WO2007048749A1 - Procede de controle de verouillage de serrure, et serrure - Google Patents

Procede de controle de verouillage de serrure, et serrure Download PDF

Info

Publication number
WO2007048749A1
WO2007048749A1 PCT/EP2006/067589 EP2006067589W WO2007048749A1 WO 2007048749 A1 WO2007048749 A1 WO 2007048749A1 EP 2006067589 W EP2006067589 W EP 2006067589W WO 2007048749 A1 WO2007048749 A1 WO 2007048749A1
Authority
WO
WIPO (PCT)
Prior art keywords
lock
user
question
central
response
Prior art date
Application number
PCT/EP2006/067589
Other languages
English (en)
Inventor
Pierre Pellaton
Original Assignee
Kaba Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaba Ag filed Critical Kaba Ag
Priority to CN2006800397857A priority Critical patent/CN101297327B/zh
Priority to AU2006307977A priority patent/AU2006307977B2/en
Publication of WO2007048749A1 publication Critical patent/WO2007048749A1/fr
Priority to US12/104,967 priority patent/US20090320538A1/en
Priority to HK09103516A priority patent/HK1125727A1/xx

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00658Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys
    • G07C9/00674Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys with switch-buttons
    • G07C9/00698Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys with switch-buttons actuated in function of displayed informations
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/38Individual registration on entry or exit not involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00388Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/08With time considerations, e.g. temporary activation, valid time window or time limitations
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/70Operating mechanism
    • Y10T70/7051Using a powered device [e.g., motor]
    • Y10T70/7062Electrical type [e.g., solenoid]
    • Y10T70/7068Actuated after correct combination recognized [e.g., numerical, alphabetical, or magnet[s] pattern]

Definitions

  • the present invention relates to an electronic lock lock control method.
  • the present invention also relates to an electronic lock useful for the implementation of this method.
  • the present invention relates in particular to a lock providing the required level of security for ATMs (Automatic Teller Machines) or safes.
  • the front access is secured by a card reader and a keypad allowing different users to identify themselves before taking a limited number of tickets.
  • Access to the rear face of the dispenser is generally closed by means of a conventional key lock.
  • the bank employees, the bottom conveyors responsible for filling the distributor and the technical repairers all share copies of the same key that allows access to vaults frequently containing tens of thousands of Euros in cash or in a container .
  • the risk is important that one of these keys is lost or stolen and falls into the wrong hands.
  • a user who has fraudulently acquired a key may attempt to call the central office by impersonating the authorized key holder in order to obtain a valid OTC code.
  • the security offered is therefore insufficient.
  • the electronic key reader comprises electrical, electronic and / or electromechanical elements that offer possibilities for manipulation and additional fraud.
  • EP0546701 describes a lock unlocking verification method in which the security is provided by means of different PIN codes and encoded messages that the user must introduce into a terminal belonging to him. This terminal is then connected to the protected box to cause its unlocking.
  • the terminal that is usually in the hands of the user is a target for hackers attempting to study it or to build a compatible terminal to access unauthorized vaults.
  • EP0935041 discloses a device and a method of opening a lock, based on the use of an electronic box used in particular to identify the operator and inserted into the lock.
  • the housing includes a screen for displaying a question calculated in cooperation by the lock and the housing. This question is transmitted by the operator by telephone to a control panel which calculates the response entered manually into the box.
  • the lock is open in case of correct answer.
  • a receipt is displayed which is transmitted to the control panel in the same mode.
  • WO01 / 59725 discloses a method of user identification by means of a mobile phone, for example for the settlement of transactions at the point of sale.
  • the method implements a calculated code in the mobile phone of the user and a similar code calculated from the same parameters. This document does not concern the opening of a lock.
  • the security of the process is again based in part on a code calculated in a device, here a telephone, held by the user and which can therefore be manipulated.
  • US5259029 discloses a challenge and response mechanism for authenticating the user of a computer program.
  • the challenge is displayed on the computer, the user introduces it into a personal device that provides the answer that the user must enter on the keyboard.
  • This document does not concern the locks of chest and does not appeal to a central to control the opening of several locks.
  • US2003 / 23103 discloses a method of identifying a lock user by means of a smart card. The user must then provide a code that he can for example obtain from a central server by telephone. Again, security relies on a falsifiable object in the hands of a user.
  • An object of the present invention is therefore to provide a method of controlling the lock opening in which the security can not be compromised by manipulating devices or keys distributed to users.
  • an object of the present invention is therefore to provide a method and a lock which make it possible to avoid the disadvantages of the methods and locks of the prior art.
  • an electronic lock lock control method comprising the following steps: a user identifies himself with the electronic lock, the electronic lock displays a question, preferably a single-use question, the user transmits the question to a central, the central calculates the answer to the question and transmits this answer to the user, the user enters the answer in the lock, the lock checks if the answer is correct and decides based on this response of unlocking the door.
  • This method has the advantage of forcing the user to transmit a question posed by the lock of the dispenser to the central. This additional operation allows for scheduled tests for example to check in the central if the question asked is indeed valid.
  • This method also has the advantage of basing the identification of the user not necessarily on a physical key, but for example by means of password, PIN, or biometric data, more difficult to steal.
  • Security is not based on an object that the user takes with him, but only on the lock, difficult to access, and on a remote station.
  • the user needs a device, for example a mobile phone, only to connect with the control panel.
  • additional plausibility tests are carried out with this mobile phone, for example to check whether the SIM card belongs to an authorized user.
  • a phone and a fake SIM card are not enough to open the lock.
  • this method has the advantage of making it possible to distribute, replace or invalidate very easily passwords, to distance by simple software manipulations from a central.
  • the secret code used to identify the user is verified by the central unit 1, and not by the lock. This avoids the transmission of authorized user lists to different locks.
  • This method also has the advantage that all the data and all the codes necessary to unlock the lock can be introduced directly into the lock, without passing through an intermediate device offering an additional vulnerability to the attacks.
  • the present invention also relates to an electronic lock comprising: data input means for the introduction of a personal identification code, and means for verifying said personal identification code, a module for generating and displaying a question in response to the introduction of an accepted personal identification code, a module for verifying whether an answer to said question entered on said keyboard is correct, and for causing the unlocking of said lock by case of correct answer.
  • This lock is adapted to the method above; it also has the advantage of not necessarily requiring a key reader, vulnerable and expensive.
  • the present invention also relates to a method for an electronic lock park management center, comprising the steps of: distributing personal codes to a plurality of users in order to enable them to identify themselves to at least some of said locks, determining access rights of each user to each lock, reception of a question transmitted by a user through a telecommunication network, verification of the plausibility of said question, calculation of a response to said question by means of a confidential algorithm, transmission of said response to said user.
  • This method can be implemented fully automatically by a computer programmed for these different tasks, or in a manner assisted by a human operator, or a group of human operators, implementing a computer.
  • Figure 1 illustrates in block diagram form a system implementing the method and the lock of the invention.
  • FIG. 2 illustrates in the form of a flow diagram the exchanges of information during the process of the invention.
  • FIG. 1 illustrates in the form of a block diagram a system comprising a central unit 1 to which different users 4 can connect using a mobile device 3 through a network 2.
  • the system also comprises one or more locks 5 to protect devices not shown, for example cash dispensers, chests, rooms or other protected volumes.
  • the central unit 1 may be constituted for example by a call center, animated by several human operators, or a server or server group executing a specific application.
  • the plant is typically responsible for the decision to open a whole fleet of locks.
  • the network 2 is for example a telecommunications network, for example a conventional telephone network, an Internet or Intranet type network, or preferably a mobile cellular network. Users can connect to Central 1 by establishing voice or data communication over network 2.
  • the users connect to the central unit 1 via a mobile cellular network 2 and by sending data, for example SMS (Short Message System), e-mails or IP data packets through a network 2 of GSM, GPRS, HSCSD, EDGE or GPRS for example.
  • the central station preferably automatically receives data via a modem or a suitable router, and can also respond to the user by sending his own data through the same channel, or a different channel.
  • the data exchanged in one or both directions can be electronically signed and / or encrypted by the central unit 1 and / or by the mobile equipment 3, for example by using a smart card in the mobile equipment 3.
  • the users 4 connect to the central unit 1 by means of a voice communication.
  • the central unit 1 uses human operators to react to this voice call, and / or an IVR (Interactive Voice Response) voice recognition system to analyze the content of the user's requests and / or DTMF codes and to synthesize a voice response.
  • IVR Interactive Voice Response
  • the central unit 1 furthermore comprises a database of authorized users, which contains for each user at least one personal code - or personal code verification data - as well as authorizations, for example a list of locks that the user user is allowed to open.
  • the record comprising each user may further indicate time windows during which access to one or more locks is authorized, a user profile, including for example its name, its coordinates, cryptographic keys for communication with each user, a history of system usage (number of successful trials, unsuccessful trials, dates, times, etc.), and other identification or authentication data, including for example a corresponding MSISDN caller number mobile equipment 3, biometric data, etc.
  • Calculation means 1 1 in the central unit 1 make it possible to execute an application program for managing the various users and their rights in the data bank 10.
  • the calculation means also make it possible to execute an algorithm making it possible to calculate the response to a question ("challenge") received from a user.
  • This algorithm can for example consult a read-only correspondence table that indicates the answer to each expected question, or preferably calculate a mathematical function from each question.
  • the function performed is preferably chosen so that knowledge of any number of answers to previous questions does not predict what will be the answer to the next question (pseudo function). random).
  • the chosen algorithm, or the values allowing to parameterize it are preferably kept confidential.
  • a different algorithm, or different values are preferably used for each lock 5, and / or even for each user 4.
  • the central unit 1 may further comprise a lock database (not shown), comprising for each lock 5 a profile with information such as the geographical location, the type of protected device, cryptographic communication keys, etc.
  • the mobile equipment 3 depends on the type of network used.
  • this equipment is constituted by cellular mobile equipment, for example a cellular telephone or a personal assistant, a smartphone or a personal computer equipped with a connection card to a cellular network, a modem or a personal computer. a router. It is also possible to use a dedicated communication device for this purpose.
  • the mobile equipment 3 may comprise geolocation means 30, for example a GPS-type satellite receiver making it possible to determine its position and possibly transmit it to the central station 1.
  • Isolated worker protection equipment (ITP) 31 makes it possible to verify if the user 4 of the mobile equipment 3 is awake, for example by checking if it moves, if it is vertical, if it reacts to requests for answers, etc.
  • the mobile equipment 3 may further comprise additional identification and / or authentication means 32, for example a smart card (SIM card for example), PIN code input and verification means, a sensor biometric, etc.
  • the identification and / or user authentication 4 can be performed locally, that is to say in the mobile equipment or in a smart card inserted in the equipment, or remotely, that is, ie for example in the central 1 which then has means of verification of the data of the smart card, PIN codes and / or biometric data entered.
  • the mobile equipment 3 can be for example portable or installed in a vehicle.
  • a conventional mobile telephone as mobile equipment in the context of the invention; it is only necessary for the user to be able to connect by means of this equipment with a central unit 1 to send a question and receive a corresponding answer. It is even advantageous, to increase security, to establish communications between the different users and the central by different types of channels.
  • the plant may for example use this additional information and agree with a conveyor, for example, that the question should be transmitted orally, even if the conveyor has equipment for data communication.
  • the user 4 is for example a bank employee, a bottom conveyor, a technical repairer, or any natural person authorized by the central 1 to open the lock 5.
  • the user 4 has the knowledge of a code secret personnel that has been transmitted to it by the central 1 and with which it can identify itself to one or more locks 5 of a park locks managed by the central 1.
  • the user 4 is also preferably able to s' identify to his mobile equipment 3 by means of another secret code, for example the PIN code of the phone and / or the SIM card.
  • identifying the user 4 to the lock 5 and / or to the mobile equipment 3 are conceivable within the scope of the invention; for example, the user could prove his identity by presenting a personal object, such as a key or a smart card, or by biometric identification using fingerprints, iris, retina, voice, face, etc.
  • a personal object such as a key or a smart card
  • biometric identification using fingerprints, iris, retina, voice, face, etc.
  • different methods can be implemented to identify or authenticate the user 4 towards the mobile equipment 3 and the lock 5. It is also possible to accumulate several identification processes.
  • the identification data entered in the mobile equipment 3 can be transmitted to the central 1 for verification.
  • the lock 5 comprises an electromechanical element 52, for example a bolt, whose position is controlled by a logic device inside the lock 5 to act on a mechanical mechanism ("linkage") to lock or unlike to unlock access to the protected volume, for example inside a distributor.
  • the lock is preferably intended to be used in combination with a device containing a volume to be protected, for example with a cash dispenser or a safe; it does not itself constitute such a safe, and has no protected volume, but has means not shown to associate it mechanically and / or electrically, so hardly removable with such a chest or such a dispenser.
  • a numeric or alphanumeric keyboard 51 associated with the lock 5 allows the user to enter his personal code and the answer to the questions asked.
  • Other data input elements for example a biometric sensor, a camera, a microphone, etc., may optionally be provided in the lock 5.
  • the lock further comprises a screen 50 for displaying messages in text or matrix mode, including questions, invitations to reply, and status messages.
  • the lock preferably further comprises one or more optional interfaces 53 which enable it to exchange data with the device it is to protect, for example a cash dispenser, and / or with the central unit 1 through any network, for example a telephone network or the Internet.
  • the communication of data with the device to be protected in which the lock is mounted notably makes it possible to improve the security, thanks to the exchange of information making it possible to detect probable frauds using combinations of indices and thanks to the generation of log files taking into account data collected by both the lock and the protected device.
  • This communication can also, if necessary, be used to control the lock 5 by means of the keyboard of the distributor, to display messages depending on the behavior of the lock 5 on the distributor screen, to echo alarms triggered by the lock via the distributor, or to trigger other actions performed by the distributor.
  • the bidirectional communication preferably between the lock 5 and the central unit 10 makes it possible, for example, to remotely modify the list of authorized users to identify with each lock 5 (unless this check is made by the central), to modify the remote response verification algorithms, to consult the log files generated by the lock, and to remotely detect other events related to the use of the lock.
  • This communication with the central unit 1 can also be carried out through the device protected by the lock, for example by using a modem or a router of this device.
  • the data exchanged by the lock and the central unit 1 are electronically signed and encrypted, for example through a Virtual Private Network (VPN), so as to preserve their confidentiality and their very authenticity. to the distributor to be protected.
  • VPN Virtual Private Network
  • the lock 5 furthermore preferably comprises an electronic watch 54 which enables it to determine the date and time autonomously, and to calculate time intervals.
  • Unrepresented calculation means for example a microcontroller, a microprocessor with a memory, an industrial microcomputer, an asic type circuit and / or an FPGA circuit, etc., make it possible to manage the dialogues with the user, and to control the electromechanical device causing locking or unlocking of the lock.
  • the calculation means preferably furthermore comprise a module, for example a software module, for generating and displaying a question in response to the introduction of an accepted personal identification code, and a module, for example a software module, for checking if an answer to the question is correct, and to cause the unlocking of the lock in case of correct answer
  • the calculation means are preferably protected against physical or software manipulations and may, for example, self-destruct, while keeping the lock closed, during fraudulent manipulations.
  • the lock 5 may further comprise elements of wireless connection with the mobile equipment 3, for example a Bluetooth-type interface, for example to detect and check the presence of this equipment nearby; however, these means can be dispensed with if they introduce an additional vulnerability.
  • the lock 5 is preferably electrically autonomous and powered with batteries or battery; it remains mechanically locked when the batteries are discharged. Charging or replacing the batteries can then be done without unlocking the lock.
  • the lock is electrically powered by the device in which it is mounted, for example a cash dispenser.
  • it is powered by means of a generator actuated by the user; the watch 54 uses in its own power source case to keep the time even when the rest of the system is no longer electrically powered.
  • a user 4 wishing to unlock the lock 5 is physically in front of this lock and introduced in step 100 a personal code on the keyboard 51, for example a numeric or alphanumeric code, for example a 6-digit code.
  • the calculation means in the lock verify the personal code introduced.
  • the personal code is compared with a list of accepted codes ("white list") stored in the lock.
  • white list a list of accepted codes
  • the lock merely checks during step 101 whether the personal code entered is plausible, for example if the format of the code is admissible, if a eventual parity code is correct, or if the entered personal code does not belong to a list of rejected codes ("black list”) because nonexistent or belonging to refused users.
  • black list list of rejected codes
  • the lock detects during the step 101 that the entered personal code is invalid, it is rejected, and an error message can be displayed on the display 50 to inform the user and invite him to introduce a new one. code.
  • "brute force" attacks that is by successively testing a large number of different codes, it is possible, for example, to introduce a delay between each attempt and / or to limit the number of possible unsuccessful attempts before locking the lock for a longer period, or until the introduction of an unlocking maneuver.
  • the user identifies with the lock by proving the possession of an object, for example a key, an electronic key, a smart card, etc.
  • the object presented may itself be protected by a code, especially in the case of a smart card.
  • this solution has the disadvantage of requiring an organization to distribute and manage the objects to be presented.
  • the user can also identify himself by means of biometric data acquired by means of a biometric sensor, for example by means of his fingerprints, the iris, the retina, the face, the voice, etc. .
  • biometric data however have the disadvantage of not being able to be replaced with the ease of a personal code that can be transmitted at the last moment to the user; a user record is also required to acquire his reference biometric data.
  • identification methods can further be combined. It is also possible to claim additional or different identification depending on the circumstances; for example, a biometric identification, or key, may be required when personal code identification has not worked after a predetermined number of tests, or when the sum available in the protected volume exceeds a certain amount, or where other circumstances impose increased security.
  • Access rights may be time dependent; for example, it is possible to authorize an unlocking of the lock only during a limited time window corresponding to the time at which the user is expected. This time window can be coded, along with other information, in the control panel response described below.
  • the lock 5 can also check if a particular manipulation has been made during the introduction of the personal code by the user 4 to signal that he is under duress, for example because an attacker is forcing him to introduce the code.
  • the particular handling may involve for example the introduction of a different personal code, the pressure of a key or an additional member, a prolonged press on a key, or other identifiable manipulations unambiguously by the lock 5 but difficult to detect for an assailant observing the maneuver.
  • the detection of a particular manipulation leads to a different behavior of the lock, as will be seen below.
  • the lock 5 displays in step 102 a question on the display 50.
  • the question can be displayed. depending on the time, the date, the identified user, the lock, other parameters collected by the lock, and / or any manipulation detection to signal a constraint. In addition, the choice of the question may depend on a random factor.
  • Each question is preferably displayed once and is not reused, or at least not for the same user.
  • the displayed question can be generated by a mathematical function, for example a pseudo-random function, and / or chosen in a table of predefined questions.
  • the pseudo-random function depends at least partially on the value of an incremented counter each time the trunk is opened and / or each unlocking attempt; the counter can never be decremented, and the maximum value that can be counted is sufficient to ensure that the counter does not loop back. It would also be possible to use the time counted by the lock clock to initialize the pseudo-random function; However, a clock must be able to be set on time, and thus be able to be delayed, which could be used to "go back in time” in order to force the lock to generate again a question whose answer is already known.
  • Successful IDs and unsuccessful ID attempts are preferably stored in a log file in the lock, along with the date and time of the event.
  • This file can be accessed by a technician, for example by introducing a particular code on the keyboard 51, by connecting a computer to a connector on the front face of the lock, and / or remotely from the central unit 1 through a communication network.
  • the user 4 reads the question displayed during the step 103, then introduces it during the step 104 on the keyboard of his mobile equipment 3.
  • the question displayed on the display 50 is unpredictable, and It is possible to distinguish the possible questions from the non-lawful questions, it is thus ensured that the user 4 is indeed close to the lock 5 to open.
  • the question introduced by the user is transmitted by the mobile equipment 3 to the central station, for example in the form of a short message, for example SMS, e-mail, data packets, DTMF code, or voice message spoken by the user.
  • a dedicated application for example a Java (registered trademark) applet, can be executed by the mobile equipment 3 to facilitate the introduction of the question and its transmission to the central station 1.
  • the question is simply introduced by the user. user and forwarded to a telephone number or to an e-mail address known to the user.
  • Access to mobile equipment 3, or to the mobile equipment application, may be protected by a password, a pin code, or require other identification or authentication measures.
  • user 4 may be protected by a password, a pin code, or require other identification or authentication measures.
  • the message transmitted to the central unit 1 during the step 105 may include other information, including for example an identification of the mobile equipment 3 used (for example a number of calling MSISDN), user identification data (including his personal code, but also for example a password, a PIN code, biometric data, data extracted from a smart card in the mobile equipment , etc.), position information provided by the geolocation module 30, information provided by the PTI module 31, etc.
  • the message can also be signed electronically by a smart card in the mobile equipment 3, to prove its authenticity and integrity, and / or encrypted to ensure its confidentiality.
  • the central unit 1 receives the message transmitted by the user and verifies it. Verification involves, for example, checking whether the transmitted question is a lawful question, depending on the user who uses it, the lock in front of which he is, the time, etc. If the user's personal code has been transmitted with the question, or if it is implicitly contained in the question, the central 1 can also ensure that this user is actually authorized to access this lock at this time, for example according to a route plan previously established for a conveyor moving between several locks. Other checks may take into account the geographic location of the user, the data provided by the PTI device, any data provided directly by the lock, information checks signaling manipulation to indicate a constraint, and so on.
  • step 106 If the checks carried out in step 106 make it possible to determine that the question is a legitimate question transmitted at the right moment by an authorized user, the rights of this user are preferably determined.
  • a response to this question is computed during step 107, using an algorithm unknown to the users and executed by the calculation means 1 1.
  • the response is preferably constituted by a numerical or alphanumerical sequence that does not allow a user to immediately determine if it contains implicit instructions for the lock.
  • the question is not valid, or if it was transmitted by an unauthorized user, or when the user does not have the necessary access rights, or when other anomalies have been detected no answer is calculated.
  • an error message informing the user is then transmitted to the mobile equipment 3 and displayed by the latter, for example to allow the user to correct a typing error during the introduction of the question.
  • the central can provide a modified response resulting in modified behavior of the lock. The reaction of the plant and the response sent may also depend on the anomaly detected, the number of unsuccessful attempts, or other conditions.
  • control unit detects, for example from the question received, that the user has made a particular manipulation to indicate it is under stress, it preferably calculates a modified response by the normal response, to cause a particular behavior of the lock.
  • modified responses can be chosen automatically or by human operators depending on the circumstances, in order to trigger different reactions.
  • Additional information may be coded in the response, for example to define the user's access rights to the lock, for example as a function of time.
  • the answer to the question is then transmitted to the mobile equipment in step 108, then displayed and read by the user in step 109.
  • the response may include, for example, a numeric or alphanumeric code and is introduced by the user 4 on the keyboard 51 of the lock 5 during the step 110.
  • the calculation means in the lock 5 check if the response received is correct.
  • this verification involves a comparison with a response calculated by the lock itself, by executing the same algorithm as that executed by the central unit 1.
  • the verification of the received response is performed without recalculating it independently, for example by checking the response received by means of a verification key to distinguish the possible answer or answers to the question of invalid responses, depending on the question and / or other parameters.
  • This variant has the advantage of not requiring copies of the algorithm in a multitude of locks scattered over a territory; it is also compatible with algorithms that can provide several valid answers to the same question.
  • the calculation means 5 furthermore verify in step 11 1 whether the response received takes into account a manipulation detection by a user under constraint, or whether other parameters are coded in this response.
  • the user indicates a state of constraint to the lock 5 during the introduction of the answer on the keyboard during the step 110, for example by introducing an additional digit, etc.
  • This solution is however less secure because a usurper could introduce the answer himself, without performing any additional manipulation.
  • the central is not informed of a manipulation.
  • a state of stress is directly detected by the lock 5 from sensors or additional data, data transmitted by the distributor to which the lock is associated, or data directly transmitted by the central unit 1.
  • the lock determines during step 111 that the answer entered is correct, and that it does not correspond to a state of stress, the lock is unlocked during step 112, until the next manual lock or for a limited time.
  • the user can thus access the protected volume, or a part of this volume.
  • This event is protocol in the log file, indicating the time and duration of the unlock.
  • the counter used to initialize the pseudo-random function is irreversibly incremented.
  • step 111 If the lock determines during step 111 that the answer entered is incorrect, the lock remains locked, and an error message may be displayed on the display 50. After a predetermined number of unsuccessful attempts, an alarm can be triggered locally or sent to Central 1 or to another predetermined address. In a variant, the tickets in the dispenser are automatically destroyed or marked with an indelible ink.
  • the lock determines during step 111 that the answer entered is correct, but that it corresponds to a state of constraint, it performs one of the following actions depending on the answer: * locking the lock, or maintaining the lock, possibly even if a correct answer and subsequently introduced for a limited time,
  • a receipt code is preferably displayed during an additional step not shown on the display 50.
  • the user enters this code of receipt on his equipment mobile and transmits it to the central 1, in the same way as the question before, in order to indicate to the central the end of its mission.
  • the required release code is preferably unique and unpredictable in advance, so as to ensure that the user has read it correctly as a result of the manipulation and has not deduced otherwise.
  • the central office is however able to check whether the transmitted acknowledgment code is lawful.
  • the release code generated by the lock or reintroduced by the user may contain indications indicating to the central particular events, for example to indicate whether the lock was opened, a new state of constraint, or any other event .
  • the transmitted acknowledgment code can be signed, encrypted and accompanied by data such as date, time, user identification, mobile equipment, position information geographical, etc.
  • the control unit can thus verify this data, or detect the absence of sending of a receipt message after a predetermined delay, to decide on an appropriate action, including the triggering of an alarm, the triggering of an intervention, and / or the locking of other locks near or on the intended course of the user even in case of correct maneuver.
  • the receipt code generated is preferably, in the same way as the question or the answer, depending on the current user, the current lock and / or other parameters such as the date, the time, the detection of possible manipulations.
  • an authorization to unlock a particular lock by a particular user can be changed by the central 1 in one of the following ways:
  • a new personal code By communicating a new personal code to the user, for example by means of a telephone call, an SMS, an e-mail or another message sent to the mobile equipment 3, or transmitted orally to the user
  • modifying the personal codes accepted by the locks 5 for example by sending new lists of accepted codes (white list, only in the variant where these lists are stored in the lock), new lists of refused codes (blacklist), new lists of suspicious codes, requiring additional checks (gray list), or by modifying the access rights associated with these codes.
  • the code lists and the access rights may be transmitted by a telecommunication channel through a telecommunication interface in the lock, and / or by means of a telecommunication interface linked to the device protected by the lock, or introduced directly, through a physical data carrier, by a technician responsible for maintenance.
  • the lock 5 may itself allow or refuse the unlocking as a function of parameters acquired directly or through the protected device, for example by means of sensors, cameras or microphones associated with the device. lock or device, obtained by analyzing the manipulations of the user on the keyboard 5, or according to an internal history of the manipulations of this user and / or the lock 5.
  • the lock described above may be used to secure volumes other than ticket dispensers, for example weapon cabinets used in police stations or by the military, safes, or other volumes whose locking or unlocking by a local user must be authorized by a remote control panel.
  • the lock of the invention can be programmed at any time, for example from the control panel and / or with the aid of a particular code introduced by a user nearby, to operate in a mode other than the interactive mode described above. For example, it would be possible to reprogram this lock to allow unlocking by some users, or even by all users, without establishing a connection with the central.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Procédé de contrôle de verrouillage de serrure électronique (5), comportant les étapes suivantes : un utilisateur (4) s'identifie auprès de la serrure électronique, la serrure électronique (5) affiche une question, l'utilisateur transmet la question à une centrale (1), la centrale calcule la réponse à la question et transmet cette réponse à l'utilisateur, l'utilisateur introduit la réponse dans la serrure, la serrure vérifie si la réponse est correcte et décide en fonction de cette réponse du déverrouillage de la serrure, un code de quittance est affiché par la serrure (5) et transmis par l'utilisateur à la centrale (1) à l'aide de l'équipement mobile (3).

Description

Procédé de contrôle de verrouillage de serrure, et serrure
Domaine technique
La présente invention concerne un procédé de contrôle de verrouillage de serrure électronique. La présente invention concerne également une serrure électronique utile à la mise en œuvre de ce procédé. La présente invention concerne en particulier une serrure offrant le niveau de sécurité requis pour des distributeurs d'argent (ATM, Automatic Teller Machines) ou des coffres-forts.
Etat de la technique
Les serrures conventionnelles sont verrouillées ou déverrouillées au moyen de clés mécaniques ou électroniques. La distribution des clés est restreinte aux utilisateurs autorisées à accéder au contenu protégé par la serrure. Le niveau de protection dépend de la facilité avec laquelle les clés peuvent être falsifiées et de la confiance accordée aux porteurs de la clé.
Dans le cas de distributeurs de billets de banque, l'accès par la face avant est sécurisé au moyen d'un lecteur de carte et d'un clavier permettant à différents utilisateurs de s'identifier avant de prélever un nombre limité de billets. L'accès à la face arrière du distributeur est en revanche généralement fermé au moyen d'une serrure à clé conventionnelle. Les employés de banque, les convoyeurs de fond chargés de remplir le distributeur et les réparateurs techniques se partagent tous des copies de la même clé qui permet d'accéder à des coffres contenant fréquemment des dizaines de milliers d'Euros en cash ou dans un container. Le risque est important qu'une de ces clés soit perdue ou volée et qu'elle tombe dans de mauvaises mains. En outre, il est extrêmement difficile de retrouver le coupable en cas de vol par un employé indélicat lorsqu'une clé est distribuée à de nombreux utilisateurs.
Afin de remédier à ces problèmes, la société Kaba Mas (marque déposée) propose depuis plusieurs années une serrure vendue sous le nom de Cencon System 2000 (marque déposée). Cette serrure peut être ouverte au moyen d'une clé électronique conventionnelle, permettant d'identifier son porteur, et d'un code secret à usage unique OTC (One Time Combination, marque déposée). Le code OTC est communiqué à l'utilisateur depuis une centrale, par exemple au travers d'un appel téléphonique. Seul un utilisateur qui parvient à présenter à la fois une clé électronique et un code OTC valide est autorisé à accéder au contenu du distributeur protégé.
Cette solution présente cependant l'inconvénient de toujours requérir des clés physiques associées à chaque distributeur. Un convoyeur nécessite autant de clés que de distributeurs à réapprovisionner au cours de sa tournée, ou alors une clé programmée pour ouvrir plusieurs distributeurs en combinaisons avec différents codes OTC. La gestion et la programmation des clés à distribuer aux différents utilisateurs est un casse-tête administratif, notamment lorsqu'une clé est perdue.
Par ailleurs, un utilisateur ayant acquis frauduleusement une clé pourrait tenter d'appeler la centrale en usurpant l'identité du porteur autorisé de la clé afin d'obtenir un code OTC valide. La sécurité offerte est donc insuffisante.
D'autre part, le lecteur de clé électronique comporte des éléments électriques, électroniques et/ou électromécaniques qui offrent des possibilités de manipulations et de fraudes supplémentaires.
La demande de brevet EP0546701 décrit un procédé de contrôle de déverrouillage de coffres dans lequel la sécurité est assurée au moyen de différents codes PIN et de messages encodés que l'utilisateur doit introduire dans un terminal qui lui appartient. Ce terminal est ensuite connecté au coffre protégé afin de provoquer son déverrouillage. Le terminal qui se trouve habituellement entre les mains de l'utilisateur constitue une cible pour des hackers tentés de l'étudier ou de fabriquer un terminal compatible pour accéder à des coffres non autorisés. EP0935041 décrit un dispositif et un procédé d'ouverture de serrure, reposant sur l'emploi d'un boîtier électronique utilisé notamment pour identifier l'opérateur et inséré dans la serrure. Le boîtier comporte un écran pour afficher une question calculée en coopération par la serrure et par le boîtier. Cette question est transmise par l'opérateur par téléphone à une centrale qui calcule la réponse introduite manuellement dans le boîtier. La serrure est ouverte en cas de réponse correcte. Une quittance est affichée qui est transmise à la centrale selon le même mode.
Dans cette solution, le calcul de la question, son affichage, l'introduction de la réponse et sa vérification sont toujours effectués au moins en partie par un dispositif appartenant à l'utilisateur, qui pourrait être manipulé par un utilisateur malveillant. La distribution de tels dispositifs aux utilisateurs est compliquée d'un point de vue administratif ; il est nécessaire de s'assurer que les utilisateurs, par exemple des convoyeurs, qui cessent leur activité, ou qui sont responsables d'un parc de serrure différents, remplacent leurs dispositifs.
Par ailleurs, aucune vérification n'est effectuée quant à la plausibilité de la question.
WO01/59725 décrit un procédé d'identification d'utilisateur au moyen d'un téléphone portable, par exemple pour le règlement de transactions au point de vente. Le procédé met en œuvre un code calculé dans le téléphone portable de l'utilisateur et un code similaire calculé à partir des mêmes paramètres. Ce document ne concerne pas l'ouverture de serrure. La sécurité du procédé repose à nouveau en partie sur un code calculé dans un dispositif, ici un téléphone, détenu par l'utilisateur et qui peut donc être manipulé.
US5259029 décrit un mécanisme de challenge et de réponse pour authentifier l'utilisateur d'un programme informatique. Le challenge est affiché sur l'ordinateur, l'utilisateur l'introduit dans un appareil personnel qui fournit la réponse que l'utilisateur doit introduire au clavier. Ce document ne concerne pas les serrures de coffre et ne fait pas appel à une centrale pour contrôler l'ouverture de plusieurs serrures.
US2003/231 103 décrit un procédé d'identification d'un utilisateur de serrure au moyen d'une carte à puce. L'utilisateur doit ensuite fournir un code qu'il peut par exemple obtenir d'un serveur central par téléphone. A nouveau, la sécurité repose sur un objet falsifiable dans les mains d'un utilisateur.
Un but de la présente invention est donc de prévoir un procédé de contrôle de l'ouverture de serrure dans lequel la sécurité ne peut pas être compromise en manipulant des dispositifs ou des clés distribués aux utilisateurs.
De manière générale, un but de la présente invention est donc de proposer un procédé et une serrure qui permettent d'éviter les inconvénients des procédés et des serrures de l'art antérieur.
Selon l'invention, ces objectifs sont notamment atteints au moyen d'un procédé de contrôle de verrouillage de serrure électronique, comportant les étapes suivantes : un utilisateur s'identifie auprès de la serrure électronique, la serrure électronique affiche une question, de préférence une question à usage unique, l'utilisateur transmet la question à une centrale, la centrale calcule la réponse à la question et transmet cette réponse à l'utilisateur, l'utilisateur introduit la réponse dans la serrure, la serrure vérifie si la réponse est correcte et décide en fonction de cette réponse du déverrouillage de la porte.
Ce procédé a notamment l'avantage de forcer l'utilisateur à transmettre une question posée par la serrure du distributeur à la centrale. Cette opération supplémentaire permet de prévoir des tests supplémentaires, par exemple pour vérifier dans la centrale si la question posée est bel et bien valide.
Ce procédé a également l'avantage de baser l'identification de l'utilisateur non plus nécessairement sur une clé physique, mais par exemple au moyen de mot de passe, PIN, ou de données biométriques, plus difficiles à dérober. La sécurité ne repose donc pas sur un objet que l'utilisateur emporte avec lui, mais uniquement sur la serrure, difficilement accessible, et sur une centrale éloignée. L'utilisateur a besoin d'un dispositif, par exemple un téléphone mobile, uniquement pour se connecter avec la centrale. Dans une variante, des tests de plausibilité supplémentaires sont effectués avec ce téléphone mobile, par exemple pour vérifier si la carte SIM appartient à un utilisateur autorisé. Toutefois, même un téléphone et une carte SIM falsifiés ne suffisent pas pour ouvrir la serrure.
Dans le cas d'une identification de l'utilisateur au moyen d'un mot de passe ou d'un PIN, ce procédé a l'avantage de permettre de distribuer, de remplacer ou d'invalider très facilement des mots de passe, à distance par de simples manipulations logicielles depuis une centrale.
Dans une variante, le code secret utilisé pour identifier l'utilisateur est vérifié par la centrale 1, et pas par la serrure. On évite ainsi la transmission de listes d'utilisateurs autorisés aux différentes serrures.
Ce procédé a également l'avantage que toutes les données et tous les codes nécessaires pour déverrouiller la serrure peuvent être introduits directement dans la serrure, sans transiter par un équipement intermédiaire offrant une vulnérabilité supplémentaire aux attaques.
La présente invention concerne aussi une serrure électronique comportant : des moyens d'introduction de données pour l'introduction d'un code d'identification personnel, et des moyens de vérification dudit code d'identification personnel, un module pour générer puis afficher une question en réponse à l'introduction d'un code d'identification personnel accepté, un module pour vérifier si une réponse à ladite question introduite sur ledit clavier est correcte, et pour provoquer le déverrouillage de ladite serrure en cas de réponse correcte.
Cette serrure est adaptée au procédé ci-dessus ; elle présente en outre l'avantage de ne pas nécessiter impérativement de lecteur de clé, vulnérable et coûteux.
La présente invention concerne aussi un procédé pour une centrale de gestion de parc de serrures électroniques, comportant les étapes de : distribution de codes personnels à une pluralité d'utilisateurs afin de leur permettre de s'identifier envers au moins certaines desdites serrures, détermination des droits d'accès de chaque utilisateur à chaque serrure, réception d'une question transmise par undit utilisateur au travers d'un réseau de télécommunication, vérification de la plausibilité de ladite question, calcul d'une réponse à ladite question au moyen d'un algorithme confidentiel, transmission de ladite réponse audit utilisateur.
Ce procédé peut être mis en œuvre de manière entièrement automatique par un ordinateur programmé pour ces différentes tâches, ou de manière assistée par un opérateur humain, ou un groupe d'opérateurs humains, mettant en œuvre un ordinateur.
Brève description des dessins
Des exemples de mise en œuvre de l'invention sont indiqués dans la description illustrée par les figures annexées dans lesquelles : La figure 1 illustre sous forme de schéma bloc un système mettant en œuvre le procédé et la serrure de l'invention.
La figure 2 illustre sous forme de diagramme de flux les échanges d'information au cours du processus de l'invention.
Exemple(s) de mode de réalisation de l'invention
La figure 1 illustre sous forme de schéma bloc un système comprenant une centrale 1 à laquelle différents utilisateurs 4 peuvent se connecter à l'aide d'un équipement mobile 3 au travers d'un réseau 2. Le système comporte en outre une ou plusieurs serrures 5 pour protéger des dispositifs non représentés, par exemple des distributeurs de billets, des coffres, des salles ou d'autres volumes protégés.
La centrale 1 peut être constituée par exemple par une centrale d'appel, animée par plusieurs opérateurs humains, ou un serveur ou groupe de serveur exécutant une application spécifique. La centrale est typiquement responsable de la décision d'ouverture de tout un parc de serrures. Le réseau 2 est par exemple un réseau de télécommunication, par exemple un réseau téléphonique conventionnel, un réseau de type Internet ou Intranet, ou de préférence un réseau cellulaire mobile. Les utilisateurs peuvent se connecter à la centrale 1 en établissant une communication vocale ou de données au travers du réseau 2.
Dans une variante préférentielle, les utilisateurs se connectent à la centrale 1 au travers d'un réseau cellulaire mobile 2 et en envoyant des données, par exemple des SMS (Short Message System), des e-mails ou des paquets de données IP au travers d'un réseau 2 de type GSM, GPRS, HSCSD, EDGE ou GPRS par exemple. La centrale reçoit de préférence automatiquement des données au moyen d'un modem ou d'un routeur adapté, et peut également répondre à l'utilisateur en lui envoyant ses propres données au travers du même canal, ou d'un canal différent. Les données échangées dans un des sens, ou dans les deux sens, peuvent être signées électroniquement et/ou encryptées par la centrale 1 et/ou par l'équipement mobile 3, par exemple en utilisant une carte à puce dans l'équipement mobile 3.
Dans une autre variante, les utilisateurs 4 se connectent à la centrale 1 au moyen d'une communication vocale. La centrale 1 emploie dans ce cas des opérateurs humains pour réagir à cet appel vocal, et/ou un système de reconnaissance vocal IVR (Interactive Voice Response) pour analyser le contenu des requêtes et/ou des codes DTMFs de l'utilisateur et pour synthétiser une réponse vocale.
La centrale 1 comporte en outre une banque de données 10 d'utilisateurs autorisés, qui contient pour chaque utilisateur au moins un code personnel - ou des données de vérification de code personnel - ainsi que des autorisations, par exemple une liste de serrures que l'utilisateur est autorisé à ouvrir. L'enregistrement comportant à chaque utilisateur peut en outre indiquer des fenêtres temporelles durant lesquelles un accès à une ou plusieurs serrures est autorisé, un profil d'utilisateur, incluant par exemple son nom, ses coordonnées, des clés cryptographiques de communication avec chaque utilisateur, un historique d'utilisation du système (nombre d'essais fructueux, d'essais infructueux, dates, heures, etc), et d'autres données d'identification ou d'authentification, y compris par exemple un numéro d'appelant MSISDN correspondant à son équipement mobile 3, des données biométriques, etc.
Des moyens de calcul 1 1 dans la centrale 1 permettent d'exécuter un programme applicatif pour gérer les différents utilisateurs et leurs droits dans la banque de données 10. Les moyens de calcul permettent en outre d'exécuter un algorithme permettant de calculer la réponse à une question (« challenge ») reçue d'un utilisateur. Cet algorithme peut par exemple consulter une table de correspondance en mémoire morte qui indique la réponse à chaque question attendue, ou de préférence calculer une fonction mathématique à partir de chaque question. La fonction exécutée est de préférence choisie de manière à ce que la connaissance d'un nombre quelconque de réponses à des questions précédentes ne permet pas de prédire quelle sera la réponse à la prochaine question (fonction pseudo- aléatoire). L'algorithme choisi, ou les valeurs permettant de le paramétrer (par exemple le seed dans le cas d'une fonction pseudo-aléatoire) sont de préférence maintenus confidentiels. En outre, un algorithme différent, ou des valeurs différentes, sont de préférence employés pour chaque serrure 5, et/ou même pour chaque utilisateur 4.
La centrale 1 peut en outre comporter une banque de données de serrures (non représentée), comportant pour chaque serrure 5 un profil avec des informations telles que l'emplacement géographique, le type de dispositif protégé, des clés cryptographiques de communication, etc.
L'équipement mobile 3 dépend du type de réseau employé. Dans une variante préférentielle, cet équipement est constitué par un équipement mobile cellulaire, par exemple un téléphone cellulaire ou un assistant personnel, un smartphone ou un ordinateur personnel muni d'une carte de connexion à un réseau cellulaire, d'un modem ou d'un routeur. Il est aussi possible d'employer un appareil de communication dédié à cet usage.
L'équipement mobile 3 peut comporter des moyens de géolocalisation 30, par exemple un récepteur satellitaire de type GPS permettant de déterminer sa position et éventuellement de la transmettre à la centrale 1. Un équipement de protection de travailleur isolé (PTI) 31 permet de vérifier si l'utilisateur 4 de l'équipement mobile 3 est éveillé, par exemple en vérifiant s'il bouge, s'il est vertical, s'il réagit à des demandes de réponse, etc. L'équipement mobile 3 peut en outre comporter des moyens d'identification et/ou d'authentification 32 supplémentaires, par exemple une carte à puce (carte SIM par exemple), des moyens d'introduction et de vérification de code PIN, un capteur biométrique, etc. L'identification et/ou l'authentification d'utilisateur 4 peut être effectuée localement, c'est-à-dire dans l'équipement mobile ou dans une carte à puce insérée dans l'équipement, ou à distance, c'est-à-dire par exemple dans la centrale 1 qui dispose alors de moyens de vérifications des données de la carte à puce, des codes PIN et/ou des données biométriques saisies. L'équipement mobile 3 peut être par exemple portable ou installé dans un véhicule.
Il est cependant possible d'employer un téléphone mobile conventionnel comme équipement mobile dans le cadre de l'invention ; il est seulement nécessaire que l'utilisateur puisse se mettre en relation au moyen de cet équipement avec une centrale 1 pour envoyer une question et recevoir une réponse correspondante. Il est même avantageux, pour augmenter la sécurité, d'établir des communications entre les différents utilisateurs et la centrale par des canaux de type différents. La centrale peut par exemple employer cette information supplémentaire et convenir avec un convoyeur, par exemple, que la question devra être transmise oralement, même si le convoyeur dispose d'un équipement permettant une communication de données.
L'utilisateur 4 est par exemple un employé de banque, un convoyeur de fond, un réparateur technique, ou n'importe quelle personne physique autorisée par la centrale 1 à ouvrir la serrure 5. L'utilisateur 4 a la connaissance d'un code personnel secret qui lui a été transmis par la centrale 1 et avec lequel il peut s'identifier envers une ou plusieurs serrures 5 d'un parc de serrures gérées par la centrale 1. L'utilisateur 4 est en outre de préférence apte à s'identifier envers son équipement mobile 3 au moyen d'un autre code secret, par exemple le code PIN du téléphone et/ou de la carte SIM. D'autres moyens d'identification de l'utilisateur 4 envers la serrure 5 et/ou envers l'équipement mobile 3 sont envisageables dans le cadre de l'invention ; par exemple, l'utilisateur pourrait prouver son identité en présentant un objet personnel, tel qu'une clé ou une carte à puce, ou par identification biométriques à l'aide d'empreintes digitales, de l'iris, de la rétine, de la voix, du visage, etc. Bien entendu, des procédés différents peuvent être mis en œuvre pour identifier ou authentifier l'utilisateur 4 envers l'équipement mobile 3 et envers la serrure 5. Il est en outre possible de cumuler plusieurs procédés d'identification. Par ailleurs, les données d'identification introduites dans l'équipement mobile 3 peuvent être transmises à la centrale 1 pour vérification. La serrure 5 comporte un élément électromécanique 52, par exemple un pêne, dont la position est contrôlée par un dispositif logique à l'intérieur de la serrure 5 pour agir sur un mécanisme mécanique (« tringlerie ») permettant de verrouiller ou au contraire de déverrouiller l'accès au volume protégé, par exemple à l'intérieur d'un distributeur. La serrure est de préférence destinée à être utilisée en combinaison avec un dispositif contenant un volume à protéger, par exemple avec un distributeur de billets ou un coffre ; elle ne constitue donc pas elle-même un tel coffre, et ne comporte pas de volume protégé, mais dispose de moyens non représentés pour l'associer mécaniquement et/ou électriquement, de manière difficilement démontable avec un tel coffre ou un tel distributeur.
Un clavier numérique ou alphanumérique 51 associé à la serrure 5 permet à l'utilisateur d'introduire son code personnel et la réponse aux questions posées. D'autres éléments d'introduction de données (non représentés), par exemple un capteur biométrique, une caméra, un microphone, etc, peuvent éventuellement être prévus dans la serrure 5. La serrure comporte en outre un écran 50 pour afficher des messages en mode texte ou matriciel, y compris des questions, des invitations à introduire une réponse, et des messages d'état.
La serrure comporte en outre de préférence une ou plusieurs interfaces 53 optionnelles qui lui permettent d'échanger des données avec le dispositif qu'elle doit protéger, par exemple un distributeur monétique, et/ou avec la centrale 1 au travers de n'importe quel réseau adapté, par exemple un réseau téléphonique ou Internet. La communication de données avec le dispositif à protéger dans lequel la serrure est montée permet notamment d'améliorer la sécurité, grâce à l'échange d'informations permettant de détecter des fraudes probables à l'aide de combinaisons d'indices et grâce à la génération des fichiers de logs tenant compte de données récoltées aussi bien par la serrure que par le dispositif protégé. Cette communication peut aussi, le cas échéant, être employée pour commander la serrure 5 au moyen du clavier du distributeur, d'afficher des messages dépendant du comportement de la serrure 5 sur l'écran du distributeur, de répercuter des alarmes déclenchées par la serrure au moyen du distributeur, ou de déclencher d'autres actions effectuées par le distributeur. La communication de préférence bidirectionnelle entre la serrure 5 et la centrale 10 permet par exemple de modifier à distance la liste des utilisateurs autorisés à s'identifier envers chaque serrure 5 (à moins que cette vérification ne soit faite par la centrale), de modifier les algorithmes de vérification de réponse à distance, de consulter les fichiers de logs générés par la serrure, et de détecter à distance d'autres événements liés à l'utilisation de la serrure. Cette communication avec la centrale 1 peut aussi être effectuée au travers du dispositif protégé par la serrure, par exemple en utilisant un modem ou un routeur de ce dispositif. Dans un mode de réalisation, les données échangées par la serrure et la centrale 1 sont signées et encryptées électroniquement, par exemple au travers d'un tunnel privé virtuel (VPN, virtual private network) de manière à préserver leur confidentialité et leur authenticité même vis-à-vis du distributeur à protéger.
La serrure 5 comporte en outre de préférence une montre électronique 54 qui lui permet de déterminer la date et l'heure de façon autonome, et de calculer des intervalles de temps. Des moyens de calcul non représentés, par exemple un microcontrôleur, un microprocesseur avec une mémoire, un microordinateur industriel, un circuit de type asic et/ou un circuit FPGA, etc, permettent de gérer les dialogues avec l'utilisateur, et de commander le dispositif électromécanique provoquant le verrouillage ou le déverrouillage de la serrure. Les moyens de calcul comportent en outre de préférence un module, par exemple un module logiciel, pour générer puis afficher une question en réponse à l'introduction d'un code d'identification personnel accepté, et un module, par exemple logiciel, pour vérifier si une réponse à la question est correcte, et pour provoquer le déverrouillage de la serrure en cas de réponse correcte
Les moyens de calcul sont de préférence protégés contre les manipulations physiques ou logicielles et peuvent par exemple s'autodétruire, en maintenant la serrure fermée, lors de manipulations frauduleuses. La serrure 5 peut en outre comporter des éléments de connexion sans fils avec l'équipement mobile 3, par exemple une interface de type Bluetooth, afin par exemple de détecter et de vérifier la présence de cet équipement à proximité ; on peut cependant renoncer à ces moyens s'ils introduisent une vulnérabilité supplémentaire.
La serrure 5 est de préférence autonome électriquement et alimentée à l'aide de piles ou de batterie ; elle reste mécaniquement verrouillée lorsque les piles ou batteries sont déchargés. La recharge ou le remplacement des piles ou batteries peut alors être effectué sans déverrouiller la serrure. Dans une variante, la serrure est alimentée électriquement par le dispositif dans lequel elle est montée, par exemple un distributeur de billets. Dans encore une autre variante, elle est alimentée au moyen d'une génératrice actionnée par l'utilisateur ; la montre 54 utilise dans cas sa propre source d'énergie afin de conserver l'heure même lorsque le reste du système n'est plus alimenté électriquement.
Nous allons maintenant décrire à l'aide de la figure 2 un exemple de mise en œuvre du procédé de l'invention.
Initialement, un utilisateur 4 souhaitant déverrouiller la serrure 5 se trouve physiquement devant cette serrure et introduit au cours de l'étape 100 un code personnel sur le clavier 51, par exemple un code numérique ou alphanumérique, par exemple un code à 6 chiffres.
Au cours de l'étape 101, les moyens de calcul dans la serrure vérifient le code personnel introduit. Dans une première variante, le code personnel est comparé avec une liste de codes acceptés (« liste blanche ») stockée dans la serrure. Cette variante a cependant l'inconvénient de devoir transmettre une telle liste à la serrure, par exemple au travers d'un réseau de télécommunication ou par le biais des convoyeurs. Une telle transmission est sujette à des risques d'interception ou d'espionnage. Afin d'éviter ce risque, dans une deuxième variante préférentielle, la serrure se contente de vérifier au cours de l'étape 101 si le code personnel introduit est plausible, par exemple si le format du code est admissible, si un éventuel code de parité est correct, ou si le code personnel introduit n'appartient pas une liste de codes rejetés (« liste noire ») parce que inexistants ou appartenant à des utilisateurs refusés. La vérification du code personnel particulier introduit par l'utilisateur est dans cette deuxième variante déléguée à la centrale, à qui le code devra être transmis implicitement ou explicitement ultérieurement.
Si la serrure détecte au cours de l'étape 101 que le code personnel introduit est invalide, il est rejeté, et un message d'erreur peut être affiché sur l'affichage 50 pour informer l'utilisateur et l'inviter à introduire un nouveau code. Afin d'empêcher des attaques par « force brute », c'est-à-dire en testant successivement un grand nombre de codes différents, il est possible par exemple d'introduire un délai entre chaque tentative et/ou de limiter le nombre de tentatives infructueuses possibles avant de bloquer la serrure pour une plus longue période, ou jusqu'à l'introduction d'une manœuvre de déblocage.
Dans une variante, l'utilisateur s'identifie envers la serrure en prouvant la possession d'un objet, par exemple une clé, une clé électronique, une carte à puce, etc. L'objet présenté peut être lui-même protégé par un code, notamment dans le cas d'une carte à puce. Cette solution a cependant l'inconvénient de nécessiter une organisation pour distribuer et gérer les objets à présenter. L'utilisateur peut aussi s'identifier au moyen de données biométriques acquises au moyen d'un capteur biométrique, par exemple à l'aide de ses empreintes digitales, de l'iris, de la rétine, du visage, de la voix, etc. Ces données biométriques ont cependant l'inconvénient de ne pas pouvoir être remplacées avec la facilité d'un code personnel qui peut être transmis au dernier moment à l'utilisateur ; un enregistrement de l'utilisateur est en outre requis pour acquérir ses données biométriques de référence.
Différents procédés d'identification peuvent en outre être combinés. Il est aussi possible de réclamer une identification supplémentaire ou différente selon les circonstances ; par exemple, une identification biométrique, ou par clé, peut être exigée lorsque l'identification par code personnel n'a pas fonctionné après un nombre d'essais prédéterminé, ou lorsque la somme à disposition dans le volume protégé dépasse une certaine somme, ou lorsque d'autres circonstances imposent une sécurité accrue.
Si le code personnel est valide, les moyens de calcul de la serrure
(ou, ultérieurement, ceux de la centrale) vérifient les droits d'accès attachés à l'utilisateur identifié par ce code. Les droits d'accès peuvent dépendre du temps ; par exemple, il est possible de n'autoriser un déverrouillage de la serrure que pendant une fenêtre temporelle limitée correspondant à l'heure à laquelle l'utilisateur est attendu. Cette fenêtre temporelle peut être codée, avec d'autres informations, dans la réponse de la centrale décrite plus bas.
Selon l'objet protégé, il est aussi possible de permettre un accès à des parties différentes du volume protégé à différents utilisateurs ; il est par exemple envisageable d'autoriser un technicien à accéder uniquement à différents organes d'un distributeur, par exemple pour recharger le papier, prélever des fichiers de logs ou effectuer d'autres opérations de maintenance, tandis que l'accès au coffre est réservé à d'autres utilisateurs identifiés à l'aide d'autres codes.
La serrure 5 peut aussi vérifier si une manipulation particulière a été effectuée lors de l'introduction du code personnel par l'utilisateur 4 afin de signaler qu'il est sous contrainte, par exemple parce qu'un assaillant est en train de le forcer à introduire le code. La manipulation particulière peut impliquer par exemple l'introduction d'un code personnel différent, la pression d'une touche ou d'un organe supplémentaire, un appui prolongé sur une touche, ou d'autres manipulations identifiables sans ambiguïtés par la serrure 5 mais difficile à détecter pour un assaillant observant la manœuvre. La détection d'une manipulation particulière entraîne un comportement différent de la serrure, comme on le verra plus bas.
En cas d'identification valide, la serrure 5 affiche ensuite au cours de l'étape 102 une question sur l'affichage 50. La question affichée peut dépendre de l'heure, de la date, de l'utilisateur identifié, de la serrure, d'autres paramètres collectés par la serrure, et/ou d'une éventuelle détection de manipulation pour signaler une contrainte. Par ailleurs, le choix de la question peut dépendre d'un facteur aléatoire. Chaque question est de préférence affichée une seule fois et n'est pas réutilisée, ou au moins pas pour le même utilisateur. La question affichée peut être générée par une fonction mathématique, par exemple une fonction pseudo-aléatoire, et/ou choisie dans une table de questions prédéfinies. Dans une variante préférentielle, la fonction pseudo-aléatoire dépend au moins partiellement de la valeur d'un compteur incrémentée à chaque ouverture du coffre et/ou à chaque tentative de déverrouillage ; le compteur ne peut jamais être décrémenté, et la valeur maximale qui peut être comptée est suffisante pour assurer que le compteur ne reboucle. Il serait aussi possible d'employer l'heure comptée par l'horloge de la serrure pour initialiser la fonction pseudo-aléatoire ; toutefois, une horloge doit pouvoir être mise à l'heure, et donc pouvoir être retardée, ce qui pourrait être utilisé pour « remonter dans le temps » afin de forcer la serrure à générer à nouveau une question dont la réponse est déjà connue.
Les identifications fructueuses et les tentatives d'identifications infructueuses sont de préférence enregistrées dans un fichier de log dans la serrure, avec la date et l'heure de l'événement. Ce fichier peut être consulté par un technicien, par exemple en introduisant un code particulier sur le clavier 51, en branchant un ordinateur sur un connecteur sur la face frontale de la serrure, et/ou à distance depuis la centrale 1 au travers d'un réseau de communication.
L'utilisateur 4 lit la question affichée au cours de l'étape 103, puis l'introduit au cours de l'étape 104 sur le clavier de son équipement mobile 3. Comme la question affichée sur l'affichage 50 est imprévisible, et qu'il est possible de distinguer les questions possibles des questions non licites, on s'assure ainsi que l'utilisateur 4 se trouve bel et bien à proximité de la serrure 5 à ouvrir. Au cours de l'étape 105, la question introduite par l'utilisateur est transmise par l'équipement mobile 3 à la centrale, par exemple sous forme de message court, par exemple de SMS, de e-mail, de paquets de données, de code DTMF, ou de message vocal parlé par l'utilisateur.
Une application dédiée, par exemple un applet Java (marque déposée), peut être exécutée par l'équipement mobile 3 pour faciliter l'introduction de la question et sa transmission vers la centrale 1. Dans une variante, la question est simplement introduite par l'utilisateur et transmise à un numéro téléphonique ou vers une adresse e-mail connus de l'utilisateur.
L'accès à l'équipement mobile 3, ou à l'application de l'équipement mobile, peut être protégé par un mot de passe, un code pin, ou requérir d'autres mesures d'identification ou d'authentification de l'utilisateur 4.
Outre la question introduite par l'utilisateur, le message transmis à la centrale 1 au cours de l'étape 105 peut inclure d'autres informations, y compris par exemple une identification de l'équipement mobile 3 employé (par exemple un numéro d'appelant MSISDN), des données d'identification d'utilisateur (y compris son code personnel, mais aussi par exemple un mot de passe, un code PIN, des données biométriques, des données extraites d'une carte à puce dans l'équipement mobile, etc), des informations de positions fournies par le module de géolocalisation 30, des informations fournies par le module PTI 31, etc. Le message peut en outre être signé électroniquement par une carte à puce dans l'équipement mobile 3, afin de prouver son authenticité et son intégrité, et/ou encrypté afin de garantir sa confidentialité.
Au cours de l'étape 106, la centrale 1 reçoit le message transmis par l'utilisateur et le vérifie. La vérification implique par exemple de contrôler si la question transmise est une question licite, en fonction de l'utilisateur qui l'emploie, de la serrure devant laquelle il se trouve, de l'heure, etc. Si le code personnel de l'utilisateur a été transmis avec la question, ou s'il est implicitement contenu dans la question, la centrale 1 peut aussi s'assurer que cet utilisateur est effectivement autorisé à accéder à cette serrure à ce moment, par exemple en fonction d'un plan de route préalablement établi pour un convoyeur se déplaçant entre plusieurs serrures. D'autres vérifications peuvent tenir compte de l'emplacement géographique de l'utilisateur, des données fournies par le dispositif PTI, d'éventuelles données fournies directement par la serrure, des vérifications d'informations signalant une manipulation pour indiquer une contrainte, etc.
Si les vérifications effectuées au cours de l'étape 106 permettent de déterminer que la question est une question légitime transmise au bon moment par un utilisateur autorisé, les droits de cet utilisateur sont de préférence déterminés. Lorsque l'utilisateur possède au moins certains droits, une réponse à cette question est calculée au cours de l'étape 107, au moyen d'un algorithme inconnu des utilisateurs et exécuté par les moyens de calcul 1 1. La réponse est de préférence constituée par une suite numérique ou alphanumérique ne permettant pas à un utilisateur de déterminer immédiatement si elle contient des instructions implicites pour la serrure.
Dans le cas contraire où la question reçue n'est pas valide, ou si elle a été transmise par un utilisateur non autorisé, ou lorsque l'utilisateur ne possède pas les droits d'accès nécessaires, ou lorsque d'autres anomalies ont été détectées, aucune réponse n'est calculée. Dans une variante, un message d'erreur informant l'utilisateur est alors transmis à l'équipement mobile 3 et affiché par ce dernier, afin par exemple de permettre à l'utilisateur de corriger une erreur de frappe lors de l'introduction de la question. Alternativement, la centrale peut fournir une réponse modifiée entraînant un comportement modifié de la serrure. La réaction de la centrale et la réponse envoyée peut aussi dépendre de l'anomalie détectée, du nombre d'essais infructueux, ou d'autres conditions.
Si la centrale détecte, par exemple à partir de la question reçue, que l'utilisateur a effectué une manipulation particulière pour indiquer qu'il est sous contrainte, elle calcule de préférence une réponse modifiée par la réponse normale, afin de provoquer un comportement particulier de la serrure. Différentes réponses modifiées peuvent être choisies automatiquement ou par des opérateurs humains selon les circonstances, afin de déclencher différentes réactions.
D'autres informations complémentaires peuvent être codées dans la réponse, par exemple pour définir les droits d'accès de l'utilisateur à la serrure, par exemple en fonction du temps.
La réponse à la question est ensuite transmise à l'équipement mobile au cours de l'étape 108, puis affichée et lue par l'utilisateur au cours de l'étape 109. La réponse peut comporter par exemple un code numérique ou alphanumérique et est introduite par l'utilisateur 4 sur le clavier 51 de la serrure 5 au cours de l'étape 110.
Au cours de l'étape 1 1 1, les moyens de calcul dans la serrure 5 vérifient si la réponse reçue est correcte. Dans une variante, cette vérification implique une comparaison avec une réponse calculée par la serrure elle-même, en exécutant le même algorithme que celui exécuté par la centrale 1. Dans une variante, la vérification de la réponse reçue est effectuée sans la recalculer indépendamment, par exemple en vérifiant la réponse reçue au moyen d'une clé de vérification permettant de distinguer la ou les réponses possibles à la question des réponses non valides, en fonction de la question et/ou d'autres paramètres. Cette variante a l'avantage de ne pas requérir de copies de l'algorithme dans une multitude de serrures disséminées sur un territoire ; elle est en outre compatible avec des algorithmes susceptibles de fournir plusieurs réponses valides à une même question.
Les moyens de calcul 5 vérifient en outre au cours de l'étape 1 1 1 si la réponse reçue tient compte d'une détection de manipulation par un utilisateur sous contrainte, ou si d'autres paramètres sont codés dans cette réponse. Dans une variante, l'utilisateur indique un état de contrainte à la serrure 5 lors de l'introduction de la réponse sur le clavier au cours de l'étape 110, par exemple en introduisant un chiffre supplémentaire, etc. Cette solution est cependant moins sûre car un usurpateur pourrait introduire lui-même la réponse, sans effectuer de manipulation supplémentaire. En outre la centrale n'est pas informée d'une manipulation.
Dans une variante supplémentaire, un état de contrainte est directement détecté par la serrure 5 à partir de capteurs ou de données supplémentaires, de données transmises par le distributeur auquel la serrure est associée, ou de données directement transmises par la centrale 1.
Si la serrure détermine au cours de l'étape 111 que la réponse introduite est correcte, et qu'elle ne correspond pas à un état de contrainte, la serrure est déverrouillée au cours de l'étape 112, jusqu'au prochain verrouillage manuel ou pendant une durée limitée. L'utilisateur peut ainsi accéder au volume protégé, ou à une partie de ce volume. Cet événement est protocole dans le fichier de log, en indiquant l'heure et la durée du déverrouillage. Par ailleurs, le compteur employé pour initialiser la fonction pseudo-aléatoire est incrémenté de façon irréversible.
Si la serrure détermine au cours de l'étape 111 que la réponse introduite est incorrecte, la serrure reste verrouillée, et un message d'erreur peut s'afficher sur l'affichage 50. Après un nombre prédéterminé d'essais infructueux, une alarme peut être déclenchée localement ou envoyée à la centrale 1 ou vers une autre adresse prédéterminée. Dans une variante, les billets dans le distributeur sont automatiquement détruits ou marqués avec une encre indélébile.
Si la serrure détermine au cours de l'étape 111 que la réponse introduite est correcte, mais qu'elle correspond à un état de contrainte, elle effectue l'une des actions suivantes selon la réponse : * verrouillage de la serrure, ou maintien du verrouillage, éventuellement même si une réponse correcte et introduite ultérieurement pendant une durée limitée,
« déverrouillage normal de la serrure,
* déverrouillage retardé de la serrure après un délai court, mais plus long que le délai usuel
« déverrouillage retardé de la serrure après un délai long, par exemple supérieur à trois minutes,
« affichage d'un message particulier sur l'affichage 50 de la serrure, par exemple pour indiquer à l'assaillant qu'il a été repéré.
* déclenchement d'une alarme, par exemple une alarme sonore
* destruction du contenu du volume protégé par la serrure, par exemple par marquage des billets au moyen d'une encre indélébile
etc
Les deux dernières options doivent cependant être utilisées avec parcimonie pour éviter le risque que l'utilisateur légitime soit pris en otage ou victime de représailles.
Ces différentes mesures peuvent en outre être combinées.
Après l'introduction d'une réponse correcte, ou d'une réponse indiquant une manipulation, un code de quittance est de préférence affiché au cours d'une étape supplémentaire non illustrée sur l'affichage 50. L'utilisateur introduit ensuite ce code de quittance sur son équipement mobile et le transmet à la centrale 1, de la même façon que la question auparavant, afin d'indiquer à la centrale la fin de sa mission. Le code de quittance requis est de préférence unique et imprévisible à l'avance, de manière à s'assurer que l'utilisateur l'a bien lu à la suite de la manipulation et qu'il ne l'a pas déduit autrement. La centrale est cependant en mesure de vérifier si le code de quittance transmis est licite.
A nouveau, le code de quittance généré par la serrure ou réintroduit par l'utilisateur peut contenir des indications signalant à la centrale des événements particuliers, par exemple pour indiquer si la serrure a été ouverte, un nouvel état de contrainte, ou tout autre événement. Le code de quittance transmis peut en outre, de la même façon que la question auparavant, être signé, encrypté, et accompagné de données telles que la date, l'heure, l'identification d'utilisateur, d'équipement mobile, de position géographique, etc. La centrale peut ainsi vérifier ces données, ou détecter l'absence d'envoi de message de quittance après un délai prédéterminé, pour décider d'une action appropriée, y compris le déclenchement d'une alarme, le déclenchement d'une intervention, et/ou le verrouillage d'autres serrures à proximité ou sur le parcours prévu de l'utilisateur même en cas de manœuvre correcte.
Le code de quittance généré est de préférence, de la même façon que la question ou la réponse, dépendant de l'utilisateur en cours, de la serrure en cours et/ou d'autres paramètres tels que la date, l'heure, la détection de manipulations éventuelles.
Dans le procédé ci-dessus, une autorisation de déverrouillage d'une serrure particulière par un utilisateur particulier peut être modifiée par la centrale 1 de l'une des façons suivantes :
En communiquant un nouveau code personnel à l'utilisateur, par exemple par le biais d'un appel téléphonique, d'un SMS, d'un e-mail ou d'un autre message envoyé à l'équipement mobile 3, ou transmis oralement à l'utilisateur En modifiant les codes personnels acceptés par les serrures 5, par exemple en envoyant de nouvelles listes de codes acceptés (liste blanche ; seulement dans la variante où ces listes sont stockées dans la serrure), de nouvelles listes de codes refusés (liste noire), de nouvelles listes de codes suspects, nécessitant des vérifications supplémentaires (liste grise), ou en modifiant les droits d'accès associés à ces codes. Les listes de codes et les droits d'accès peuvent être transmis par un canal de télécommunication au travers d'une interface de télécommunication dans la serrure, et/ou au moyen d'une interface de télécommunication liée au dispositif protégé par la serrure, ou introduit directement, au travers d'un support de données physique, par un technicien chargé de la maintenance.
En modifiant les codes personnels acceptés par la centrale, en fonction de listes blanches, grises ou noires, ou d'autres paramètres tels que le plan de route prévu de l'utilisateur.
En modifiant la réponse donnée à une question transmise par un utilisateur, ou en refusant de répondre à ces questions.
En envoyant un ordre directement à la serrure, par exemple un ordre de maintenir le verrouillage pendant un intervalle.
Par ailleurs, indépendamment du comportement de la centrale, la serrure 5 peut elle-même autoriser ou refuser le déverrouillage en fonction de paramètres acquis directement ou au travers du dispositif protégé, par exemple à l'aide de capteurs, caméras ou microphones associés à la serrure ou au dispositif, obtenus en analysant les manipulations de l'utilisateur sur le clavier 5, ou selon un historique interne des manipulations de cet utilisateur et/ou de la serrure 5.
Il est cependant possible, dans le cadre de l'invention, de ne prévoir qu'une partie des possibilités d'autorisation de déverrouillage mentionnées ci-dessus.
La serrure décrite ci-dessus peut être employée pour sécuriser des volumes autres que des distributeurs de billet, par exemple des armoires d'armes employées dans les commissariats ou par l'armée, des coffres-forts, ou d'autres volumes dont le verrouillage ou le déverrouillage par un utilisateur local doit être autorisé par une centrale à distance.
Par ailleurs, la serrure de l'invention peut être programmée à n'importe quel moment, par exemple depuis la centrale et/ou à l'aide d'un code particulier introduit par un utilisateur à proximité, pour fonctionner dans un mode autre que le mode interactif décrit plus haut. Par exemple, il serait possible de reprogrammer cette serrure pour autoriser son déverrouillage par certains utilisateurs, ou même par tous les utilisateurs, sans établir de connexion avec la centrale.

Claims

Revendications
1. Procédé de contrôle de verrouillage de serrure électronique (5), comportant les étapes suivantes : un utilisateur (4) s'identifie auprès de la serrure électronique, la serrure électronique (5) affiche une question, l'utilisateur transmet la question à une centrale (1), la centrale calcule la réponse à la question et transmet cette réponse à l'utilisateur, l'utilisateur introduit la réponse dans la serrure, la serrure vérifie si la réponse est correcte et décide en fonction de cette réponse du déverrouillage de la serrure.
2. Le procédé la revendication 1, dans lequel à la fin de la manipulation un code de quittance est affiché par ladite serrure (5) et transmis par ledit utilisateur à la centrale (1) à l'aide d'un équipement mobile (3).
3. Le procédé de l'une des revendications 1 ou 2, dans lequel une question différente est affichée à chaque accès à la serrure.
4. Le procédé de l'une des revendications 1 à 3, dans lequel ladite centrale vérifie si ladite question est valide.
5. Le procédé de l'une des revendications 1 à 4, dans lequel les questions affichées dépendent desdits utilisateurs.
6. Le procédé de l'une des revendications 1 à 5, dans lequel ladite réponse à ladite question est calculée au moyen d'un algorithme dans ladite centrale (1), et dans lequel ladite serrure vérifie au moyen du ou d'un algorithme exécuté dans la serrure si ladite réponse est correcte.
7. Le procédé de l'une des revendications 1 à 6, dans lequel ledit utilisateur (4) transmet ladite réponse à ladite centrale au moyen d'une communication établie au travers d'un réseau cellulaire (2) indépendant de ladite serrure.
8. Le procédé de la revendication 7, dans lequel ledit utilisateur (4) transmet ladite réponse à ladite centrale (1) au moyen d'un équipement mobile (3) apte à se connecter dans un réseau cellulaire, ledit équipement mobile déterminant la position dudit utilisateur au moyen d'un dispositif de géolocalisation (30), ladite position étant transmise à ladite centrale (1), ladite centrale vérifiant ladite position avant de transmettre ladite réponse à ladite question.
9. Le procédé de l'une des revendications 7 à 8, ledit équipement mobile (3) mettant en œuvre un équipement de protection de travailleur isolé (31) afin de déterminer si ledit utilisateur est vivant et/ou s'il est éveillé.
10. Le procédé de l'une des revendications 7 à 9, ledit équipement mobile (3) authentifiant ledit utilisateur au moyen d'une carte à puce, d'un code personnel et/ou de données biométriques (32).
11. Le procédé de la revendication 10, l'identité dudit utilisateur (4) déterminée dans ledit équipement mobile (3) étant transmise à ladite centrale (1) pour vérification.
12. Le procédé de l'une des revendications 1 à 11, dans lequel ledit utilisateur (4) s'identifie auprès de la serrure électronique (5) au moyen d'un code personnel introduit sur un clavier (51) de la serrure (5).
13. Le procédé de la revendication 12, dans lequel un nouveau code personnel est transmis par ladite centrale audit utilisateur (4.
14. Le procédé de l'une des revendications 1 à 13, comportant une étape préalable de définition de droits d'accès des utilisateurs identifiées à ladite serrure.
15. Le procédé de l'une des revendications 1 à 14, dans lequel ledit utilisateur (4) effectue une manipulation particulière lors de l'introduction de ladite question dans ladite serrure lorsqu'elle souhaite signaler qu'elle est sous contrainte, ladite centrale (1) réagissant alors en générant une réponse modifiée à ladite question, ladite réponse modifiée étant différente de la réponse générée lorsque ladite manipulation n'est pas effectuée, ladite serrure modifiant lesdites conditions de verrouillage lorsque ledit utilisateur introduit ladite réponse modifiée.
16. Le procédé de la revendication 15, dans lequel ladite centrale
(1) choisit une réponse modifiée parmi plusieurs lorsqu'une dite manipulation a été détectée, l'introduction d'au moins certaines des différentes réponses modifiées provoquant au moins certains des comportements suivants : maintien du verrouillage de la serrure (5) ; temporisation du déverrouillage de la serrure (5) ; affichage d'un message sur l'affichage (50) de ladite serrure (5) ; déclenchement d'une alarme ; destruction ou marquage du contenu du dispositif protégé par ladite serrure (5).
17. Le procédé de l'une des revendications 2 à 16, dans lequel un code de quittance différent est affiché à la fin de chaque manipulation.
18. Le procédé de l'une des revendications 2 à 17, dans lequel ledit code de quittance dépend de l'utilisateur en cours, de l'ouverture de la serrure, de la serrure en cours, de la date, de l'heure, et/ou de la détection de manipulations éventuelles.
19. Serrure électronique (5) comportant : des moyens d'introduction de données (51) pour l'introduction d'un code d'identification personnel, un module pour générer puis afficher une question en réponse à l'introduction d'un code d'identification personnel, un module pour vérifier si une réponse à ladite question introduite sur ledit clavier est correcte, et pour provoquer le déverrouillage de ladite serrure en cas de réponse correcte.
20. La serrure de la revendication 19, comportant des moyens pour générer et afficher un code de quittance après une tentative de déverrouillage.
21. La serrure de l'une des revendications 19 à 20, comportant des moyens pour vérifier la plausibilité dudit code personnel, lesdits moyens étant dépourvus de liste d'utilisateurs autorisés.
22. La serrure de l'une des revendications 19 à 21, comportant des moyens pour détecter des manipulations de l'utilisateur, ladite question générée étant modifiée lorsqu'une telle manipulation a été détectée.
23. La serrure de l'une des revendications 19 à 22, comportant des moyens pour temporiser le déverrouillage de la serrure selon la réponse introduite.
24. La serrure de l'une des revendications 19 à 23, comportant un fichier de log pour répertorier les événements provoqués par lesdits utilisateurs.
25. La serrure de l'une des revendications 19 à 24, comportant une horloge alimentée en permanence pour déterminer l'heure et la date.
26. La serrure de l'une des revendications 19 à 25, comportant un compteur incrémentable de façon irréversible pour initialiser une fonction pseudo-aléatoire employée pour générer ladite question.
27. La serrure de l'une des revendications 19 à 26, comportant une interface pour échanger des données avec un dispositif protégé par ladite serrure.
28. La serrure de l'une des revendications 19 à 27, comportant une interface pour échanger des données avec une centrale à distance.
PCT/EP2006/067589 2005-10-24 2006-10-19 Procede de controle de verouillage de serrure, et serrure WO2007048749A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2006800397857A CN101297327B (zh) 2005-10-24 2006-10-19 控制锁的锁定的方法以及锁
AU2006307977A AU2006307977B2 (en) 2005-10-24 2006-10-19 Method for controlling the locking of a lock, and lock
US12/104,967 US20090320538A1 (en) 2005-10-24 2008-04-17 Method for controlling the locking of a lock, and lock
HK09103516A HK1125727A1 (en) 2005-10-24 2009-04-16 Method for controlling a lock locking state and a lock

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP05109900.0 2005-10-24
EP05109900.0A EP1780680B1 (fr) 2005-10-24 2005-10-24 Procédé de contrôle de verrouillage de serrure, et serrure

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US12/104,967 Continuation US20090320538A1 (en) 2005-10-24 2008-04-17 Method for controlling the locking of a lock, and lock

Publications (1)

Publication Number Publication Date
WO2007048749A1 true WO2007048749A1 (fr) 2007-05-03

Family

ID=35840136

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/067589 WO2007048749A1 (fr) 2005-10-24 2006-10-19 Procede de controle de verouillage de serrure, et serrure

Country Status (9)

Country Link
US (1) US20090320538A1 (fr)
EP (1) EP1780680B1 (fr)
CN (1) CN101297327B (fr)
AU (1) AU2006307977B2 (fr)
ES (1) ES2664947T3 (fr)
HK (1) HK1125727A1 (fr)
MY (1) MY149673A (fr)
WO (1) WO2007048749A1 (fr)
ZA (1) ZA200803528B (fr)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103021045A (zh) * 2011-09-25 2013-04-03 边高伟 移动终端用户验证智能门禁系统
CN103941971A (zh) * 2013-01-17 2014-07-23 深圳富泰宏精密工业有限公司 屏幕解锁方法及系统
CN105069874A (zh) * 2015-07-28 2015-11-18 北京航空航天大学 一种移动互联网声纹门禁系统及其实现方法
CN105225317A (zh) * 2015-10-03 2016-01-06 上海大学 一种多路集中管理的网络门禁控制系统
CN106023373A (zh) * 2016-05-23 2016-10-12 三峡大学 一种基于大数据与人脸识别的校园宿舍门禁系统

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5012247B2 (ja) * 2007-06-21 2012-08-29 ソニー株式会社 認証装置、入場管理装置、入退場管理装置、入場管理システム、入退場管理システム、認証処理方法およびプログラム
WO2010000276A1 (fr) * 2008-06-30 2010-01-07 Telecom Italia S.P.A. Procédé et système pour communiquer des demandes d'autorisation d'accès en fonction d'une identification personnelle d'utilisateur, et procédé et système pour déterminer des autorisations d'accès
US9058474B2 (en) * 2008-12-11 2015-06-16 Northrop Grumman Systems Corporation Biometric device, system, and method for individual access control
US8797138B2 (en) * 2009-01-13 2014-08-05 Utc Fire & Security Americas Corporation, Inc. One-time access for electronic locking devices
US8542119B2 (en) * 2009-01-13 2013-09-24 Invue Security Products Inc. Combination non-programmable and programmable key for security device
DE102009010491A1 (de) 2009-02-25 2010-09-23 Rittal Gmbh & Co. Kg Zugangssteuerungseinrichtung
TR200903929A2 (tr) * 2009-05-21 2010-12-21 Gürel Hakan Bir kimlik doğrulama sistemi
US20110050419A1 (en) * 2009-08-26 2011-03-03 Kwanyuen Ng Remote Intrusion Signaling Security System
CN101866409B (zh) * 2010-05-11 2015-04-01 中兴通讯股份有限公司 一种手持设备锁定、解锁方法和装置
US20110298584A1 (en) * 2010-06-04 2011-12-08 Kent Biggs Securing a cash safe with a circuit
EP2405650A1 (fr) * 2010-07-09 2012-01-11 Nagravision S.A. Procédé de transfert sécurisé de messages
KR20120058199A (ko) * 2010-11-29 2012-06-07 한국전자통신연구원 위치정보를 이용한 사용자 인증방법
EP2646941A4 (fr) * 2010-12-01 2017-04-19 HID Global Corporation Terminaux biométriques
EP2689399B1 (fr) * 2011-03-24 2016-11-16 Recludo AB Dispositif et procédé de commande d'autorisation biométrique autonome
CN102324152A (zh) * 2011-06-09 2012-01-18 闵浩 基于身份识别技术和移动通信技术的电子锁控制管理系统和方法
US8856893B2 (en) 2011-06-09 2014-10-07 Hao Min System and method for an ATM electronic lock system
CN102360477A (zh) * 2011-06-09 2012-02-22 闵浩 基于指纹识别技术和移动通信技术的指纹密码锁控制管理系统和方法
WO2013034671A1 (fr) * 2011-09-09 2013-03-14 Param Technologies Corporation, S.L. Appareil et procédé pour contrôler l'accès d'un visiteur à des locaux
US20130090939A1 (en) * 2011-10-11 2013-04-11 Robert N. Robinson Sytem and method for preventing healthcare fraud
US20130090942A1 (en) * 2011-10-11 2013-04-11 Safe-Link, Llc Sytem and method for preventing healthcare fraud
CN102346945A (zh) * 2011-10-28 2012-02-08 闵浩 基于双向加密认证技术和通信技术的电子锁控制管理系统和方法
CN102493722B (zh) * 2011-12-05 2014-04-09 西安大唐电信有限公司 一种车辆运输电子锁应用系统及加解锁方法
CN104282068A (zh) * 2012-03-15 2015-01-14 江苏省电力公司常州供电公司 变电所防误锁具的许可装置
WO2014028892A1 (fr) * 2012-08-16 2014-02-20 Schlage Lock Company Llc Système et procédé de verrouillage électronique sans fil
CN102855427B (zh) * 2012-08-31 2016-03-02 小米科技有限责任公司 一种设备解锁方法、装置及用户设备
US20140279511A1 (en) * 2013-03-14 2014-09-18 Moneygram International, Inc. Systems and Methods for Management of Local Devices
KR101618541B1 (ko) 2013-03-15 2016-05-04 스펙트럼 브랜즈, 인크. 통합형 안테나, 터치 작동부 및 광통신 장치를 갖는 무선 잠금장치
WO2014147082A2 (fr) * 2013-03-18 2014-09-25 Serle Espig Procédé de transfert de marchandise à transporter dans un récipient de transport pouvant être fermé, récipient de transport pouvant être fermé et système de transport
CN103761966A (zh) * 2013-12-25 2014-04-30 苏州市邦成电子科技有限公司 一种语音开锁系统
US9996999B2 (en) * 2014-07-30 2018-06-12 Master Lock Company Llc Location tracking for locking device
US9600949B2 (en) 2014-07-30 2017-03-21 Master Lock Company Llc Wireless key management for authentication
US9894066B2 (en) 2014-07-30 2018-02-13 Master Lock Company Llc Wireless firmware updates
US10008057B2 (en) 2014-08-08 2018-06-26 Live Nation Entertainment, Inc. Short-range device communications for secured resource access
US9489787B1 (en) 2014-08-08 2016-11-08 Live Nation Entertainment, Inc. Short-range device communications for secured resource access
KR102422372B1 (ko) * 2014-08-29 2022-07-19 삼성전자 주식회사 생체 정보와 상황 정보를 이용한 인증 방법 및 장치
US20160116510A1 (en) 2014-10-27 2016-04-28 Master Lock Company Predictive battery warnings for an electronic locking device
CN104916022A (zh) * 2015-06-16 2015-09-16 广州杰赛科技股份有限公司 一种智能锁控制方法、移动终端及智能锁系统
US9852562B2 (en) * 2015-07-06 2017-12-26 Acsys Ip Holding, Inc. Systems and methods for redundant access control systems based on mobile devices and removable wireless buttons
CN105577805A (zh) * 2015-12-29 2016-05-11 宁波艾谱实业有限公司 保险箱的远程控制方法及实现该方法的控制系统
US9984524B2 (en) 2016-01-26 2018-05-29 Acsys Ip Holding Inc Systems and methods for remote access rights and verification
WO2017165349A1 (fr) 2016-03-22 2017-09-28 Spectrum Brands, Inc. Dispositif d'ouverture de porte de garage à authentification par capteur tactile
US11881073B2 (en) 2016-05-17 2024-01-23 Peter Just Access system and container for communal objects
CN106056713B (zh) * 2016-06-08 2019-02-15 珠海明居智能科技有限公司 一种密码锁的远程授权方法
CN105939193A (zh) * 2016-06-22 2016-09-14 武汉市天晨翔云数据有限公司 控制智能锁的黑名单设置授权及加密方法
WO2018075605A1 (fr) 2016-10-19 2018-04-26 Best Access Solutions, Inc. Noyau de verrou électromécanique
CN106773757A (zh) * 2016-12-13 2017-05-31 广东美的制冷设备有限公司 智能装置及家电设备
EP3361457B1 (fr) * 2017-02-13 2023-07-12 Diebold Nixdorf Systems GmbH Dispositif d'entrée, distributeur de billets et procédé
JP2018180624A (ja) * 2017-04-04 2018-11-15 グローリー株式会社 貨幣処理機、貨幣処理システムおよび貨幣処理方法
AU2018330295B2 (en) 2017-09-08 2023-11-30 Dormakaba Usa Inc. Electro-mechanical lock core
CN108182739A (zh) * 2017-12-21 2018-06-19 广东汇泰龙科技有限公司 一种基于虹膜识别和蓝牙功能的云锁解锁方法、系统
US11450158B2 (en) 2018-01-05 2022-09-20 Spectrum Brands, Inc. Touch isolated electronic lock
US11466473B2 (en) 2018-04-13 2022-10-11 Dormakaba Usa Inc Electro-mechanical lock core
WO2019200257A1 (fr) 2018-04-13 2019-10-17 Dormakaba Usa Inc. Partie centrale de verrou électromécanique
CN109190366B (zh) * 2018-09-14 2021-11-19 郑州云海信息技术有限公司 一种程序处理方法以及相关装置
US11639617B1 (en) 2019-04-03 2023-05-02 The Chamberlain Group Llc Access control system and method
US20200372743A1 (en) * 2019-05-20 2020-11-26 Popid, Inc. Face based door entry
GB2590357B (en) * 2019-11-28 2022-12-21 Paxton Access Ltd Access control system and method

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5259029A (en) * 1990-05-16 1993-11-02 Duncan Jr F Jeff Decoding device for computer software protection
US5367572A (en) * 1984-11-30 1994-11-22 Weiss Kenneth P Method and apparatus for personal identification
EP0935041A1 (fr) * 1998-02-09 1999-08-11 Christian Martineau Dispositif et procédé de commande d'acces physique ou logique
WO2001059725A1 (fr) * 2000-02-08 2001-08-16 Siemens Aktiengesellschaft Procede de controle de l'identite d'un utilisateur
EP1281588A2 (fr) * 2001-08-01 2003-02-05 Siemens Aktiengesellschaft Procédé de transmission d'un code de verrouillage ou d'ouverture et unités associées
US20030231103A1 (en) * 2002-06-14 2003-12-18 Fisher Scott R. Electronic lock system and method for its use with card only mode

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8813730D0 (en) * 1988-06-10 1988-07-13 Omni Services Ltd Time defence system
US5321242A (en) 1991-12-09 1994-06-14 Brinks, Incorporated Apparatus and method for controlled access to a secured location
US5774058A (en) * 1995-07-20 1998-06-30 Vindicator Corporation Remote access system for a programmable electronic lock
NO310087B1 (no) * 1999-07-05 2001-05-14 Jens Petter Hoeili Fremgangsmåte og system for betalingstransaksjon

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5367572A (en) * 1984-11-30 1994-11-22 Weiss Kenneth P Method and apparatus for personal identification
US5259029A (en) * 1990-05-16 1993-11-02 Duncan Jr F Jeff Decoding device for computer software protection
EP0935041A1 (fr) * 1998-02-09 1999-08-11 Christian Martineau Dispositif et procédé de commande d'acces physique ou logique
WO2001059725A1 (fr) * 2000-02-08 2001-08-16 Siemens Aktiengesellschaft Procede de controle de l'identite d'un utilisateur
EP1281588A2 (fr) * 2001-08-01 2003-02-05 Siemens Aktiengesellschaft Procédé de transmission d'un code de verrouillage ou d'ouverture et unités associées
US20030231103A1 (en) * 2002-06-14 2003-12-18 Fisher Scott R. Electronic lock system and method for its use with card only mode

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103021045A (zh) * 2011-09-25 2013-04-03 边高伟 移动终端用户验证智能门禁系统
CN103941971A (zh) * 2013-01-17 2014-07-23 深圳富泰宏精密工业有限公司 屏幕解锁方法及系统
CN105069874A (zh) * 2015-07-28 2015-11-18 北京航空航天大学 一种移动互联网声纹门禁系统及其实现方法
CN105225317A (zh) * 2015-10-03 2016-01-06 上海大学 一种多路集中管理的网络门禁控制系统
CN106023373A (zh) * 2016-05-23 2016-10-12 三峡大学 一种基于大数据与人脸识别的校园宿舍门禁系统

Also Published As

Publication number Publication date
MY149673A (en) 2013-09-30
ES2664947T3 (es) 2018-04-24
ZA200803528B (en) 2009-08-26
US20090320538A1 (en) 2009-12-31
AU2006307977B2 (en) 2012-03-01
EP1780680A1 (fr) 2007-05-02
EP1780680B1 (fr) 2018-01-17
CN101297327B (zh) 2013-04-03
CN101297327A (zh) 2008-10-29
HK1125727A1 (en) 2009-08-14
AU2006307977A1 (en) 2007-05-03

Similar Documents

Publication Publication Date Title
EP1780680B1 (fr) Procédé de contrôle de verrouillage de serrure, et serrure
ES2255111T3 (es) Metodo y sistema para garantizar la seguridad de centros de gestion de llamadas telefonicas.
EP3420172B1 (fr) Boitier sécurisé à contenu prédéterminé et gestion dynamique
EP0950303B1 (fr) Procede et systeme pour securiser les prestations de service a distance des organismes financiers
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
CN102084369A (zh) 用于监视对设备的未授权使用的系统
FR2926938A1 (fr) Procede d'authentification et de signature d'un utilisateur aupres d'un service applicatif, utilisant un telephone mobile comme second facteur en complement et independamment d'un premier facteur
EP1612991A1 (fr) Procédé et système de vote électronique en réseau à haute sécurité
WO2013079848A1 (fr) Protocole d'authentification mutuelle d' entitees ayant prealablement initie une transaction en ligne
EP3022867A1 (fr) Procéde d'authentification forte
EP2987124B1 (fr) Methode et systeme d'amelioration de la securite des transactions electroniques
EP1813052B1 (fr) Procédé de sécurisation de transactions effectuées à distance sur un réseau de communication ouvert
FR2944400A1 (fr) Procede d'authentification aupres d'un serveur par un utilisateur d'un appareil mobile
CN102986199A (zh) 便携式通信终端、它的启动方法和网络通信系统
EP3262553B1 (fr) Procede de transaction sans support physique d'un identifiant de securite et sans jeton, securise par le decouplage structurel des identifiants personnels et de services
WO2007113669A1 (fr) Securisation de transactions electroniques sur un reseau ouvert
FR2788154A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiements et telepaiements
EP0935041A1 (fr) Dispositif et procédé de commande d'acces physique ou logique
FR3081663A1 (fr) Procede de gestion a distance de l'ouverture d'une serrure electronique dotee d'une interface utilisateur, terminal, serrure et programme d'ordinateur associes
WO2012022856A1 (fr) Procédé d'authentification d' un utilisateur du réseau internet
FR3110748A1 (fr) Programmation de badges d’accès à des locaux.
FR3116132A1 (fr) Procede de d’authentification securise par le decouplage structurel des identifiants personnels et de services
JP2006209175A (ja) 認証システム、プログラム、および認証システムにおける不正行為防止方法
EP1669906A1 (fr) Procédé de sécurisation pour appareil électronique
FR2790854A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiement et telepaiements

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200680039785.7

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 3212/DELNP/2008

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 2006307977

Country of ref document: AU

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2006307977

Country of ref document: AU

Date of ref document: 20061019

Kind code of ref document: A

WWP Wipo information: published in national office

Ref document number: 2006307977

Country of ref document: AU

122 Ep: pct application non-entry in european phase

Ref document number: 06807414

Country of ref document: EP

Kind code of ref document: A1