PROCEDE ET SYSTEME DE PARTAGE DE DONNEES D’AUTHENTIFICATION POUR UN CONTROLE D’ACCES ET EFFACEMENT DES DONNEES APRES UTILISATION

[0001] L’invention concerne un procédé et un système permettant de partager des données pendant une durée déterminée, pour accéder à une zone d’accès contrôlé et effacer les données qui auront servi à établir l’accès.

[0002] Elle peut être utilisée lorsqu’un visiteur doit accéder à une zone sécurisée au sein d’une entreprise, ou encore lorsqu’un voyageur accède à une porte d’embarquement dans un aéroport ou un quai de train.

[0003] A l’heure actuelle, pour accéder à une entreprise dont il n’est pas salarié, un visiteur doit présenter un document d’identification et le laisser à l’accueil. En échange, il reçoit un badge qui lui permet de circuler dans l’entreprise. A sa sortie, il récupère son document d’identité. Ce document a été conservé temporairement, ce qui nécessite d’avoir une confiance absolue dans les personnes à qui l’on confie ces documents.

[0004] le document US 2015/0120558 divulgue un système qui permet à un individu équipé d’un dispositif mobile et d’une application spécifique, d’accéder à une porte d’accès après paiement d’un droit de passage. Pour cela, l’application est activée sur réception d’un message émis par une première balise. L’application transmet alors des données de validation à un serveur qui, en retour va transmettre un identifiant correspondant à la porte d’accès.

[0005] Un objectif de l’invention est de proposer un système et un procédé qui ne nécessitent pas de déposer un document d’identité au niveau de l’accueil et qui permettent le partage momentané de données d’authentification avec un dispositif permettant d’accéder à une zone d’accès limité, avec effacement des données.

[0006] Dans la suite de la description, on utilise l’expression « données d’authentification » pour désigner les paramètres utilisés dans ce domaine technique, ce que le visiteur est (biométrie faciale, empreinte, iris, le réseau veineux, etc.), ce que le visiteur sait (mot de passe, code PIN (Personal Identification Number), etc.) , ce que le visiteur a ou possède (un jeton plus connu sous le terme anglo-saxon token, une clé, un téléphone intelligent ou smartphone, une carte à puce, etc.). Cette liste est donnée à titre illustratif et nullement limitatif, toute donnée biométrique ou non connues dans ce domaine technique pourra être utilisée.

[0007] L’invention concerne un procédé permettant à un individu équipé d’un terminal mobile comprenant un module de communication, un module de communication de proximité, un module de chiffrement de données, une application de détection et une zone mémoire, d’accéder à une zone d’accès limité caractérisé en ce qu’il comporte au moins les étapes suivantes :

Le déclencheur de type « Accueil » diffuse son identifiant ID _acC ueii et le type de cet identifiant au dispositif de l’individu,

Ladite application de détection détecte un identifiant ID _acC ueii diffusé par un déclencheur d’accueil et accepte un partage des données,

L’authentification dudit individu à l’aide d’une donnée d’authentification et la génération d’une clé publique K _pU b, et d’une clé privée K _priV par le module de chiffrement,

La transmission via le module de communication du dispositif mobile au serveur de gestion des accès de l’identifiant du déclencheur ID _accue ii, de l’identifiant de l’individu ID _V isîteur, de la clé publique temporaire, K _pU b, des données d’authentification de l’individu requises pour accéder à la zone et son consentement explicite, ledit serveur de gestion des accès mémorise la clé publique temporaire,

Le poste de contrôle génère un aléa temporaire et diffuse un identifiant de contrôle ID _CO ntrôie, le type de l’identifiant et l’aléa temporaire,

L’application de détection du terminal mobile détecte l’aléa et l’identifiant générés par le poste de contrôle, puis le module de chiffrement chiffre avec une clé privée cet aléa,

Le module de communication du terminal mobile transmet au serveur de gestion des accès l’aléa chiffré, son identifiant ID _ViS iteur et l’identifiant ID _¥ ntrôie du poste de contrôle et vers le poste de contrôle son identifiant,

Le serveur de gestion des accès mémorise ces informations,

Le poste de contrôle détecte l’identifiant du visiteur ID _ViS iteur et transmet une requête d’identification ou d’authentification Rq auprès du serveur de gestion des accès, la requête contenant l’identifiant du contrôleur ID _con trôie, l’identifiant du visiteur ID _ViS iteur et l’aléa temporaire, Le serveur de gestion des accès regarde la concordance entre les données d’authentification acquises en temps réelles et les données mémorisées, et transmet au poste de contrôle un message pour donner l’accès à l’individu si les données concordent ou au contraire bloquer l’accès,

Le poste de contrôle sur réception de ce message émet un signal de déverrouillage à un dispositif d’accès ou un signal d’erreur.

[0008] Le procédé comporte, par exemple, les étapes suivantes :

Lorsque l’individu arrive dans une zone de sortie, il détecte un identifiant émis par un déclencheur de sortie,

Le visiteur émet une requête de suppression R _qsU p au moins des données d’authentification stockées sur le serveur de gestion des accès,

Le serveur de gestion des accès vérifie la signature de la requête de suppression desdites données et efface lesdites données d’authentification de l’individu,

Le poste de contrôle libère le dispositif d’accès afin de permettre la sortie de l’individu.

[0009] On utilise, par exemple, pour les communications de proximité, le protocole Bluetooth.

[0010] On peut utiliser comme donnée d’authentification une ou plusieurs données choisies parmi la liste suivante :

Une empreinte digitale et/ou une donnée biométrique faciale,

Un mot de passe,

Une clé ou un token.

[0011] L’identifiant se présente, par exemple, sous le format d’une chaîne de caractères.

[0012] L’invention concerne aussi un système permettant à un individu d’accéder à un site d’accès contrôlé ou de sortir, ledit individu étant équipé d’un terminal mobile caractérisé en ce qu’il comporte au moins les éléments suivants :

Un dispositif diffusant des signaux de balise et un identifiant accueil,

Un dispositif déclencheur de contrôle configuré pour émettre un identifiant vers le terminal mobile, un poste de contrôle générant un signal vers un dispositif d’accès au site,

Un serveur de gestion des accès et un serveur de stockage temporaire, Un poste de contrôle configuré pour générer un aléa temporaire et diffuser un identifiant de contrôle ID _CO ntrôie, le type de l’identifiant et un aléa temporaire,

Le terminal mobile est équipé : d’un dispositif de communication réseau adapté à transmettre au serveur de gestion des accès un identifiant du déclencheur ID _aC cueii, de l’identifiant de l’individu ID _ViS iteur, de la clé publique temporaire, K _pU b, des données d’authentification de l’individu requises pour accéder à la zone et son consentement explicite, ledit serveur de gestion des accès mémorise la clé publique temporaire, d’un module de communication de proximité, configuré pour transmettre au serveur de gestion des accès un aléa chiffré, son identifiant ID _ViS iteur et l’identifiant I D _con trôie du poste de contrôle et vers le poste de contrôle, d’un module de chiffrement de données, d’une application de détection adaptée à détecter un identifiant et d’un dispositif de saisie de données d’authentification ID _acC ueii diffusé par un déclencheur d’accueil et adaptée à accepter un partage des données.

[0013] Le module de communication de proximité est, par exemple, choisi parmi la liste suivante : le protocole Bluetooth, les Ultrasons, la radio, le protocole NFC.

[0014] Le dispositif de contrôle est équipé d’une interface permettant la saisie d’au moins une donnée d’authentification.

[0015] La ou les données permettant d’authentifier l’individu est choisie parmi la liste suivante : une empreinte digitale et/ou une donnée faciale, un mot de passe, ou encore un token ou une clé et le dispositif de contrôle est équipé d’une interface adapté à saisir la ou lesdites données.

[0016] D’autres caractéristiques, détails et avantages de l’invention ressortiront à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemples illustratifs nullement limitatifs, et qui représentent, respectivement :

[0017] La figue 1 , un schéma de système permettant le partage des données selon l’invention dans le but d’accéder à un site,

[0018] La figure 2, un diagramme explicitant le processus d’accès d’un visiteur à une zone à accès limité,

[0019] La figure 3, un diagramme explicitant le processus de sortie d’un visiteur d’une zone à accès limité. [0020] La figure 1 illustre un exemple de système dans lequel le procédé de partage de données selon l’invention peut être mis en oeuvre pour permettre à un visiteur souhaitant accéder à un site d’accès contrôlé d’obtenir cette autorisation sans laisser de documents d’identité.

[0021] Le visiteur possède un terminal mobile 10, tel qu’un téléphone intelligent ou « smartphone », comprenant un module de communication avec un protocole de communication 11 de type TCP/IP pour des échanges avec un serveur réseau de type Internet et un module de communication de proximité 12, un module de chiffrement de données 13, une application de détection 14 (application accueil ou sortie) configurée pour détecter des données diffusées par un poste de contrôle qui vont permettre au visiteur de rentrer et/ou de sortir du site, et une zone mémoire 15 contenant ses données d’authentification. L’application de détection 14 ainsi que le module de chiffrement 13 sont installés sur le téléphone mobile préalablement à l’utilisation. L’application dialogue avec le serveur de gestion des accès via le protocole TCP/IP. Le module de chiffrement 13 utilise un générateur d’aléa connu de l’homme du métier qui va permettre de générer un identifiant visiteur ID _ViSite u _r et vérifier que cet identifiant n’est pas utilisé pour un autre visiteur. La vérification de la possibilité d’utiliser un identifiant se fera par le serveur de gestionnaire d’accès 41. Le générateur d’aléa est connu de l’homme du métier et ne sera pas explicité. Le téléphone comprend aussi un écran de visualisation 16 et un dispositif 17 de saisie d’une donnée d’authentification (code PIN, détection du visage, empreinte digitale). Le dispositif de saisie est par exemple une caméra, un détecteur d’empreintes digitales, une fenêtre de dialogue au niveau du téléphone pour composer un code PIN.

[0022] La communication de proximité peut se faire via un protocole de communication de type Bluetooth, Ultrason, Radio courte portée, protocole de communication en champ proche NFC, ou tout autre protocole de communication de proximité connu de l’homme du métier.

[0023] La zone d’accueil 20 (entrée ou sortie) comprend un ou plusieurs systèmes déclencheurs de type accueil (qui vont permettre l’entrée et/ou la sortie du visiteur). Par exemple, la zone d’accueil 20 sera équipée d’un ou de plusieurs dispositifs 21 diffusant des données de type balise équipée d’un moyen de communication de proximité, tel que le Bluetooth. Le dispositif 21 va diffuser un identifiant accueil ID _aCc u _eii se présentant par exemple sous la forme d’une chaîne de caractère. Cet identifiant ID _aC cueii qui pourra être un identifiant d’entrée ID _en trée ou un identifiant de sortie ID _SO rtie sera reconnu par l’application de détection installée sur le terminal mobile de l’individu.

[0024] La zone de contrôle 30 comprend un dispositif déclencheur de contrôle 31 , un poste de contrôle 32 qui valide l’accès au site ou le refuse et qui est configuré pour émettre un signal activant le portillon d’accès, un lecteur de saisie de données d’authentification 33, un module de contrôle des données d’authentification acquises 34. Le poste de contrôle 32 validera la sortie du site de manière similaire. Le dispositif déclencheur de contrôle 31 est par exemple un dispositif diffusant des données de type balise Bluetooth ou équivalent. Le lecteur de saisie de données d’authentification 33 est par exemple un lecteur d’empreintes digitales, une caméra pour détecter un visage ou encore l’iris, une interface Homme-machine permettant d’entrer le code PIN. Le poste de contrôle peut être équipé d’un lecteur adapté à lire la donnée d’authentification, par exemple un lecteur de carte à puce lorsque la donnée d’authentification est une carte à puce, un lecteur de clé pour une donnée sous forme de clé, etc.

[0025] Un dispositif d’accès physique 50 pour l’entrée sur le site et/ou la sortie du site, tel qu’un portillon d’accès, permet d’accéder à la zone à accès limité 51. Ce dispositif reçoit le signal émis par le poste de contrôle validant ou invalidant les données d’authentification acquises en temps réel et permet de libérer le passage à un individu. Un portillon peut assurer la fonction entrée/sortie, ou simplement l’une des deux.

[0026] Le système comprend aussi un serveur de gestion des accès 41 et un serveur de stockage temporaire des données 42. Le serveur de gestion des accès 41 est en relation avec le poste de contrôle 32. Il a notamment pour fonction de vérifier la signature reçue et de supprimer les données du visiteur qui sont utilisées pour donner l’accès à un site, les données d’authentification et éventuellement des données personnelles de type, nom, prénom, motif de la visite, personnes rencontrées sur le site. Le serveur de stockage temporaire des données ou serveur d’archivage stocke le consentement du visiteur et la trace des requêtes (requête d’authentification, requête de suppression des données) du poste de contrôle pour accéder aux données du visiteur.

[0027] La figure 2 illustre les étapes mises en oeuvre lors du processus d’accueil d’un visiteur. [0028] 201 - Le déclencheur de type « Accueil » diffuse son identifiant ID _aC cueii et le type de cet identifiant qui se présente par exemple avec le format d’une chaîne de caractères. Cet identifiant ID _acC ueii sera reconnu par l’application de détection « accueil » installée sur le téléphone mobile de l’individu.

[0029] 202 - Le visiteur entre dans la zone accueil 20 et son application « accueil » détecte l’identifiant ID _accU eii diffusé par le déclencheur d’accueil. Le visiteur a préalablement activé le dispositif de communication de proximité 12 de son téléphone mobile. Une notification s’affiche au niveau de l’écran du téléphone du visiteur et liste les données qui pourraient être partagées. Le visiteur peut accepter ou refuser ce partage de données.

[0030] 203 - Le visiteur qui est invité à partager ses données s’authentifie sur son terminal mobile, en utilisant une donnée d’authentification. Pour cela, le visiteur peut saisir un mot de passe, utiliser une donnée biométrique telle qu’une empreinte digitale, ou se prendre en photo au moyen de la caméra de son téléphone. La saisie de la donnée d’authentification permet de valider son consentement à partager ses données d’authentification pour une période de temps définie, avec les différents dispositifs d’accès à la zone à accès limité,

[0031] 204 - Le visiteur ayant donné son consentement explicite, son application de chiffrement 13 génère une bi-clé temporaire (une clé publique K _pub et une clé privée K _pri v) et un identifiant visiteur ID _ViS iteur,

[0032] 205 - L’application mobile 14 du visiteur va transmettre au serveur de gestion des accès 41 , via son module de communication 11 en utilisant une liaison de type internet, l’identifiant du déclencheur ID _accue ii, l’identifiant visiteur ID _ViS iteur, sa clé publique temporaire, K _pub , ses données d’authentification requises pour accéder à la zone d’accès contrôlé et son consentement explicite. Une donnée textuelle de type « consentement OK » peut être utilisée. Elle doit contenir des informations de contexte telles que : le lieu, la date et l’heure, les données partagées, ceci en respectant la vie privée. Cette donnée doit être signée électroniquement afin d’indiquer le consentement explicite. La signature électronique est réalisée par le module de chiffrement en utilisant la bi-clé temporaire, et selon un principe connu de l’homme du métier.

[0033] 206 - Le serveur de gestion des accès 41 mémorise les informations transmises. [0034] Les étapes suivantes vont consister à contrôler les informations transmises pour autoriser l’accès au visiteur ou lui refuser le passage.

[0035] 207 - Le poste de contrôle 32 génère via son module processus de contrôle 31 un aléa temporaire (quelques secondes) et diffuse son identifiant ID _con trôie, le type de l’identifiant et l’aléa temporaire via une communication de proximité ; L’aléa temporaire se présente, par exemple, sous la forme d’une chaîne hexadécimale créée aléatoirement selon une méthode connue de l’homme du métier. Cette chaîne hexadécimale varie au cours du temps, par exemple toutes les minutes, pour éviter le rejeu (rejouer un enregistrement vidéo) ; La diffusion de l’identifiant IDcontrôle se fait par Broadcast ou par diffusion ciblée vers le visiteur,

[0036] 208 - Le visiteur entre dans la zone de contrôle. Son application mobile de détection 14 détecte le signal diffusé contenant l’aléa temporaire, l’identifiant du poste de contrôle,

[0037] 209, 210 - Le visiteur va chiffrer via son module de chiffrement 13 et avec sa clé privée temporaire l’aléa, puis transmet (via Internet), 211 , au serveur de gestion des accès 41 : l’aléa chiffré (signé), son identifiant visiteur ID _ViS iteur et l’identifiant du poste de contrôle ID _CO ntrôie, et vers le poste de contrôle 32, son identité visiteur ID _ViS iteur, 212.

[0038] 213 - Le serveur de gestion des accès 41 mémorise ces informations dans une zone mémoire dédiée,

[0039] 214 - Le poste de contrôle 32 détecte l’identifiant du visiteur ID _V isîteur et transmet (via Internet) une requête Rq d’authentification auprès du serveur de gestion des accès, la requête contenant l’identifiant du contrôleur ID _con trôie, l’identifiant du visiteur ID _ViS iteur et l’aléa temporaire, 215,

[0040] 216 - Le serveur de gestion des accès renvoie via Internet les informations propres au visiteur et nécessaires au contrôle (photo, empreintes, iris, PIN OTP, identifiant de token physique, etc.),

[0041] 217, 218 - Le poste de contrôle 32 vérifie les informations transmises par le serveur en regardant leur concordance avec les données d’authentification acquises en temps réel par son dispositif de saisie des données d’authentification ; si ces données sont cohérentes, alors le poste de contrôle émet un signal qui permet de déverrouiller le portillon d’accès, dans le cas contraire il peut remonter une information d’erreur d’accès vers le poste de contrôle 32. [0042] Les requêtes des postes de contrôle au serveur de gestion des accès peuvent être tracées. Chaque action de requête est, par exemple, enregistrée et archivée sur le serveur de stockage. Ces requêtes peuvent être des requêtes d’authentification R _q , des requêtes de suppression R _qsup des données d’authentification, des données d’identité, des informations sur la nature de la visite, des personnes rencontrées, qui ont utilisées pour l’accès au site. Pour chacune de ces actions, on enregistre dans ce cas, la date, l’heure, le type d’accès et l’origine de l’action (visiteur, poste de contrôle).

[0043] La figure 3 illustre les étapes du procédé mises en oeuvre lors de la sortie du visiteur.

[0044] 301 - Le déclencheur de type sortie diffuse en permanence son identifiant ID _sort ie et la nature de cet identifiant,

[0045] 302 - Le visiteur entre dans une zone de sortie, à proximité des portillons d’entrée/sortie, ou de portillons de sortie lorsque ces derniers sont situés à un endroit différent de la zone d’entrée. L’application de détection du visiteur (application détection sortie) détecte l’identifiant ID _sorti e du déclencheur de sortie et, 303, envoie une demande de suppression R _qsup des données d’authentification et des données d’identité (nom, prénom, etc.) sur le serveur de gestion des accès. La demande de suppression est signée avec la clé privée temporaire du visiteur, ID _ViS iteur, IDdéciencheur, [0046] 304 - Le serveur de gestion des accès vérifie la signature reçue et supprime 305 les données d’authentification du visiteur ; la vérification s’effectue via la clé publique de l’individu qui est connue du serveur de gestion et selon un mécanisme connu. Le serveur de gestion des accès avertit le poste de contrôle qui émet, 306, un signal vers le portillon de sortie afin de permettre au visiteur de sortir du site. Ceci est réalisé en parallèle à la suppression des données.

[0047] Le serveur d’archivage 42 peut stocker le consentement explicite du visiteur pour le partage des données et la trace des requêtes contrôleur pour accéder aux données d’authentification. Les règles de stockage seront définies notamment selon les règles d’accès au site, des règles de consentement.

[0048] Les communications autres que les communications de proximité seront réalisées en utilisant par exemple le protocole TCP/IP sur Internet en utilisant des modes de protection selon l’application, et suivant des technologies connues de l’art antérieur. [0049] Le terminal mobile équipant un visiteur qui souhaite accéder à une zone d’accès limité est un téléphone mobile de type smartphone, une tablette, une montre connectée ou tout autre support ou terminal mobile comprenant les modules décrits précédemment et adaptés pour exécuter les étapes du procédé de partage de données pendant un intervalle de temps limité, pour accéder ou sortir d’un site.

[0050] Le procédé et le système selon l’invention permettent notamment de ne pas avoir à confier des documents d’identité pour accéder à une zone dont l’accès est contrôlé. Les données permettant l’authentification pour accéder au site sont protégées et le consentement du visiteur requis pour utiliser ses données.