êtres chiffrées par le contrôleur CTRL à cette étape. A la suite de l'étape S7, la borne peut mettre fin à la communication avec le dispositif communicant DC selon une étape S8 et délivrer le service ou la prestation requise par l'utilisateur. Les données choisies DBdatacc écrites sur le dispositif DC seront communiquées par le dispositif communicant DC lui-même auprès d'autres bornes d'accès auxquelles l'utilisateur du dispositif se présentera ultérieurement. Les données DBdatacc pourront d'ailleurs être remontées au système central SC si l'une des bornes auxquelles l'utilisateur accède est une borne d'accès BC connectée. Toutefois, l'organigramme de la figure 2 n'est nullement limitatif et les étapes peuvent être mises en oeuvre selon un ordonnancement différent. A titre d'exemple, l'étape S2 de détermination des droits d'accès du dispositif DC peut intervenir à la suite des étapes S3 à S7. Dans un tel exemple, on comprendra alors que les données d'un dispositif n'ayant pas de droits d'accès au service (comme le dispositif DC2 précité) peuvent tout de même être lues/écrites par les bornes de sorte à propager des données de service.
En référence maintenant aux figures 3 à 10, on a illustré un exemple de mise en pratique du procédé sur les bornes du système d'accès. A la figure 3a en l'occurrence, un utilisateur présente son dispositif communicant DC pour accéder au service local à la borne BC connectée. De façon analogue aux étapes Si et S2, le dispositif DC est ici détecté par le module COM de la borne BC, le contrôleur CTRL commandant alors la lecture d'au moins une partie des données contenues dans l'espace mémoire MEM du dispositif DC. Ici, les données personnelles (cercles vides dans MEM) comprennent effectivement une autorisation d'accès au service. En outre, les données personnelles du dispositif DC sont déjà comprises dans le moyen de stockage DB de la borne BC (l'utilisateur ayant par exemple auparavant accédé au moins une fois à cette borne). A ce titre, les données personnelles ont déjà été remontées, via la liaison L1 ou L2, auprès du système central SC qui les a enregistrées en interne comme des données tierces liées au service local. Toutefois, si les données personnelles contenues dans la mémoire MEM du dispositif DC sont plus récentes que les données correspondantes sur le moyen DB (flèche O à la sortie de l'étape S4 précitée), alors les données lues dans MEM mettent à jour les données correspondantes dans DB (selon l'étape S5). Par la suite, les données mises à jour dans DB seront remontées par la borne BC au système central SC. En référence maintenant à la figure 3b, le contrôleur CTRL commande l'écriture (selon les étapes S6 et S7) de données tierces de type données de transfert, lesquelles sont destinées à d'autres bornes (par exemple pour leur mise à jour logicielle). Ainsi, les données de transfert comprises sur DB de la borne BC sont écrites par le module COM sur la MEM du dispositif DC.
Après avoir accédé au service local auprès de la borne d'accès BC, l'utilisateur se présente à une borne d'accès BNC non connectée comme illustrée à la figure 4a. Cette borne d'accès comprend les données personnelles d'un utilisateur ayant précédemment accédé à cette borne.
Après détection du dispositif DC par le module COM de la borne BNC, on se réfère maintenant à la figure 4b sur laquelle le contrôleur CTRL de la borne BNC commande la lecture des données du dispositif DC accédant. A cet égard, on comprendra que la borne BNC récupère les données de transfert qui lui étaient destinées selon l'exemple pour une mise à jour logicielle. Le contrôleur CTRL est adapté pour mettre en oeuvre les instructions relatives aux données de transfert et effectivement mettre à jour la borne. Ensuite, dans un exemple possible, les données de l'utilisateur précédent sont à remonter rapidement au système central SC. Ainsi, conformément aux étapes S6 et S7 précitées et en référence à la figure 4c, le contrôleur CTRL commande l'écriture des données tierces choisies (en l'occurrence les données personnelles de l'utilisateur précédent) sur le dispositif DC. En outre, l'utilisateur du dispositif DC souscrit sur la borne BNC à une nouvelle prestation du service local. Le contrôleur CTRL de la borne BNC commande alors également l'écriture via le module COM des données personnelles relatives à cette nouvelle souscription (représentées sur la figure par deux cercles vides supplémentaires). On se réfère maintenant à la figure 5a sur laquelle l'utilisateur du dispositif communicant DC demande à nouveau un accès au service local auprès d'une borne BC connectée. A la figure 5b, le module COM lit sur le dispositif DC les nouvelles données liées à la souscription précitée et aux données tierces concernant l'utilisateur l'ayant précédé sur la borne BNC. Ces données lues sont enregistrées par le contrôleur CTRL sur le moyen DB de la borne BC. Ainsi, comme représenté à la figure 5c, la borne BC connectée peut remonter les nouvelles données lues sur le dispositif DC auprès du système central SC qui les stocke comme des nouvelles données associées audit service local. Dans une réalisation avantageuse, les données tierces écrites par la borne selon les critères de choix peuvent être seulement une partie de données nécessaires (sous forme de bribes de données) pour reconstruire une instruction ou une information complète lors d'une lecture.
Ainsi, quand bien même une attaque malveillante réussirait à atteindre les données tierces d'un dispositif, les bribes de données tierces comportées ne permettent pas la reconstruction complète d'instruction ou information. Pour ce faire, les critères de choix déterminés visent à répartir les différentes bribes de données constituant l'instruction/information à diffuser parmi différents dispositifs accédants aux bornes. Une même bribe de données peut être écrite sur plusieurs dispositifs communicants accédants, consécutifs ou non, assurant une redondance de la bribe. En référence à la figure 6, on a illustré un exemple de la répartition et de la redondance de données. On comprendra que l'ordonnancement par rapport à N est relatif à l'ordre de passage des dispositifs auprès de la borne BNC non connectée. Ici, des données tierces sont lues sur le dispositif DCN-4. Les données tierces lues constituent en l'occurrence une information à diffuser auprès d'une borne d'accès particulière. La borne BNC stocke alors ces données tierces dans son moyen de stockage DB. Le critère de choix alors déterminé par le contrôleur de borne BNC vise à écrire les données tierces provenant de DCN-4 sur les dispositifs ayant pour habitude de consulter la borne d'accès particulière précitée. Ainsi, lorsque le dispositif DCN-1 n'a, d'après ses données personnelles, jamais accédé à ladite borne particulière, la borne BNC n'écrit pas lesdites données tierces à diffuser sur DCN-1. Toutefois, le dispositif DCN est quant à lui habitué à accéder au service local auprès de cette borne et il convient de lui diffuser les données en question. Le contrôleur CTRL commande alors l'écriture d'une première bribe de données des données tierces provenant de DCN-4. Lorsque le dispositif DCN+8 accède à BNC, lequel a les mêmes habitudes que DCN, alors le contrôleur CTRL commande l'écriture d'une deuxième bribe de données sur DCN+8. Le contrôleur CTRL pourra commander, en redondance, l'écriture de la première bribe de données sur un dispositif DCN+10 accédant par la suite.
Bien entendu, la présente invention a été décrite selon quelques exemples de réalisation mais peut s'appliquer à d'autres réalisations qui apparaitront à l'homme du métier. A titre d'exemple, la validité des droits d'accès d'un dispositif communicant pourraient être temporaires (validité de quelques semaines seulement par exemple) de sorte que l'utilisateur soit contraint de se présenter régulièrement à une borne connectée et obtenir une mise à jour des données de services selon les données de service issues directement du système central.

Claims (17)

  1. REVENDICATIONS1. Procédé d'accès à un service local, comprenant les étapes de : - accès au service via une borne d'accès (BC, BNC) par un communicant (DC) ; - lecture (S1, S3) par la borne d'accès (BC, BNC) de données du dispositif communicant (DC), les données étant des données personnelles relatives au dispositif communicant (DC) et/ou des données tierces de service ; - écriture (S7) par la borne d'accès des données du dispositif communicant, les données tierces écrites étant choisies (S6) parmi un ensemble de données tierces de service, le choix des données tierces à écrire (DBdatacc) par la borne d'accès (BC, BNC) étant fonction de critères de choix (CC).
  2. 2. Procédé selon la revendication 1, dans lequel lesdits critères de choix (CC) sont définis par la borne d'accès (BC, BNC) relativement aux données lues du dispositif communicant (DC).
  3. 3. Procédé selon l'une des revendications précédentes, dans lequel lesdits critères de choix (CC) sont définis par la borne d'accès (BC, BNC) relativement aux données lues de dispositifs communicants ayant précédemment accédé à ladite borne d'accès.
  4. 4. Procédé selon l'une des revendications précédentes, dans lequel lesdites données tierces du dispositif communicant (DC) comprennent des données personnelles d'au moins un autre dispositif communicant.
  5. 5. Procédé selon l'une des revendications précédentes, dans lequel lesdites données tierces du dispositif communicant (DC) comprennent des données de transfert à destination de la borne d'accès (BC, BNC).
  6. 6. Procédé selon l'une des revendications précédentes, dans lequel lesdites données écrites par la borne d'accès (BC, BNC) sont chiffrées et, les données lues depuis le dispositif communicant (DC) sont déchiffrées par la borne d'accès.
  7. 7. Procédé selon l'une des revendications précédentes, dans lequel lesdites données lues dudit dispositif communicant sont sécurisées par un contrôle d'accès.
  8. 8. Procédé selon l'une des revendications précédentes, dans lequel lesdites données personnelles du dispositif communicant (DC) comprennent des informations relatives à un compte utilisateur du service local.
  9. 9. Programme informatique comportant des instructions pour la mise en oeuvre du procédé selon l'une des revendications 1 à 8, lorsque ce programme est exécuté par une unité électronique de traitement de données.
  10. 10. Borne d'accès (BC, BNC) à un service local, comprenant - - un moyen de gestion de l'accès au service ; - un module de lecture/écriture (COM) de données contenues dans un dispositif communicant (DC) ; - un moyen de stockage de données (DB) adapté à enregistrer au moins une partie des données lues dans le dispositif communicant (DC), les données lues du dispositif étant des données personnelles relatives au dispositif communicant et/ou des données tierces de service ; - un contrôleur (CTRL) adapté à commander l'écriture dans le dispositif communicant (DC), de données tierces choisies (DBdata") parmi un ensemble de données tierces de service enregistrées dans ledit moyen de stockage (DB), le choix des données tierces à écrire étant fonction de critères de choix (CC).
  11. 11. Borne selon la revendication 10, dans laquelle lesdits critères de choix (CC) sont déterminés par le contrôleur (CTRL) relativement aux données lues du dispositif communicant (DC).
  12. 12. Borne selon l'une des revendications 10 et 11, dans laquelle lesdits critères de choix (CC) sont déterminés par le contrôleur (CTRL) relativement aux données lues enregistrées dans ledit moyen de stockage (DB).
  13. 13. Borne selon l'une des revendications 10 à 12, dans laquelle lesdites données tierces lues du dispositif communicant (DC) comprennent des instructions à destination de la borne (BC, BNC) pour exécution par le contrôleur (CTRL).
  14. 14. Borne selon l'une des revendications 10 à 13, comprenant des moyens de chiffrement/déchiffrement de données.
  15. 15. Procédé selon l'une des revendications 10 à 14, comprenant un moyen de contrôle d'accès auxdites données lues.
  16. 16. Borne selon l'une des revendications 10 à 15, comprenant un moyen de communication à distance.
  17. 17. Système d'accès à un service local comprenant : - au moins un système d'information (SC) comprenant des données de service ; - au moins un dispositif communicant (DC) ; et - au moins une borne d'accès (BC, BNC) au service selon l'une des revendications 10 à 16.
FR1253703A 2012-04-23 2012-04-23 Procede d'acces a un service local d'un dispositif communicant via une borne. Active FR2989857B1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR1253703A FR2989857B1 (fr) 2012-04-23 2012-04-23 Procede d'acces a un service local d'un dispositif communicant via une borne.
US14/396,461 US9852307B2 (en) 2012-04-23 2013-04-19 Method of access to a local service of a device communicating via a terminal
PCT/FR2013/050874 WO2013160595A1 (fr) 2012-04-23 2013-04-19 Procédé d'accès à un service local d'un dispositif communicant via une borne.
EP13723838.2A EP2842091A1 (fr) 2012-04-23 2013-04-19 Procédé d'accès à un service local d'un dispositif communicant via une borne.
JP2015507581A JP6207590B2 (ja) 2012-04-23 2013-04-19 ターミナルを介して通信するデバイスのローカルサービスへのアクセスの方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1253703A FR2989857B1 (fr) 2012-04-23 2012-04-23 Procede d'acces a un service local d'un dispositif communicant via une borne.

Publications (2)

Publication Number Publication Date
FR2989857A1 true FR2989857A1 (fr) 2013-10-25
FR2989857B1 FR2989857B1 (fr) 2014-12-26

Family

ID=48468618

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1253703A Active FR2989857B1 (fr) 2012-04-23 2012-04-23 Procede d'acces a un service local d'un dispositif communicant via une borne.

Country Status (5)

Country Link
US (1) US9852307B2 (fr)
EP (1) EP2842091A1 (fr)
JP (1) JP6207590B2 (fr)
FR (1) FR2989857B1 (fr)
WO (1) WO2013160595A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140344796A1 (en) * 2013-05-20 2014-11-20 General Electric Company Utility meter with utility-configurable sealed data

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0643373A2 (fr) * 1993-09-10 1995-03-15 Siemens Aktiengesellschaft Dispositif pour le transfert de données avec des cartes à circuit intégré
EP0798671A2 (fr) * 1996-03-25 1997-10-01 Deutsche Telekom AG Terminal de données autonome avec des capacités virtuelles d'utilisation en direct
WO1997036265A1 (fr) * 1996-03-28 1997-10-02 Gerrit Vriend Reseau teleinformatique et carte electronique utilisable dans ce cadre
FR2820525A1 (fr) * 2001-02-05 2002-08-09 Schlumberger Systems & Service Procede de transfert de donnees entre des terminaux de service et des moyens transactionnels

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3722751B2 (ja) 2000-03-15 2005-11-30 スイスコム・モバイル・アクチエンゲゼルシヤフト オフラインチップカード端末におけるパラメータの配布方法ならびにそれに適したチップカード端末およびユーザチップカード
JP2003330829A (ja) * 2002-05-17 2003-11-21 Toppan Printing Co Ltd 情報配信システム及び情報記憶表示媒体
US8351350B2 (en) * 2007-05-28 2013-01-08 Honeywell International Inc. Systems and methods for configuring access control devices
US8052060B2 (en) * 2008-09-25 2011-11-08 Utc Fire & Security Americas Corporation, Inc. Physical access control system with smartcard and methods of operating
EP2408984B1 (fr) * 2009-03-19 2019-11-27 Honeywell International Inc. Systèmes et procédés de gestion de dispositifs de contrôle d'accès
US9280365B2 (en) * 2009-12-17 2016-03-08 Honeywell International Inc. Systems and methods for managing configuration data at disconnected remote devices
US8707414B2 (en) * 2010-01-07 2014-04-22 Honeywell International Inc. Systems and methods for location aware access control management

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0643373A2 (fr) * 1993-09-10 1995-03-15 Siemens Aktiengesellschaft Dispositif pour le transfert de données avec des cartes à circuit intégré
EP0798671A2 (fr) * 1996-03-25 1997-10-01 Deutsche Telekom AG Terminal de données autonome avec des capacités virtuelles d'utilisation en direct
WO1997036265A1 (fr) * 1996-03-28 1997-10-02 Gerrit Vriend Reseau teleinformatique et carte electronique utilisable dans ce cadre
FR2820525A1 (fr) * 2001-02-05 2002-08-09 Schlumberger Systems & Service Procede de transfert de donnees entre des terminaux de service et des moyens transactionnels

Also Published As

Publication number Publication date
JP6207590B2 (ja) 2017-10-04
US9852307B2 (en) 2017-12-26
EP2842091A1 (fr) 2015-03-04
FR2989857B1 (fr) 2014-12-26
US20150135334A1 (en) 2015-05-14
JP2015523616A (ja) 2015-08-13
WO2013160595A1 (fr) 2013-10-31

Similar Documents

Publication Publication Date Title
CA2941313C (fr) Procede de controle d'acces a une zone reservee avec controle de la validite d'un titre d'acces stocke dans la memoire d'un terminal mobile
WO2016034810A1 (fr) Gestion de ticket électronique
WO2014207404A1 (fr) Procédé de changement de clé d'authentification
WO2015059389A1 (fr) Procede d'execution d'une transaction entre un premier terminal et un deuxieme terminal
EP2047698B1 (fr) Personnalisation d ' un terminal de radiocommunication
WO2016207715A1 (fr) Gestion securisee de jetons électroniques dans un telephone mobile.
FR2989857A1 (fr) Procede d'acces a un service local d'un dispositif communicant via une borne.
FR2979731A1 (fr) Procede et systeme d'attestation numerique de l'association entre une entite et un lieu
EP1413158B1 (fr) Procede d'acces a un service specifique propose par un operateur virtuel et carte a puce d'un dispositif correspondant
EP1859417A1 (fr) Procede de transfert securise par carte securisee
WO2005079079A2 (fr) Procedes de securisation d’appareils tels que des terminaux mobiles, et ensembles securises comprenant de tels appareils
EP2911365B1 (fr) Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation
CA2259528A1 (fr) Procede de controle de l'utilisation d'un messageur, messageur fonctionnant selon ce procede et carte a puce pour l'acces conditionne a un messageur
EP4441954A1 (fr) Procédé de traitement de preuve numérique, système et programme correspondant
WO2003073780A1 (fr) Procede de controle d'access a au moins certaines fonctions d'un terminal telephonique mobile
FR2853785A1 (fr) Entite electronique securisee avec compteur modifiable d'utilisations d'une donnee secrete
FR3146739A1 (fr) Système de mises à jour informatiques à distance pour une flotte d’objets informatiques
FR3089377A1 (fr) Module électronique connectable formé de grappes d’éléments sécurisés
FR3038176A1 (fr) Fourniture et gestion de profils sur un element securise, element securise et serveur associes
WO2002063575A2 (fr) Procede de transfert de donnees entre des terminaux de service et des moyens transactionnels
FR3060161A1 (fr) Technique de gestion d'un droit d'acces a un service pour un dispositif communicant
WO2015193623A1 (fr) Procédé de transfert de données, compteur de fluide, dispositif de communication passif, support et ensemble de transfert associés
FR3006543A1 (fr) Procede de localisation d'un equipement dans un reseau

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13