WO2018154190A1 - Système biométrique de contrôle d'accès dynamique - Google Patents
Système biométrique de contrôle d'accès dynamique Download PDFInfo
- Publication number
- WO2018154190A1 WO2018154190A1 PCT/FR2018/000015 FR2018000015W WO2018154190A1 WO 2018154190 A1 WO2018154190 A1 WO 2018154190A1 FR 2018000015 W FR2018000015 W FR 2018000015W WO 2018154190 A1 WO2018154190 A1 WO 2018154190A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- validation
- dynamic
- identification
- data
- encryption
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Definitions
- the biometric system of dynamic access control is an invention that makes it possible to secure, control and manage physical accesses (examples: electric / electronic locks for houses, apartments, offices, cars, public transport, etc.), digital accesses ( examples: access to computers, servers, smartphones, tablets, etc.) and to carry out banking operations (examples: proximity payments, online payments, transfers, etc.).
- This invention consists of two devices indissociable from each other: an identification device and a validation device.
- the identification device makes it possible, in the first instance, to validate the identity of a natural person by means of his biometric fingerprint which is stored only in the identification device and, in a second step, to trigger the identification. execution of a functionality, which function will be validated or not according to a certain number of criteria by the validation device.
- the validation device for its part makes it possible to validate the execution of the functionality ordered by the identification device after verifying certain information received.
- the identification and validation devices communicate via NFC / RFID contactless technology.
- the communication distance is limited to ten centimeters as a security measure for the transmission of sensitive data.
- the identification device has several variants in industrial application.
- the first variant is a biometric case.
- the second is a biometric watch.
- the third is a biometric bracelet or a biometric necklace.
- the validation device has several variants in industrial application.
- the first is an electronic card that can be integrated with existing devices.
- the second is a USB key that can communicate in NFC / RFI D.
- the third is a NFC box connected to an Internet, intranet or electrical network.
- the purpose of this invention is to improve the security of existing access systems. Improving security, control and access management is based on a method of operating activatable and passive features.
- the validation of the execution of the activatable functionalities is conditioned by the category of user (owner, administrator or accredited).
- Validation of activatable features and passive is conditioned by the recognition of several data exchanged between the identification and validation devices, such as the identifiers of the identification device and the validation device, the dynamic access codes, the date / time of assignment of access codes, the connection frame, etc.
- the activatable features of the identification device are the access request, the allocation and the revocation of access rights.
- the passive features of the identification device are: creation / management of access codes, cross identification of devices, access control, protection of sensitive data.
- the validation device has the same functionalities as the identification device, but these are all passive.
- the identification device has all the basic features. However, only the functionalities necessary for the use will be activated depending on whether the user is a professional or an individual.
- the improvement of security is also linked to the sensitive data protection system, characterized by a dynamic encryption algorithm and dynamic management of access codes.
- the advantage of such a system is to allow the system to continually change its security settings.
- the dynamic encryption algorithm has two facets. The first is the random selection of encryption / decryption keys. The second is the modification of the structure of the encryption / decryption keys.
- the management of the access codes makes it possible to modify them with each use starting from dynamic data.
- This invention also makes it possible to protect the user against the fraudulent use of his identification device in the event of loss, theft, or forgetting, on the one hand, by the obligation to validate the biometric imprint and, on the other hand, by the possibility of blocking the identification device via the validation devices or the connected networks.
- the stored sensitive data is encrypted dynamically.
- Biometric access systems need a database of biometric fingerprints to work.
- US6806807 B2 WO / 2005/0771 09 and 2,999,000 filed respectively on June 29, 2001, February 01, 2005 and December 05, 201 2
- the unlocking process therefore works by comparison of the fingerprints stored in the device database attached to the access door and the user's fingerprint. When a match is found, unlocking is performed. Otherwise, the door remains locked.
- the major disadvantage of these systems for companies lies in the rules for collecting and using the personal data of their employees. On the other hand, these companies are confronted with the installation, on all their accesses, of more bulky devices than our invention.
- the advantage of our system is that the identification device is the only one to store the biometric fingerprints of the user in addition to being compatible with all the validation devices integrable in all access systems.
- our invention allows the user to be the exclusive owner of his biometric fingerprints. Companies do not have to seek the agreement of their employees for the collection and use of their biometric data.
- our invention makes it possible to use the identification device on all the validation devices.
- the advantage of such an invention is to allow both professionals and individuals to use their identification devices on all access systems when they have rights to the validation devices concerned.
- Our invention does not limit the user on the number of imprints stored in the identification device because the validation device attached to the access system does not store any imprint. Users' fingerprints are only stored in their respective identification devices, which function as described in the "Process" section below.
- our invention improves the control and management of access, to solve the problems of limitation of access rights, fraud on the identity of persons and the theft of biometric data.
- the identification device To validate a feature, the identification device must be physically close to the validation device (or an identification device for special cases) in order to send the data necessary for the validation of said functionality.
- the "access” functionality only needs the biometric finger scanner module to be triggered by the identification device. Other features require a specific push button, LCD screen or touch screen.
- the "access” functionality enables a proprietary, administrator or accredited identification device of a validation device to unlock an access system.
- the feature runs in the following steps:
- an additional step may involve the NFC / RFID module of one of the (identification or validation) devices to send a procedure stop frame to the identification device before the microcontroller the latter terminates the execution of the feature.
- the NFC / switch module RFID is disabled.
- connection information the identifier of the identification device is not stored in the validation device but in an external database.
- step (18) the verification of the other connection data will be performed after verification of the identifier of the identification device.
- the access codes and the corresponding dates are stored in the validation device.
- the "grant administrator or access rights" feature allows an identification device, owner or administrator of a validation device, to assign to another identification device the right of administrator or of access to the validation device, and by extension, to assign the user of said identification device rights on the validation device concerned.
- the owner of a validation device is the one who has all the rights and can thus perform all the activatable features described in this chapter.
- the administrator can only execute the activatable functions for assigning access rights and revoking access rights. Accredited, having received only a simple right of access, can only execute the functionality "access" previously detailed.
- the first example of a method is that of triggering the "granting administrator or access rights" function from an identification device. That is to say that in this example, the identification device has previously received connection data of the identification device to which the right will be allocated.
- the method of executing the "granting administrator or access rights” functionality is identical to that of the "access” functionality unless there are additional or opposite indications, as for the steps below:
- the second example of a method is that of triggering the "granting administrator or access rights" function from the validation device. Following the triggering of the feature, the latter remains waiting for reception of the connection frame as in step (7) of the "access” functionality. All the steps of the "granting administrator or access rights” functionality are identical to those of the "access” functionality except for the steps (20) and (21) which are identical to those of the first example of process.
- the "property assignment” feature is a variation of the "grant administrator or access” feature. The difference is that once the right is given, the connection data related to the validation device and stored in the identification device that gives up the right are deleted, while the validation device just replaces the identifier of the old one. proprietary identification device by the new.
- the "revocation of rights" feature allows a proprietary identification device or administrator of a validation device to revoke / remove the administrator's right or access to another identification device on the same principle as for assignment of the administrator or access right.
- the first example of a method is that of triggering the "revocation of rights" feature from the identification device. Namely that in this example, the identification device must have a screen and push buttons to select the device (s) for which (which) the rights are revoked. On the other hand, this feature is related to the "access control" feature (detailed in the dedicated section).
- the method for executing the "revocation of rights” functionality is identical to that of the "granting administrator or access rights” functionality, unless there are additional or opposite indications as for the steps below. :
- the second example of a method is that of triggering the "revocation of rights" functionality from the validation device.
- This example is identical to the second example of the "granting administrator or access rights” feature but with the purpose of deleting the identifier (s) from the identification device (s). associated with each of them and connection data in step (21).
- the passive "access control” feature allows an identification device to collect data to identify other identification devices. This feature allows you to control and manage access. It allows devices with a specific qualification to perform entitlement or revocation functionality.
- the identification device of the owner collects all the information of the administrators and accredited.
- the administrator identification devices collect only the information from the accredited identification devices.
- Accredited identification devices do not collect any data.
- This functionality is performed by certain identification devices according to their quality (owner or administrator) on sequential dates during the execution of the "access” functionality.
- the validation of the functionality of the identification device by the validation device is subject to specific operating constraints in accordance with FIG. 2.
- the elements that will be verified at several levels of control are the biometric fingerprint of the user, the static data (identifiers of the identification and validation devices) and two types of dynamic data: the dynamic data generated (key pair of encryption and access code) and a natural dynamic data (time).
- an "X" number of key pairs of encryption and access code is generated by the device of identification then sent to the validation device which will record them. Then, at each execution of any feature, a new pair of encryption key and access code is generated by the identification device and sent to the validation device.
- the identification and validation devices always have the same number "X" of dynamic data pairs.
- the dynamic data pair that has just been used for the execution of the functionality is removed from the two devices after the recording of the new dynamic data AX in the identification and validation devices, a step which corresponds to the validation of the functionality by the validation device or figure 1.
- Each pair of dynamic data generated is linked to a natural dynamic datum that corresponds to the date / time of sending the dynamic data pair generated for the identification device, and to the date / time of reception of the same pair of data for the device. validation device.
- the natural dynamic data associated with the generated dynamic data pair A-X is recorded by each of the devices and is never sent in any way during the execution of the A-1 functionality. However, for the validation of the A-1 functionality, the natural dynamic data related to the dynamic data pair A-1 is sent.
- the natural dynamic data is used to verify that the identification device that sends the access code for validation of any functionality is the one that generated it. For example, consider a key pair of encryption and access code A-1 sent on 20/1 1/2017 at 14h 03 minutes and 23 seconds GMT-3. In the identification device, the exact dates and hours / minutes / seconds are recorded. In the validation device, the date, time and minute are recorded exactly. The seconds are recorded with an error margin of 2 seconds (for example) before and after the exact second recording. Thus, the validation device records the seconds 21, 22, 23, 24, 25, considering that the exact second reception is 23. Thus, at the execution of the functionality, if the natural dynamic data sent by the device d identification is in the meantime, the functionality is validated. Otherwise, the functionality is not performed by the validation device.
- One of the advantages of this operating method is to fight against the cloning of the digital identification data of an access key to a system and thus fight identity theft because its chronological method of operation will not allow to get the natural dynamic data in advance and therefore limit the access code simulations - even if it is collected on the internet.
- the static data and the natural dynamic data make it possible to identify with certainty each pair of data A-1 to AX and thus to identify with certainty the identification device by limiting the probability of 'identity theft.
- Another dynamic data validation constraint is related to the dynamic data pair.
- Each execution of a feature is sent a key pair of encryption and access code.
- the AX data pair that will be used at the X th use after the A-1 functionality is sent and stored in both devices (subject to the validation of said functionality).
- the AX pair consists of an encryption key and an access code.
- the latter will use its static data and the natural dynamic data corresponding to AX to validate its identity, then use the access code AX that it will have. previously decrypted to validate the execution of the AX functionality by the validation device.
- the validation device will use the encryption key AX received during the validation of the functionality A-1 to encrypt the decrypted access code received in order to compare it to that stored.
- the functionality will be validated if the access code received and the stored one match. For example, if the access code "ABCD" was previously sent by the identification device and for the validation of the functionality it sends its decrypted expression "DCBA”, then, the validation device will succeed in encrypting correctly " DCBA "in” ABCD "corresponding to the access code sent during feature A-1. If the identification device sends ABCD or any other expression that does not correspond to "DCBA", the functionality will not be validated. Since encryption keys and access codes are generated at each feature execution, the access codes are never the same or encrypted in the same way. Even assuming that the decrypted access code is "DCBA", the encryption key AX is singular for each validation of any functionality, the access code "DCBA” once encrypted will be different from “ABCD” .
- the constraints of the validation of any functionality of the biometric dynamic access control system are the following: 1 - Validation of the identity of the user / owner of the identification device by virtue of his biometric imprint; 2- Identification of the validation device by the identification device by means of the static data (identifier); 7- Identification of the identification device by the validation device using static data and natural dynamic data; 9- Comparison and validation of the similarity of the generated dynamic data (access code) with the encryption key Al; 1 0- Validation of the execution of the functionality by the recording of the dynamic data AX and the time data. Any error encountered at one of these stages when checking the constraints at the steps of the operating method directly refers to a failure in the validation of the functionality. An executed feature will only be validated if all control constraints are verified and validated by the system.
- this method makes it possible chronologically to verify: 1 - the identity of the user of the identification device by said device thanks to the biometric imprint; 2- The identity of the identification device by the validation device thanks to the static, dynamic generated data and associated natural dynamics.
- the main advantages of this method of operation are to reduce the risks of identity theft of an individual through the use of biometrics; reduce the risks of cloning access data with the generation and unique use of encrypted access codes in a singular way; reduce the risk of hacking with the generation and single use of encryption keys; reduce the risks of impersonation of a machine thanks to the dynamic time data related to the dynamic data encryption key and access code; limit the risks of fraudulent takeover of unauthorized machines on a system.
- Another advantage of this method of operation is the intrusion detection of a machine in a system by the theft of the identity of a rightful identification device.
- the dynamic data pairs generated are used in an orderly manner by the identification device and deleted upon validation of a functionality by the validation device. Assuming that the validation device receives all the AX data necessary to validate a feature of a machine other than the identification device that generated the data, it will validate the execution of the functionality and delete the data. generated dynamics AX and the ⁇ associated natural dynamic data. The identification device that actually generated the data, meanwhile, will not have deleted them. When requesting validation of any feature requiring the use of AX data (for him), the validation device will no longer recognize said data as usage data. Failure to validate this feature for the entitlement credential is a native means of intrusion detection.
- the protection of the sensitive data of the identification and validation devices makes it possible to protect all the sensitive data.
- the most sensitive data are the dynamic encryption algorithms and identification data of the identification device.
- Dynamic login data is access codes, dates, and times related to running features. Dates and times are recorded when using the identification device.
- the data used to generate the access codes dynamically are: the random selection of characters stored in the register Ref_B (see Figure 5) a random fraction of the identification, the key allocation dates, the dates use of previous access codes, entitlement dates, etc.
- the dynamic encryption algorithm is based on a mathematical formula for modifying the encryption / decryption keys and their order of selection for each use.
- the dynamic encryption algorithm during the execution of a feature, makes it possible to select a pair of encryption key and access code. Then, the key pair encryption and access code is changed according to the dynamic identification data for the next selection / use. According to Figure 4. these data are stored in the trustzone.
- the identifier and the access codes are stored in the primary module (microcontroller integrated storage memory) in the "encrypted data" zone.
- the features and dates / times are encrypted and stored in the storage module according to Figure 4.
- Sensitive data is only encrypted / decrypted in the primary module only when running a feature.
- the latter is encrypted / decrypted.
- the system for protecting sensitive data and in particular the dynamic encryption algorithm, the connection data and the encryption / decryption keys follow the logic explained below:
- the identification device 1 communicates with the validation devices 1 and 2.
- the unencrypted access code "ABCD” is the same for the validation devices 1 and 2 during the first communication.
- the algorithm will make it possible to encrypt the access code “ABCD” at "1 234" for the validation device 1 and at "01 23" for the validation device 2.
- the access code ABCD changes to "WXYZ” for the validation device 1 and "ZYXW” for the validation device 2.
- the respective encryptions will respectively be “E34D” and "0DN8” because the algorithm Encryption will have changed the structure of the encryption keys.
- the access codes are defined according to dynamic elements.
- the identification device 2 communicates with the validation devices 1 and 2.
- the unencrypted access code is "ABCD01 01" and the encrypted access code "01 23DEDE”.
- the unencrypted access code is "WXYZ0101” and the encrypted access code "N40t8cXc”.
- the access code will therefore be totally different from that of the validation device 1 because the dynamic data used for the creation of the connection data will be specific and unique to each pair of identification device /validation.
- the operation of the dynamic encryption algorithm follows the following mathematical logic: Let p be the arrangement defined in increasing order of 60 distinct elements, or an arrangement of 1 to 60.
- Ref_B be a set composed of 60 * 2 elements:
- the set Ref_B represents the basic register of a pair of characters used by the dynamic encryption algorithm.
- the ReLB set is listed in two classes of elements: x and y.
- the elements of the class x are (xi, X2, X ⁇ O), classified according to the arrangement p defined previously.
- the elements of the class are there (yi, y6o), classified according to the arrangement p defined above.
- ReLCrypt be a set of 60 * 2 elements:
- the ReLCrypt set represents the dynamic register of a couple of characters used for the creation of encryption / decryption keys.
- the ReLB set is listed in two classes of elements: x and y.
- the elements of the class x are (xi, X2, ..., ⁇ ), classified according to the arrangement p defined previously.
- Ref_B ⁇ x v , y ⁇ ⁇ >
- Ref_B [x p , ⁇ ( ⁇ ) ⁇
- ⁇ 1 be the permutation of the elements ranked from 1 to 60 in the order (56,58,3, ..., 49,43)
- a 2 be the permutation of the elements ranked from 1 to 60 in the order ( 51, 1, 39, ..., 35,32)
- ⁇ 3 be the permutation of the elements classified from 1 to 60 in the order (38,25,35 60,27)
- ⁇ 4 be the permutation of the elements ranked from 1 to 60 in the order (26,48,39, ..., 30,23)
- ⁇ 5 be the permutation of the elements ranked from 1 to 60 in the order ( 7,32,54, ..., 51, 23)
- ReL1, Ref_2, Ref_3, Ref_4 and Ref_5 be sets of couples x p :
- n 1, 2, 3, 4 and 5.
- FIG. 5 represents the illustration of a single example of encryption, as in hypothesis 2 previously mentioned, during the execution of a feature. This example of encryption being dependent on the selection of one of Ref_ (1, 2, 3, 4, or 5).
- f (aigo) is sent to allow the system to decrypt the received connection data.
- the data is encrypted according to the following principle.
- the formula f (aigo) for decrypting the data corresponds to that which was sent during the previous execution of a feature (t-1) by the device. identification to the validation device.
- the constraints (see Description, page 1, line 20) for using the NFC / RFID type wireless communication module make it possible, in the transmission conditions of the encryption key, to limit the leakage of this data item.
- the system will execute the inverse formula of f (aigo).
- the reading and the validation of the data will be subjected to the correspondence of the basic register Ref_B (cf Figure 5).
- Example of encryption at the end of the execution of the dynamic encryption algorithm, the encryption code X corresponding to the transposition 1 (Ref_1: RegJ) will encrypt an identifier "DXuPOnT" in "80uC #) z".
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Abstract
Dispositifs de contrôle et de gestion des accès physiques et numériques à système de protection de données dynamiques. L'invention concerne deux dispositifs utilisant un algorithme dynamique de cryptage et décryptage, fonctionnant selon un procédé spécifique et permettant successivement l'identification d'un individu par le dispositif d'identification, l'identification croisée des dispositifs d'identification et de validation en vue de la validation des fonctionnalités exécutées. Le dispositif d'identification est constitué essentiellement (1 ) d'un scanner biométrique permettant d'identifier une personne physique, (2) d'un module de communication sans fil de type NFC/RFID permettant d'envoyer et de recevoir les données connexions, (3) d'un module de calcul qui exécute l'algorithme de cryptage et de décryptage dynamique en vue de la génération et de l'enregistrement des données de connexions. Le dispositif de validation est constitué essentiellement (7) des mêmes modules électroniques que le dispositif d'identification à l'exception du scanner d'empreintes biométriques, (2) notamment d'un module de calcul qui utilise l'algorithme de cryptage et de décryptage dynamique en vue de crypter les données de connexions nécessaires à la validation des fonctionnalités. L'algorithme de cryptage et de décryptage dynamique est un cryptosystème qui permet (1) de générer et (2) enregistrer des données de connexions à usage unique. Le procédé de fonctionnement spécifique aux dispositifs d'identification et de validation permet de (1) valider ou (2) invalider des fonctionnalités suivant des contraintes de validation chronologiques des données de connexions échangées. Les dispositifs selon l'invention sont particulièrement destinés à sécuriser tous les accès physiques tels que des serrures électroniques; tous les accès numériques tels que les serveurs informatiques via des routeurs ou via l'intégration directe du dispositif de validation, les ordinateurs, les Smartphones, les tablettes; les opérations bancaires via terminaux de paiement, des distributeurs automatiques de billets, ordinateurs, tablettes ou Smartphones.
Description
Système biométrique de contrôle d'accès dynamique Description
Le système biométrique de contrôle d'accès dynamique est une invention qui permet de sécuriser, contrôler et gérer les accès physiques (exemples : serrures électriques/électroniques pour maisons, appartements, bureaux, voitures, transports publics, etc.), les accès numériques (exemples : accès à des ordinateurs, serveurs, Smartphones, tablettes, etc.) et d'effectuer des opérations bancaires (exemples : paiements de proximité, en ligne, virements, etc.).
Cette invention est constituée de deux dispositifs indissociables l'un de l'autre : un dispositif d'identification et un dispositif de validation. Le dispositif d'identification permet, dans un premier temps, de valider l'identité d'une personne physique par le biais de son empreinte biométrique qui est stockée uniquement dans le dispositif d'identification et, dans un deuxième temps, de déclencher l'exécution d'une fonctionnalité, fonctionnalité qui sera validée ou non selon un certain nombre de critères par le dispositif de validation. Le dispositif de validation quant à lui permet de valider l'exécution de la fonctionnalité ordonnée par le dispositif d'identification après vérification de certaines informations reçues.
Les dispositifs d'identification et de validation communiquent via une technologie sans contact de type NFC/RFID. La distance de communication est limitée à dix centimètres par mesure de sécurité pour la transmission des données sensibles.
Le dispositif d'identification a plusieurs variantes en application industrielle. La première variante est un boitier biométrique. La seconde est de type montre biométrique. La troisième est de type bracelet biométrique ou encore un collier biométrique.
Le dispositif de validation a plusieurs variantes en application industrielle. La première est une carte électronique pouvant être intégrée à des dispositifs existants. La seconde est une clé USB pouvant communiquer en NFC/RFI D. La troisième est un boitier NFC connecté à un réseau internet, intranet ou électrique.
Le but de cette invention est d'améliorer la sécurité des systèmes d'accès existants. L'amélioration de la sécurité, du contrôle et de la gestion des accès est basée sur un procédé de fonctionnement de fonctionnalités activables et passives. La validation de l'exécution des fonctionnalités activables est conditionnée par la catégorie d'utilisateur (propriétaire, administrateur ou accrédité). La validation des fonctionnalités activables et
passives est conditionnée par la reconnaissance de plusieurs données échangées entre les dispositifs d'identification et de validation, telles que les identifiants du dispositif d'identification et du dispositif de validation, les codes d'accès dynamiques, la date/l'heure d'attribution des codes d'accès, la trame de connexion, etc.
Les fonctionnalités activables du dispositif d'identification sont la demande d'accès, l'attribution et la révocation de droits d'accès. Les fonctionnalités passives du dispositif d'identification sont : la création/gestion des codes d'accès, l'identification croisée des dispositifs, le contrôle des accès, la protection des données sensibles. Le dispositif de validation possède les mêmes fonctionnalités que le dispositif d'identification, mais ces dernières sont toutes passives. Le dispositif d'identification possède toutes les fonctionnalités de base. Cependant, ne seront activées que les fonctionnalités nécessaires à l'utilisation selon que l'utilisateur est un professionnel ou un particulier.
L'amélioration de la sécurité est également liée au système de protection des données sensibles, caractérisé par un algorithme de cryptage dynamique et une gestion dynamique des codes d'accès. L'avantage d'un tel système est de permettre au système de changer continuellement ses paramètres de sécurité. L'algorithme de cryptage dynamique a deux facettes. La première est la sélection aléatoire des clés de cryptage/décryptage. La seconde est la modification de la structure des clés de cryptage/décryptage. La gestion des codes d'accès permet de les modifier à chaque utilisation à partir de données dynamiques.
Cette invention permet également de protéger l'utilisateur contre l'utilisation frauduleuse de son dispositif d'identification en cas de perte, vol, oubli, d'une part, par l'obligation de valider l'empreinte biométrique et d'autre part, par la possibilité de bloquer le dispositif d'identification via les dispositifs de validation ou les réseaux connectés. Par ailleurs, en cas de perte, vol ou oubli du dispositif d'identification, les données sensibles stockées sont cryptées de façon dynamique.
Etat de l'art
Les systèmes d'accès biométriques ont besoin d'une base de données des empreintes biométriques pour fonctionner. En référence aux brevets US6806807 B2, WO/2005/0771 09 et 2 999 000 respectivement déposés les 29 juin 2001 , 01 février 2005 et 05 décembre 201 2, nous avons constaté que la plupart des systèmes biométriques font corps au moyen d'accès (porte, coffre-fort, etc.). Le procédé de déverrouillage fonctionne donc par
comparaison des empreintes stockées dans la base de données du dispositif fixé sur la porte d'accès et l'empreinte de l'usager. Lorsqu'une correspondance est trouvée, le déverrouillage s'effectue. Dans le cas contraire, la porte reste verrouillée. L'inconvénient majeur de ces systèmes pour les entreprises réside dans les règles de collecte et d'utilisation des données à caractère personnel de leurs salariés. D'autre part, ces entreprises sont confrontées à l'installation, sur l'ensemble de leurs accès, de dispositifs plus encombrants que notre invention.
Nous avons également constaté que les systèmes biométriques actuels ne sont pas compatibles entre eux, même quand il s'agit des produits d'une même entreprise. Cette déficience oblige les utilisateurs de ces systèmes à enregistrer leurs empreintes biométriques sur plusieurs dispositifs et donc dans plusieurs bases de données. L'avantage de notre système est que le dispositif d'identification est le seul à stocker les empreintes biométriques de l'utilisateur en plus d'être compatible avec l'ensemble des dispositifs de validation intégrables dans l'ensemble des systèmes d'accès. Ainsi, notre invention permet à l'utilisateur d'être le propriétaire exclusif de ses empreintes biométriques. Les entreprises n'ont pas à solliciter l'accord de leurs salariés pour la collecte et l'utilisation de leurs données biométriques. D'autre part, notre invention permet d'utiliser le dispositif d'identification sur l'ensemble des dispositifs de validation. L'avantage d'une telle invention est de permettre à la fois aux professionnels et aux particuliers d'utiliser leurs dispositifs d'identification sur tous les systèmes d'accès dès lors qu'ils ont des droits sur les dispositifs de validation concernés.
Les systèmes biométriques actuels permettent d'enregistrer un nombre limité d'empreintes digitales. Nous considérons que le stockage des empreintes dans ces dispositifs comporte des risques en cas d'usurpation de l'empreinte d'un usager ou de piratage du système biométrique. Par ailleurs, la limitation du nombre d'empreintes enregistrées couplée à l'absence de compatibilité avec d'autres systèmes empêche les entreprises de faire profiter de cette technologie à l'ensemble des personnes à qui elles voudraient donner le droit d'accès à des lieux sensibles.
Notre invention ne limite pas l'utilisateur sur le nombre d'empreinte à stockée dans le dispositif d'identification car le dispositif de validation fixé sur le système d'accès ne stocke aucune empreinte. Les empreintes des usagers sont uniquement stockées dans leurs dispositifs d'identification respectifs, qui fonctionnent comme décrit dans le chapitre "Procédé" ci-après. Ainsi, notre invention permet d'améliorer le contrôle et la gestion des accès, de
résoudre les problèmes de limitation des droits d'accès, de fraude sur l'identité des personnes et de vol des données biométriques.
Procédé
Pour valider une fonctionnalité, le dispositif d'identification doit être physiquement rapproché du dispositif de validation (ou d'un dispositif d'identification pour des cas particuliers) afin d'envoyer les données nécessaires à la validation de ladite fonctionnalité.
Le^f onction naljtés activabjes L:
La fonctionnalité "accéder"
La fonctionnalité "accéder" n'a besoin que du module scanner d'empreintes biométriques pour être déclenchée par le dispositif d'identification. Les autres fonctionnalités quant à elles nécessitent en plus un bouton poussoir spécifique, un écran à cristaux liquides ou un écran tactile.
Conformément à la figure 1 , la fonctionnalité "accéder" permet à un dispositif d'identification de type propriétaire, administrateur ou accrédité d'un dispositif de validation de déverrouiller un système d'accès. La fonctionnalité s'exécute selon les étapes suivantes :
(1 ) Scan de l'empreinte digitale et comparaison de l'empreinte scannée avec celles stockées dans le dispositif d'identification,
(2) Si l'empreinte digitale scannée est validée, exécution du programme de demande de connexion,
(3) Récupération de la trame de connexion par le microcontrôleur du dispositif d'identification,
(4) Cryptage de la trame de connexion,
(5) Activation du module switch NFC/RFID,
(6) Envoi de la trame de connexion au module NFC/RFID du dispositif de validation,
(7) Réception de la trame de connexion par le dispositif de validation,
(8) Décryptage de la trame de connexion dans le module primaire,
(9) Copie de l'intégralité de la trame stockée dans le module mémoire vers le module primaire et décryptage,
(1 0) Comparaison de la trame reçue et de la trame stockée. Si les trames sont identiques, compilation de l'identifiant du dispositif de validation,
(1 1 ) Envoi de l'identifiant au dispositif d'identification,
(1 2) Réception de l'identifiant par le dispositif d'identification,
(13) Recherche de la présence de l'identifiant du dispositif de validation dans le module de stockage du dispositif d'identification,
(14) Si l'identifiant est présent dans le registre, sélection des données de connexion liées au dispositif de validation en vue de l'envoie via le module NFC/RFID. Simultanément, il y aura la génération d'un (ou de plusieurs) code(s) d'accès qui sera (seront) utilisé(s) pour la (les) prochaine(s) exécution(s) d'une quelconque fonctionnalité,
(1 5) Décryptage du code d'accès contenu dans les données de connexion dans le module primaire,
(1 6) Envoi des données de connexion au dispositif de validation,
(17) Réception des données de connexion par le dispositif de validation,
(1 8) Vérification de l'identifiant du dispositif d'identification et de la donnée dynamique naturelle (temps) précédemment enregistrée, puis cryptage du code d'accès dans le module primaire si validation des deux précédentes données,
(19) Utilisation de l'index d'identification du dispositif d'identification pour récolter les données de connexion dans le module primaire du dispositif de validation,
(20) Comparaison du code d'accès reçu et crypté avec le code d'accès crypté stocké. Si les données correspondent, enregistrement des nouvelles données de connexion pour les prochaines exécutions de fonctionnalités puis validation de la fonctionnalité ordonnée et suppression des données de connexion utilisées pour cette fonctionnalité,
(21 ) Ouverture de l'accès et arrêt de la fonctionnalité.
A chaque étape de la fonctionnalité "accéder", si les données reçues puis traitées ne sont pas similaires à celles stockées, l'exécution de la fonctionnalité s'arrête immédiatement. Dans quelques cas particuliers, une étape supplémentaire peut faire intervenir le module NFC/RFID d'un des dispositifs (d'identification ou de validation) afin qu'il envoie une trame d'arrêt de procédure au dispositif d'identification avant que le microcontrôleur de ce dernier mette fin à l'exécution de la fonctionnalité.
Pour le- dispositif d'identification, que la fonctionnalité "accéder" s'exécute sans interruption ou non jusqu'à l'ouverture de l'accès, avant que le microcontrôleur ne valide l'arrêt de la fonctionnalité, le module switch NFC/RFID est désactivé.
Une des applications particulières de l'étape (1 8) est de vérifier séparément les . informations de connexion : l'identifiant du dispositif d'identification n'est pas stocké dans le dispositif de validation mais dans une base de données extérieure. Ainsi, à l'étape (18), la vérification des autres données de connexion sera effectuée après vérification de l'identifiant du dispositif d'identification. Dans tous les cas de figure, les codes d'accès et les
dates correspondantes sont stockés dans le dispositif de validation. Application possible pour les systèmes de paiement bancaire par exemple. Cette application particulière peut également être utilisée dans le domaine de la cybersécurité au regard des protocoles de communication existants.
La fonctionnalité "attribution du droit d'administrateur ou d'accès"
La fonctionnalité "attribution du droit d'administrateur ou d'accès" permet à un dispositif d'identification, propriétaire ou administrateur d'un dispositif de validation, d'attribuer à un autre dispositif d'identification le droit d'administrateur ou d'accès au dispositif de validation, et par extension, d'attribuer à l'utilisateur dudit dispositif d'identification des droits sur le dispositif de validation concerné.
Le propriétaire d'un dispositif de validation est celui qui possède tous les droits et peut ainsi exécuter toutes les fonctionnalités activables décrites dans ce chapitre procédé. L'administrateur quant à lui ne peut exécuter que les fonctionnalités activables d'attribution de droit d'accès et de révocation de droit d'accès. L'accrédité, n'ayant reçu qu'un simple droit d'accès, ne pourra exécuter que la fonctionnalité "accéder" précédemment détaillée.
Le premier exemple de procédé est celui qui consiste à déclencher la fonctionnalité "attribution du droit d'administrateur ou d'accès" à partir d'un dispositif d'identification. A savoir que dans cet exemple, le dispositif d'identification aura au préalable reçu des données de connexion du dispositif d'identification auquel le droit sera attribué.
Conformément à la figure 1. le procédé d'exécution de la fonctionnalité "attribution du droit d'administrateur ou d'accès" est identique à celui de la fonctionnalité "accéder" sauf indications complémentaires ou contraires comme pour les étapes ci-dessous :
(1 ) Sélection de la fonctionnalité souhaitée avec le bouton poussoir, puis scan et comparaison de l'empreinte,
(13) Vérification de la présence de l'identifiant du dispositif de validation dans le registre du dispositif d'identification et vérification du type d'utilisateur du dispositif d'identification lié au dispositif de validation (propriétaire, administrateur ou accrédité). La fonctionnalité continue de s'exécuter en fonction des droits du type d'utilisateur du dispositif d'identification,
(1 5) Ajout de la qualité de droit à attribuer au dispositif d'identification aux données de connexion,
(20) Vérification de la qualité (propriétaire, administrateur ou accrédité) du dispositif d'identification ordonnant l'attribution de droit et vérification du type de droit à attribuer avant validation ou non la fonctionnalité,
(21 ) Si le dispositif d'identification possède les droits nécessaires, enregistrement'des données d'identification du dispositif d'identification et validation de l'attribution du droit.
Le deuxième exemple de procédé est celui qui consiste à déclencher la fonctionnalité "attribution du droit d'administrateur ou d'accès" à partir du dispositif de validation. A la suite du déclenchement de la fonctionnalité, ce dernier reste en attente de réception de la trame de connexion comme à l'étape (7) de la fonctionnalité "accéder". Toutes les étapes de la fonctionnalité "attribution du droit d'administrateur ou d'accès" sont identiques à celles de la fonctionnalité "accéder" à l'exception des étapes (20) et (21 ) qui sont identiques à celles du premier exemple de procédé.
La fonctionnalité "cession de la propriété" est une variante de la fonctionnalité "attribution de droit d'administrateur ou d'accès". La différence est qu'une fois le droit cédé, les données de connexion liées au dispositif de validation et stockées dans le dispositif d'identification qui cède le droit sont supprimées, tandis que le dispositif de validation remplace juste l'identifiant de l'ancien dispositif d'identification propriétaire par le nouveau.
La fonctionnalité "révocation des droits"
La fonctionnalité "révocation des droits" permet à un dispositif d'identification propriétaire ou administrateur d'un dispositif de validation de révoquer/supprimer le droit d'administrateur ou d'accès à un autre dispositif d'identification selon le même principe que pour l'attribution du droit d'administrateur ou d'accès.
Le premier exemple de procédé est celui qui consiste à déclencher la fonctionnalité "révocation des droits" à partir du dispositif d'identification. A savoir que dans cet exemple, le dispositif d'identification doit avoir un écran et des boutons poussoirs pour sélectionner le(s) dispositif(s) pour lequel (lesquels) les droits sont révoqués. D'autre part, cette fonctionnalité est liée à la fonctionnalité "contrôle des accès" (détaillée dans la section dédiée).
Conformément à la figure 1 , le procédé d'exécution de la fonctionnalité "révocation des droits" est identique à celui de la fonctionnalité "attribution du droit d'administrateur ou d'accès" sauf indications complémentaires ou contraires comme pour les étapes ci-dessous :
(1 ) Sélection de la fonctionnalité et de l'identifiant du (des) dispositif(s) d'identification pour lequel (lesquels) les droits sont révoqués à l'aide de l'écran et du bouton poussoir, scan et comparaison de l'empreinte,
(1 5) Ajout des données d'identification du (des) dispositif(s) d'identification pour lequel (lesquels) les droits sont révoqués,
(21 ) Si le dispositif d'identification possède les droits nécessaires, suppression de(s) identifiant(s) du (des) dispositif(s) d'identification, des droits associés à chacun d'eux et des données de connexion.
Le deuxième exemple de procédé est celui qui consiste à déclencher la fonctionnalité "révocation des droits" à partir du dispositif de validation. Cet exemple est identique au deuxième exemple de la fonctionnalité "attribution du droit d'administrateur ou d'accès" mais avec pour finalité la suppression de(s) identifiant(s) du (des) dispositif(s) d'identification, des droits associés à chacun d'eux et des données de connexion à l'étape (21 ).
Fonctionnalité passjve^
La fonctionnalité "contrôle des accès"
La fonctionnalité passive "contrôle des accès" permet à un dispositif d'identification de récolter des données permettant d'identifier d'autres dispositifs d'identification. Cette fonctionnalité permet ainsi de contrôler et de gérer les accès. Elle permet aux dispositifs ayant une qualification précise d'exécuter les fonctionnalités d'attribution ou de révocation de droit.
Ainsi, le dispositif d'identification du propriétaire récolte l'ensemble des informations des administrateurs et accrédités. Les dispositifs d'identification des administrateurs ne récoltent que les informations des dispositifs d'identification accrédités. Les dispositifs d'identification des accrédités ne récoltent aucune donnée.
Cette fonctionnalité est exécutée par certains dispositifs d'identification selon leur qualité (propriétaire ou administrateur) à des dates séquentielles lors de l'exécution de la fonctionnalité "accéder".
Procédé dé fonctionnement :
La "validation des fonctionnalités"
La validation des fonctionnalités du dispositif d'identification par le dispositif de validation est soumise à des contraintes de fonctionnement spécifiques conformément à la figure 2. Les éléments qui vont être vérifiés à plusieurs niveaux de contrôle sont l'empreinte biométrique de l'utilisateur, les données statiques (identifiants des dispositifs d'identification et de validation) et deux types de données dynamiques : les données dynamiques générées (couple clé de cryptage et code d'accès) et une donnée dynamique naturelle (le temps).
A la première validation d'une quelconque fonctionnalité d'un dispositif d'identification avec un dispositif de validation particulier, un nombre "X" de couples clé de cryptage et code d'accès est généré par le dispositif
d'identification puis envoyé au dispositif de validation qui va les enregistrer. Puis, à chaque exécution d'une quelconque fonctionnalité, un nouveau couple de clé de cryptage et code d'accès est généré par le dispositif d'identification et envoyé au dispositif de validation. Ainsi, les dispositifs d'identification hiométrique et de validation ont toujours le même nombre "X" de couples de données dynamiques. Le couple de données dynamiques qui vient d'être utilisé pour l'exécution de la fonctionnalité est supprimé des deux dispositifs après l'enregistrement des nouvelles données dynamiques A-X dans les dispositifs d'identification et de validation, étape qui correspond à la validation de la fonctionnalité par le dispositif de validation voire figure 1 .
A chaque couple de données dynamiques généré est liée une donnée dynamique naturelle qui correspond à la date/heure d'envoi du couple de données dynamique généré pour le dispositif d'identification, et à la date/heure de réception de ce même couple pour le dispositif de validation. La donnée dynamique naturelle liée au couple de données dynamiques généré A-X est enregistrée par chacun des dispositifs et n'est jamais envoyée d'aucune façon lors de l'exécution de la fonctionnalité A-1 . Cependant, pour la validation de la fonctionnalité A-1 , la donnée dynamique naturelle liée au couple de données dynamiques A-1 est envoyée.
La donnée dynamique naturelle est utilisée pour vérifier que le dispositif d'identification qui envoie le code d'accès en vue de la validation d'une quelconque fonctionnalité est bien celui qui l'a généré. A titre d'exemple, considérons un couple clé de cryptage et code d'accès A-1 envoyé le 20/1 1 /2017 à 14h 03 minutes et 23 secondes GMT-3. Dans le dispositif d'identification, les dates et heures/minutes/secondes exactes sont enregistrées. Dans le dispositif de validation, la date, l'heure et la minute sont enregistrées de façon exacte. Les secondes sont enregistrées avec une marge d'erreur de 2 secondes (par exemple) avant et après la seconde exacte d'enregistrement. Ainsi, le dispositif de validation enregistre les secondes 21 , 22, 23, 24, 25, en considérant que la seconde exacte de réception est 23. Ainsi, à l'exécution de la fonctionnalité, si la donnée dynamique naturelle envoyée par le dispositif d'identification est comprise dans l'intervalle, la fonctionnalité est validée. Dans le cas contraire, la fonctionnalité n'est pas exécutée par le dispositif de validation.
Un des avantages de ce procédé de fonctionnement est de lutter contre le clonage des données numériques d'identification d'une clé d'accès à un système et donc lutter contre l'usurpation d'identité car son procédé chronologique de fonctionnement ne permettra pas d'obtenir en avance la donnée dynamique naturelle et donc limitera les simulations de code d'accès
- même si ce dernier est collecté sur internet. D'un point de vue technique, les données statiques et les données dynamiques naturelles permettent d'identifier de façon certaine chaque couple de données A-1 à A-X et donc d'identifier de façon certaine le dispositif d'identification en limitant la probabilité d'usurpation d'identité.
Une autre contrainte de validation des données dynamiques est liée au couple de données dynamiques. A chaque exécution d'une fonctionnalité est envoyé un couple clé de cryptage et code d'accès. Lors de l'exécution de la fonctionnalité A-1 , le couple de données A-X qui sera utilisé à la Xième utilisation après la fonctionnalité A-1 est envoyé et enregistré dans les deux dispositifs (sous condition de la validation de ladite fonctionnalité). Le couple A-X est constitué d'une clé de cryptage et d'un code d'accès. A la Xième demande de validation d'une quelconque fonctionnalité du dispositif d'identification, celui-ci utilisera sa donnée statique et la donnée dynamique naturelle correspondante à A-X pour valider son identité, puis utilisera le code d'accès A-X qu'il aura au préalable décrypté pour faire valider l'exécution de la fonctionnalité A-X par le dispositif de validation. Le dispositif de validation utilisera la clé de cryptage A-X reçue lors de la validation de la fonctionnalité A-1 pour crypter le code d'accès décrypté reçu afin de le comparer à celui stocké. La fonctionnalité sera validée si le code d'accès reçu et celui stocké correspondent. Par exemple, si le code d'accès "ABCD" a été envoyé au préalable par le dispositif d'identification et pour la validation de la fonctionnalité il envoie son expression décryptée "DCBA", alors, le dispositif de validation réussira à crypter correctement "DCBA" en "ABCD" correspondant au code d'accès envoyé lors de la fonctionnalité A-1 . Si le dispositif d'identification envoie ABCD ou toute autre expression ne correspondant pas à "DCBA", la fonctionnalité ne sera pas validée. Les clés de cryptage et les codes d'accès étant générés à chaque exécution de fonctionnalité, les codes d'accès ne sont jamais les mêmes, ni cryptés de la même manière. Même dans l'hypothèse où le code d'accès décrypté est "DCBA", la clé de cryptage A-X étant singulière à chaque validation d'une quelconque fonctionnalité, le code d'accès "DCBA" une fois crypté sera différent de "ABCD".
Un des avantages de ce procédé de fonctionnement est de lutter contre le piratage des clés de cryptage comme aisément pratiqué pour les systèmes utilisant les méthodes de cryptage AES et RSA. Un tel système permet également de limiter les risques liés à l'industrialisation des solutions de piratage des systèmes de cryptage.
Conformément à la figure 2. les contraintes de la validation d'une quelconque fonctionnalité du système biométrique de contrôle d'accès dynamique sont les suivantes : 1 - Validation de l'identité de l'utilisateur/propriétaire du dispositif d'identification grâce à son empreinte biométrique ; 2- Identification du dispositif de validation par le dispositif d'identification grâce à la donnée statique (identifiant) ; 7- Identification du dispositif d'identification par le dispositif de validation grâce à la donnée statique et à la donnée dynamique naturelle ; 9- Comparaison et validation de la similarité de la donnée dynamique générée (code d'accès) grâce à la clé de cryptage A-l ; 1 0- Validation de l'exécution de la fonctionnalité par l'enregistrement des données dynamiques A-X et de la donnée temporelle. Toute erreur rencontrée à l'une de ces étapes lors du contrôle des contraintes aux étapes du procédé de fonctionnement renvoie directement à un échec de la validation de la fonctionnalité. Une fonctionnalité exécutée ne sera validée que si toutes les contraintes de contrôle sont vérifiées et validées par le système.
En d'autres termes, ce procédé permet de façon chronologique de vérifier : 1 - L'identité de l'utilisateur du dispositif d'identification par ledit dispositif grâce à l'empreinte biométrique ; 2- L'identité du dispositif d'identification par le dispositif de validation grâce aux données statiques, dynamiques générées et dynamique naturelle associée.
Les principaux avantages de ce procédé de fonctionnement sont de réduire les risques d'usurpation d'identité d'un individu par l'utilisation de la biométrie ; réduire les risques de clonage des données d'accès avec la génération et l'usage unique des codes d'accès cryptés de façon singulière ; réduire les risques de piratage avec la génération et l'usage unique des clés de cryptage ; réduire les risques d'usurpation d'identité d'une machine grâce à la donnée dynamique temporelle liée aux données dynamiques clé de cryptage et code d'accès ; limiter les risques de prise de contrôle frauduleux de machines non autorisées sur un système.
Un autre avantage de ce procédé de fonctionnement est la détection d'intrusion d'une machine dans un système par l'usurpation de l'identité d'un dispositif d'identification ayant droit. Les couples de données dynamiques générés sont utilisés de façon ordonnée par le dispositif d'identification et supprimés à la validation d'une fonctionnalité par le dispositif de validation. Dans l'hypothèse où le dispositif de validation reçoit toutes les données A-X nécessaires à la validation d'une fonctionnalité d'une machine autre que le dispositif d'identification ayant généré ces données, il validera l'exécution de la fonctionnalité et supprimera les données dynamiques générées A-X et la
^ donnée dynamique naturelle associée. Le dispositif d'identification ayant réellement généré les données, quant à lui, ne les aura pas supprimées. Lors de la demande de validation d'une quelconque fonctionnalité nécessitant l'utilisation des données A-X (pour lui), le dispositif de validation ne reconnaîtra plus lesdites données comme données d'usage. L'échec de la validation de cette fonctionnalité pour le dispositif d'identification ayant droit est un moyen natif de détection d'intrusion.
"Protection des données sensibles"
La protection des données sensibles des dispositifs d'identification et de validation permet de protéger l'ensemble des données sensibles. Les données les plus sensibles sont les algorithmes de cryptage dynamique et les données d'identification du dispositif d'identification.
Deux éléments permettent de caractériser le système de protection de données : les données de connexion dynamiques et l'algorithme de cryptage dynamique.
Les données de connexion dynamiques sont les codes d'accès, les dates et heures liées à l'exécution de fonctionnalités. Les dates et heures sont enregistrées lors de l'utilisation du dispositif d'identification. Les données permettant de générer les codes d'accès de façon dynamique sont : la sélection aléatoire de caractères stockés dans le registre Ref_B (cf. Figure 5 . une fraction aléatoire de l'identification, les dates d'attribution de clés, les dates d'utilisation de précédents codes d'accès, les dates d'attribution de droit, etc.
L'algorithme de cryptage dynamique repose sur une formule mathématique permettant de modifier les clés de cryptage/décryptage ainsi que leur ordre de sélection à chaque utilisation. Ainsi, l'algorithme de cryptage dynamique, lors de l'exécution d'une fonctionnalité, permet de sélectionner un couple clé de cryptage et code d'accès. Ensuite, le couple clé cryptage et code d'accès est modifié en fonction des données dynamiques d'identification pour la prochaine sélection/utilisation. Conformément à la figure 4. ces données sont stockées dans la trustzone.
Conformément à la figure 4, l'identifiant et les codes d'accès sont stockés dans le module primaire (mémoire de stockage intégrée du microcontrôleur), dans la zone "données cryptées". Les fonctionnalités et les dates/heures sont quant à elles cryptées et stockées dans le module de stockage conformément à la figure 4.
L'importance de la trustzone et du module primaire dans la protection des données sensibles réside dans l'accessibilité et le traitement des données sensibles. Les données sensibles ne sont cryptées/décryptées dans
le module primaire que lors de l'exécution d'une fonctionnalité. Ainsi, suivant le procédé de chaque fonctionnalité et en fonction du besoin d'utilisation d'une donnée sensible, cette dernière est cryptée/décryptées.
Conformément à la figure 4. le système de protection des données sensibles et en particulier l'algorithme de cryptage dynamique, les données de connexion et les clés de cryptage/décryptage suivent la logique expliquée ci-dessous :
Dans l'hypothèse 1 , nous considérons que le dispositif d'identification 1 communique avec les dispositifs de validation 1 et 2. Nous considérons aussi que le code d'accès "ABCD" non crypté est le même pour les dispositifs de validation 1 et 2 lors de la première communication. Lors de sa connexion avec le dispositif de validation, l'algorithme va permettre de crypter le code d'accès "ABCD" en "1 234" pour le dispositif de validation 1 et en "01 23" pour le dispositif de validation 2. Pour de la deuxième utilisation, le code d'accès ABCD change en "WXYZ" pour le dispositif de validation 1 et en "ZYXW" pour le dispositif de validation 2. Les cryptages respectifs seront respectivement "E34D" et "0DN8" car l'algorithme de cryptage aura changé la structure des clés de cryptage. Suivant l'hypothèse 1 , si le code de cryptage utilisé pour les dispositifs de validation 1 et 2 était identique, alors le cryptage du code d'accès "ZYXW" aurait été "D43E" car "W" correspond à "E", "X" correspond à "3", "Y" correspond à "4" et "Z" correspond à "D". Cependant, le cryptage des caractères étant différent "0DN8", on constate la modification de la clé de cryptage et par addition la modification de la clé d'accès.
Dans l'hypothèse, 2, nous nous rapprochons plus de la réalité et considérons que les codes d'accès sont définis selon des éléments dynamiques. Dans cette hypothèse, nous considérons que le dispositif d'identification 2 communique avec les dispositifs de validation 1 et 2. Ainsi, lors de la première communication avec le dispositif de validation 1 , le code d'accès non crypté est "ABCD01 01 " et le code d'accès crypté "01 23DEDE". Lors de la deuxième utilisation avec le dispositif de validation 1 , le code d'accès non crypté est "WXYZ0101 " et le code d'accès crypté "N40t8cXc". Pour la communication avec le dispositif de validation 2, le code d'accès sera donc totalement différent de celui du dispositif de validation 1 car les données dynamiques utilisées pour la création des données de connexion seront spécifiques et uniques à chaque couple de dispositif d'identification/validation.
Conformément à la figure 5, le fonctionnement de l'algorithme de cryptage dynamique suit la logique mathématique suivante :
Soit p l'arrangement défini selon un ordre croissant de 60 éléments distincts, soit un arrangement de 1 à 60.
Soit Ref_B, un ensemble composé de 60*2 éléments :
1 . L'ensemble Ref_B représente le registre de base d'un couple de caractères utilisés par l'algorithme de cryptage dynamique.
2. L'ensemble ReLB est répertorié en deux classes d'éléments : x et y.
3. Les éléments de la classe x sont (xi, X2, XÔO), classés selon l'arrangement p défini précédemment.
5. De tout ce qui précède on peut écrire : EGB = {xp , yp}.
Soit ReLCrypt, un ensemble composé de 60*2 éléments :
1. L'ensemble ReLCrypt représente le registre dynamique d'un couple de caractères utilisés pour la création des clés de cryptage/décryptage.
2. L'ensemble ReLB est répertorié en deux classes d'éléments : x et y.
3. Les éléments de la classe x sont (xi, X2, ..., ΧΘΟ), classés selon l'arrangement p définies précédemment.
4. y = σ(χ) Les éléments y sont identiques aux éléments x mais ne sont pas arrangé dans le même ordre. La permutation des éléments y par rapport au classement de type p représente le caractère dynamique des clés de cryptage/décryptage.
5. De tout ce qui précède : Ref_B = {xv , y} <^> Ref_B = [xp , σ(χ)}
o On pose x = {xp , y}, X représentant le couple de x et y positionné dans le registre selon l'arrangement p.
o On peut ainsi écrire Ref_B = [xp }
Soit f(crypt): la fonctionnalité de cryptage dynamique .
f(crypt) = Arrangement (Xp) avec (Xp) = [xp , σ(χ))
=> ficrypt) = Arrangement ({xp , σ(χ)})
Soit σ1 , la permutation des éléments classés de 1 à 60 dans l'ordre (56,58,3, ...,49,43) Soit a2 , la permutation des éléments classés de 1 à 60 dans l'ordre (51 ,1 ,39, ...,35,32)
Soit σ3 , la permutation des éléments classés de 1 à 60 dans l'ordre (38,25,35 60,27)
Soit σ4 , la permutation des éléments classés de 1 à 60 dans l'ordre (26,48,39, ...,30,23) Soit σ5 , la permutation des éléments classés de 1 à 60 dans l'ordre (7,32,54, ...,51 , 23) Soit ReLl , Ref_2, Ref_3, Ref_4 et Ref_5 des ensembles composés des couples xp :
Soit f(select) = tirage d'un élément dans un échantillon de n , Les caractères n sont . 1 , 2, 3, 4 et 5.
Soit f(alterri): la fonctionnalité de permutation des éléments xp de l'ensemble EGB
1 . Si f (sélect) = 1 ^ f(altern) = σ^) = Ref_l{Xp)
2. S f(select) f(altern) = σ2{Χρ) = Ref_l{Xp)
3. S f(select) f(altern) = = Ref_l{Xp)
4. S f(select) f(altern) = σ {Χρ) = Ref_l(Xp)
5. S f (sélect) f(altern) = = Ref_l{Xv)
Soit f(algo) - la formule a" algorithme dynamique ; f(algo) = f(altern){ f(crypt)} :
1 . f(select) f(algo) = σ1{χρ ι σ(χ))
2. f(select) f(algo) = σ2(χρ , σ(χ))
3. f(select) f(algo) = σ3(χρ , σ(χ))
4. f(select) f(algo) = σ4(χρ , σ(χ))
5. f(select) ■= f(algo) = σ5(χρ ι σ(χ))
La figure 5 représente l'illustration d'un seul exemple de cryptage comme dans l'hypothèse 2 précédemment citée, lors de l'exécution d'une fonctionnalité. Cet exemple de cryptage étant dépendant de la sélection d'une des Réf_ (l , 2, 3, 4, ou 5).
A chaque exécution de fonctionnalité, f(aigo) est envoyée de façon à permettre au système de décrypter les données de connexion reçues. Cependant, les données sont cryptées selon le principe suivant. Lors de l'exécution d'une fonctionnalité (t), la formule f(aigo) permettant de décrypter les données correspond à celle qui a été envoyé lors de la précédente exécution d'une fonctionnalité (t-1 ) par le dispositif d'identification au dispositif de validation. Les contraintes (cf. Description, page 1 , ligne 20) d'utilisation du module de communication sans fil de type NFC/RFID permettent dans les conditions de transmission de la clé de cryptage de limiter la fuite de cette donnée.
Pour décrypter les données reçues, le système va exécuter la formule inverse de f(aigo). La lecture et la validation des données sera soumise à la correspondance du registre de base Ref_B (Cf. Figure 5).
Exemple de cryptage : à l'issu de l'exécution de l'algorithme de cryptage dynamique, le code de cryptage X correspondant à la transposition 1 (Ref_1 : RegJ) cryptera un identifiant "DXuPOnT" en "80uC#)z".
Claims
Revendications
1 ) Système biométrique de contrôle d'accès dynamique caractérisé en ce qu'il comporte (1 ) un algorithme de cryptage et de décryptage dynamique permettant la création de couples de données constituées d'une clé de cryptage et d'un code d'accès, permettant l'usage unique de chaque couple de clé de cryptage et code d'accès utilisé pour la validation de fonctionnalités par les dispositifs qui l'utilisent, (2) un dispositif d'identification qui utilise l'algorithme de cryptage et de décryptage dynamique permettant d'identifier un individu grâce à son empreinte biométrique et d'identifier un dispositif de validation grâce à son identifiant, (3) un dispositif de validation qui utilise l'algorithme de cryptage et de décryptage dynamique, permet d'identifier un dispositif d'identification grâce aux données dynamiques générées et à la donnée dynamique naturelle et ainsi de valider l'exécution d'une fonctionnalité ordonnée par le dispositif d'identification, (4) un procédé de fonctionnement logique permettant de valider ou d'invalider chaque fonctionnalité exécutée par les dispositifs d'identification et de validation grâce à la vérification successive des contraintes.
2) Système biométrique de contrôle d'accès dynamique selon la revendication 1 , caractérisé en ce que le procédé de fonctionnement permet de valider ou d'invalider (1 ) l'exécution d'une fonctionnalité sous la condition de la reconnaissance de l'empreinte biométrique par le dispositif d'identification, (2) l'envoi de l'identifiant du dispositif de validation au dispositif d'identification sous la condition de la validation de la trame de connexion, (3) l'envoi de l'identifiant du dispositif d'identification sous la condition de la reconnaissance de l'identifiant du dispositif de validation, (4) la création d'un couple clé de cryptage et code d'accès pour une nième prochaine exécution d'une fonctionnalité, (5) l'envoi par le dispositif d'identification et la réception par le dispositif de validation des données de connexion, (6) l'exécution de l'algorithme de cryptage et de décryptage dynamique par les dispositifs d'identification et de validation, (7) la validation du code d'accès "x" décrypté par le dispositif de validation si ce dernier est égal au code d'accès "x" stocké , (8) l'enregistrement du nouveau couple clé de cryptage et code d'accès, (9) la validation et fin d'exécution de la fonctionnalité.
3) Système biométrique de contrôle d'accès dynamique selon les revendications 1 et 2, caractérisé en ce que le dispositif d'identification permet (1 ) d'identifier un individu par son empreinte biométrique, (2) ^ d'identifier le module de validation grâce à son identifiant, (3) de sélectionner
le bon couple clé de cryptage et code d'accès à envoyer au dispositif de validation, (4) d'exécuter l'algorithme de cryptage et de décryptage dynamique afin de créer un couple clé de cryptage et code d'accès à utiliser pour une nlème prochaine exécution de fonctionnalité pour le dispositif de validation "x" avec lequel il communique, (5) d'utiliser l'algorithme de cryptage et de décryptage dynamique afin de supprimer le couple clé de cryptage et code d'accès utilisé pour la fonctionnalité en cours d'exécution, (6) de communiquer via un module de communication sans fil avec le dispositif de validation dans le but de transmettre et recevoir les données nécessaires à la validation des fonctionnalités.
4) Système biométrique de contrôle d'accès dynamique selon les revendications 1 , 2 et 3, caractérisé en ce que le dispositif d'identification dispose (1 ) d'au moins un module de calcul indispensable pour exécuter une quelconque fonctionnalité selon le procédé de fonctionnement, (2) d'un module scanner d'empreinte biométrique pour identifier l'utilisateur, (3) d'un module de communication sans fil pour envoyer et recevoir des données du dispositif de validation.
5) Système biométrique de contrôle d'accès dynamique selon les revendications 1 et 2, caractérisé en ce que le dispositif de validation permet (1 ) d'identifier la fonctionnalité ordonnée par le dispositif d'identification, (2) d'identifier le dispositif d'identification, (3) d'exécuter l'algorithme de cryptage et de décryptage dynamique, (4) de décrypter le code d'accès reçu en utilisant la clé de cryptage/décryptage rattachée, (5) de vérifier la correspondance entre l'identifiant et le code d'accès du dispositif d'identification, (6) d'enregistrer le nouveau couple clé de cryptage et code d'accès, (7) de valider/invalider et mettre fin à l'exécution de la fonctionnalité ordonnée par le dispositif d'identification.
6) Système biométrique de contrôle d'accès dynamique selon les revendications 1 et 5, caractérisé en ce que le dispositif de validation dispose (1 ) d'un module de calcul indispensable pour exécuter une quelconque fonctionnalité selon le procédé de fonctionnement, (2) d'un module de communication sans fil pour envoyer et recevoir les données nécessaires à la validation des fonctionnalités.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1700176A FR3063162A1 (fr) | 2017-02-23 | 2017-02-23 | Systeme biometrique de controle d'acces dynamique |
FR1700176 | 2017-02-23 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018154190A1 true WO2018154190A1 (fr) | 2018-08-30 |
Family
ID=59699720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/FR2018/000015 WO2018154190A1 (fr) | 2017-02-23 | 2018-02-06 | Système biométrique de contrôle d'accès dynamique |
Country Status (2)
Country | Link |
---|---|
FR (1) | FR3063162A1 (fr) |
WO (1) | WO2018154190A1 (fr) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708156A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 一种通信方法、客户端及服务器 |
CN112328993A (zh) * | 2020-11-10 | 2021-02-05 | 上海亿为科技有限公司 | 基于工业互联网的人体检测方法及云服务器 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6806807B2 (en) | 2000-06-30 | 2004-10-19 | Jordan Cayne | Intelligent locking system |
WO2005077109A2 (fr) | 2004-02-11 | 2005-08-25 | John D. Brush & Co., Inc. | Serrure de coffre-fort biometrique |
FR2999000A1 (fr) | 2012-12-05 | 2014-06-06 | Abiova | Systeme de securite d'identification pour etre humain |
US20140372762A1 (en) * | 2013-06-18 | 2014-12-18 | Arm Ip Limited | Trusted device |
US20160048669A1 (en) * | 2014-08-13 | 2016-02-18 | Qualcomm Incorporated | Access authorization based on synthetic biometric data and non-biometric data |
US20160171201A1 (en) * | 2013-07-25 | 2016-06-16 | Giesecke & Devrient Gmbh | External Secure Unit |
-
2017
- 2017-02-23 FR FR1700176A patent/FR3063162A1/fr active Pending
-
2018
- 2018-02-06 WO PCT/FR2018/000015 patent/WO2018154190A1/fr active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6806807B2 (en) | 2000-06-30 | 2004-10-19 | Jordan Cayne | Intelligent locking system |
WO2005077109A2 (fr) | 2004-02-11 | 2005-08-25 | John D. Brush & Co., Inc. | Serrure de coffre-fort biometrique |
FR2999000A1 (fr) | 2012-12-05 | 2014-06-06 | Abiova | Systeme de securite d'identification pour etre humain |
US20140372762A1 (en) * | 2013-06-18 | 2014-12-18 | Arm Ip Limited | Trusted device |
US20160171201A1 (en) * | 2013-07-25 | 2016-06-16 | Giesecke & Devrient Gmbh | External Secure Unit |
US20160048669A1 (en) * | 2014-08-13 | 2016-02-18 | Qualcomm Incorporated | Access authorization based on synthetic biometric data and non-biometric data |
Non-Patent Citations (1)
Title |
---|
ANONYMOUS: "Substitution cipher - Wikipedia", 13 February 2017 (2017-02-13), XP055415434, Retrieved from the Internet <URL:https://en.wikipedia.org/w/index.php?title=Substitution_cipher&oldid=765338875> [retrieved on 20171013] * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708156A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 一种通信方法、客户端及服务器 |
CN110708156B (zh) * | 2019-09-26 | 2023-05-30 | 中电万维信息技术有限责任公司 | 一种通信方法、客户端及服务器 |
CN112328993A (zh) * | 2020-11-10 | 2021-02-05 | 上海亿为科技有限公司 | 基于工业互联网的人体检测方法及云服务器 |
CN112328993B (zh) * | 2020-11-10 | 2022-09-13 | 上海亿为科技有限公司 | 基于工业互联网的人体检测方法及云服务器 |
Also Published As
Publication number | Publication date |
---|---|
FR3063162A1 (fr) | 2018-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10068076B1 (en) | Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior | |
US7522751B2 (en) | System and method for protecting the privacy and security of stored biometric data | |
US20080005578A1 (en) | System and method for traceless biometric identification | |
Cavoukian et al. | Advances in biometric encryption: Taking privacy by design from academic research to deployment | |
Yang et al. | Biometrics for securing mobile payments: benefits, challenges and solutions | |
EP2192513B1 (fr) | Authentification en utilisant des données biométriques stockées | |
WO2021011054A1 (fr) | Système et procédé d'authentification au moyen de chaînes de hachage biométriques | |
CN108885656A (zh) | 账户访问 | |
Sharma et al. | A survey on biometric cryptosystems and their applications | |
US11681787B1 (en) | Ownership validation for cryptographic asset contracts using irreversibly transformed identity tokens | |
WO2018154190A1 (fr) | Système biométrique de contrôle d'accès dynamique | |
EP3915221B1 (fr) | Interaction hors ligne sans interception avec un réseau de cryptomonnaie à l'aide d'un dispositif désactivé par réseau | |
Sabater | Biometrics as password alternative | |
Rudrakshi et al. | A model for secure information storage and retrieval on cloud using multimodal biometric cryptosystem | |
EP1877887B1 (fr) | Systeme et procede de protection de la vie privee et de la securite de donnees biometriques stockees | |
Cimato et al. | Biometrics and privacy | |
Krishna Prasad | Multifactor Authentication Model using Fingerprint Hash code and Iris Recognition | |
US20230325836A1 (en) | Financial operation authorizations | |
Wu | Biometrics authentication system on open network and security analysis | |
Krishna Prasad et al. | A STUDY ON MULTIFACTOR AUTHENTICATION MODEL USING FINGERPRINT HASH CODE AND IRIS RECOGNITION | |
Asani | A review of trends of authentication mechanisms for access control | |
EP3926499A1 (fr) | Procédé d'authentification d'un utilisateur sur un équipement client avec un système d'archivage sécurisé de justificatifs d'identité | |
EP4241190A1 (fr) | Procede d'authentification securise par le decouplage structurel des identifiants personnels et de services | |
Cavoukian | Advances in Biometric Encryption: An Example of Privacy by Design From Research to Proof of Concept | |
Abeng et al. | Application of hybrid hash message authentication code approach in biometrics information system design |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18706781 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 18706781 Country of ref document: EP Kind code of ref document: A1 |