WO2005001584A2 - Dispositif de securite et son procede de fonctionnement - Google Patents

Dispositif de securite et son procede de fonctionnement Download PDF

Info

Publication number
WO2005001584A2
WO2005001584A2 PCT/FR2004/001547 FR2004001547W WO2005001584A2 WO 2005001584 A2 WO2005001584 A2 WO 2005001584A2 FR 2004001547 W FR2004001547 W FR 2004001547W WO 2005001584 A2 WO2005001584 A2 WO 2005001584A2
Authority
WO
WIPO (PCT)
Prior art keywords
identification data
authorized
identification
rule
state
Prior art date
Application number
PCT/FR2004/001547
Other languages
English (en)
Other versions
WO2005001584A3 (fr
Inventor
Jamal Ben Bouazza
Original Assignee
R.I.F.L. Realisations Informatiques Et Formation Logiciels
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=33515379&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=WO2005001584(A2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by R.I.F.L. Realisations Informatiques Et Formation Logiciels filed Critical R.I.F.L. Realisations Informatiques Et Formation Logiciels
Priority to EP04767403A priority Critical patent/EP1671191A2/fr
Publication of WO2005001584A2 publication Critical patent/WO2005001584A2/fr
Publication of WO2005001584A3 publication Critical patent/WO2005001584A3/fr

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24155Load, enter program if device acknowledges received password, security signal
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24162Biometric sensor, fingerprint as user access password
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24168Identify connected programmer to allow control, program entry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the present invention relates generally to the field of securing equipment whose access, use or even control must be protected, in particular against unauthorized users. More specifically, the invention relates, according to a first of its aspects, to a security device, comprising at least one input and at least one output to which is connected a control line of at least one item of equipment to be secured, said device comprising means for acquiring identification data, means for managing identification data comprising means for storing authorized identification data and processing means generating an identification signal if a comparison is successful between an identification data item acquired with one of the stored identification data, said management means being connected to means for controlling the control line producing on the control line an output signal consisting of a vector with at least a component.
  • the security device finds a very particular application, in particular for the use of machines / equipment against unauthorized users, for the physical isolation of computers / servers connected to local or remote networks of the Intranet type. or the Internet, for securing electrical controls on industrial sites, for example programmable logic controllers, or even for restricting access to sensitive premises such as research laboratories, nuclear sites, safes, etc. ..
  • the security systems for such applications in the prior art are not entirely satisfactory.
  • the function of securing a computer, server or any other equipment connected to a computer network is often carried out by the equipment itself by using its own hardware and software resources .
  • a fingerprint sensor is analyzed by a processing unit and, when particular characteristics of this image are recognized, a relay is commanded to open or close a switch.
  • a device remains limited to simple applications where it is not necessary to know the nature of the signals carried by the lines controlled by the device.
  • an object of the present invention to provide a security device based on a physical identification of people and which overcomes the aforementioned drawbacks, in particular which is simple to implement, flexible to use and capable of being used under a unique form in multiple applications, from simple access control to securing complex electrical controls.
  • the security device of the invention is essentially characterized in that an input line on which an input signal passes at least one component is connected to said input, and in that the line control means control the state of the output signal as a function, on the one hand, of the state of the input signal, and, on the other part of the identification signal
  • the input and output signals comprise a plurality of components, the state of each of the components of the output signal being a function, on the one hand, of the state of at least a corresponding component of the input signal and, on the other hand, of the identification signal.
  • the identification data includes biometric data.
  • the means for acquiring identification data comprise a fingerprint sensor.
  • the means for acquiring identification data comprise a badge reader with contact.
  • the means for acquiring identification data comprise a badge reader without contact.
  • the device comprises means for connecting to the outside.
  • the connection means comprise a USB port, a serial link of RS232 type, an infrared link or a radio link.
  • the line control means comprise a table of rules for evaluating the state of the output signal associated with the authorized identification data.
  • the line control means are made in wired logic.
  • the line control means comprise a programmable logic circuit of the PLD, CPLD or FPGA type.
  • the line control means comprise a microcontroller circuit.
  • the identification data management means comprise a microcontroller circuit.
  • the line control means and the identification data management means are grouped on the same microcontroller circuit.
  • the identification data storage means comprise a non-volatile memory.
  • the security device comprises display means and signaling means.
  • the invention also relates to a method of operating the security device as it has just been defined, characterized in that it comprises two distinct operating modes, a first mode known as programming mode and a second mode known as identification mode, said programming mode comprising a step consisting in parameterizing the device with a identification data table comprising at least one authorized identification data and another step consisting in configuring the device with a table of rules for evaluating the state of the output signal associated with the authorized identification data and defining the state of the output signal as a function of the state of the input signal and of the identification data, said identification mode comprising the following steps consisting in:
  • the device configuration step with the authorized identification data table consists in transferring a list of said authorized identification data from an external unit to the device.
  • the step of configuring the device with the authorized identification data table consists in locally recording said authorized identification data by reading them one by one via the data acquisition means. Identification.
  • the local recording of authorized identification data implements the following steps consisting in: - acquiring and authenticating administrator identification data to open a recording session; - successively acquire the authorized identification data and store them in the authorized identification data table; - acquire and authenticate said administrator identification data to close said recording session and switch to identification mode.
  • the programming mode comprises a step of erasing the authorized identification data, consisting in: - acquiring and authenticating a deletion identification data; - clear the table of authorized identification data.
  • the step of erasing the table of authorized identification data consists in deleting all the authorized identification data stored except for the administrator identification data and the deletion identification data.
  • the administrator identification data and the deletion identification data are transmitted beforehand from a unit external to the device and then stored in the table of authorized identification data.
  • the step of configuring the device with the table of rules for evaluating the state of the output signal consists in defining at least two rules, a first rule called the maximum security rule, remaining activated as long as an identification signal has not been generated, and a second rule known as the common rule, associated with all of the authorized identification data.
  • the common rule is the rule associated by default with the authorized identification data recorded locally.
  • the maximum security mode corresponds to an inhibited state of the output signal.
  • the maximum security rule is reactivated after the expiration of a predetermined delay following the generation of the identification signal.
  • the maximum security rule is reactivated by the passage to the true state of a Boolean condition programmed in the line control means as a function of the state of the input signal and of a or more values of the identification signal. According to another embodiment, the maximum security rule is reactivated following two successive identifications of the same authorized identification data.
  • - Figure 1 is a schematic representation of the security device according to the present invention
  • - Figure 2 illustrates the line control means implemented in the safety device and its interfaces with the inputs / outputs
  • - Figures 3 and 4 respectively show a general operating flow diagram of the device according to the invention and a flow diagram for processing an acquired identification data
  • - Figures 5 and 6 illustrate an example of application of the device according to the present invention for securing a control unit.
  • the safety device 10 according to the invention comprises at least one input IN, on which an input signal passes to at least one component EO, El, ...
  • the device also comprises means for acquiring identification data 1 associated with means for managing identification data 2, which comprises means for storing identification data 3, provided for storing a table of identification data. authorized identification, and processing means 4 generating an identification signal to line control means 6 via a link 7, in the event of a successful comparison between an identification datum acquired with a identification data stored in the authorized identification data table.
  • the link 7 can for example consist of a serial link of the RS232 type, or else of an input / output type link.
  • the line control means 6 then generate on the control line an output signal consisting of a vector with at least one component.
  • the output signal OUT preferably comprises a plurality of components S0, SI, ..., Sm.
  • the device also comprises connection means 5 to the outside. These means 5 are for example constituted by a USB port, a serial link of RS232 type, an infrared link, a radio link, etc., and allow the security device 10 to communicate with external units such as a PC type computer. , portable, personal digital assistant PDA, programmable automaton, etc.
  • the security device 10 also comprises display means and means for sound and visual signaling.
  • a display 8 of the LCD type for example (acronym for the Anglo-Saxon expression "Liquid Crystal Display”) can be provided.
  • the device can also include indicator lights 9 and a buzzer 11.
  • the different signaling elements of the device can be fixed to the housing of the device or deported from it if the application requires it.
  • the means for acquiring identification data 1 can be attached to the device housing or offset from it if the application requires it. It is also possible to deport the part constituted by the management means 2.
  • the security device 10 uses biometric data, preferably consisting of the fingerprint, for the physical identification of people. The use of the fingerprint is indeed a simple, practical and reliable means to verify the identity of a person.
  • the acquisition means 1 therefore consist of a fingerprint sensor.
  • fingerprint sensors of the optical, capacitive, resistive or even ultrasonic type There are, for example, fingerprint sensors of the optical, capacitive, resistive or even ultrasonic type.
  • the choice of technology depends on the type of application envisaged.
  • Other embodiments can nevertheless be envisaged in which the acquisition of the identification data of a person is carried out by means of badges with or without contact, which generally group together RFID proximity badges (acronym for the Anglo-Saxon expression Radio Frequency Identification), smart cards, magnetic badges, optical badges or even badges with bar codes.
  • RFID proximity badges as anglo-Saxon expression Radio Frequency Identification
  • smart cards magnetic badges
  • optical badges or even badges with bar codes.
  • each user likely to intervene on the equipment to be secured by the device according to the invention has such a badge where data are stored making it possible to identify it.
  • the acquisition means 1 are then constituted by an appropriate badge reader, depending on the technology used.
  • the main role of management means 2 is therefore the identification of authorized persons.
  • the management means 2 therefore have identification data storage means 3 provided for storing a table of authorized identification data.
  • the storage means 3 are constituted by a non-volatile memory, for example a flash type memory, so as to be able to store the identification data relating to authorized persons in the authorized identification data table provided for this purpose.
  • the table of authorized identification data can be stored in two ways. Thus, in a first embodiment, the authorized identification data are transferred from an outdoor unit, typically a PC type computer, a personal digital assistant PDA, a programmable controller, etc., via the link 5, then stored in the table .
  • the identification data are captured in situ (locally) by reading them one by one via the acquisition means 1.
  • the management means 2 include means 4 for processing identification data, for implementing the verification functionality, which are capable of producing an identification signal in the event of the success of a comparison between an acquired identification data and one of the identification data stored in the table of authorized identification data.
  • the line control means 6 have for their role to control the state of the output signal to at least one component passing on the output line connected to the output OUT as a function, on the one hand, of the state of the input signal composed of at least one component and passing on an input line connected to the input IN and, on the other hand, of the identification signal generated by the processing means 4.
  • the input signal is preferably composed of a plurality of components E0, El , ...In.
  • the line control means 6 therefore define evaluation rules, associated with the persons authenticated by the identification process, and which make it possible to control the state of the output signal as a function of the state of the input signal and identification data.
  • the line control means 6 comprise a table of rules for evaluating the outputs 16, giving the description of the Boolean functions associated with the authorized identification data, which make it possible to evaluate the state of the output signal at at least one component according to the state of the input signal to at least one component and the identification data. More precisely, to each element i of this table, there corresponds a Boolean function Fi. Each authorized identification data is then associated with a Boolean function Fi, which makes it possible to evaluate the output OUT as a function of the input IN and of the identification data.
  • the identification signal transmitted provides the line control means 6 with information concerning the link between this authorized identification data item and the rule to apply.
  • the line control means 6 select the rule for evaluating the outputs to be applied and generate the corresponding output signal which is a function on the one hand, of the state of the input signal and, on the other hand, people identified.
  • the table of evaluation rules for outputs 16 contains at least two rules, respectively called rule number 0 and rule number 1.
  • Rule number 0 corresponds to a so-called maximum security rule and the corresponding function F0 for the evaluation of the output vector OUT is applied as soon as the device is started up and each time maximum security is activated.
  • the maximum security rule can correspond to an output signal in an inhibited state.
  • Switching the device to maximum security mode where rule number 0 applies for the evaluation of the components of the output signal can be achieved in different ways and in particular: - by time delay, that is to say that the maximum security mode is reactivated after a predetermined time has elapsed following the generation of an identification signal; by a new identification of the same person, a first identification of the corresponding authorized identification data positioning the outputs according to the function Fi assigned to said identification data, the following identification of the same authorized identification data reactivating the mode maximum security; - Or even by the transition to 1 true state of a Boolean condition programmed in the line control means according to the state of the input signal and one or more values of the identification signal 1 .
  • Rule number 1 to which corresponds the function FI in the table of rules for evaluating outputs, is a rule for evaluating the components of the output signal common to all authorized persons, ie to all of the data of authorized identification.
  • rule number 1 is the rule associated by default with each authorized user whose identification data are recorded locally (in situ) in the security device.
  • the logic for controlling the state of the output signal implemented by the line control means can be implemented according to several different techniques: in wired logic, based on programmable logic circuits (of the PLD, CPLD, FPGA, etc.) type.
  • the management means 2 and the line control means 6 are cut into two circuits, in particular due to the fact that the line control part can vary depending on the applications.
  • management means 2 common to all the variants of the line control means, as well as line control means common to different variants of the management means.
  • the lines conveys digital signals all or nothing.
  • the interfaces are implemented by means of integrated circuits.
  • a circuit 14 provides the interface for the passage of external voltage-current to a TTL type signal. (acronym for the Anglo-Saxon expression “Transistor-Transistor Logic”) or equivalent, and for each component of the output signal Sj, a circuit 15 provides the interface for the passage of this corresponding signal to the external voltage-current values.
  • the security device according to the invention is designed to operate in two modes: a mode called programming mode and a mode called identification mode.
  • the programming mode allows the acquisition of the various operating parameters of the device.
  • the step of configuring the device with the output evaluation rule table consists in configuring at least the following two evaluation rules for the state of the output signal: rule number 0 known as maximum security rule, and rule number 1, known as the default common rule, which applies to all authorized identification data.
  • rule number 0 known as maximum security rule
  • rule number 1 known as the default common rule
  • the following steps are implemented consisting first of all in acquiring and authenticating a particular identification data, called administrator identification data, so as to open a session during which the table of authorized identification data is created or completed.
  • administrator identification data a particular identification data
  • the device switches to programming mode.
  • the constitution of the table of authorized identification data then consists, for the device, in successively acquiring the identification data associated with each authorized person and storing them in the table of authorized identification data.
  • the acquisition and authentication once again by the device of the administrator identification data makes it possible to close the programming session and to switch the operation of the device to identification mode. Also, in programming mode, it is possible to delete all of the authorized identification data stored in the device.
  • deletion identification datum an identification datum provided for this purpose, called deletion identification datum.
  • the table of authorized authentication data can be deleted.
  • the deletion identification data makes it possible to reset the table of authorized identification data to zero, the administrator identification and deletion data are not erased during this step.
  • the administrator identification and deletion data are first transmitted to the device from an outdoor unit via link 5 by through which the device can communicate with the outside, and are stored in the memory of the management means so that they can be authenticated during their subsequent acquisition.
  • the identification mode is the mode in which the device 10 makes it possible to identify an authorized person by comparing an identification data item acquired by means of the acquisition means 1 with one of the identification data items from the data table authorized identification.
  • the management means 2 When the acquired identification data corresponds to an authorized identification data from the table of authorized identification data, the management means 2 generate an identification signal intended for the line control means 6, so as to allow on the one hand, the selection by the line control means of the rule for evaluating the outputs associated with said data and, on the other hand, the activation of the components of the output signal of the device according to the rule of evaluation selected.
  • the line control means 6 therefore advantageously make it possible to control the state of the output signal as a function on the one hand, of the state of the input signal and, on the other hand, of the identification signal generated. It is important to note that in programming mode, the maximum security rule remains activated and no identification can occur during this mode, other than the identification of the administrator data or the deletion data.
  • FIGS. 3 and 4 respectively presenting a flow diagram of the general operation of the device and a flow diagram of processing an identification data item acquired for a detailed illustration of the various operating principles of the device described here. -above.
  • An example of application of the security device according to the invention will now be described with reference to FIGS. 5 and 6. It is a question of protecting a control box 18 made up of a plurality of push buttons B1, B2, B3 and a plurality of indicator lights VI, V2, V3. This box is designed to be connected to a programmable controller 20 responsible for managing an industrial process.
  • the pushbuttons Bl, B2 and B3 are connected respectively to the inputs II, 12 and 13 of the programmable controller.
  • the indicators VI, V2 and V3 are controlled respectively by the outputs Ql, Q2 and Q3 of the programmable controller 20.
  • Each of the pushbuttons Bl, B2 and B3 corresponds to a command which acts on the industrial process implemented by the programmable controller, and each of the LEDs VI, V2 and V3 is used to signal the current state of the process. In normal state, the push buttons are closed and the LEDs are off.
  • the inputs II, 12 and 13 are in the logic state 1 and the outputs Ql, Q2 and Q3 are in the logic state 0.
  • the problem to be solved consists in limiting the use of the control unit to only authorized persons to act on the industrial process.
  • the activation of a push button by a person should only be taken into account if this no one is empowered.
  • the status of the process indicated by the indicator lights should only be shown to authorized persons.
  • the condition for returning to maximum safety after successful identification is as follows: the return to maximum safety will be triggered each time the programmable controller 20 requests that all the lights go out.
  • the objective given to the security device according to the invention is to secure the control box 18 / programmable controller 20 assembly so as to authorize only the persons authorized to activate the push buttons and therefore to act on the process.
  • the safety device according to the invention is then placed between the control unit 18 and the programmable controller 20, see FIG. 6. Its role consists in separating the two pieces of equipment by intercepting the exchanged signals and by providing them with equivalent generated signals. depending on the person identified.
  • the state of each of the components of the output signal will be a function of the state of at least one corresponding component of the input signal and of the identified person.
  • the security device blocks its outputs SI to S6 (information transmitted to the control unit and to the programmable controller) according to the maximum security rule pending the identification of an authorized person, and when the identification is successful , he reassesses his outings according to the outing assessment rule associated with the identified person.
  • the safety device receives on its inputs El, E2 and E3 the actual state of the pushbuttons Bl, B2 and B3 initially connected to the inputs II, 12 and 13 of the programmable controller, and provides in exchange, equivalent signals SI, S2 and S3 generated in real time as a function of the identified person.
  • the safety device receives on its inputs E4, E5 and E6 the real state of the commands Ql, Q2 and Q3 initially connected to the indicator lights VI, V2 and V3, and provides in exchange, equivalent signals S4, S5 and S6 generated in real time according to the identified person.
  • the supply 17 of the installation to be secured is a 24 VDC supply.
  • the supply wires were chosen as part of the signals passing through the safety device in order to use these wires to power the device and to get rid of an external power supply.
  • the lines controlled by the safety device do not include a supply or if this supply is insufficient, the latter will then be supplied by an external supply.
  • the defined authorization rule involves the creation of four exit assessment rules. These rules will be configured in the device from an outdoor unit. The table below illustrates the table of exit evaluation rules implemented in this example.
  • the security device is therefore a completely autonomous device and easy to implement. It adapts more easily to any type of installation, either to protect new equipment, or to add an additional level of security to an existing system.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Burglar Alarm Systems (AREA)
  • Alarm Systems (AREA)

Abstract

L'invention concerne un dispositif de sécurité, comprenant une entrée (IN) et une sortie (OUT) à laquelle est raccordée une ligne de commande d'un équipement à sécuriser, et: - des moyens d'acquisition de données d'identification (1), - des moyens de gestion (2) comprenant - des moyens de stockage de données d'identification autorisées (3) et - des moyens de traitement (4), générant un signal d'identification en cas de succès d'une comparaison entre une donnée d'identification acquise avec une donnée d'identification stockée, lesdits moyens de gestion étant connectés à des moyens de pilotage (6) produisant sur la ligne de commande un signal de sortie (SO, ..., Sm), caractérisé en ce qu'une ligne d'entrée sur laquelle transite un signal d'entrée (E0, ..., En) est raccordée sur ladite entrée, et en ce que lesdits moyens de pilotage commandent l'état du signal de sortie en fonction d'une part, du signal d'entrée et, d'autre part, du signal d'identification.

Description

DISPOSITIF DE SECURITE ET SON PROCEDE DE FONCTIONNEMENT
La présente invention concerne de façon générale le domaine de la sécurisation des équipements dont l'accès, l'utilisation ou bien encore la commande doivent être protégés, notamment contre des utilisateurs non autorisés. Plus précisément, l'invention concerne, selon un premier de ses aspects, un dispositif de sécurité, comprenant au moins une entrée et au moins une sortie a laquelle est raccordée une ligne de commande d'au moins un équipement à sécuriser, ledit dispositif comprenant des moyens d'acquisition de données d'identification, des moyens de gestion de données d'identification comprenant des moyens de stockage de données d'identification autorisées et des moyens de traitement générant un signal d'identification en cas de succès d'une comparaison entre une donnée d'identification acquise avec une des données d'identification stockées, lesdits moyens de gestion étant connectés à des moyens de pilotage de la ligne de commande produisant sur la ligne de commande un signal de sortie constitué d'un vecteur à au moins une composante. Ainsi, le dispositif de sécurité selon la présente invention trouve une application bien particulière, notamment pour l'utilisation de machines/équipements contre des utilisateurs non autorisés, pour l'isolation physique des ordinateurs/serveurs connectés à des réseaux locaux ou distants de type Intranet ou Internet, pour la sécurisation d'organes de commandes électriques sur des sites industriels, par exemple des automates programmables, ou bien encore pour la restriction de l'accès à des locaux sensibles de type laboratoires de recherche, sites nucléaires, coffres forts, etc.. Les systèmes de sécurité pour de telles applications dans l'art antérieur ne donnent pas entièrement satisfaction. Ainsi, pour ce qui est du domaine de l'informatique, la fonction de sécurisation d'un ordinateur, serveur ou tout autre équipement connecté à un réseau informatique, est souvent réalisée par l'équipement lui même en utilisant ses propres ressources matérielles et logicielles. Cependant, ce type de sécurisation comporte des risques car, lors du contrôle d'identité de l'utilisateur, celui-ci a déjà un pied à l'intérieur du système. De plus, les systèmes de sécurisation actuels sont rendus complexes du fait que la fonction d'identification est prise en charge par une chaîne de composants matériels et logiciels, tels que claviers/lecteurs, badges, bases de données,... D'autre part, pour isoler physiquement un ordinateur/serveur, on a souvent recours au débranchement de la prise réseau. Or, cette opération est non seulement fastidieuse, mais génère en plus des problèmes de communication dus à la manipulation répétée de la prise réseau. Par ailleurs, on connaît des dispositifs de sécurité qui mettent en œuvre une identification physique des personnes, notamment dans des applications de contrôle d'accès. Ainsi, le document de brevet japonais JP2002216118 décrit une application de contrôle d'accès dans laquelle un dispositif de commutation basé sur la reconnaissance d'une empreinte digitale lorsqu'un doigt est appliqué sur un bouton. L'image recueillie par un capteur d'empreints digitales est analysée par une unité de traitement et, quand des caractéristiques particulières de cette image sont reconnues, un relais est commandé pour ouvrir ou fermer un interrupteur. Cependant, un tel dispositif reste limité à des applications simples où il n'est pas nécessaire de connaître la nature des signaux véhiculés par les lignes commandées par le dispositif. Aussi, un but de la présente invention consiste à prévoir un dispositif de sécurité basé sur une identification physique des personnes et qui pallie les inconvénients précités, notamment qui soit simple à mettre en œuvre, souple d'utilisation et susceptible d'être employé sous une forme unique dans de multiples applicaticns, du simple contrôle d'accès à la sécurisation d'organes de commandes électriques complexes . A cet effet, le dispositif de sécurité de l'invention, par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé en ce qu'une ligne d'entrée sur laquelle transite un signal d'entrée à au moins une composante est raccordée sur ladite entrée, et en ce que les moyens de pilotage de ligne commandent l'état du signal de sortie en fonction d'une part, de l'état du signal d'entrée et, d'autre part, du signal d' identification De préférence, les signaux d'entrée et de sortie comprennent une pluralité de composantes, l'état de chacune des composantes du signal de sortie étant fonction d'une part, de l'état d'au moins une composante correspondante du signal d'entrée et, d'autre part, du signal d'identification. De préférence, les données d'identification comprennent des données biométriques. Selon un mode de réalisation particulier, les moyens d'acquisition de données d'identification comprennent un capteur d'empreintes digitales. Selon un autre mode de réalisation, les moyens d'acquisition de données d'identification comprennent un lecteur de badge avec contact. Selon un autre mode de réalisation, les moyens d'acquisition de données d'identification comprennent un lecteur de badge sans contac . Avantageusement, le dispositif comprend des moyens de liaison vers l'extérieur. De préférence, les moyens de liaison comprennent un port USB, une liaison série de type RS232, une liaison infrarouge ou une liaison radio. Selon une caractéristique, les moyens de pilotage de ligne comprennent une table de règles d'évaluation de 1 ' état du signal de sortie associées aux données d'identification autorisées. Selon une variante, les moyens de pilotage de ligne sont réalisés en logique câblée. Dans une autre variante, les moyens de pilotage de ligne comprennent un circuit logique programmable de type PLD, CPLD ou FPGA. Selon une autre variante, les moyens de pilotage de ligne comprennent un circuit microcontrôleur. Avantageusement, les moyens de gestion de données d'identification comprennent un circuit microcontrôleur. Dans une variante, les moyens de pilotage de ligne et les moyens de gestion de données d'identification sont regroupés sur le même circuit microcontrôleur. De préférence, les moyens de stockage de données d'identification comprennent une mémoire non volatile. Avantageusement, le dispositif de sécurité comprend des moyens d'affichage et des moyens de signalisation. L'invention concerne également un procédé de fonctionnement du dispositif de sécurité tel qu'il vient d'être défini, caractérisé en ce qu'il comprend deux modes de fonctionnement distincts, un premier mode dit mode de programmation et un second mode dit mode d'identification, ledit mode de programmation comprenant une étape consistant à paramétrer le dispositif avec une table de données d'identification comprenant au moins une donnée d'identification autorisée et une autre étape consistant à paramétrer le dispositif avec une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identificat on autorisées et définissant l'état du signal de sortie en fonction de l'état du signal d'entrée et des données d'identification, ledit mode d'identification comprenant les étapes suivantes consistant à :
- acquérir une donnée d'identification;
- comparer la donnée d'identification acquise avec les données d'identification stockées dans la table de données d'identification autorisées; - en cas de succès de la comparaison entre la donnée d'identification acquise et une des données d'identification stockées: - générer un signal d'identification indiquant un lien entre la donnée d'identification authentifiée et une règle d'évaluation de la table de règles d'évaluation de l'état du signal de sortie; - sélectionner ladite règle d'évaluation; - appliquer ladite règle d'évaluation pour générer le signal de sortie. Selon un mode de réalisation, l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à transférer une liste desdites données d'identification autorisées depuis une unité extérieure au dispositif. Selon un autre mode de réalisation, l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à enregistrer localement lesdites données d'identification autorisées en les lisant une par une par l'intermédiaire des moyens d'acquisition de données d'identification. De préférence, l'enregistrement en local des données d'identification autorisées met en œuvre les étapes suivantes consistant à : - acquérir et authentifier une donnée d'identification administrateur pour ouvrir une session d'enregistrement; - acquérir successivement les données d'identification autorisées et les stocker dans la table des données d'identification autorisées; - acquérir et authentifier ladite donnée d'identification administrateur pour fermer ladite session d'enregistrement et basculer en mode d'identification. Avantageusement, le mode programmation comprend une étape d'effacement des données d'identification autorisées, consistant à : - acquérir et authentifier une donnée d'identification de suppression; - effacer la table des données d'identification autorisées. De préférence, l'étape d'effacement de la table des données d'identification autorisées consiste à supprimer toutes les données d'identification autorisées stockées à l'exception de la donnée d'identification administrateur et de la donnée d'identification de suppression. Selon un mode de réalisation, la donnée d'identification administrateur et la donnée d'identification de suppression sont transmises préalablement depuis une unité extérieure au dispositif puis stockées dans la table des données d'identification autorisées. Selon un mode de réalisation, l'étape de paramétrage du dispositif avec la table de règles d'évaluation de l'état du signal de sortie consiste à définir au moins deux règles, une première règle dite règle de sécurité maximale, restant activée tant qu'un signal d'identification n'a pas été généré, et une deuxième règle dite règle commune, associée à l'ensemble des données d'identification autorisées. De préférence, la règle commune est la règle associée par défaut aux données d'identification autorisées enregistrées localement. Dans un mode de réalisation particulier, le mode de sécurité maximale correspond à un état inhibé du signal de sortie. Selon un mode de réalisation, la règle de sécurité maximale est réactivée après l'écoulement d'un, délai prédéterminé suivant la génération du signal d' identification. Selon un autre mode de réalisation, la règle de sécurité maximale est réactivée par le passage à l'état vrai d'une condition booléenne programmée dans les moyens de pilotage de ligne en fonction de l'état du signal d'entrée et d'une ou plusieurs valeur du signal d' identification. Selon un autre mode de réalisation, la règle de sécurité maximale est réactivée suite à deux identifications successives de la même donnée d'identification autorisée. D'autres caractéristiques et avantages de l'invention ressortiront plus clairement de la description qui est faite ci-après, à titre indicatif et nullement limitatif, en référence aux figures suivantes dans lesquelles : - La figure 1 est une représentation schématique du dispositif de sécurité selon la présente invention; - La figure 2 illustre les moyens de pilotage de ligne mis en œuvre dans le dispositif de sécurité et ses interfaces avec les entrées/sorties; - les figures 3 et 4 montrent respectivement un organigramme de fonctionnement général du dispositif selon l'invention et un organigramme de traitement d'une donnée d'identification acquise; - Les figures 5 et 6 illustrent un exemple d'application du dispositif selon la présente invention à la sécurisation d'un boîtier de commande. En référence à la figure 1, le dispositif de sécurité 10 selon l'invention comprend au moins une entrée IN, sur laquelle transite un signal d'entrée à au moins une composante EO, El, ... En, et au moins une sortie OUT à laquelle est raccordée une ligne de commande d'au moins un équipement à sécuriser, sur laquelle transite un signal de sortie à au moins une composante S0, SI, ... S . Le dispositif comprend également des moyens d'acquisition de données d'identification 1 associés à des moyens de gestion de données d'identification 2, lesquels comprennent des moyens de stockage de données d'identification 3, prévus pour stocker une table de données d'identification autorisées, et des moyens de traitement 4 générant un signal d'identification vers des moyens de pilotage de ligne 6 par l'intermédiaire d'une liaison 7, en cas de succès d'une comparaison entre une donnée d'identification acquise avec une des données d'identification stockées dans la table de données d'identification autorisées. La liaison 7 peut par exemple être constituée d'une liaison série de type RS232, ou bien d'une liaison de type entrée/sortie. Les moyens de pilotage de ligne 6 génèrent alors sur la ligne de commande un signal de sortie constitué d'un vecteur à au moins une composante. Le signal de sortie OUT comprend de préférence une pluralité de composantes S0, SI, ..., Sm. Le dispositif comprend encore des moyens de liaison 5 vers l'extérieur. Ces moyens 5 sont par exemple constitués par un port USB, une liaison série de type RS232, une liaison infrarouge, une liaison radio..., et permettent au dispositif de sécurité 10 de dialoguer avec des unités extérieures telles qu'ordinateur de type PC, portable, assistant numérique personnel PDA, automate programmable... Le dispositif de sécurité 10 selon l'invention comprend également des moyens d'affichage et des moyens de signalisation sonore et visuelle. Ainsi, un afficheur 8, de type LCD par exemple (acronyme pour l'expression anglo-saxonne "Liquid Crystal Display" ) peut être prévu. Le dispositif peut également comprendre des voyants de signalisation 9 et un bruiteur 11. Ces différents moyens permettent de renseigner l'utilisateur sur l'état de fonctionnement du dispositif de sécurité 10. Les différents éléments de signalisation du dispositif peuvent être fixés sur le boîtier du dispositif ou bien déportés par rapport à celui-ci si l'application l'exige. Il est à noter que les moyens d'acquisition de données d'identification 1 peuvent être fixés sur le boîtier du dispositif ou déportés par rapport à celui- ci si l'application l'exige. Il est également envisageable de déporter la partie constituée par les moyens de gestion 2. Dans un mode de réalisation préféré de l'invention décrit en référence à la figure 1, le dispositif de sécurité 10 utilise des données biométriques, de préférence constituées par l'empreinte digitale, pour l'identification physique des personnes. L'utilisation de l'empreinte digitale est en effet un moyen simple, pratique et fiable pour vérifier l'identité d'une personne. Dans ce mode de réalisation, les moyens d'acquisition 1 sont donc constitués par un capteur d'empreintes digitales. On trouve par exemple des capteurs d'empreintes digitales de type optique, capacitif, résistif ou encore à ultrasons. Le choix de la technologie dépend du type d'application envisagée. D'autres modes de réalisation peuvent néanmoins être envisagés dans lesquels l'acquisition des données d'identification d'une personne est effectuée par l'intermédiaire de badges avec ou sans contact, qui regroupent de façon générale les badges de proximité RFID (acronyme pour l'expression anglo-saxonne Radio Frequency Identification) , les cartes à puce, les badges magnétiques, les badges optiques ou bien encore les badges avec code à barres. Dans ce cas, chaque utilisateur susceptible d'intervenir sur l'équipement à sécuriser par le dispositif selon l'invention dispose d'un tel badge où sont mémorisées des données permettant de l'identifier. Les moyens d'acquisition 1 sont alors constitués par un lecteur de badge approprié, suivant la technologie employée. Le rôle principal des moyens de gestion 2 est donc l'identification des personnes autorisées. Ils sont constitués par un microcontrôleur doté des fonctionnalités correspondantes, à savoir qui sont susceptibles de gérer l'enregistrement des données d'identification autorisées ainsi que la vérification d'une donnée d'identification acquise. Les moyens de gestion 2 disposent donc de moyens de stockage de données d'identification 3 prévus pour stocker une table de données d'identification autorisées. Les moyens de stockage 3 sont constitués par une mémoire non volatile, par exemple une mémoire de type flash, de façon à pouvoir stocker les données d'identi ication se rapportant aux personnes autorisées dans la table de données d'identification autorisées prévue à cet effet. La table des données d'identification autorisées peut être mémorisée de deux façons. Ainsi, dans un premier mode de réalisation, les données d'identification autorisées sont transférées depuis une unité extérieure, typiquement un ordinateur de type PC, un assistant numérique personnel PDA, un automate programmable...., via la liaison 5, puis stockées dans la table . Dans un autre mode de réalisation, sur lequel nous reviendrons plus loin, les données d'identification sont capturées in situ (localement) en les lisant une par une par l'intermédiaire des moyens d'acquisition 1. Ces deux possibilités peuvent bien entendu être combinées en transférant par exemple une liste de données d'identification autorisées depuis une unité extérieure, puis en complétant la table en autonome par une lecture directe de données d'identification par les moyens d'acquisition 1. Les moyens de gestion 2 comprennent enfin des moyens de traitement 4 des données d'identification, pour la mise en œuvre de la fonctionnalité de vérification, qui sont susceptibles de produire un signal d'identification en cas de succès d'une comparaison entre une donnée d'identification acquise et une des données d'identification stockées dans la table des données d'identification autorisées. Ainsi, lorsque une donnée d'identification acquise est reconnue comme étant autorisée, un signal d'identification est généré et émis vers les moyens de pilotage de ligne 6 via la liaison 7. Les moyens de pilotage de ligne 6 ont quant à eux pour rôle de commander l'état du signal de sortie à au moins une composante transitant sur la ligne de sortie raccordée à la sortie OUT en fonction d'une part, de l'état du signal d'entrée composé d'au moins une composante et transitant sur une ligne d'entrée raccordée à l'entrée IN et, d'autre part, du signal d'identification généré par les moyens de traitement 4. Le signal d'entrée est de préférence composé d'une pluralité de composantes E0, El, ...En. Les moyens de pilotage de ligne 6 définissent donc des règles d'évaluation, associées aux personnes authentifiées par le processus d'identification, et qui permettent de commander l'état du signal de sortie en fonction de l'état du signal d'entrée et des données d' identification. Pour ce faire, les moyens de pilotage de ligne 6 comprennent une table des règles d'évaluation des sorties 16, donnant la description des fonctions booléennes associées aux données d'identification autorisées, qui permettent d'évaluer l'état du signal de sortie à au moins une composante en fonction de l'état du signal d'entrée à au moins une composante et des données d'identification. Plus précisément, à chaque élément i de cette table, correspond une fonction booléenne Fi. Chaque donnée d'identification autorisée est alors associée à une fonction booléenne Fi, qui permet d'évaluer la sortie OUT en fonction de 1 ' entrée IN et des données d' identification. Ainsi, de manière générale, on peut écrire la fonction logique Fi, définissant l'état du signal de sortie du dispositif, mise en œuvre par les moyens de pilotage de ligne 6, de la façon suivante : OUT = Fi (IN, données d'identification) Comme on l'a vu, sur la sortie OUT transite le signal de sortie constitué d'un vecteur à m composantes S0 à Sm. A chaque composente Sj est donc associée une fonction booléenne Fi , c'est-à-dire : Sj = Fi (IN, données d'identification). Le lien entre un utilisateur identifié et la fonction logique Fi correspondante commandant l'état du signal de sortie, soit le lien donnée d'identification autorisée/numéro de la règle à appliquer, est par exemple transmis au dispositif depuis une unité extérieure (PC, PDA...) via la liaison 5 lors du paramétrage du dispositif. Ainsi, lorsqu'une donnée d'identification acquise est reconnue comme étant une donnée d'identification autorisée, le signal d'identification émis fournit aux moyens de pilotage de ligne 6 l'information concernant le lien entre cette donnée d'identification autorisée et la règle à appliquer. les moyens de pilotage de ligne 6 sélectionnent alors la règle d'évaluation des sorties à appliquer et génèrent le signal de sortie correspondant qui est fonction d'une part, de l'état du signal d'entrée et, d'autre part, des personnes identifiées. Selon un mode de réalisation préférée de l'invention, la table des règles d'évaluation des sorties 16 contient au moins deux règles, appelées respectivement règle numéro 0 et règle numéro 1. La règle numéro 0 correspond à une règle dite de sécurité maximale et la fonction F0 correspondante pour l'évaluation du vecteur de sortie OUT est appliquée dès la mise en route du dispositif et à chaque activation de la sécurité maximale. Par exemple, la règle de sécurité maximale peut correspondre à un signal de sortie se trouvant dans un état inhibé. Le basculement du dispositif en mode de sécurité maximale où la règle numéro 0 s'applique pour l'évaluation des composantes du signal de sortie, peut être réalisé de différentes manières et notamment : - par temporisation, c'est-à-dire que le mode de sécurité maximale est réactivé après l'écoulement d'un délai prédéterminé suivant la génération d'un signal d'identification; par une nouvelle identification de la même personne, une première identification de la donnée d'identification autorisée correspondante positionnant les sorties suivant la fonction Fi attribuée à ladite donnée d'identification, l'identification suivante de la même donnée d'identification autorisée réactivant le mode de sécurité maximale; - ou bien encore par le passage à 1 ' état vrai d'une condition booléenne programmée dans les moyens de pilotage de ligne en fonction de l'état du signal d'entrée et d'une ou plusieurs valeurs du signal d1 identification. La règle numéro 1, à laquelle correspond la fonction FI dans la table des règles d'évaluation des sorties, est une règle d'évaluation des composantes du signal de sortie commune à toutes les personnes autorisées, soit à l'ensemble des données d'identification autorisées. Selon un mode de réalisation particulier de l'invention, la règle numéro 1 est la règle associée par défaut à chaque utilisateur autorisé dont les données d'identification sont enregistrées localement (in situ) dans le dispositif de sécurité. La logique de commande de l'état du signal de sortie mise en œuvre par les moyens de pilotage de ligne peut être réalisée suivant plusieurs techniques différentes: en logique câblée, à base de circuits logiques programmables (de type PLD, CPLD, FPGA..J , ou bien encore par l'intermédiaire d'un programme exécuté par un microcontrôleur. De préférence, les moyens de gestion 2 et les moyens de pilotage de ligne 6 sont découpés en deux circuits, notamment dû au fait que la partie pilotage de ligne peut varier selon les applications. De cette façon, il est possible d'avoir des moyens de gestion 2 communs à toutes les variantes des moyens de pilotage de ligne, de même que des moyens de pilotage de ligne communs à différentes variantes des moyens de gestion. Toutefois, il peut être envisagé dans une variante de regrouper toutes les fonctions des moyens de gestion 2 et des moyens de pilotage de ligne 6 sur un seul et même circuit. En référence à la figure 2, sont décrites des interfaces d'entrées/sorties 12, 13 entre respectivement les entrées IN et sorties OUT du dispositif et les moyens de pilotage de ligne 6. Dans cet exemple, les lignes véhiculent des signaux numériques tout ou rien. Les interfaces sont mises en œuvre par l'intermédiaire de circuits intégrés. Ainsi, pour chaque composante Ei du signal d'entrée, un circuit 14 réalise l'interface du passage tension-courant extérieurs vers un signal de type TTL (acronyme pour l'expression anglo-saxonne "Transistor- Transistor Logic") ou équivalent, et pour chaque composante du signal de sortie Sj , un circuit 15 réalise l'interface du passage de ce signal correspondant vers les valeurs tension-courant extérieurs . Le dispositif de sécurité selon l'invention est prévu pour fonctionner selon deux modes : un mode dit mode de programmation et un mode dit mode d'identification. Le mode de programmation permet l'acquisition des différents paramètres de fonctionnement du dispositif. Il comprend plus particulièrement une étape consistant à paramétrer le dispositif avec une table de données d'identification autorisées comprenant au moins une donnée d'identification autorisée, et une autre, étape consistant à paramétrer le dispositif avec une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identification autorisées. Selon un mode de réalisation préféré, l'étape de paramétrage du dispositif avec la table de règles d'évaluation des sorties consiste à paramétrer au moins les deux règles d'évaluation de l'état du signal de sortie suivantes : la règle numéro 0 dite règle de sécurité maximale, et la règle numéro 1 dite règle commune par défaut s 'appliquant à toutes les données d'identification autorisées. On a vu que 1 ' étape de paramétrage de la table des données d'identification autorisés peut être réalisé localement (in situ) . Pour ce faire, les étapes suivantes sont mises en œuvre consistant tout d'abord à acquérir et authentifier une donnée d'identification particulière, dite donnée d'identification administrateur, de façon à ouvrir une session d'enregistrement au cours de laquelle la table des données d'identification autorisées est constituée ou complétée. Lors de l'acquisition et de 1 'authentification de cette donnée d'identification administrateur, le dispositif bascule en mode programmation. La constitution de la table des données d'identification autorisées consiste alors pour le dispositif à acquérir successivement les données d'identification associées à chaque personne autorisée et à les stocker dans la table des données d'identification autorisées. Enfin, l'acquisition et 1 'authentification une nouvelle fois par le dispositif de la donnée d'identification administrateur permet de fermer la session de programmation et de faire basculer le fonctionnement du dispositif en mode d'identification. Egalement, en mode programmation, il est possible de supprimer l'ensemble des données d'identification autorisées mémorisées dans le dispositif. Pour ce faire, il est nécessaire pour le dispositif d'acquérir et d'authentifier dans le mode programmation une donnée d'identification prévue à cet effet, dite donnée d'identification de suppression. A la reconnaissance de cette donnée d'identification de suppression, la table des données d' authentification autorisées peut être effacée. Toutefois, si la donnée d'identification de suppression permet de remettre à zéro la table des données d'identification autorisées, les données d'identification administrateur et de suppression ne sont quant à elles pas effacées au cours de cette étape . Les données d'identification administrateur et de suppression sont d'abord transmises au dispositif depuis une unité extérieure via la liaison 5 par l'intermédiaire de laquelle le dispositif peut communiquer avec l'extérieur, et sont stockées dans la mémoire des moyens de gestion de façon à pouvoir être authentifiées lors de leurs acquisition ultérieures. Le mode d'identification est le mode dans lequel le dispositif 10 permet d'identifier une personne autorisée en comparant une donnée d'identification acquise par l'intermédiaire des moyens d'acquisition 1 à une des données d'identification de la table des données d'identification autorisées. Lorsque la donnée d'identification acquise correspond à une donnée d'identification autorisée de la table des données d'identification autorisées, les moyens de gestion 2 génèrent un signal d'identification à destination des moyens de pilotage de ligne 6, de façon à permettre d'une part, la sélection par les moyens de pilotage de ligne de la règle d'évaluation des sorties associée à ladite donnée et, d'autre part, l'activation des composantes du signal de sortie du dispositif suivant la règle d'évaluation sélectionnée. Les moyens de pilotage de ligne 6 permettent donc avantageusement de commander l'état du signal de sortie en fonction d'une part, de l'état du signal d'entrée et, d'autre part, du signal d'identification généré. II est important de noter qu'en mode programmation, la règle de sécurité maximale reste activée et aucune identification ne peut survenir pendant ce mode, autre que l'identification de la donnée administrateur ou de la donnée de suppression. La règle de sécurité maximale s'applique également en mode d'identification tant que 1 ' authentification d'une donnée d'identification n'a pas été validée et qu'aucun signal d'identification n'a été généré par les moyens de gestion 2. Il est ici demandé au lecteur de se reporter aux figures 3 et 4 présentant respectivement un organigramme de fonctionnement général du dispositif et un organigramme de traitement d'une donnée d'identification acquise pour une illustration en détail des différents principes de fonctionnement du dispositif décrits ci-dessus. Un exemple d'application du dispositif de sécurité selon 1 ' invention va maintenant être décrit en référence aux figures 5 et 6. Il s'agit de protéger un boîtier de commande 18 constitué d'vne pluralité de boutons poussoirs Bl, B2 , B3 et d'une pluralité de voyants lumineux VI, V2, V3. Ce boîtier est prévu pour être raccordé à un automate programmable 20 chargé de la gestion d'un processus industriel. Les boutons poussoirs Bl, B2 et B3 sont connectés respectivement sur les entrées II, 12 et 13 de l'automate programmable. Les voyants VI, V2 et V3 sont commandés respectivement par les sorties Ql, Q2 et Q3 de l'automate programmable 20. Chacun des boutons poussoirs Bl, B2 et B3 correspond à une commande qui agit sur le processus industriel mis en œuvre par l'automate programmable, et chacun des voyants VI, V2 et V3 permet de signaler l'état courant du processus. A l'état normal, les boutons poussoirs sont fermés et les voyants sont éteints. Ainsi, les entrées II, 12 et 13 sont à l'état logique 1 et les sorties Ql , Q2 et Q3 sont à l'état logique 0. Le problème à résoudre consiste à limiter l'utilisation du boîtier de commande aux seules personnes autorisées à agir sur le processus industriel. L'activation d'un bouton poussoir par une personne ne doit être prise en compte que si cette personne en est habilitée. De la même manière, l'état du processus signalé par les voyants lumineux ne doit être montré que pour les personnes autorisées. Soit la règle d'habilitation suivante :
Bouton poussoir Personnes habilitées
Bl X
B2 X, Y et toute personne enregistrée localement
B3 Toute personne identifiée
Voyants
Vi (i=l à 3) Toute personne identifiée
En dehors de cette règle d'habilitation, les boutons poussoirs et les voyants lumineux resteront inhibés (c'est la règle de la sécurité maximale). La condition de retour à la sécurité maximale après une identification réussie est la suivante: le retour à la sécurité maximale se déclenchera à chaque fois que l'automate programmable 20 demande l'extinction de tous les voyants. L'objectif donné au dispositif de sécurité selon l'invention est de sécuriser l'ensemble boîtier de commande 18/automate programmable 20 pour n'autoriser que les personnes habilitées à activer les boutons poussoirs et donc à agir sur le processus. Le dispositif de sécurité selon l'invention est alors placé entre le boîtier de commande 18 et l'automate programmable 20, voir la figure 6. Son rôle consiste à séparer les deux équipements en interceptant les signaux échangés et en leur fournissant des signaux équivalents générés en fonction de la personne identifiée. Les vecteurs IN et OUT du dispositif de sécurité sont donc constitués de six composantes chacun : IN = (El, E2, E3, E4 , E5 , E6) OUT *= (SI, S2, S3, S4, S5, S6) Dans cet exemple, l'état de chacune des composantes du signal de sortie va être fonction de l'état d'au moins une composante correspondante du signal d'entrée et de la personne identifiée. Le dispositif de sécurité bloque ses sorties SI à S6 (informations transmises vers le boîtier de commande et vers l'automate programmable) suivant la règle de sécurité maximale en attente de l'identification d'une personne autorisé, et lorsque l'identification est réussie, il réévalue ses sorties suivant la règle d'évaluation des sorties associée à la personne identifiée. Dans un sens, le dispositif de sécurité reçoit sur ses entrées El, E2 et E3 l'état réel des boutons poussoirs Bl, B2 et B3 initialement connectés sur les entrées II, 12 et 13 de l'automate programmable, et fournit en échange, des signaux équivalents SI, S2 et S3 générés en temps réel en fonction de la personne identifiée. Dans l'autre sens, le dispositif de sécurité reçoit sur ses entrées E4, E5 et E6 l'état réel des commandes Ql, Q2 et Q3 initialement raccordées sur les voyants lumineux VI, V2 et V3 , et fournit en échange, des signaux équivalents S4, S5 et S6 générés en temps réel en fonction de la personne identifiée. L'alimentation 17 de l'installation à sécuriser est une alimentation 24 VDC . Il est à noter que dans cet exemple, les fils d'alimentation ont été choisis comme faisant partie des signaux traversant le dispositif de sécurité dans le but d'utiliser ces fils pour alimenter le dispositif et de s'affranchir d'une alimentation extérieure. Dans une application où les lignes pilotées par le dispositif de sécurité ne comportent pas d'alimentation ou si cette alimentation est insuffisante, celui-ci sera alors alimenté par une alimentation extérieure. La règle d'habilitation définie implique la création de quatre règles d'évaluation des sorties. Ces règles seront paramétrées dans le dispositif depuis une 10 unité extérieure. Le tableau ci-dessous illustre la table des règles d'évaluation des sorties mise en œuvre dans cet exemple .
15
Figure imgf000024_0001
On redemandera l'identification sur passage de l'état 1 à l'état 0 de la condition booléenne E4+E5+E6. Cette condition est à l'état 1 si l'une des entrées El, E2 ou E3 est à 1, elle passe à l'état 0 lorsque l'automate demande l'extinction de tous les voyants (E1=E2=E3=0) . Le dispositif de sécurité selon la présente invention est donc un dispositif entièrement autonome et facile à mettre en œuvre. Il s'adapte de plus facilement à tout type d'installation, soit pour protéger de nouveaux équipements, soit pour ajouter un niveau de sécurité supplémentaire à un système existant .

Claims

REVENDICATIONS
1. Dispositif de sécurité (10), comprenant au moins une entrée (IN) et au moins une sortie (OUT) à laquelle est raccordée une ligne de commande d'au moins un équipement à sécuriser, ledit dispositif comprenant : - des moyens d'acquisition de données d'identification (1), - des moyens de gestion de données d'identification (2), comprenant : -des moyens de stockage de données d'identification autorisées (3) et -des moyens de traitement (4) , générant un signal d'identification en cas de succès d'une comparaison entre une donnée d'identification acquise avec une des données d'identification stockées, lesdits moyens de gestion étant connectés à des moyens de pilotage (6) de la ligne de commande produisant sur la ligne de commande un signal de sortie constitué d'un vecteur à au moins une composante (S0, ..., S ) , caractérisé en ce qu'une ligne d'entrée sur laquelle transite un signal d'entrée à au moins une composante (E0, ..., En) est raccordée sur ladite entrée, et en ce que lesdits moyens de pilotage de ligne (6) commandent l'état du signal de sortie en fonction d'une part, de l'état du signal d'entrée et, d'autre part, du signal d'identification.
2. Dispositif selon la revendication 1, caractérisé en ce que les signaux d'entrée et de sortie comprennent une pluralité de composantes, l'état de chacune des composantes (S0, ..., Sm) du signal de sortie étant fonction d'une part, de l'état d'au moins une composante (EO, ..., En) correspondante du signal d'entrée et, d'autre part, du signal d'identification.
3. Dispositif selon la revendication 1 ou 2, caractérisé en ce que les données d'identification comprennent des données biométriques .
4. Dispositif selon la revendication 1, 2 ou 3, caractérisé en ce que les moyens d'acquisition de données d'identification (1) comprennent un capteur d'empreintes digitales.
5. Dispositif selon la revendication 1, 2 ou 3, caractérisé en ce que les moyens d'acquisition de données d'identification (1) comprennent un lecteur de badge avec contact .
6. Dispositif selon la revendication 1, 2 ou 3, caractérisé en ce que les moyens d'acquisition de données d'identification (1) comprennent un lecteur de badge sans contact.
7. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend des moyens de liaison vers l'extérieur (5).
8. Dispositif selon la revendication 7, caractérisé en ce que les moyens de liaison vers l'extérieur (5) comprennent un port USB, une liaison série de type RS232, une liaison infrarouge ou une liaison radio.
9. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que les moyens de pilotage de ligne (6) comprennent une table de règles d'évaluation de l'état du signal de sortie (16) associées aux données d'identification autorisées.
10. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que les moyens de pilotage de ligne (6) sont réalisés en logique câblée.
11. Dispositif selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les moyens de pilotage de ligne (6) comprennent un circuit logique programmable de type PLD, CPLD ou FPGA.
12. Dispositif selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les moyens de pilotage de ligne (6) comprennent un circuit microcontrôleur.
13. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que les moyens de gestion de données d'identification (2) comprennent un circuit microcontrôleur.
14. Dispositif selon les revendications 12 et 13, caractérisé en ce que les moyens de pilotage de ligne 6) et les moyens de gestion de données d'identification (2) sont regroupés sur le même circuit microcontrôleur.
15. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que les moyens de stockage de données d'identification (3) comprennent une mémoire non volatile.
16. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend des moyens d'affichage (8) et des moyens de signalisation (9, 11).
17. Procédé de fonctionnement du dispositif selon l'une quelconque des revendications 1 à 16, caractérisé en ce qu'il comprend deux modes de fonctionnement distincts, un premier mode dit mode de programmation et un second mode dit mode d'identification, ledit mode de programmation comprenant une étape consistant à paramétrer le dispositif avec une table de données d'identification comprenant au moins une donnée d'identification autorisée et une autre étape consistant à paramétrer le dispositif avec une table de règles d'évaluation de l'état du signal de sortie associées aux données d'identification autorisées et définissant l'état du signal de sortie en fonction de l'état du signal d'entrée et des données d'identification, ledit mode d'identification comprenant les étapes suivantes consistant à :
- acquérir une donnée d'identification;
- comparer la donnée d'identification acquise avec les données d'identification stockées dans la table de données d'identification autorisées;
- en cas de succès de la comparaison entre la donnée d'identification acquise et une des données d'identification stockées: - générer un signal d'identification indiquant un lien entre la donnée d'identification authentifiée et une règle d'évaluation de la table de règles d'évaluation de l'état du signal de sortie; - sélectionner ladite règle d'évaluation; - appliquer ladite règle d'évaluation pour générer le signal de sortie.
18. Procédé selon la revendication 17, caractérisé en ce que l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à transférer une liste desdites données d'identification autorisées depuis une unité extérieure au dispositif.
19. Procédé selon la revendication 17, caractérisé en ce que l'étape de paramétrage du dispositif avec la table de données d'identification autorisées consiste à enregistrer localement lesdites données d'identification autorisées en les lisant une par une par l'intermédiaire des moyens d'acquisition de données d'identification
(D .
20. Procédé selon la revendication 19, caractérisé en ce que l'enregistrement en local des données d'identification autorisées met en œuvre les étapes suivantes consistant à : - acquérir et authentifier une donnée d'identification administrateur pour ouvrir une session d'enregistrement; - acquérir successivement les données d'identification autorisées et les stocker dans la table des données d'identification autorisées; acquérir et authentifier ladite donnée d'identification administrateur pour fermer ladite session d'enregistrement et basculer en mode d'identification.
21. Procédé selon l'une quelconque des revendications 17 à 20, caractérisé en ce que le mode programmation comprend une étape d'effacement des données d'identification autorisées, consistant à : acquérir et authentifier une donnée d'identification de suppression; - effacer la table des données d'identification autorisées.
22. Procédé selon la revendication 21, en combinaison avec la revendication 20, caractérisé en ce que l'étape d'effacement de la table des données d'identification autorisées consiste à supprimer toutes les données d'identification autorisées stockées à l'exception de la donnée d'identification administrateur et de la donnée d'identification de suppression.
23. Procédé selon les revendications 20 à 22, caractérisé en ce que la donnée d'identification administrateur et la donnée d'identification de suppression sont transmises préalablement depuis une unité extérieure au dispositif puis stockées dans la table des données d'identification autorisées.
24. Procédé selon l'une quelconque des revendications 17 à 23, caractérisé en ce que l'étape de paramétrage du dispositif avec la table de règles d'évaluation de l'état du signal de sortie consiste à définir au moins deux règles, une première règle dite règle de sécurité maximale, restant activée tant qu'un signal d'identification n'a pas été généré, et une deuxième règle dite règle commune, associée à l'ensemble des données d'identification autorisées.
25. Procédé selon la revendication 24 en combinaison avec la revendication 19, caractérisé en ce que la règle commune est la règle associée par défaut aux données d'identification autorisées enregistrées localement.
26. Procédé selon la revendication 24 ou 25, caractérisé en ce que la règle de sécurité maximale correspond à un état inhibé du signal de sortie.
27. Procédé selon l'une quelconque des revendications 24 à 26, caractérisé en ce que la règle de sécurité maximale est réactivée après l'écoulement d'un délai prédéterminé suivant la génération du signal d' identification.
28. Procédé selon l'une quelconque des revendications 24 à 26, caractérisé en ce que la règle de sécurité maximale est réactivée par le passage à l'état vrai d'une condition booléenne programmée dans les moyens de pilotage de ligne en fonction de l'état du signal d'entrée et d'une ou plusieurs valeur du signal d' identification.
29. Procédé selon l'une quelconque des revendications 24 à 26, caractérisé en ce que la règle de sécurité maximale est réactivée suite à deux identifications successives de la même donnée d'identification autorisée.
PCT/FR2004/001547 2003-06-24 2004-06-21 Dispositif de securite et son procede de fonctionnement WO2005001584A2 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP04767403A EP1671191A2 (fr) 2003-06-24 2004-06-21 Dispositif de securite et son procede de fonctionnement

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0307644A FR2856857B1 (fr) 2003-06-24 2003-06-24 Dispositif de securite et son procede de fonctionnement
FR03/07644 2003-06-24

Publications (2)

Publication Number Publication Date
WO2005001584A2 true WO2005001584A2 (fr) 2005-01-06
WO2005001584A3 WO2005001584A3 (fr) 2005-05-19

Family

ID=33515379

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2004/001547 WO2005001584A2 (fr) 2003-06-24 2004-06-21 Dispositif de securite et son procede de fonctionnement

Country Status (3)

Country Link
EP (1) EP1671191A2 (fr)
FR (1) FR2856857B1 (fr)
WO (1) WO2005001584A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012532496A (ja) * 2009-06-29 2012-12-13 クゥアルコム・インコーポレイテッド マルチステーション要求メッセージのための方法および装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5127099A (en) * 1989-06-30 1992-06-30 Icom, Inc. Method and apparatus for securing access to a ladder logic programming and monitoring system
WO1993006695A1 (fr) * 1991-09-23 1993-04-01 Z-Microsystems Systeme de securite ameliore pour dispositifs informatiques
WO1999056429A1 (fr) * 1998-04-24 1999-11-04 Identix Incorporated Systeme d'identification personnelle et procede associe
EP0978773A1 (fr) * 1998-08-05 2000-02-09 BSH Bosch und Siemens Hausgeräte GmbH Appareil électroménager commandé par programme

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5127099A (en) * 1989-06-30 1992-06-30 Icom, Inc. Method and apparatus for securing access to a ladder logic programming and monitoring system
WO1993006695A1 (fr) * 1991-09-23 1993-04-01 Z-Microsystems Systeme de securite ameliore pour dispositifs informatiques
WO1999056429A1 (fr) * 1998-04-24 1999-11-04 Identix Incorporated Systeme d'identification personnelle et procede associe
EP0978773A1 (fr) * 1998-08-05 2000-02-09 BSH Bosch und Siemens Hausgeräte GmbH Appareil électroménager commandé par programme

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012532496A (ja) * 2009-06-29 2012-12-13 クゥアルコム・インコーポレイテッド マルチステーション要求メッセージのための方法および装置

Also Published As

Publication number Publication date
FR2856857A1 (fr) 2004-12-31
WO2005001584A3 (fr) 2005-05-19
FR2856857B1 (fr) 2005-09-16
EP1671191A2 (fr) 2006-06-21

Similar Documents

Publication Publication Date Title
EP0527203B1 (fr) Procede et dispositif de transaction entre un premier et au moins un deuxieme supports de donnees et support a cette fin
EP0485275B1 (fr) Dispositif de sécurité, comportant une mémoire et/ou un microcalculateur pour machines de traitement
EP1004100B1 (fr) Dispositif portable electronique pour systeme de communication securisee, et procede d'initialisation de ses parametres
EP0426541B1 (fr) Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre
CH633379A5 (fr) Installation de securite notamment pour l'execution d'operations bancaires.
EP3008704B1 (fr) Procede de controle de personnes et application a l'inspection des personnes
WO2006095067A1 (fr) Dispositif, procede et systeme de securite pour transactions financieres, reposant sur l’identification d’un individu grace a son profil bio-metrique, et utilisant une carte a microprocesseur
EP1238340B1 (fr) Dispositif informatique pour l'application de donnees accreditives a un logiciel ou a un service
FR2795579A1 (fr) Procede de securisation d'une communication de donnees entre un support de donnees et un vehicule et dispositif de surveillance du fonctionnement d'un vehicule
FR2637710A1 (fr) Procede et dispositif de commande electronique multifonction a haute securite comportant une carte a puce
WO2005001584A2 (fr) Dispositif de securite et son procede de fonctionnement
EP0995172A1 (fr) Terminal informatique individuel susceptible de communiquer avec un equipement informatique d'une facon securisee, ainsi qu'un procede d'authentification mis en oeuvre par ledit terminal
FR2806180A1 (fr) Procede pour proteger un microcalculateur d'un appareil de commande contre une manipulation de programme, et dispositif de mise en oeuvre
FR2824936A1 (fr) Systeme de diagnostic predictif dans un automate programmable
EP3345113B1 (fr) Procédé d'autorisation d'une action par une authentification interactive et intuitive d'un utilisateur et dispositif associé
FR3110015A1 (fr) Module de mesure de température pour dispositif de contrôle d’accès, procédé d’exploitation d’un tel dispositif, et dispositif ainsi équipé et configuré
BE1016037A6 (fr) Boitier de commande avec capteur d'empreintes digitales.
EP2795526A1 (fr) Dispositif electronique pour le stockage de donnees confidentielles
EP0833282B1 (fr) Lecteur électronique de cartes pour la commande d'une serrure
FR2834366A1 (fr) Carte a puce autoverrouillable, dispositif de securisation d'une telle carte et procedes associes
WO2007042556A1 (fr) Systeme de commande avec capteur d'empreintes digitales.
FR3081663A1 (fr) Procede de gestion a distance de l'ouverture d'une serrure electronique dotee d'une interface utilisateur, terminal, serrure et programme d'ordinateur associes
FR2999000A1 (fr) Systeme de securite d'identification pour etre humain
EP1777612A1 (fr) Boîtier de commande avec capteur d'empreintes digitales
EP3985531A1 (fr) Enrôlement biométrique avec vérification

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
REEP Request for entry into the european phase

Ref document number: 2004767403

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2004767403

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2004767403

Country of ref document: EP