Titre de l’invention : Procédé et système de contrôle d’accès.

La présente invention concerne un procédé et un système de contrôle d’accès physique. Plus particulièrement, l'invention concerne le domaine du contrôle d'accès physique à un espace protégé, par exemple à un bâtiment ou toutes sortes de lieux ou équipements dont l'accès ou l'utilisation doivent être contrôlés, pour des prestataires de services devant intervenir dans l’espace protégé.

L’arrivée des technologies numériques et particulièrement des technologies dites sans contact qui utilisent au moins un support a permis le déploiement et la généralisation de systèmes de contrôles d’accès physiques comprenant des moyens électroniques et un dispositif de verrouillage, connecté à un dispositif de lecture, pour sécuriser l’accès physique à un espace protégé.

Par support, au sens de la présente invention, on entend un support configuré pour contenir au moins une donnée électronique et disposant d’une unité de traitement.

Par exemple, comme support, on peut avoir un badge utilisant le procédé de radio- identification (communément désigné par l’acronyme RFID) ou un dispositif mobile tels que des téléphones mobiles ou toute autre unité de traitement apte à supporter une ou plusieurs données électroniques transmissibles via une technologie de contact ou sans contact.

La méthode la plus connue de verrouiller les accès d’un bâtiment consiste à placer un dispositif de lecture, qui peut être un lecteur électronique et qui est connecté à un dispositif de verrouillage, à l’entrée d’un bâtiment et à distribuer aux usagers résidents un badge individuel comme support. Ce badge individuel partage un secret avec ledit lecteur électronique qui est associé à une unité centrale de sorte à former un ensemble lecteur centrale. Ainsi, lors d’une transaction électronique entre le badge et l’ensemble lecteur- centrale, cette dernière vérifie l’authenticité du badge, et par extension de son porteur, grâce au partage du secret qui est commun au badge et à l’ensemble lecteur-centrale. Dans ce mode, l’ensemble lecteur-centrale et le badge doivent tout deux stocker et protéger un secret commun. On parle dans ce cas de schéma de sécurité à clé secrète.

Le mécanisme d’authentification peut employer trois types de clés :

Une clé symétrique unique, la même clé secrète est employée par tous les badges et par tous les ensembles lecteurs-centrales. Cette distribution à grande échelle représente un risque pour cette clé, qui pourrait être compromise par l’attaque matérielle d’un badge, ou d’un des ensembles lecteurs-centrales;

Des clés symétriques dérivées d’une clé maîtresse, chaque badge contient une clé différente, qui est dérivée par un mécanisme de chiffrement ou cryptographique à partir d’une clé maîtresse et d’un identifiant unique (ci-après désigné par l’acronyme UID) propre à chaque badge. L’UID est également contenu dans le badge. Lors du contrôle, l’ensemble lecteur- centrale demande l’identifiant unique UID du badge, puis, à partir de la clé maîtresse et de l’IlID du badge (numéro unique), régénère la même clé dérivée, ce qui permet d’authentifier ce badge. L’avantage de cette approche est que l’attaque matérielle d’un badge ne permet que de la cloner. Elle ne permet pas d’en forger une différente, car la clé maîtresse n’est pas présente au sein du badge. En revanche, la clé maîtresse doit être employée par l’ensemble lecteur-centrale lors de chaque authentification ou vérification.

Pour ce faire, le dispositif de lecture, lui-même connecté à l’unité centrale, peut par exemple être placé à proximité d’une entrée d’un espace protégé, par exemple à proximité d’une porte accédant à un bâtiment dont on souhaite en contrôler l’accès. Dans ce cas, est distribué aux potentiels utilisateurs, par exemple aux usagers résidents du bâtiment, un support apte à émettre au moins une donnée de demande d’accès et qui est apte à être reçue par le dispositif de lecture de manière à autoriser ou non l’accès physique audit bâtiment. Pour autoriser ou non l’accès audit bâtiment, lorsque le support se trouve à proximité du dispositif de lecture, a lieu une transmission ou un échange électronique entre le support individuel qui, au moins, transmet sa donnée de demande d’accès à l’ensemble lecteur-centrale. Dans cette situation, ladite donnée de demande d’accès supportée transmise par le support est vérifiée par un mécanisme d’authentification, avec au moins une clé stockée dans l’unité centrale de manière à identifier ledit support, et dans certains cas à identifier son utilisateur par extension. Dans cette configuration, l’ensemble lecteur-centrale et le support doivent donc tout deux stocker et protéger au moins une clé.

Le mécanisme d’authentification peut être mis en oeuvre selon trois procédés distincts.

Un premier procédé met en oeuvre une clé symétrique unique (mécanisme d’authentification symétrique unique) qui permet de chiffrer et/ou déchiffrer la donnée de demande d’accès échangée entre au moins le support, qui peut être individuel et appartenir à un usager particulier, et l’unité centrale connectée au dispositif de lecture. Ici, la clé symétrique unique émise par chacun des supports individuels des usagers est la même que celle stockée par l’unité centrale. Selon ce premier procédé, le fait que tous les usagers disposent d’une même clé symétrique unique représente un risque dans la mesure où une attaque matérielle d’un seul support individuel, ou de l’unité centrale, compromettrait la protection engagée.

Un deuxième procédé met en oeuvre plusieurs clés symétriques dérivées d’une clé maîtresse (mécanisme d’authentification symétrique dérivé). Ici, chaque support individuel contient alors une clé symétrique dérivée et différente les unes des autres. Cette clé symétrique dérivée différente est attribuée à chacun des supports individuels après l’application d’un mécanisme de chiffrement à partir au moins de la clé maîtresse et de l’identifiant unique UID associé à chacun des supports individuels. L’identifiant unique UID du support fait partie des données contenues dans chacun des supports individuels.

Selon ce deuxième procédé, lors de l’échange électronique entre le support individuel et l’ensemble lecteur-centrale, l’ensemble lecteur-centrale demande l’UlD du support individuel, puis, à partir de la clé maîtresse et de l’UlD du support individuel, régénère la clé symétrique dérivée attribuée au support individuel contrôlé, ce qui permet d’identifier (vérifier ou encore authentifier) le support individuel contrôlé et par suite, permet au dispositif de lecture de lire la donnée de demande d’accès échangée. L’avantage de ce deuxième procédé est lié au fait qu’une attaque matérielle d’un support individuel ne permet que de dupliquer des supports configurés pour accéder à l’espace protégé. En particulier, suite à une telle attaque, il n’est pas possible de fabriquer davantage de supports configurés pour accéder à l’espace protégé, car la clé maîtresse n’est contenue dans aucun des supports individuels. En revanche, la clé maîtresse doit être utilisée par l’ensemble lecteur-centrale lors de chaque contrôle de support.

Ce deuxième procédé, très répandu, est particulièrement adapté pour une solution qui concerne les usagers résidents des bâtiments. En effet, cette relation forte existante entre l’ensemble lecteur-centrale et chacun des supports individuels impose à l’ensemble lecteur-centrale d’être connu, géré et de partager une clé maîtresse avec un ou plusieurs individus autorisés à sélectionner les supports individuels autorisés à accéder au bâtiment dont l’accès est contrôlé par l’ensemble lecteur-centrale. Par ailleurs, avec la mise en oeuvre de ce deuxième procédé, un support individuel permettra uniquement l’accès au seul bâtiment pour lequel son accès a effectivement été autorisé au préalable. Autrement dit, pour accéder à plusieurs bâtiments, il est nécessaire d’avoir autant de supports individuels autorisés que de bâtiments. Ainsi, selon ce deuxième procédé, les contraintes de sécurité imposées aux supports individuels restent toutefois assez limitées du fait que chaque support individuel ne donne accès qu’à un seul bâtiment.

Un troisième procédé met en oeuvre plusieurs clés asymétriques (mécanisme d’authentification asymétrique). Ici, à chaque ensemble lecteur-centrale et à chaque support individuel est attribuée une paire de clé différente les unes des autres, l’une dite publique l’autre dite privée. Ainsi, avec une telle configuration, les échanges électroniques, contenant la donnée de demande d’accès entre le support et le dispositif de lecture se trouvant à proximité peuvent être authentifiés par les clés publiques échangées à partir des signatures générés au moyens de ces clés privée non échangées Plus flexible, ce troisième procédé permet de protéger davantage les clés privées associées à chaque support individuel et ensemble lecteur-centrale en n’utilisant qu’une clé publique et un ou plusieurs échanges électroniques chiffrés.

La création et la gestion de l’ensemble des clés mises en oeuvre dans les supports individuels et dans les ensembles lecteurs-centrales sont des opérations opportunes pour effectivement sécuriser les accès contrôlés par leurs utilisations. Lors de ces opérations, il est donc opportun d’assurer la protection des clés secrètes dans la mesure où la sécurité des accès contrôlés repose sur leurs utilisations.

Dans certaines situations, l’accès à différents bâtiments, dont l’accès est contrôlé par autant d’ensembles lecteurs-centrales que de bâtiments, n’est pas uniquement autorisé à chacun des usagers résidents dans un des bâtiments et détenant un support individuel. En effet, l’accès à ces différents bâtiments peut également être autorisé à plusieurs tiers, par exemple à plusieurs personnes appartenant à un prestataire de service. Dans cette situation, il est avantageux d’autoriser l’accès à chacune des personnes appartenant au prestataire de service à chacun des bâtiments à l’intérieur desquels la prestation doit s’appliquer. Pour ce faire, il existe actuellement un système, celui décrit dans la demande internationale WO9602899, qui permet à la fois de protéger un espace et également à certains supports individuels de permettre l’accès à cet espace pendant une période limitée et renouvelable. Pour ce faire, la donnée de demande d’accès à échanger comprise dans certains desdits supports est chiffrée et ne peut être chiffrée que suite à des échanges électroniques adaptés entre l’ensemble lecteur-centrale et le support. En particulier, le déchiffrement se fait qu’après réception par le support d’une clé adaptée transmise par l’ensemble lecteur-centrale. Ladite clé adaptée peut être renouvelée à souhait. Dans ce cas, il n'est plus nécessaire d'avoir à constituer une liste noire de supports perdus, volés ou dupliqués, ni d'avoir à gérer de telles listes car, un support volé, perdu ou dupliqué ne permettra pas d’accéder à l’espace protégé en dehors de la période limitée autorisée si celle-ci n'est pas renouvelée via la génération d’une nouvelle clé adaptée.

Dans ce système, la donnée de demande d’accès chiffrée à échanger et comprise dans certains desdits supports permet l’accès à l’espace protégé après son déchiffrement suite à la réception, par l’ensemble lecteur-centrale, de ladite clé adaptée et l’intervention d’une signature électronique de données relatives à une période prédéterminée d'utilisation d'accès limitant la validité d'utilisation du support dans lequel la donnée de demande d’accès chiffrée à échanger est mémorisée. La signature électronique de données peut également être mémorisée dans le support. Ainsi, la sécurité de l’espace protégé repose en partie sur la période limitée de validité de ladite donnée de demande d’accès chiffrée à échanger et mémorisée dans le support.

Néanmoins, différents inconvénients subsistent dans ce système : le clonage des supports donne accès pendant toute la durée de validité des supports à tout porteur de support sans restriction d’activité ou de service, sur tous les bâtiments situés sur tout le territoire disposant de contrôle d’accès et d’autorisations conformes au mécanisme utilisé ; une relation de partage au moins d’une donnée secrète et/ou chiffrée est nécessaire entre les ensembles lecteurs-centrales et les supports. Il est ainsi nécessaire aux dispositifs configurés pour transférer des données d’accès sur le support, de partager également la donnée secrète et/ou chiffrée avec les ensembles lecteurs-centrales d’un parc de bâtiments sur lesquels les supports vont être présentés.

Un des buts de l’invention est de remédier aux insuffisances des systèmes et procédés de contrôle d’accès de l’état de la technique. Selon un premier aspect, l’invention concerne un procédé de contrôle d’accès dans un système de contrôle d’accès comprenant : un support au moins défini par un identifiant unique préalablement signé et authentifiable, ledit support étant configuré pour supporter au moins une donnée de demande d’accès signée ; un système de gestion de données comprenant plusieurs enregistrements, chaque enregistrement représentant une donnée spécifique, et chaque donnée spécifique étant fonction d’un des paramètres suivants : o un identifiant d’un utilisateur autorisé ; o une information d’une période autorisée ; o une information d’une plage horaire autorisée ; o une information d’une zone géographique autorisée ; o une information d’une activité dudit utilisateur autorisé ; un dispositif de génération d’une donnée de demande d’accès à signer à partir de plusieurs desdites données spécifiques et de l’identifiant unique du support, des moyens de lecture de l’identifiant unique dudit support destinataire de la donnée de demande d’accès signée, lesdits moyens de lecture étant connectés audit dispositif de génération, des moyens de signature de ladite donnée de demande d’accès à signer pour obtenir une donnée de demande d’accès signée comprenant une première donnée représentative des plusieurs desdites données spécifiques, une deuxième donnée relative audit identifiant unique du support, et une donnée signature, un dispositif de transfert configuré pour transférer ladite donnée de demande d’accès signée audit support, ledit dispositif de transfert étant connecté auxdits moyens de signature et audit système de gestion ; un dispositif de lecture configuré pour lire ladite donnée de demande d’accès signée dudit support et pour transmettre un signal d’autorisation d’accès à un dispositif de verrouillage; des premiers moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier ladite donnée de demande d’accès signée ; des deuxièmes moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier le support; des moyens de vérification connectés audit dispositif de lecture et configurés pour vérifier la donnée signature de ladite donnée de demande d’accès signée ; des premiers moyens de comparaison connectés audit dispositif de lecture et configurés pour comparer l’identifiant unique du support avec ladite deuxième donnée de ladite donnée de demande d’accès signée ; des deuxièmes moyens de comparaison connectés audit dispositif de lecture et à une base référentielle de données dans lesquels sont inscrits un ou plusieurs sous- ensembles de données spécifiques, chaque sous-ensemble étant représentatif d’une autorisation d’accès prédéfinie qui est fonction de plusieurs desdits paramètres, lesdits deuxièmes moyens de comparaison étant configurés pour comparer la première donnée de ladite donnée de demande d’accès signée avec lesdits sous-ensembles de données ; ledit procédé de contrôle d’accès étant exécuté par ledit système de contrôle d’accès et comprenant : une étape d’enregistrement desdites données spécifiques dans ledit système de gestion de données ; une étape de fourniture du support défini par un identifiant unique préalablement signé et authentifiable, une étape, via lesdits moyens de lecture, de lecture de l’identifiant unique dudit support, une étape, via ledit dispositif de génération, de génération de ladite donnée de demande d’accès à signer ladite étape de génération de ladite donnée de demande d’accès à signer étant réalisée après ladite étape de lecture de l’identifiant unique préalablement signé dudit support ; une étape, via lesdits moyens de signature, de signature de ladite donnée de demande d’accès à signer et de l’identifiant unique du support pour obtenir ladite donnée de demande d’accès signée ; une étape de transfert de ladite donnée de demande d’accès signée depuis ledit dispositif de transfert vers ledit support défini par l’identifiant unique de la deuxième donnée de ladite donnée de demande d’accès signée ; une étape d’inscription dans la base référentielle de données desdits un ou plusieurs sous-ensembles de données spécifiques, une étape, via ledit dispositif de lecture, de lecture de ladite donnée de demande d’accès signée supportée par ledit support ; une étape d’authentification, via lesdits deuxièmes moyens d’authentification, du support, une étape d’authentification, via lesdits premiers moyens d’authentification, de ladite donnée de demande d’accès signée et une étape de vérification, via lesdits moyens de vérification, de la donnée signature de ladite donnée de demande d’accès signée, et une étape, via lesdits premiers moyens de comparaison, de comparaison de l’identifiant unique définissant le support avec celui de la deuxième donnée de ladite donnée de demande d’accès signée, une étape, via lesdits deuxième moyens de comparaison, de comparaison de la première donnée de ladite donnée de demande d’accès signée avec lesdits sous- ensembles inscrits dans la base référentielle de données ; une étape de transmission dudit signal d’autorisation d’accès depuis ledit dispositif de lecture vers ledit dispositif de verrouillage.

Au sens de la présente invention, par connecté, on entend directement ou indirectement relié par des moyens physiques ou des moyens de communications.

Au sens de la présente invention, par utilisateur, on entend une personne morale ou physique. Par exemple, comme utilisateur, on peut avoir un prestataire de service auquel sont rattachés plusieurs individus. Au sens de la présente invention, par période, on entend une période temporelle définie arbitrairement représentant une durée de validité relativement courte.

Au sens de la présente invention, par plage horaire, on entend une durée qui s’intégre dans la période. Cette plage horaire pouvant donc être considérée comme étant un sous- ensemble de la période.

Au sens de la présente invention, par activité, on entend une prestation qui doit être pratiquée à l’intérieur de l’espace protégé.

Au sens de la présente invention, par zone géographique, on entend une couverture géographique à l’intérieur de laquelle se trouve au moins un dispositif de verrouillage.

Au sens de la présente invention, par identifiant unique préalablement signé et authentifiable, on entend un identifiant qui aura été associé au support et qui est indépendant de l’identifiant constructeur de ce support. Cela permet également de pouvoir virtualiser le support, c’est-à-dire d’établir son propre identifiant unique via sa signature de sorte à ce qu’il soit authentifiable par des éléments du système de contrôle. Cette signature peut être réalisée par des moyens signatures externes au système de contrôle.

Ainsi, il est possible de rendre le support non falsifiable car dépendant de l’identifiant unique signé dont l’identifiant unique après lecture est intégré dans la donnée de demande d’accès afin de permettre une virtualisation des supports qui ne seront plus nécessairement dépendant de la fourniture d’un identifiant constructeur.

Ainsi, il est possible d’utiliser une mémoire volatile de type RAM comme celles présente à volonté dans les téléphones mobile par exemple, puisque l’identifiant unique du support peut être regénéré et différent à chaque chargement. Le support de donnée ne nécessite donc pas d’EEPROM.

Avec un tel procédé, lorsque le support supportant la demande d’accès signée est reproduit ou cloné après que son utilisateur initial l’a perdu ou se l’est fait voler par exemple, une modification d’une desdites données spécifiques d’un sous-ensemble représentatif d’une autorisation d’accès prédéfinie et/ou une modification de la donnée signature et/ou une modification de la donnée de demande d’accès à signer initialement générée et/ou une modification dudit identifiant unique du support supportant la donnée de demande d’accès signée et/ou une modification de la première donnée et/ou de la deuxième donnée de la donnée de demande d’accès signée ne permettront pas le déverrouillage du dispositif de verrouillage. En particulier, si une au moins des modifications ci-dessus est appliquée, la donnée de demande d’accès signée ne pourra pas être authentifiée par les moyens d’authentification durant l’étape d’authentification, et/ou l’étape de comparaison de l’identifiant unique définissant le support avec celui de la deuxième donnée de la donnée demande d’accès signée ne sera pas concluante, et/ou l’étape de comparaison de la première donnée de la donnée de demande d’accès avec lesdits sous-ensembles ne sera pas concluante, de sorte que l’étape de transmission du signal d’autorisation d’accès n’aura pas lieu. Ainsi, sans partage de données secrètes entre le dispositif de transfert et le support, et/ou entre le support et le dispositif de lecture, on obtient un procédé de contrôle d’accès robuste et adapté à de multiples situations d’autorisations qui sont au moins fonction des utilisateurs, de périodes temporelles, de zones géographiques, ou encore d’activités des utilisateurs pour chaque dispositifs de verrouillage protégeant un espace particulier et se trouvant dans une zone géographique prédéfinie.

À l’aide de ce procédé, seul le support dispose des données de demande d’accès, les utilisateurs sont seulement aptes à les vérifier. Aucune distribution des données de demande d’accès n’est nécessaire, ainsi un support pourra être authentifier sans jamais avoir de connexion ou relation de confiance avec l’utilisateur.

Le procédé selon l’invention implique donc au moins une double authentification avant celle de la donnée de demande d’accès signée supportée et transportée par le support : l’authentification du support par le dispositif de lecture, et également par les dispositifs de génération ou transfert, et l’authentification des dispositifs de génération ou transfert et le dispositif de lecture par le support.

Le système de contrôle d’accès peut comprendre plusieurs supports, plusieurs des moyens précités et plusieurs des dispositifs précités. Dans ce cas, l’identifiant unique de chaque support est différent les uns des autres et propre à un seul support.

Les enregistrements du système de gestion sont enregistrés et peuvent être modifiés à souhait uniquement par un tiers autorisé à gérer le système de gestion.

Chaque enregistrement du système de gestion de données peut représenter soit une unique donnée spécifique relative à un seul desdits paramètres mentionnés, soit relative à un ensemble de sous-enregistrements représentatif de plusieurs desdits paramètres mentionnés.

Le dispositif de génération, via les moyens de lecture de l’identifiant unique du support, lit l’identifiant unique du support sur lequel doit être transférée la donnée de demande d’accès signée.

Ainsi, en fonction des autorisations d’accès que l’on souhaite attribuer à l’utilisateur possédant le support, le dispositif de génération génère, à partir d’au moins un des enregistrements et de l’identifiant de ce support, la donnée de demande d’accès à signer qui permettra ou non la réalisation de l’étape de transmission du signal d’autorisation d’accès.

De préférence, le dispositif de génération est configuré pour générer une donnée de demande d’accès à signer à partir de plusieurs données spécifiques relatives à l’ensemble des paramètres précités et de l’identifiant unique du support.

La donnée de demande d’accès à signer peut alors être une donnée logique comportant : une première donnée représentative de plusieurs données spécifiques, chacune relative à l’identifiant de l’utilisateur autorisé, à l’information d’une période autorisée, à l’information d’une plage horaire autorisée, à l’information d’une zone géographique autorisée et l’information d’une activité de l’utilisateur autorisé, et une deuxième donnée logique relative à l’identifiant unique du support sur lequel doit être transférée la donnée de demande d’accès signée. Ensuite, les moyens de signature sont utilisés pour signer la donnée de demande d’accès à signer de sorte à obtenir la donnée de demande d’accès signée comprenant entre autres la donnée signature.

Aussi, les moyens de signature peuvent être configurés pour modifier sa donnée signature, par exemple, à chaque fois que l’information d’une période autorisée est modifiée. Dance cas, le procédé de contrôle d’autorisation comprendra en outre une étape supplémentaire de signature pour modifier la signature de la donnée de demande d’accès précédemment signée afin de ne plus permettre la mise en oeuvre de l’étape de transmission du signal d’autorisation qui s’appliquait avec la donnée de demande d’accès précédemment signée. Ainsi, il est possible de renouveler autant de fois que de nécessaire l’autorisation d’accès en modifiant notamment la donnée signature.

Par exemple, la donnée signature peut être obtenue à l'aide de tout mécanisme cryptographique connu, à savoir des mécanismes de chiffrement, signature.

Les moyens de signature peuvent, par exemple, être aptes à produire la donnée signature sous la forme, par exemple, d’une signature électronique à partir d'une fonction de production fn et d'une clé privée Kpr.

Par ailleurs, il est à noter que la donnée de demande d’accès signée peut comprendre plusieurs données signatures. Par exemple, plusieurs données signatures peuvent être calculées et enregistrées par les moyens de signatures sur le support supportant une donnée de demande d’accès à signer, ces plusieurs signatures pouvant être obtenues à partir d’une taille de clé (Kn) différente les unes des autres et d’une fonction de production (fn) tel que 1 ^ère signature = f1 (K1 , donnée de demande d’accès à signer), une 2 ^ème signature = f1 (K2, donnée de demande d’accès à signer), 3 ^ème signature = f2(K1 , donnée de demande d’accès à signer), etc....

Après obtention de la donnée de demande d’accès signée, le dispositif de transfert la transfère sur le support correspondant à l’identifiant unique du support à partir duquel est générée la donnée de demande d’accès à signer.

Il est à noter que les fonctions dudit dispositif de transfert et dudit dispositif de génération peuvent être réalisées par un unique ensemble ou élément physique.

Le dispositif de lecture assure, sans partage de données secrètes et par un mécanisme d’authentification asymétrique, une fonction de contrôle d’accès électronique via les moyens d’authentification, de vérification et de comparaison.

Il est à noter que l’un ou plusieurs des moyens d’authentification, de vérification ou encore de comparaison sont directement ou indirectement connectés au dispositif de lecture. Il est donc possible que l’un ou plusieurs de ces moyens soient intégrés physiquement au dispositif de lecture ou distants de celui-ci mais communiquant avec lui.

Le dispositif de lecture associé aux moyens précités assure donc la mise en oeuvre de l’étape de transmission du signal d’autorisation d’accès uniquement dans le cas où le support et la donnée de demande d’accès signée ont été authentifiés par les moyens d’authentification, la donnée signature vérifiée, la comparaison de l’identifiant unique définissant le support avec celui de la deuxième donnée de la donnée demande d’accès signée a été concluante (c’est-à-dire que leur similitude a été constatée), et/ou la comparaison de la première donnée de la donnée de demande d’accès avec lesdits sous-ensembles a été concluante (c’est-à-dire que les données spécifiques relative à la première donnée de la donnée de demande d’accès signée correspondent à l’un des sous-ensembles inscrits dans la base référentielle de données). La première donnée de la donnée de demande d’accès signée est, par exemple, relative à l’ensemble des paramètres ci-dessous : la période autorisée, l’utilisateur autorisé associé à un identifiant désignant un prestataire de service autorisé, l’information d’activité du prestataire de service, la plage horaire durant laquelle l’accès est autorisé, la zone géographique à l’intérieur de laquelle la donnée de demande d’accès signée peut être authentifiée, la fenêtre horaire à l’intérieur de laquelle le dispositif de lecture est en fonctionnement pour lire la donnée de demande d’accès signée.

Ainsi, les premiers et deuxièmes moyens d’authentification sont configurés pour authentifier la donnée de demande d’accès signée et le support. Dans cette configuration, les étapes d’authentification sont, de préférence, mises en oeuvre sans échange supplémentaire sans partage de données secrètes entre le support et le dispositif de lecture.

Il est à noter que l’utilisateur, une fois que la période autorisée à partir de laquelle la donnée demande d’accès à signer a été générée (puis signée) a expiré, doit de nouveau transférer dans son support une nouvelle donnée de demande d’accès signée car la précédente ne permettra plus d’accéder à l’espace protégé.

Par exemple, les moyens d’authentification peuvent, par exemple, faire parties intégrantes du dispositif de lecture sans connexion avec un dispositif différent du dispositif de lecture lors de la mise en oeuvre de l’étape d’authentification de la donnée de demande d’accès signée pour autoriser le déverrouillage du dispositif de verrouillage. Ainsi, de préférence, le dispositif de lecture n’est pas en outre connecté à des moyens de traitements eux- mêmes connectés par exemple à un système central de données. Le dispositif de lecture peut alors fonctionner de manière autonome sans pouvoir être altéré par l’introduction ou l’extraction de données auxquelles il pourrait avoir accès par l’intermédiaire du système central de données par exemple.

De préférence, le procédé est caractérisé en ce qu’une nouvelle donnée de demande d’accès signée ou à signer est signée par les moyens de signature ou générée par le dispositif de génération à la demande de l’utilisateur du support pour chaque nouvelle durée d’utilisation dudit support. Ainsi, après expiration d’une durée prédéfinie, la donnée de demande d’accès qui aura été signée au préalable ne permettra plus d’accéder à l’espace protégé. En particulier, dans ce mode de réalisation, la signature de la donnée de demande d’accès signée peut ne plus être vérifiée par les moyens de vérification connectés au dispositif de lecture après expiration de cette durée. Par exemple, la durée peut être définie par une date de début et une date de fin, par une date de début et une durée de temps, ou encore par une date de fin et une durée de temps. Par exemple, à l’aide de cette durée d’utilisation, on peut donner accès à l’espace protégé pendant une durée très restreinte définie par une ou plusieurs journées calendaires et également par une plage horaire contenue dans lesdites une ou plusieurs journées.

De préférence, lorsque ledit support est configuré pour en outre supporter des données d’authentification et lorsque le dispositif de lecture est configuré pour recevoir les données d’authentification en provenance dudit support et est configuré pour les transmettre auxdits deuxièmes moyens d’authentification qui sont configurés pour recevoir les données d’authentification via ledit dispositif de lecture, ledit procédé comprend en outre : une étape de transmission de données d’authentification du support vers ledit dispositif de lecture ; et une étape de traitement, par ledit dispositif de lecture, desdites données d’authentification en provenance dudit support. Ainsi, l’étape d’authentification du support est assuré par la présente de données d’authentification qui s’additionnent à l’identifiant unique du support. Par exemple, ces données d’authentification peuvent être des certificats logiques.

De préférence, lorsque ledit support est configuré pour en outre supporter des données d’authentification, lorsque le dispositif de transfert est en outre connecté à des troisièmes moyens d’authentification configurés pour authentifier le support destinataire de la donnée de demande d’accès signée via les données d’authentification, lorsque le dispositif de transfert est en outre configuré pour recevoir des données d’authentification et les transmettre auxdits troisièmes moyens d’authentification qui sont configurés pour recevoir les données d’authentification via ledit dispositif de transfert, ledit procédé comprend en outre ; une étape de transmission de données d’authentification du support vers le dispositif de transfert ; et une étape de traitement, par ledit dispositif de transfert, desdites données d’authentification en provenance dudit support. Ce mode de réalisation présente l’avantage de permettre des échanges entre le dispositif de transfert et le support uniquement si le dispositif de transfert a pu au préalable authentifier le support destinataire.

Les données d’authentification du support peuvent être relatifs à l’identifiant unique préalablement signé supporté par le support, être fonction de celui-ci ou en être indépendant.

Il peut également être avantageux de permettre des échanges entre le dispositif de lecture et le support seulement si le support a au préalable authentifié le dispositif de lecture. C’est pourquoi, de préférence, lorsque ledit dispositif de lecture est en outre configuré pour transmettre des données d’authentification, lorsque le support est configuré pour recevoir et traiter lesdites données d’authentification en provenance dudit dispositif de lecture, ledit procédé comprend en outre : une étape de transmission de données d’authentification du dispositif de lecture vers ledit support ; un étape de traitement, par ledit support, desdites données d’authentification en provenance dudit dispositif de lecture. Il peut également être avantageux de permettre des échanges entre le dispositif de transfert et le support seulement si le support a au préalable authentifié le dispositif de transfert. C’est pourquoi, de préférence, lorsque ledit dispositif de transfert est en outre configuré pour transmettre des données d’authentification, lorsque le support est configuré pour recevoir et traiter des données d’authentification en provenance dudit dispositif de transfert, ledit procédé comprend en outre : une étape de transmission de données d’authentification du dispositif de transfert vers ledit support, un étape de traitement, par ledit support, desdites données d’authentification en provenance dudit dispositif de transfert.

Il est à noter que chacune des données d’authentifications précitées et utilisées dans les étapes ci-avant mentionnées peuvent être les mêmes ou alors différentes.

De préférence, lorsque ledit support est configuré pour en outre supporter des données supplémentaires, lorsque le dispositif de lecture et/ou le dispositif de transfert sont configurés pour traiter lesdites données supplémentaires, le procédé comprend en outre : une étape de transfert desdites données supplémentaires du support vers le dispositif de lecture et/ou le dispositif de transfert, et une étape de traitement desdites données supplémentaires par ledit dispositif de lecture et/ou par ledit dispositif de transfert.

Ainsi, le support peut être configuré pour supporter davantage de données, notamment des données logiques, à échanger avec le dispositif de transfert et/ou le dispositif de lecture sans nécessairement que ces données à échanger soient des données secrètes.

Aussi, de préférence, lorsque ledit système de contrôle d’accès comprend en outre des moyens de chiffrement de ladite donnée de demande d’accès à signer ou de ladite donnée de demande d’accès signée, ledit dispositif de transfert est en outre configuré pour transférer ladite donnée de demande d’accès signée chiffrée audit support, ledit dispositif de lecture est en outre configuré pour lire et déchiffrer ladite donnée de demande d’accès signée chiffrée , ledit procédé comprend en outre : une étape de chiffrement de ladite donnée de demande d’accès à signer ou de ladite donnée de demande d’accès signée, et une étape de déchiffrement par ledit dispositif de lecture de ladite donnée de demande d’accès chiffrée et signée.

Par exemple, ces étapes de chiffrement et/ou de déchiffrement peuvent être réalisées à l’aide d’une clé de chiffrement et/ou déchiffrement éphémère générée pour la durée du transfert et/ou de la lecture. Le dispositif de transfert peut lui aussi déchiffrer la donnée de demande d’accès chiffrée, et signée le cas échéant, lorsque que le support souhaite obtenir un nouvelle donnée de demande d’accès suite par exemple à la modification d’un paramètre d’un enregistrement relatif à au moins une donnée spécifique.

Ainsi, de préférence, lorsque : ledit dispositif de transfert est en outre configuré pour déchiffrer ladite donnée de demande d’accès signée chiffrée supportée par ledit support, ledit procédé comprend en outre : une étape supplémentaire de déchiffrement de ladite donnée de demande d’accès signée chiffrée supportée par ledit support, et une étape de transfert d’une nouvelle donnée de demande d’accès signée chiffrée vers ledit support pour remplacer ladite donnée de demande d’accès signée chiffrée supportée par ledit support.

Le dispositif de transfert et le dispositif de lecture peuvent donc assurer ici une fonction de contrôle d’accès aptes à chiffrer et déchiffrer les échanges de données entre le support et le dispositif de transfert et/ou le dispositif de lecture toujours sans partage préalable de données secrètes.

Encore de préférence, lorsque ledit support est en outre configuré pour supporter des données de modification de ladite base référentielle de données, ledit procédé comprend en outre : une étape de transfert desdites données de modification dudit support vers ledit dispositif de lecture, et une étape de modification de ladite base référentielle de données par modification ou suppression d’un desdits sous-ensembles, ou par ajout d’un sous-ensemble supplémentaire.

La modification d’un des sous-ensembles peut consister à modifier les données spécifiques ou données signature

Ainsi, il est possible de modifier les sous-ensembles inscrits dans la base référentielle de les mettre à jour en utilisant uniquement le support et en garantissant davantage l’autonomie du dispositif de lecture. Ces mises à jour peuvent consister notamment en la modification de la donnée signature associée aux moyens de vérification de sorte à ce que la donnée signature de la donnée de demande d’accès initialement signée ne puisse plus être vérifiée ou encore en la modification d’au moins un des sous-ensembles inscrits dans la base référentielle de données de sorte à ce la comparaison réalisée par les deuxièmes moyens de comparaison ne puisse plus être concluant.

On peut alors avoir de préférence, un procédé selon lequel l’une ou plusieurs des étapes d’authentification et/ou l’une ou plusieurs des étapes de comparaison et/ou l’étape de vérification sont mises en oeuvre sans que les moyens employés dans ces étapes communiquent avec un quelconque élément extérieur audit système. Dans ce cas, les premiers et deuxièmes moyens de comparaison peuvent ne pas, par exemple, être connectés à une base internet par exemple. Ainsi, tous les critères et données permettant la mise en oeuvre de l’une au moins des étapes d’authentification, de comparaison ou de vérification sont ici directement à disposition des premiers et deuxièmes moyens d’authentification et/ou de comparaison et/ou des moyens de vérification, sans communication vers l’extérieur.

Corrélativement, selon un deuxième aspect, l’invention concerne un dispositif de transfert appartenant à un système de contrôle d’accès comprenant : un support au moins défini par un identifiant unique préalablement signé et authentifiable, ledit support étant configuré pour supporter au moins une donnée de demande d’accès signée ; un système de gestion de données comprenant plusieurs enregistrements, chaque enregistrement représentant une donnée spécifique, et chaque donnée spécifique étant fonction d’un des paramètres suivants : o un identifiant d’un utilisateur autorisé ; o une information d’une période autorisée ; o une information d’une plage horaire autorisée ; o une information d’une zone géographique autorisée ; o une information d’une activité dudit utilisateur autorisé ; un dispositif de génération d’une donnée de demande d’accès à signer à partir de plusieurs desdites données spécifiques et de l’identifiant unique du support, un dispositif de lecture configuré pour lire une donnée de demande d’accès signée dudit support et pour transmettre un signal d’autorisation d’accès à un dispositif de verrouillage; des premiers moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier ladite donnée de demande d’accès signée ; des deuxièmes moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier le support; des moyens de vérification connectés audit dispositif de lecture et configurés pour vérifier la donnée signature de ladite donnée de demande d’accès signée ; des premiers moyens de comparaison connectés audit dispositif de lecture et configurés pour comparer l’identifiant unique du support avec ladite deuxième donnée de ladite donnée de demande d’accès signée ; des deuxièmes moyens de comparaison connectés audit dispositif de lecture et à une base référentielle de données dans lesquels sont inscrits un ou plusieurs sous- ensembles de données spécifiques, chaque sous-ensemble étant représentatif d’une autorisation d’accès prédéfinie qui est fonction de plusieurs desdits paramètres, lesdits deuxièmes moyens de comparaison étant configurés pour comparer la première donnée de ladite donnée de demande d’accès signée avec lesdits sous-ensembles de données ; ledit dispositif de transfert étant connecté au système de gestion et comprenant : des moyens de lecture de l’identifiant unique dudit support, des moyens de réception de la donnée de demande d’accès à signer, des moyens de signature de la donnée de demande d’accès à signer pour obtenir une donnée de demande d’accès signée comprenant une première donnée représentative des plusieurs desdites données spécifiques, une deuxième donnée relative audit identifiant unique du support, et une donnée signature, des moyens d’émission de ladite donnée de demande d’accès signée vers le support.

Corrélativement, selon un troisième aspect, l’invention concerne le support au moins défini par un identifiant unique préalablement signé et authentifiable et appartenant à un système de contrôle d’accès comprenant : un système de gestion de données comprenant plusieurs enregistrements, chaque enregistrement représentant une donnée spécifique, et chaque donnée spécifique étant fonction d’un des paramètres suivants : o un identifiant d’un utilisateur autorisé ; o une information d’une période autorisée ; o une information d’une plage horaire autorisée ; o une information d’une zone géographique autorisée ; o une information d’une activité dudit utilisateur autorisé ; un dispositif de génération d’une donnée de demande d’accès à signer à partir de plusieurs desdites données spécifiques et de l’identifiant unique du support, des moyens de lecture de l’identifiant unique dudit support destinataire de la donnée de demande d’accès signée, lesdits moyens de lecture étant connectés audit dispositif de génération, des moyens de signature de ladite donnée de demande d’accès à signer pour obtenir une donnée de demande d’accès signée comprenant une première donnée représentative des plusieurs desdites données spécifiques, une deuxième donnée relative audit identifiant unique du support, et une donnée signature, un dispositif de transfert configuré pour transférer ladite donnée de demande d’accès signée audit support, ledit dispositif de transfert étant connecté auxdits moyens de signature et audit système de gestion ; un dispositif de lecture configuré pour lire ladite donnée de demande d’accès signée dudit support et pour transmettre un signal d’autorisation d’accès à un dispositif de verrouillage; des premiers moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier ladite donnée de demande d’accès signée ; des deuxièmes moyens d’authentification connectés audit dispositif de lecture et configurés pour authentifier le support; des moyens de vérification connectés audit dispositif de lecture et configurés pour vérifier la donnée signature de ladite donnée de demande d’accès signée ; des premiers moyens de comparaison connectés audit dispositif de lecture et configurés pour comparer l’identifiant unique du support avec ladite deuxième donnée de ladite donnée de demande d’accès signée ; des deuxièmes moyens de comparaison connectés audit dispositif de lecture et à une base référentielle de données dans lesquels sont inscrits un ou plusieurs sous- ensembles de données spécifiques, chaque sous-ensemble étant représentatif d’une autorisation d’accès prédéfinie qui est fonction de plusieurs desdits paramètres, lesdits deuxièmes moyens de comparaison étant configurés pour comparer la première donnée de ladite donnée de demande d’accès signée avec lesdits sous-ensembles de données ; ledit support comprenant : des moyens de réception d’au moins une donnée de demande d’accès signée ; des moyens de support de ladite donnée de demande d’accès signée ; des moyens d’envoi de ladite donnée de demande d’accès signée.

Corrélativement, selon un quatrième aspect, l’invention concerne un dispositif de lecture appartenant à un système de contrôle d’accès comprenant un support au moins défini par un identifiant unique préalablement signé et authentifiable, ledit support étant configuré pour supporter au moins une donnée de demande d’accès signée ; un système de gestion de données comprenant plusieurs enregistrements, chaque enregistrement représentant une donnée spécifique, et chaque donnée spécifique étant fonction d’un des paramètres suivants : o un identifiant d’un utilisateur autorisé ; o une information d’une période autorisée ; o une information d’une plage horaire autorisée ; o une information d’une zone géographique autorisée ; o une information d’une activité dudit utilisateur autorisé ; un dispositif de génération d’une donnée de demande d’accès à signer à partir de plusieurs desdites données spécifiques et de l’identifiant unique du support, des moyens de lecture de l’identifiant unique dudit support destinataire de la donnée de demande d’accès signée, lesdits moyens de lecture étant connectés audit dispositif de génération, des moyens de signature de ladite donnée de demande d’accès à signer pour obtenir une donnée de demande d’accès signée comprenant une première donnée représentative des plusieurs desdites données spécifiques, une deuxième donnée relative audit identifiant unique du support, et une donnée signature, un dispositif de transfert configuré pour transférer ladite donnée de demande d’accès signée audit support, ledit dispositif de transfert étant connecté auxdits moyens de signature et audit système de gestion ; ledit dispositif de lecture comprenant : des moyens de lecture de ladite donnée de demande d’accès signée, des premiers moyens d’authentification configurés pour authentifier ladite donnée de demande d’accès signée ; des deuxièmes moyens d’authentification configurés pour authentifier le support; des moyens de vérification configurés pour vérifier la donnée signature de ladite donnée de demande d’accès signée ; des premiers moyens de comparaison configurés pour comparer l’identifiant unique du support avec ladite deuxième donnée de ladite donnée de demande d’accès signée ; des deuxièmes moyens de comparaison connectés à une base référentielle de données dans lesquels sont inscrits un ou plusieurs sous-ensembles de données spécifiques, chaque sous-ensemble étant représentatif d’une autorisation d’accès prédéfinie qui est fonction de plusieurs desdits paramètres, lesdits deuxièmes moyens de comparaison étant configurés pour comparer la première donnée de ladite donnée de demande d’accès signée avec lesdits sous-ensembles de données ; des moyens de transmission d’un signal d’autorisation d’accès à un dispositif de verrouillage.

Selon un cinquième aspect, l’invention concerne un système de contrôle d’accès comprenant un dispositif de transfert tel que décrit ci-avant, un support tel que décrit ci- avant et un dispositif de lecture tel que décrit ci-avant.

De préférence, le système de contrôle comprend en outre des moyens de chiffrement de ladite donnée de demande d’accès à signer ou de ladite donnée de demande d’accès signée.

De préférence, dans le système de contrôle d’accès : ledit dispositif de transfert est en outre configuré pour transférer ladite donnée de demande d’accès signée chiffrée audit support, et de préférence pour déchiffrer ladite donnée de demande d’accès signée chiffrée supporté par ledit support, et ledit dispositif de lecture est en outre configuré pour lire et déchiffrer ladite donnée de demande d’accès signée chiffrée.

L’invention sera mieux comprise à la lecture de la description qui suit, faite uniquement à titre d’exemple, et en référence aux figures en annexe dans lesquelles :

[Fig 1] la figure 1 représente schématiquement un système selon différents modes de réalisation de l’invention ;

[Fig 2] la figure 2 représente schématiquement un mécanisme à clés asymétriques mise en oeuvre entre un dispositif de lecture et un support selon différents modes de réalisation de l’invention ;

[Fig 3] la figure 3 représente schématiquement un mécanisme à clés asymétriques mise en oeuvre entre un dispositif de lecture et un support selon différents modes de réalisation de l’invention.

Dans la figure 1 , le système de contrôle d’accès selon un mode particulier selon l’invention, comprend plusieurs supports 101 , chacun étant défini par un identifiant unique, par exemple un identifiant unique vigik® (communément désigné par l’acronyme VIIID), configurés pour supporter au moins une donnée de demande d’accès signée.

Ce système de contrôle d’accès comprend en outre un système de gestion de données 104 comprenant des sous-enregistrements, chaque sous-enregistrement représentant des données spécifiques telles que des données prestataires DPR particulière définissant un prestataire (une société par exemple) par exemple, des zones géographiques DGEO dans lesquelles est présent le prestataire, et activités DACT définissant les activités du prestataire. En outre, le système gestion comprend également des données représentatives des paramètres suivants : une information d’une période autorisée DP ; et une information d’une plage horaire autorisée DSLOT.

De cette façon, à chaque sous-enregistrement peut être associés une information d’une période autorisée DP et une information d’une plage horaire autorisée DSLOT.

Ce système de contrôle d’accès comprend en outre plusieurs dispositifs de génération d’une donnée de demande d’accès à signer DAS à partir d’un des sous-enregistrements, des données spécifiques DP et DSLOT et du VUID du support sur lequel on souhaite transférer la donnée de demande d’accès à signer DAS.

La donnée de demande d’accès à signer DAS est donc générée à partir d’un des sous- ensembles, des paramètres DP et DSLOT et de l’identifiant unique VUID d’un des supports 101 lu par des moyens de lecture auxquels sont connectés le système de gestion et chacun des dispositifs de génération. Chaque dispositif de génération peut être situé dans les locaux d’un prestataire de service accrédité ou autorisé de sorte à faciliter la génération avant le transfert des données de demande d’accès.

Ce système de contrôle d’accès comprend en outre un dispositif de transfert 102 connecté au système de gestion et comprenant des moyens de lecture de l’identifiant unique dudit support, des moyens de réception de la donnée de demande d’accès à signer et générée par le dispositif de génération, des moyens de signature de la donnée de demande d’accès à signer pour obtenir une donnée de demande d’accès signée comprenant une première donnée représentative de ladite une ou plusieurs desdites données spécifiques, une deuxième donnée relative audit identifiant unique du support, et une donnée signature, et des moyens d’émission de ladite donnée de demande d’accès signée vers le support. Ainsi, ce dispositif de transfert 102 est configuré pour transférer la donnée de demande d’accès signée au support 101 correspondant au VIIID à partir duquel a été générée la donnée de demande d’accès.

Les moyens de signature de la donnée de demande d’accès à signer permettent d’obtenir, une fois celle-ci signée, une donnée de demande d’accès signée comprenant une première donnée représentative des paramètres DP, DPR, DACT, DGEO et DSLOT et comprenant une deuxième donnée relative au VIIID du support 101 , et une donnée signature DSIGN de sorte à certifier la donnée de demande d’accès.

Ici, la donnée signature DSIGN de la demande d’accès à signer DAS par les moyens de signature, peut donc s'écrire DSIGN = fn(Kpr, VIIID, DPR, DP, DSLOTS, DACT, DGEO). Afin que la donnée signature puisse être vérifiée par chacun les moyens de vérification susceptibles entre autres d’autoriser l'accès, les moyens de vérification disposent de moyens cryptographiques adéquats. Ces moyens cryptographiques se décomposent en un algorithme de vérification fn et une clé de vérification Kpu qui selon que l'algorithme de la donnée signature est à clé secrète ou à clé publique est égale à la clé secrète ou publique des moyens de signature.

Les moyens de signature peuvent être configurés pour modifier, après une période prédéfinie qui peut être une période d’utilisation du support 101 , sa donnée signature de sorte que le certificat de la donnée de demande d’accès initialement signée ne soit plus valide.

Ainsi, chaque support 101 comprend des moyens de réception de la donnée de demande d’accès signée, des moyens de support de la donnée de demande d’accès signée, et des moyens d’envoi de la donnée de demande d’accès signée.

Ce système de contrôle d’accès comprend en outre plusieurs dispositifs de lecture 210 configurés pour lire la donnée de demande d’accès signée émise par un support 101 parmi lesdits supports 101 et pour transmettre un signal d’autorisation d’accès à des dispositifs de verrouillage une fois que la donnée de demande d’accès signée et son support 101 ont été authentifiés, vérifiés et comparés.

Chaque dispositif de lecture 210 est situé dans une zone géographique couverte par au moins une zone géographique DGEO d’au moins un des supports.

Chaque dispositif de lecture 210 est avantageusement doté d'une horloge interne qui vérifie que l'information date/heure courante de présentation du support 101 se trouve bien à l'intérieur de la plage du support DP et de la plage horaire autorisée DSLOT du contrôle d’accès puis, authentifie le support et la donnée de demande d’accès à l’aide de moyens d’authentification, vérifie la signature à l'aide de moyens de vérification qui comprend par exemple une clé de vérification, puis compare le VUID du support lu avec le VUID contenu dans la donnée de demande d’accès signée à partir duquel cette dernière a été générée et compare également la première donnée de la donnée de demande d’accès signée avec des sous-ensembles inscrits dans une base référentielle de données connectée au dispositif de lecture. Si les authentifications, vérification et comparaisons sont satisfaites, le dispositif de lecture 210 génère et transmet un signal d'autorisation d'accès ATA au dispositif de verrouillage (ou plusieurs dispositif de verrouillage) auquel il est connecté.

Pour ce faire, le dispositif de lecture 210 est connecté à : des premiers moyens d’authentification connectés configurés pour authentifier la donnée de demande d’accès signée ; à des deuxièmes moyens d’authentification configurés pour authentifier le support 101 ; à des moyens de vérification pour vérifier la donnée signature de la donnée de demande d’accès signée ; à des premiers moyens de comparaison pour comparer l’identifiant unique du support 101 avec la deuxième donnée de ladite donnée de demande d’accès signée ; et à des deuxièmes moyens de comparaison connectés à une base référentielle de données dans lesquels sont inscrits un ou plusieurs sous-ensembles de données spécifiques, chaque sous-ensemble étant représentatif d’une autorisation d’accès prédéfinie qui est fonction de plusieurs des paramètres, les deuxièmes moyens de comparaison étant configurés pour comparer la première donnée de la donnée de demande d’accès signée avec les sous-ensembles de données.

Il est à noter que la donnée de demande d’accès signée peut s’apparenter à un certificat cert(c)) généré par une autorité de certification (CA) (22) à l’aide entre autres des dispositifs de génération et transfert 102 ainsi que des moyens de signatures.

Ainsi dans le système selon l'invention, le support 101 de données, qu’il soit sous forme de carte ou de téléphone mobile, peut alors avoir une fonction de clé électronique apte à déverrouiller les dispositifs de verrouillage implantés sur une zone géographique particulière définie par DGEO, pour exercer une activité DACT à condition d’être un prestataire de service accrédité et/ou exerçant une activité autorisée DPR inscrite dans le système de gestion de données 104 et ceci sur dans une plage horaire donnée DSLOT à une date prévue DP.

Pour ce faire, le mécanisme mis en jeu peut être celui indiqué dans la figure 2 [Fig 2], qui illustre un mécanisme à clés asymétriques, dans lequel il n’est pas nécessaire de partager de données secrètes, ni de partager une clé identique entre le dispositif de lecture 210 et le support 101 supportant le certificat cert(c) généré par une autorité de certification (CA) (22). Le système de contrôle d’accès est alors ici configuré pour que le support 101 supporte des informations complémentaires en sus du certificat cert(c) (ou donnée de demande d’accès signée). Dans ce cas, le dispositif de lecture 210, seul ou associé à d’autres moyens techniques, est en outre apte à évaluer, analyser, contrôler ces informations complémentaires. En particulier, le support 101 peut en outre être configuré pour supporter une bi-clé et le dispositif de lecture 210, qui peut être désigné par le terme terminal, sont configurés pour recevoir en outre tous les deux une bi-clé ou « keypair » (KP) (21 ), peut également être connecté à un moyen défini par une autre bi-clé. Chacune de ces bi-clés est composée d’une partie publique (KPU) et d’une partie privée (KPR). La partie privée du support 101 ne devra jamais être divulguée sous peine de clonage possible. Le dispositif de lecture 210 pourra utiliser une bi-clé statique ou éphémère et est configuré en outre pour générer un nombre aléatoire appelé « random » RND(T) 23. De plus, le support, mise à part le certificat cert(c), supporte en outre, une unité de traitement configurée pour générer un nombre aléatoire « random » RND(C) et une signature supplémentaire S à partir de sa clé privée KPR(C) et des deux nombres aléatoires RND (C) et RND(T).

Ainsi, le dispositif de lecture 210 tire le nombre aléatoire appelé « random » RND(T) 23 et le fournit au support 101 en même temps que sa clé publique KPU(T). Le support 101 , à son tour, tire le nombre aléatoire « random » RND(C) et génère la signature supplémentaire S. Le support 101 retourne au dispositif de lecture 210 son identifiant VUID, le nombre aléatoire RND(C), le certificat cert(c) et la signature supplémentaire S.

Le dispositif de lecture 210 est alors en mesure de vérifier la validité du certificat cert(C) et de vérifier la signature supplémentaire S avec la clé publique du support 101 de donnée KPU(C) contenue dans le certificat cert(C). Chaque entité va alors calculer un secret partagé, ou résultat, Z avec un algorithme type Diffie-Hellman en utilisant les deux nombres aléatoires RAND (C) et RAND (T), la clé publique de l’autre entité et sa propre clé privée.

Le résultat Z sera ensuite diversifié en clés de session SK1 et SK2 à partir d’une fonction de dérivation f’. Ces clés serviront à chiffrer et à signer les futurs échanges.

Le support 101 s’est bien authentifié auprès du dispositif de lecture 210 en prouvant sa connaissance de la clé privée KPR(C) associée au certificat cert(c), lui-même bien signé par une autorité de certification via les moyens de signature.

La clé privée KPR(C) devra être protégée par le support 101 afin qu’elle ne puisse jamais être extraite. Cela peut être à cette condition que le clonage pourra être évité. La bi-clé du dispositif de lecture 210 pourra, elle, être générée soit à l’installation, soit au démarrage, soit à chaque transaction (bi-clé éphémère) en fonction des performances attendues.

Ce mécanisme peut également avoir lieu entre le support 101 et le dispositif de transfert 102 lorsque l’on souhaite par exemple transférer une nouvelle donnée de demande d’accès signée dans le support 101 .

Les moyens de vérification du dispositif de lecture 210 sont de préférence, configurés pour recevoir également les certificats des autorités de certification (CA) ainsi que le certificat de l’autorité racine (root CA). Les certificats devront pouvoir être mis à jour et des listes de révocation devront être gérées, comme pour tout systèmes basés sur une solution à clé publique dite PKI.

Dans une variante, la donnée signature obtenue par les moyens de signature peut être obtenue au moyen d’un algorithme de production à clé publique. Par exemple « Elliptic curve digital signature algorithm » dit ECDSA utilisant une taille de clé d’au moins 192 bits.

Par ailleurs, dans une variante, le système comprend en outre des moyens de chiffrement de ladite donnée de demande d’accès à signer ou de ladite donnée de demande d’accès signée et le dispositif de transfert 102 est en outre configuré pour transférer la donnée de demande d’accès signée chiffrée au support 101 , et de préférence pour déchiffrer la donnée de demande d’accès signée chiffrée supporté par ledit support 101 , et le dispositif de lecture 210 est également en outre configuré pour lire et déchiffrer la donnée de demande d’accès signée chiffrée supportée par le support 101 .

Par exemple, le chiffrement de la donnée de demande d’accès signée chiffrée est produit par un algorithme de type AES « Advance Encryption Standard » utilisant des clés de 256 bits.

Ainsi, sans être obligée de partager un secret entre les dispositifs de lecture 210 ou transfert, et le support 101 de données, il est possible que le support 101 soit configuré pour authentifier ces dispositifs et/ou que ces dispositifs soient configurés pour authentifier le support 101 à l’aide notamment de la mise en oeuvre d’ une étape de transmission de données d’authentification du support vers le dispositif de lecture et/ou du support vers le dispositif de transfert et/ou du dispositif de lecture vers le support et/ou du dispositif de transfert vers le support ; et d’une étape de traitement, par le dispositif de lecture et/ou par le dispositif de transfert et/ou par le support 101 , des données d’authentification recueillies.

La figure 3 illustre ce cas. En effet, comme indiqué dans la figure 3 [Fig 3] illustrant un schéma à clés asymétriques, il n’est pas nécessaire de partager une clé identique entre un terminal 30 qui peut être le dispositif de lecture 30 (ou le dispositif de transfert 102, et le support 101. Dans la suite, on considère que le terminal 30 est le dispositif de lecture 210. Ainsi, le support 101 et le terminal 30 reçoivent tous les deux une bi-clé ou « keypair » (KP) 31 , composée d’une partie publique (KPU) et d’une partie privée (KPR). La partie privée du terminal 30 ne devra pas être divulguée afin d’éviter que des dispositifs de lecture non autorisés puissent communiquer avec le support 101 . Le terminal 30 recevra l’identifiant unique (VUID) du support et le certificat cert(c) supporté par le support 101 et initialement généré par une autorité de certification (CA) (32).

Le support 101 tire un nombre aléatoire appelé « random » RND(C) (33) et le fournit au terminal 30 ainsi que son identifiant VUID et sa clé publique KPU(C). Après vérification de la chaîne de certificats, le terminal 30 génère une signature supplémentaire S avec sa clé privée KPR(T) et l’aléa en utilisant un algorithme cryptographique puis transmet cette signature supplémentaire au support 101.

Le support 101 est alors en mesure de vérifier la validité du certificat et de vérifier la signature supplémentaire S avec la clé publique du support 101 du terminal 30 KPU(T) contenue dans le certificat précédemment transféré au support 101 actuellement supporté par le support 101 . Le terminal 30 s’est bien authentifié à son tour auprès du support 101 en prouvant sa connaissance de la clé privée KPR(T) associée au certificat, lui-même signé par une autorité de certification.

La clé privée KPR(T) devra être protégée par le terminal 30 afin qu’elle ne puisse jamais être extraite.

En particulier, la signature supplémentaire du terminal 30 peut être obtenue au moyen d’un algorithme de production à clé publique. Par exemple « RSA » utilisant une taille de clé d’au moins 1024 bits. Après cette authentification du terminal 30, le certificat équivalent à la donnée de demande d’accès signée est accessible en lecture depuis le support 101 de façon chiffrée. Le chiffrement des données de demande d’accès est produit par un algorithme de type AES « Advance Encryption Standard » utilisant des clés de 256 bits.

Les deux phases d’authentification (celle du support par le dispositif de lecture et celle du dispositif de lecture par le support) constituent une authentification mutuelle des deux entités : le support 101 et le terminal 30.

Ce mécanisme peut également avoir lieu entre le support 101 et le dispositif de transfert 102, qui est alors considéré comme étant le terminal 30, lorsque l’on souhaite par exemple transférer une nouvelle donnée de demande d’accès signée dans le support 101 .

Ainsi, l’authentification du dispositif de lecture 210, ou du dispositif de transfert 102 par le support 101 , utilise également un principe d’authentification sans être obligée de partager un secret.

Dans une variante, le support 101 est en outre configuré pour supporter des données de modification de la base référentielle de données connecté au dispositif de lecture 210. Le support 101 est dans ce cas configuré pour transporter des données de mise à jour du dispositif de lecture 210, et pour lui transmettre lors de leur lecture. Ainsi, le support 101 peut supporter des données permettant par exemple la mise à jour des conditions d’authentification, de vérification ou encore de comparaison relative au dispositif de lecture 210. Ce peut être également le cas par exemple pour tout autre élément destiné à être pollinisé sur l’ensemble du système de contrôle d’accès.

Il est à noter que lorsque sont réalisées les conditions de demande d’accès lues sur les supports 101 via la donnée de demande d’accès signée par le dispositif de lecture 210 ou par d’autres terminaux habilités tels que le dispositif de transfert 102, de nouveaux paramètres, destinés à d’optionnelles applications autres que le contrôle d’accès, c’est-à- dire autres que l’authentification et l’émission d’un signal d’autorisation d’accès pourront être évalués. Ces données supplémentaires indépendantes de l’application principale du contrôle d’accès bénéficieront ainsi du système d’authentification mis en place, de la sécurité apportée par les supports 101 et de la disponibilité de la base référentielle de données ainsi que l’architecture globale du système.

Dans un mode de réalisation de l’invention, les dispositifs qui constituent le système, sont totalement indépendant les uns des autres. Aussi, il n’existe pas de lien de dépendance entre le dispositif de lecture 210 et le dispositif de transfert 102 de même que le support 101 fonctionne également sur tous les dispositifs de lecture, lorsque le système en comprend plusieurs, sans qu’ils n’aient de liens ou de dépendances entre eux. Le système, dans cette variante, ne nécessite pas d’être connecté dans sa globalité pour fonctionner lors des étapes de transfert et de transmission du signal d’autorisation d’accès par exemple. Il pourra se connecter de façon autonome et indépendante de ces étapes. Des données de demandes d’accès signées supportées par les supports 101 par suite à l’étape de transfert via n’importe quel dispositif de transfert 102 pourront être acceptées sur n’importe quel dispositif de lecture 210 participant au système. C’est-à-dire que les dispositifs de lecture, lorsque le système en comprend plusieurs, n’ont aucun lien de dépendance avec les dispositifs de transferts notamment lorsque le système en comprend plusieurs.