CA2156791C - Procede de transmission d'informations entre un centre de controle informatise et une pluralite de machines a affranchir electronique - Google Patents
Procede de transmission d'informations entre un centre de controle informatise et une pluralite de machines a affranchir electronique Download PDFInfo
- Publication number
- CA2156791C CA2156791C CA002156791A CA2156791A CA2156791C CA 2156791 C CA2156791 C CA 2156791C CA 002156791 A CA002156791 A CA 002156791A CA 2156791 A CA2156791 A CA 2156791A CA 2156791 C CA2156791 C CA 2156791C
- Authority
- CA
- Canada
- Prior art keywords
- machine
- memory
- center
- data
- cryptogram
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00161—Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00177—Communication details outside or between apparatus for sending information from a portable device, e.g. a card or a PCMCIA
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00822—Cryptography or similar special procedures in a franking system including unique details
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Le procédé utilise des objets portatifs (14) où la lecture et l'inscription de données dans la mémoire sont libres, grâce à l'inscription sur celles-ci, si nécessaire, d'éléments qui ne peuvent être préparés et vérifiés que si on connaît des informations secrètes conservées à la fois dans une mémoire sécurisée du centre de contrôle et dans une mémoire sécurisée de la machine avec laquelle s'effectue la transmission.
Description
21567gl L'invention a trait aux machines à affranchir électroniques qui relèvent d'un centre de contrôle informati-se.
On sait que les machines à affranchir comportent différents compteurs, en général au moins un compteur dit ascendant dont la valeur, à chaque impression d'un affran-chissement, est augmentée du montant de celui-ci, et un compteur dit descendant dont la valeur est diminuée du montant de l'affranchissement, la valeur du compteur ascen-dant représentant la somme totale des affranchissements imprimés par la machine depuis sa mise en service tandis que la valeur du compteur descendant indique le crédit non encore consommé depuis le dernier rechargement de la machine en unités monétaires.
On a déjà proposé de nombreuses méthodes pour permettre au centre de contrôle, lorsqu'il a vérifié que les conditions requises sont remplies, de transmettre à la machine concernée une instruction de rechargement de son compteur descendant.
Plus généralement, il existe divers systèmes permettant non seulement la transmission d'une instruction de rechargement de compteur du centre à l'une des machines, mais aussi la transmission de relevés de compteur entre cette machine et le centre. L'un de ces systèmes prévoit de munir chacune des machines d'un modem, le dialogue entre la machine 2I~67~1 -et le centre se faisant par le réseau téléphonique public grâce à des messages sécurisés dans les deux sens. Un autre système prévoit l'utilisation d'un objet portatif à mémoire de données protégée par une couche logique d'accès, objet qu'on transporte entre le centre et la machine.
Ces systèmes donnent à l'heure actuelle toute satisfaction, notamment en ce qui concerne la protection contre les fraudes au rechargement de compteurs, puisque l'accès aux informations transmises entre le centre et la machine est interdit respectivement par la sécurisation de la transmission sur le réseau téléphonique public, ou par la couche logique de protection d'accès de l'objet portatif.
L'invention vise à permettre la transmission d'informations avec le même degré de sécurité, mais d'une façon plus économique.
Elle propose à cet effet un procédé de transmis-sion d'informations entre un centre de contrôle informatisé
et une pluralité de machines à affranchir électroniques, au moins afin que le centre puisse transmettre à chaque dite machine une instruction de rechargement de compteur, procédé
dans lequel on inscrit ou on lit les données respectivement à émettre et à recevoir dans une mémoire d'un objet portatif qu'on transporte entre un moyen d'inscription des données à
émettre et un moyen de lecture des données à recevoir, avec un dit moyen d'inscription commandé par le centre et un dit moyen de lecture prévu dans chaque machine à affranchir ;
caractérisé en ce qu'on utilise des objets portatifs où
l'inscription et la lecture des données dans la mémoire sont libres, en prévoyant, si l'on transmet des informations à
protéger de la fraude telles que ladite instruction de rechargement, d'émettre des données comportant un moyen d'authentification, et de ne prendre en compte les données reçues qu'après vérification du moyen d'authentification, celui-ci étant adapté à ne pouvoir être préparé et vérifié
que si on connaît des informations secrètes conservées à la fois dans une mémoire sécurisée du centre et dans une mémoire 21567~1 sécurisée de la machine avec laquelle s'effectue la transmis-s lon .
On voit que l'invention tire parti du fait que les centres de contrôle informatisés et les machines à
affranchir électroniques sont déjà munis de moyens de protection contre les fraudes, et notamment de mémoires sécurisés, c'est-à-dire à accès protégé, d'une façon qui permet à la transmission de bénéficier de ces sécurités d'accès déjà existantes, au lieu de prévoir des sécurités supplémentaires propres à la transmission comme dans les systèmes antérieurs précités.
L'invention permet donc d'éviter les coûts liés à ces sécurités supplémentaires. En particulier, sur le plan du matériel, on utilise des objets portatifs et des moyens d'inscription et de lecture de leur mémoire qui sont particu-lièrement simples et économiques du fait que l'inscription et la lecture de la mémoire sont entièrement libres.
Selon des caractéristiques préférées de l'inven-tion :
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui attribue de manière secrète un ensemble de nombres aléatoires différents qu'on charge à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine, chaque nombre secret y étant conservé en associa-tion avec un index à deux états mis alors dans un premier état i - pour transmettre une instruction de recharge-ment de compteur à destination de cette machine, le centre lit dans sa dite mémoire sécurisée l'un des nombres secrets attribués à cette machine et dont l'index est dans le premier état, il met dans le deuxième état l'index associé au nombre secret lu, et il inscrit dans la mémoire d~un dit objet portatif ledit nombre secret lu ; et 3s - lorsqu'une machine à affranchir détecte la présence d'un objet portatif dans son moyen de lecture, elle 21~67~1 fait celui-ci lire la mémoire de l'objet, elle recherche si le nombre figurant dans les données qu'elle vient de recevoir fait partie des nombres secrets conservés dans sa mémoire sécurisée, et si elle y trouve ce nombre associé à un index dans le premier état, elle met l'index dans le deuxième état, et elle recharge son compteur.
Ainsi, le moyen d'authentification que comportent les données émises est le nombre secret, c'est-à-dire un élément même des informations secrètes conservées en mémoire sécurisée.
Le fait de faire passer dans le deuxième état les index associés à ce nombre permet d'éviter son réemploi, ce qui est nécessaire puisque le nombre peut avoir été révélé à
un tiers, étant donné que l'objet portatif est à lecture libre.
De préférence, pour des raisons de simplicité, dans ladite phase d'initialisation, on affecte à la machine une valeur unique de rechargement de compteur, qu'elle prend en compte à chaque fois qu'elle recharge son compteur.
Selon une variante plus élaborée, dans ladite phase d'initialisation, on prévoit plusieurs séries de nombres aléatoires différents à chacune desquelles correspond une valeur distincte de rechargement de compteur, la machine, lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
Selon d'autres caractéristiques préférées :
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à produire un cryptogramme à partir de données et d'une telle clef numérique, et on charge ces clefs à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine ;
- pour authentifier l'origine d'informations émises par le centre ou par ladite machine, on choisit l'une 21567~1 desdites clefs numériques secrètes, l'émetteur de l'informa-tion calcule un cryptogramme avec cette clef, il inscrit dans la mémoire d'un dit objet portatif l'information à transmet-tre ainsi que le cryptogramme, et lorsque le destinataire de l'information détecte la présence d'un objet portatif dans son moyen de lecture, il fait celui-ci lire la mémoire de l'objet, il calcule un cryptogramme avec la même clef, il compare le cryptogramme figurant dans les données reçues avec celui qu'il a calculé, et ne considère les informations comme authentiques que si le cryptogramme reçu et le cryptogramme calculé se correspondent.
Le moyen d'authentification des données transmi-ses que forme le cryptogramme n'est ici pas directement un élément des informations secrètes, mais il ne peut être obtenu que par accès à la clef numérique secrète adéquate.
L'utilisation d'un tel moyen d'authentification convient par exemple particulièrement bien pour authentifier des relevés de compteurs d'une machine, sur la base desquels son utilisateur sera facturé.
Dans un tel cas, les données avec lesquelles est calculé le cryptogramme peuvent être des caractères figurant dans les informations émises, ou alors, notamment dans le cas où les informations émises comportent relativement peu de caractères, les données avec lesquelles le cryptogramme est calculé sont des caractères générés de façon aléatoire, qu'on inscrit également dans la mémoire de l'objet portatif.
L'exposé de l'invention sera maintenant poursuivi par la description d'un exemple de réalisation donnée ci-après à titre illustratif et non limitatif, en référence aux dessins annexés, sur lesquels :
- la figure 1 montre de façon schématique un centre de contrôle informatisé ayant la responsabilité d'un ensemble de machines à affranchir électroniques, avec lesquelles il communique conformément à l'invention ;
21567~
- la figure 2 est une vue schématique en perspec-tive d'une de ces machines à affranchir, montrée dans une phase d'initialisation ;
- la figure 3 est une vue en plan de la carte à
puce qu'on utilise pour transmettre les informations ;
- la figure 4 est une autre vue en perspective de la machine à affranchir illustrée sur la figure 2, montrant la partie externe de son lecteur/encodeur de carte à puce ;
- la figure 5 est une perspective montrant, en agrandissement par rapport à la figure 4, le logement du lecteur/encodeur de carte et certains éléments qui lui sont associés ;
- la figure 6 est une vue partielle en élévation-coupe suivant le plan repéré VI-VI sur la figure 5 ; et - la figure 7 est une vue schématique en perspec-tive illustrant de façon schématique un terminal télématique pouvant être relié par le réseau téléphonique au centre de contrôle montré sur la figure 1.
Le centre 1 montré sur cette dernière figure, comporte un ensemble informatique composé d'un ordinateur serveur 2 auquel sont reliés trois ordinateurs de gestion 3 à chacun desquels est connecté un lecteur/encodeur 4 de carte à puce ainsi qu'une imprimante 5 d'étiquettes, un modem 6 directement relié à l'ordinateur 2 étant connecté à une ligne téléphonique 7 qui lui est dédiée.
La machine à affranchir 8 montrée notamment sur les figures 2 et 4, comporte de façon classique un plateau 9 de guidage de l'objet sur lequel l'affranchissement doit être imprimé par une tête 10 située au-dessus de la plaque 9, et divers autres éléments habituels non représentés, notamment un clavier et une balance, ainsi que des circuits internes de commande et de gestion pilotés par un microcontrôleur muni d'un logiciel de gestion des affranchissements de type connu, correspondant par exemple à celui décrit dans la demande de brevet français 93-04694 appartenant à la Demanderesse.
21567~1 En outre de ces éléments classiques, la machine 8 comporte un connecteur 11 par l'intermédiaire duquel on a accès à ses circuits internes, afin d'effectuer une opération d'initialisation en reliant ces circuits aux ordinateurs du centre 1 grâce au câble 12 dont une extrémité comporte un connecteur 13 adapté à coopérer avec le connecteur 11, l'autre extrémité du câble 12 étant directement reliée à l'un des ordinateurs du centre 1, lorsque l'opération d'initilisa-tion s'effectue sur place, ou par l'intermédiaire d'une ligne de transmission de données sécurisée lorsque l'opération est effectuée à-distance. En service normal, le connecteur 11 est masqué par une enveloppe de protection inviolable.
La machine 8 comporte encore d'autres éléments, décrits plus loin, qui lui permettent de coopérer avec la carte à puce 14 montrée sur la figure 3.
Le format de cette carte, son connecteur 15 ainsi que l'emplacement de celui-ci sont conformes à ceux normali-sés par l'ISO. Elle est équipée d'un microcircuit (non représenté) du type mémoire RAM non volatile, réinscriptible, du genre EEPROM, ou équivalent. Ce microcircuit ne comporte aucune protection logique d'entrée, ce qui veut dire que la lecture et l'inscription de données sont entièrement libres sur la carte 14.
Au droit du connecteur 15, la carte 14 présente un trou 16 pratiqué dans son épaisseur, ce trou étant recouvert dans certains cas, mentionnés ci-après, par une étiquette imprimée avec l'une des imprimantes 5 du centre 1, qu'on colle à l'emplacement matérialisé sur la figure 3 par le cadre 17 en trait interrompu.
Comme montré sur les figures 4 à 6, la machine à
affranchir 8 comporte un élément 18 de logement de la carte 14, qui s'ouvre vers l'extérieur par une fente 19, le logement 18 étant associé, comme montré sur la figure 5, à un connecteur 20 en deux parties qui entre en action lorsque la carte est poussée à fond, et un électro-aimant 21 muni d'un plongeur 22 se terminant en pointe (voir figure 6), le
On sait que les machines à affranchir comportent différents compteurs, en général au moins un compteur dit ascendant dont la valeur, à chaque impression d'un affran-chissement, est augmentée du montant de celui-ci, et un compteur dit descendant dont la valeur est diminuée du montant de l'affranchissement, la valeur du compteur ascen-dant représentant la somme totale des affranchissements imprimés par la machine depuis sa mise en service tandis que la valeur du compteur descendant indique le crédit non encore consommé depuis le dernier rechargement de la machine en unités monétaires.
On a déjà proposé de nombreuses méthodes pour permettre au centre de contrôle, lorsqu'il a vérifié que les conditions requises sont remplies, de transmettre à la machine concernée une instruction de rechargement de son compteur descendant.
Plus généralement, il existe divers systèmes permettant non seulement la transmission d'une instruction de rechargement de compteur du centre à l'une des machines, mais aussi la transmission de relevés de compteur entre cette machine et le centre. L'un de ces systèmes prévoit de munir chacune des machines d'un modem, le dialogue entre la machine 2I~67~1 -et le centre se faisant par le réseau téléphonique public grâce à des messages sécurisés dans les deux sens. Un autre système prévoit l'utilisation d'un objet portatif à mémoire de données protégée par une couche logique d'accès, objet qu'on transporte entre le centre et la machine.
Ces systèmes donnent à l'heure actuelle toute satisfaction, notamment en ce qui concerne la protection contre les fraudes au rechargement de compteurs, puisque l'accès aux informations transmises entre le centre et la machine est interdit respectivement par la sécurisation de la transmission sur le réseau téléphonique public, ou par la couche logique de protection d'accès de l'objet portatif.
L'invention vise à permettre la transmission d'informations avec le même degré de sécurité, mais d'une façon plus économique.
Elle propose à cet effet un procédé de transmis-sion d'informations entre un centre de contrôle informatisé
et une pluralité de machines à affranchir électroniques, au moins afin que le centre puisse transmettre à chaque dite machine une instruction de rechargement de compteur, procédé
dans lequel on inscrit ou on lit les données respectivement à émettre et à recevoir dans une mémoire d'un objet portatif qu'on transporte entre un moyen d'inscription des données à
émettre et un moyen de lecture des données à recevoir, avec un dit moyen d'inscription commandé par le centre et un dit moyen de lecture prévu dans chaque machine à affranchir ;
caractérisé en ce qu'on utilise des objets portatifs où
l'inscription et la lecture des données dans la mémoire sont libres, en prévoyant, si l'on transmet des informations à
protéger de la fraude telles que ladite instruction de rechargement, d'émettre des données comportant un moyen d'authentification, et de ne prendre en compte les données reçues qu'après vérification du moyen d'authentification, celui-ci étant adapté à ne pouvoir être préparé et vérifié
que si on connaît des informations secrètes conservées à la fois dans une mémoire sécurisée du centre et dans une mémoire 21567~1 sécurisée de la machine avec laquelle s'effectue la transmis-s lon .
On voit que l'invention tire parti du fait que les centres de contrôle informatisés et les machines à
affranchir électroniques sont déjà munis de moyens de protection contre les fraudes, et notamment de mémoires sécurisés, c'est-à-dire à accès protégé, d'une façon qui permet à la transmission de bénéficier de ces sécurités d'accès déjà existantes, au lieu de prévoir des sécurités supplémentaires propres à la transmission comme dans les systèmes antérieurs précités.
L'invention permet donc d'éviter les coûts liés à ces sécurités supplémentaires. En particulier, sur le plan du matériel, on utilise des objets portatifs et des moyens d'inscription et de lecture de leur mémoire qui sont particu-lièrement simples et économiques du fait que l'inscription et la lecture de la mémoire sont entièrement libres.
Selon des caractéristiques préférées de l'inven-tion :
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui attribue de manière secrète un ensemble de nombres aléatoires différents qu'on charge à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine, chaque nombre secret y étant conservé en associa-tion avec un index à deux états mis alors dans un premier état i - pour transmettre une instruction de recharge-ment de compteur à destination de cette machine, le centre lit dans sa dite mémoire sécurisée l'un des nombres secrets attribués à cette machine et dont l'index est dans le premier état, il met dans le deuxième état l'index associé au nombre secret lu, et il inscrit dans la mémoire d~un dit objet portatif ledit nombre secret lu ; et 3s - lorsqu'une machine à affranchir détecte la présence d'un objet portatif dans son moyen de lecture, elle 21~67~1 fait celui-ci lire la mémoire de l'objet, elle recherche si le nombre figurant dans les données qu'elle vient de recevoir fait partie des nombres secrets conservés dans sa mémoire sécurisée, et si elle y trouve ce nombre associé à un index dans le premier état, elle met l'index dans le deuxième état, et elle recharge son compteur.
Ainsi, le moyen d'authentification que comportent les données émises est le nombre secret, c'est-à-dire un élément même des informations secrètes conservées en mémoire sécurisée.
Le fait de faire passer dans le deuxième état les index associés à ce nombre permet d'éviter son réemploi, ce qui est nécessaire puisque le nombre peut avoir été révélé à
un tiers, étant donné que l'objet portatif est à lecture libre.
De préférence, pour des raisons de simplicité, dans ladite phase d'initialisation, on affecte à la machine une valeur unique de rechargement de compteur, qu'elle prend en compte à chaque fois qu'elle recharge son compteur.
Selon une variante plus élaborée, dans ladite phase d'initialisation, on prévoit plusieurs séries de nombres aléatoires différents à chacune desquelles correspond une valeur distincte de rechargement de compteur, la machine, lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
Selon d'autres caractéristiques préférées :
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à produire un cryptogramme à partir de données et d'une telle clef numérique, et on charge ces clefs à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine ;
- pour authentifier l'origine d'informations émises par le centre ou par ladite machine, on choisit l'une 21567~1 desdites clefs numériques secrètes, l'émetteur de l'informa-tion calcule un cryptogramme avec cette clef, il inscrit dans la mémoire d'un dit objet portatif l'information à transmet-tre ainsi que le cryptogramme, et lorsque le destinataire de l'information détecte la présence d'un objet portatif dans son moyen de lecture, il fait celui-ci lire la mémoire de l'objet, il calcule un cryptogramme avec la même clef, il compare le cryptogramme figurant dans les données reçues avec celui qu'il a calculé, et ne considère les informations comme authentiques que si le cryptogramme reçu et le cryptogramme calculé se correspondent.
Le moyen d'authentification des données transmi-ses que forme le cryptogramme n'est ici pas directement un élément des informations secrètes, mais il ne peut être obtenu que par accès à la clef numérique secrète adéquate.
L'utilisation d'un tel moyen d'authentification convient par exemple particulièrement bien pour authentifier des relevés de compteurs d'une machine, sur la base desquels son utilisateur sera facturé.
Dans un tel cas, les données avec lesquelles est calculé le cryptogramme peuvent être des caractères figurant dans les informations émises, ou alors, notamment dans le cas où les informations émises comportent relativement peu de caractères, les données avec lesquelles le cryptogramme est calculé sont des caractères générés de façon aléatoire, qu'on inscrit également dans la mémoire de l'objet portatif.
L'exposé de l'invention sera maintenant poursuivi par la description d'un exemple de réalisation donnée ci-après à titre illustratif et non limitatif, en référence aux dessins annexés, sur lesquels :
- la figure 1 montre de façon schématique un centre de contrôle informatisé ayant la responsabilité d'un ensemble de machines à affranchir électroniques, avec lesquelles il communique conformément à l'invention ;
21567~
- la figure 2 est une vue schématique en perspec-tive d'une de ces machines à affranchir, montrée dans une phase d'initialisation ;
- la figure 3 est une vue en plan de la carte à
puce qu'on utilise pour transmettre les informations ;
- la figure 4 est une autre vue en perspective de la machine à affranchir illustrée sur la figure 2, montrant la partie externe de son lecteur/encodeur de carte à puce ;
- la figure 5 est une perspective montrant, en agrandissement par rapport à la figure 4, le logement du lecteur/encodeur de carte et certains éléments qui lui sont associés ;
- la figure 6 est une vue partielle en élévation-coupe suivant le plan repéré VI-VI sur la figure 5 ; et - la figure 7 est une vue schématique en perspec-tive illustrant de façon schématique un terminal télématique pouvant être relié par le réseau téléphonique au centre de contrôle montré sur la figure 1.
Le centre 1 montré sur cette dernière figure, comporte un ensemble informatique composé d'un ordinateur serveur 2 auquel sont reliés trois ordinateurs de gestion 3 à chacun desquels est connecté un lecteur/encodeur 4 de carte à puce ainsi qu'une imprimante 5 d'étiquettes, un modem 6 directement relié à l'ordinateur 2 étant connecté à une ligne téléphonique 7 qui lui est dédiée.
La machine à affranchir 8 montrée notamment sur les figures 2 et 4, comporte de façon classique un plateau 9 de guidage de l'objet sur lequel l'affranchissement doit être imprimé par une tête 10 située au-dessus de la plaque 9, et divers autres éléments habituels non représentés, notamment un clavier et une balance, ainsi que des circuits internes de commande et de gestion pilotés par un microcontrôleur muni d'un logiciel de gestion des affranchissements de type connu, correspondant par exemple à celui décrit dans la demande de brevet français 93-04694 appartenant à la Demanderesse.
21567~1 En outre de ces éléments classiques, la machine 8 comporte un connecteur 11 par l'intermédiaire duquel on a accès à ses circuits internes, afin d'effectuer une opération d'initialisation en reliant ces circuits aux ordinateurs du centre 1 grâce au câble 12 dont une extrémité comporte un connecteur 13 adapté à coopérer avec le connecteur 11, l'autre extrémité du câble 12 étant directement reliée à l'un des ordinateurs du centre 1, lorsque l'opération d'initilisa-tion s'effectue sur place, ou par l'intermédiaire d'une ligne de transmission de données sécurisée lorsque l'opération est effectuée à-distance. En service normal, le connecteur 11 est masqué par une enveloppe de protection inviolable.
La machine 8 comporte encore d'autres éléments, décrits plus loin, qui lui permettent de coopérer avec la carte à puce 14 montrée sur la figure 3.
Le format de cette carte, son connecteur 15 ainsi que l'emplacement de celui-ci sont conformes à ceux normali-sés par l'ISO. Elle est équipée d'un microcircuit (non représenté) du type mémoire RAM non volatile, réinscriptible, du genre EEPROM, ou équivalent. Ce microcircuit ne comporte aucune protection logique d'entrée, ce qui veut dire que la lecture et l'inscription de données sont entièrement libres sur la carte 14.
Au droit du connecteur 15, la carte 14 présente un trou 16 pratiqué dans son épaisseur, ce trou étant recouvert dans certains cas, mentionnés ci-après, par une étiquette imprimée avec l'une des imprimantes 5 du centre 1, qu'on colle à l'emplacement matérialisé sur la figure 3 par le cadre 17 en trait interrompu.
Comme montré sur les figures 4 à 6, la machine à
affranchir 8 comporte un élément 18 de logement de la carte 14, qui s'ouvre vers l'extérieur par une fente 19, le logement 18 étant associé, comme montré sur la figure 5, à un connecteur 20 en deux parties qui entre en action lorsque la carte est poussée à fond, et un électro-aimant 21 muni d'un plongeur 22 se terminant en pointe (voir figure 6), le
2 1~ 67~1 plongeur 22 étant prévu, lorsqu'il est actionné, pour passer au travers du trou 16 de la carte 14, et donc pour perforer au niveau du trou 16 l'étiquette 23 éventuellement collée sur la carte 14 à l'emplacement 17.
En outre du logiciel de gestion des affranchisse-ments de type classique mentionné ci-dessus, le microcontrô-leur pilotant les circuits de gestion et de commande de la machine 8 est également muni d'un logiciel additionnel qui permet à ce même microcontrôleur de gérer les diverses opérations en rapport avec la transmission d'informations effectuée par l'intermédiaire de la carte 14, opérations qui vont maintenant être décrites.
Pour initialiser la machine 8, on ouvre dans les ordinateurs du centre 1 un dossier qui comporte les référen-ces d'un utilisateur dûment répertorié et autorisé à utiliserla machine, et on procède comme indiqué précédemment pour relier un ordinateur du centre 1 au connecteur 11.
On attribue à la machine 8, de manière secrète, un ensemble de nombres aléatoires différents, par exemple 250 nombres de dix chiffres décimaux, on enregistre dans le dossier du centre le numéro de la machine et la série de 250 nombres, et on transmet ces mêmes données à la machine 8, qui les enregistre automatiquement sur des mémoires permanentes (non volatiles), chaque nombre étant associé, que ce soit dans le dossier du centre ou dans les mémoires de la machine, à un index qui peut prendre au moins les états zéro et un, et qui est mis à ce stade à l'état zéro.
La partie fichier des 250 nombres aléatoires secrets est enregistrée de façon sécurisée dans le centre 1, de façon que même lors d'opérations de maintenance, les personnes non autorisées ne puissent y avoir accès.
Au cours de l'initialisation, on enregistre également, dans le dossier du centre et dans la machine 8, une valeur dont le compteur descendant de la machine doit se recharger lorsque cette dernière reçoit du centre une instruction de rechargement.
2~567~1 -Lorsque l'opération d'initialisation est termi-née, la machine 8 est renfermée dans son enveloppe de sécurité, qui est elle-même scellée avec un sceau inviolable, et la machine est prête à être mise en service.
Un fois que la machine 8 a été installée dans le site où elle doit être utilisée, il lui faut, pour fonction-ner, recevoir via la carte 14 une instruction de rechargement de son compteur descendant, qui est à zéro.
Cette instruction est en fait donnée par la réception d'un des 250 nombres contenus dans les registres mémoires de la machine 8, à condition qu'il n'ait pas déjà
été utilisé.
Dans le mode de réalisation des figures 1 à 6, l'émission de la carte 14 contenant l'instruction autorisant le rechargement du compteur descendant, est assurée par le centre 1.
Pour cela, lorsqu'on lui demande une autorisa-tion, par courrier ou par téléphone, le centre, après vérification que les conditions requises sont remplies (versements de fonds effectués, ou toute autre condition), utilise l'un des lecteurs/encodeurs 4 pour inscrire dans la mémoire d'une carte 14 un certain nombre d'informations destinées à désigner la machine à laquelle elle est destinée, notamment le numéro de cette machine, ainsi que l'un des nombres secrets, pas encore utilisé (index à zéro), parmi les 250 qui sont affectés à cette machine, l'index du nombre transmis étant alors mis à un pour montrer qu'il a été
utilisé.
En outre, grâce à une imprimante 5, une étiquette autocollante 23 est imprimée en clair avec des données d'identification de la machine à laquelle est destinée l'autorisation, et cette étiquette, lorsque la carte 14 a été
codée, est collée à l'emplacement 17 où elle obture l'ouver-ture 16, cette étiquette étant réalisée avec une impression de fond qui permet d'en reconnaître l'origine et limite les risques de la voir remplacée dans une intention frauduleuse.
21~67~
Après avoir ainsi préparé la carte 14, le centre 1 l'expédie, par exemple par un porteur ou par la poste, jusqu'au site où se trouve la machine 8, et lorsqu'elle parvient à ce site, on introduit la carte 14 dans le logement 18, les connecteurs 20 se mettent en action lorsque la carte est enfoncée à fond, les données présentes sur la carte sont lues et communiquées aux circuits internes de la machine, ceux-ci vérifient si le numéro d'identification figurant dans les données qui viennent d'être reçues correspondent au numéro d'identification qui lui a été affecté dans la phase d'initialisation, si c'est bien le cas, les circuits comman-dent l'électro-aimant 21 pour que le plongeur 22 descende puis remonte, c'est-à-dire pour le faire passer de sa position de repos où il est en dehors de l'espace de récep-tion de la carte 14 qui s'ouvre vers l'extérieur par la fente19, à une position actionnée où il traverse cet espace, puis à la position de repos, de sorte qu'il perfore l'étiquette 23 au niveau du trou 16, les circuits recherchent si le nombre figurant dans les données qui viennent d'être lues fait partie des nombres secrets conservés dans ses registres de mémoire, et si la machine y trouve ce nombre associé à un index à l'état zéro, elle met celui-ci à l'état un, et elle recharge son compteur descendant de la valeur de rechargement qu'on lui a attribuée lors des opérations d'initialisation.
La valeur de rechargement peut bien naturellement varier d'une machine à une autre, eu égard à la consommation prévisible ou à toute autre considération, mais pour une machine donnée, elle ne peut pas être modifiée à distance.
En variante, dans la phase d~initialisation, on prévoit plusieurs séries de nombres aléatoires différents à
chacune desquelles correspond une valeur distincte de rechargement du compteur, la machine, lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
Dans d'autres variantes, on utilise la même méthode pour d'autres compteurs contrôlant l'utilisation de la machine 8, par exemple pour autoriser la machine à
fonctionner pendant une durée prédéterminée, ou pour l'auto-riser à fonctionner jusqu'à ce que le compteur ascendant ait atteint une valeur calculée en ajoutant la valeur de rechar-gement à la valeur qu'avait ce compteur au moment où le rechargement s'est opéré.
Compte tenu du fait qu'on interdit le réemploi d'un nombre secret, le rechargement de compteur ne peut s'opérer, après l'initialisation, qu'un nombre de fois correspondant à la quantité de nombres secrets attribués pendant la phase d'initialisation, qui est de 250 dans le présent exemple. Au cas où la machine doit encore être utilisée, il convient d'effectuer alors une nouvelle opéra-tion d'initialisation.
Dans la description de l'exemple de réalisationdes figures 1 à 6 qui précède, c'est le centre 1 qui est l'émetteur des informations à transmettre, et la machine 8 qui en est le destinataire ou récepteur, mais il est égale-ment possible d'avoir la machine 8 comme émetteur et lecentre 1 comme destinataire, notamment pour transmettre à ce dernier un relevé du compteur ascendant ou d'autres données mémorisées dans la machine 8, par exemple des statistiques d'utilisation des diverses tranches d'affranchissement, la machine 8 transmettant les données au centre 1 par exemple en réponse à une commande inscrite par le centre sur la carte en même temps que l'instruction de rechargement de compteur.
Etant donné que la carte 14 est à écriture libre, il est préférable, pour être certain que les données lues dans le centre 1 sont bien celles qui ont été inscrites par la machine 8 voulue, de prévoir là-aussi un moyen d'authenti-fication des données.
Ainsi, on peut par exemple prévoir que pendant la phase d~initialisation de la machine 8, on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à
produire un cryptogramme à partir de données et d'une des ~1567~1 clefs en question, celles-ci étant stockées dans le dossier que tient le centre 1 pour la machine 8, dans sa partie sécurisée, et dans les registres mémoires de la machine 8.
L'une des clefs secrètes étant choisie, la machine calcule à
partir des données qu'elle transmet le cryptogramme, et inscrit celui-ci sur la carte en même temps que les données, le centre 1, après avoir lu les données, refaisant le même calcul et vérifiant que le cryptogramme qu'il obtient correspond bien à celui qui est présent sur la carte.
Naturellement, au cas où les données auraient été
modifiées dans un but frauduleux, l'absence de correspondance entre les cryptogrammes révèlerait la fraude.
Pour choisir celle des clefs utilisées pour la transmission, on peut par exemple en fixer une première lors des opérations d'initialisation, et prévoir des commandes que le centre peut transmettre à la machine 8 pour que celle-ci utilise une autre des clefs qu'elle conserve en mémoire.
Bien entendu, le calcul du cryptogramme d'authen-tification est effectué par les circuits électroniques internes de la machine 8, l'algorithme étant contenu dans le logiciel additionnel dont est muni le microcontrôleur, cet algorithme étant par exemple du type DES.
La capacité à faire la machine 8 renvoyer des données au centre 1 peut notamment être utilisée pour procéder, sur commande, comme indiqué ci-dessus, au relevé du compteur ascendant, afin de facturer les machines d'après leur consommation réelle.
Elle peut également servir pour assurer le contrôle de la maintenance des machines : pour cela, une carte est émise par le centre et envoyée à l'organisation chargée de la maintenance. Cette carte porte le numéro de la machine à vérifier, et une date limite pour procéder à la vérification. Un technicien doit alors se rendre auprès de la machine, introduire la carte dans celle-ci, ce qui inscrira les informations demandées sur l'état de ladite machine. La preuve de l'intervention sera donnée par le retour de la carte au centre 1.
Il est également possible que l'émetteur à
authentifier soit le centre 1. Dans ce cas, s'il n'a aucune données à transmettre ou si elles sont en nombre insuffisant, il génère une série de caractères de facon aléatoire, il calcule sur la base de ceux-ci le cryptogramme, et il inscrit à la fois la série de caractères et le cryptogramme, celui-ci étant vérifié à l'arrivée par la machine 8.
Dans un autre mode de réalisation, expliqué ci-après à l'appui des figures 1 et 7, ce ne sont pas leslecteurs/encodeurs 4 prévus dans le centre 1 qui servent à
celui-ci pour inscrire ou lire des informations sur la carte 14, mais le terminal télématique 24 montré sur la figure 7, qui est présent sur un site où se trouve un certain nombre de machines 8, ce site étant éloigné du centre 1. Le terminal 24 comporte dans un boîtier unique au moins un lecteur/encodeur 25 de carte à puce, du même genre que le lecteur/encodeur 4 du centre 1 ou que celui qui est prévu dans les machines 8 et qui comporte un logement 18 pour la carte. En outre du lecteur/encodeur 25, le terminal 24 comporte des circuits logiques de commande ainsi qu'un modem, et éventuellement, comme dans l'exemple montré sur la figure 7, un clavier 26 et un écran 27.
Les circuits logiques de commande sont sensibles à l'introduction d'une carte dans le lecteur/encodeur 25, reconnaissent le type de carte introduit et vérifient que la carte contient les informations d'identification appropriées.
Selon les informations lues sur la carte (voir plus loin), les circuits de commande peuvent lancer l'exécution d'une opération de lecture de la carte, d'une opération d'écriture, ou encore appeler de facon automatique le centre 1 au moyen du modem pour demander une transaction, transmettre des informations vers le centre ou en recevoir de celui-ci.
Dans le site où se trouve le terminal 24 et les différentes machines 8, il est prévu une carte 14 par machine, dont la mémoire comporte le numéro d'identification - 21567~1 de cette machine grâce à une initialisation effectuée par le centre 1, sans que celui-ci ne produire d'étiquette avec l'imprimante 5 ni n'en colle à l'emplacement 17, et plus généralement dans la variante utilisant le terminal 24, on ne colle pas d'étiquette sur les cartes 14 utilisées. A part cette différence, la transmission des informations est similaire à celle du premier mode de réalisation si ce n'est que le lecteur/encodeur 25 est relié à l'ordinateur 2 non pas par l'intermédiaire d'un ordinateur de gestion 3, mais par l'intermédiaire du réseau téléphonique public 7 et du modem 6.
Du point de vue de l'utilisateur, alors que pour obtenir une instruction de rechargement de compteur lorsque la carte est émise par le centre, il doit effectuer une demande par téléphone, courrier, télécopie, ou télex, et attendre que la carte soit créée par le centre pendant ses heures d'ouverture et enfin envoyée sur le site par courrier ou porteur, le fait de disposer d'un terminal télématique 24 permet d'obtenir une instruction de rechargement en quelques instants et à toute heure.
Pour obtenir une telle instruction, la carte propre à la machine qui en a besoin est introduite dans cette dernière, la carte étant reconnue, la machine 8 va enregis-trer sur la carte 14 qui lui est propre son état, et notam-ment la valeur de certains de ses compteurs, ainsi que lecryptogramme d'utilisation.
L'utilisateur retire alors la carte de la machine, et l'introduit dans le terminal. Celui-ci reconnaît la carte, et appelle le centre grâce à son modem, la communi-cation passant par le réseau téléphonique public 7 et par lemodem 6 du centre 1, les données transmises étant celles qui sont inscrites dans la mémoire de la carte 14.
Après avoir re~u les données, le centre 1 vérifie l'authenticité de celles-ci grâce au cryptogramme, et si toutes les conditions sont remplies, il envoie par retour un message comportant les données à inscrire sur la carte pour 21~67~1 .
constituer une instruction de rechargement de compteur, et notamment l'un des 250 nombres encore valides.
L'utilisateur récupère la carte du terminal et l~insère à nouveau dans la machine, qui effectue les mêmes opérations que décrit plus haut jusqu'à recharger son compteur, certaines données pouvant être écrites ensuite sur la carte pour que le processus reproduise lorsqu'il sera à
nouveau nécessaire de demander une nouvelle instruction de rechargement de compteur.
De nombreuses variantes sont possibles en fonction des circonstances, et à cet égard, on rappelle que l'invention ne se limite pas aux exemples décrits et repré-sentés.
En outre du logiciel de gestion des affranchisse-ments de type classique mentionné ci-dessus, le microcontrô-leur pilotant les circuits de gestion et de commande de la machine 8 est également muni d'un logiciel additionnel qui permet à ce même microcontrôleur de gérer les diverses opérations en rapport avec la transmission d'informations effectuée par l'intermédiaire de la carte 14, opérations qui vont maintenant être décrites.
Pour initialiser la machine 8, on ouvre dans les ordinateurs du centre 1 un dossier qui comporte les référen-ces d'un utilisateur dûment répertorié et autorisé à utiliserla machine, et on procède comme indiqué précédemment pour relier un ordinateur du centre 1 au connecteur 11.
On attribue à la machine 8, de manière secrète, un ensemble de nombres aléatoires différents, par exemple 250 nombres de dix chiffres décimaux, on enregistre dans le dossier du centre le numéro de la machine et la série de 250 nombres, et on transmet ces mêmes données à la machine 8, qui les enregistre automatiquement sur des mémoires permanentes (non volatiles), chaque nombre étant associé, que ce soit dans le dossier du centre ou dans les mémoires de la machine, à un index qui peut prendre au moins les états zéro et un, et qui est mis à ce stade à l'état zéro.
La partie fichier des 250 nombres aléatoires secrets est enregistrée de façon sécurisée dans le centre 1, de façon que même lors d'opérations de maintenance, les personnes non autorisées ne puissent y avoir accès.
Au cours de l'initialisation, on enregistre également, dans le dossier du centre et dans la machine 8, une valeur dont le compteur descendant de la machine doit se recharger lorsque cette dernière reçoit du centre une instruction de rechargement.
2~567~1 -Lorsque l'opération d'initialisation est termi-née, la machine 8 est renfermée dans son enveloppe de sécurité, qui est elle-même scellée avec un sceau inviolable, et la machine est prête à être mise en service.
Un fois que la machine 8 a été installée dans le site où elle doit être utilisée, il lui faut, pour fonction-ner, recevoir via la carte 14 une instruction de rechargement de son compteur descendant, qui est à zéro.
Cette instruction est en fait donnée par la réception d'un des 250 nombres contenus dans les registres mémoires de la machine 8, à condition qu'il n'ait pas déjà
été utilisé.
Dans le mode de réalisation des figures 1 à 6, l'émission de la carte 14 contenant l'instruction autorisant le rechargement du compteur descendant, est assurée par le centre 1.
Pour cela, lorsqu'on lui demande une autorisa-tion, par courrier ou par téléphone, le centre, après vérification que les conditions requises sont remplies (versements de fonds effectués, ou toute autre condition), utilise l'un des lecteurs/encodeurs 4 pour inscrire dans la mémoire d'une carte 14 un certain nombre d'informations destinées à désigner la machine à laquelle elle est destinée, notamment le numéro de cette machine, ainsi que l'un des nombres secrets, pas encore utilisé (index à zéro), parmi les 250 qui sont affectés à cette machine, l'index du nombre transmis étant alors mis à un pour montrer qu'il a été
utilisé.
En outre, grâce à une imprimante 5, une étiquette autocollante 23 est imprimée en clair avec des données d'identification de la machine à laquelle est destinée l'autorisation, et cette étiquette, lorsque la carte 14 a été
codée, est collée à l'emplacement 17 où elle obture l'ouver-ture 16, cette étiquette étant réalisée avec une impression de fond qui permet d'en reconnaître l'origine et limite les risques de la voir remplacée dans une intention frauduleuse.
21~67~
Après avoir ainsi préparé la carte 14, le centre 1 l'expédie, par exemple par un porteur ou par la poste, jusqu'au site où se trouve la machine 8, et lorsqu'elle parvient à ce site, on introduit la carte 14 dans le logement 18, les connecteurs 20 se mettent en action lorsque la carte est enfoncée à fond, les données présentes sur la carte sont lues et communiquées aux circuits internes de la machine, ceux-ci vérifient si le numéro d'identification figurant dans les données qui viennent d'être reçues correspondent au numéro d'identification qui lui a été affecté dans la phase d'initialisation, si c'est bien le cas, les circuits comman-dent l'électro-aimant 21 pour que le plongeur 22 descende puis remonte, c'est-à-dire pour le faire passer de sa position de repos où il est en dehors de l'espace de récep-tion de la carte 14 qui s'ouvre vers l'extérieur par la fente19, à une position actionnée où il traverse cet espace, puis à la position de repos, de sorte qu'il perfore l'étiquette 23 au niveau du trou 16, les circuits recherchent si le nombre figurant dans les données qui viennent d'être lues fait partie des nombres secrets conservés dans ses registres de mémoire, et si la machine y trouve ce nombre associé à un index à l'état zéro, elle met celui-ci à l'état un, et elle recharge son compteur descendant de la valeur de rechargement qu'on lui a attribuée lors des opérations d'initialisation.
La valeur de rechargement peut bien naturellement varier d'une machine à une autre, eu égard à la consommation prévisible ou à toute autre considération, mais pour une machine donnée, elle ne peut pas être modifiée à distance.
En variante, dans la phase d~initialisation, on prévoit plusieurs séries de nombres aléatoires différents à
chacune desquelles correspond une valeur distincte de rechargement du compteur, la machine, lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
Dans d'autres variantes, on utilise la même méthode pour d'autres compteurs contrôlant l'utilisation de la machine 8, par exemple pour autoriser la machine à
fonctionner pendant une durée prédéterminée, ou pour l'auto-riser à fonctionner jusqu'à ce que le compteur ascendant ait atteint une valeur calculée en ajoutant la valeur de rechar-gement à la valeur qu'avait ce compteur au moment où le rechargement s'est opéré.
Compte tenu du fait qu'on interdit le réemploi d'un nombre secret, le rechargement de compteur ne peut s'opérer, après l'initialisation, qu'un nombre de fois correspondant à la quantité de nombres secrets attribués pendant la phase d'initialisation, qui est de 250 dans le présent exemple. Au cas où la machine doit encore être utilisée, il convient d'effectuer alors une nouvelle opéra-tion d'initialisation.
Dans la description de l'exemple de réalisationdes figures 1 à 6 qui précède, c'est le centre 1 qui est l'émetteur des informations à transmettre, et la machine 8 qui en est le destinataire ou récepteur, mais il est égale-ment possible d'avoir la machine 8 comme émetteur et lecentre 1 comme destinataire, notamment pour transmettre à ce dernier un relevé du compteur ascendant ou d'autres données mémorisées dans la machine 8, par exemple des statistiques d'utilisation des diverses tranches d'affranchissement, la machine 8 transmettant les données au centre 1 par exemple en réponse à une commande inscrite par le centre sur la carte en même temps que l'instruction de rechargement de compteur.
Etant donné que la carte 14 est à écriture libre, il est préférable, pour être certain que les données lues dans le centre 1 sont bien celles qui ont été inscrites par la machine 8 voulue, de prévoir là-aussi un moyen d'authenti-fication des données.
Ainsi, on peut par exemple prévoir que pendant la phase d~initialisation de la machine 8, on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à
produire un cryptogramme à partir de données et d'une des ~1567~1 clefs en question, celles-ci étant stockées dans le dossier que tient le centre 1 pour la machine 8, dans sa partie sécurisée, et dans les registres mémoires de la machine 8.
L'une des clefs secrètes étant choisie, la machine calcule à
partir des données qu'elle transmet le cryptogramme, et inscrit celui-ci sur la carte en même temps que les données, le centre 1, après avoir lu les données, refaisant le même calcul et vérifiant que le cryptogramme qu'il obtient correspond bien à celui qui est présent sur la carte.
Naturellement, au cas où les données auraient été
modifiées dans un but frauduleux, l'absence de correspondance entre les cryptogrammes révèlerait la fraude.
Pour choisir celle des clefs utilisées pour la transmission, on peut par exemple en fixer une première lors des opérations d'initialisation, et prévoir des commandes que le centre peut transmettre à la machine 8 pour que celle-ci utilise une autre des clefs qu'elle conserve en mémoire.
Bien entendu, le calcul du cryptogramme d'authen-tification est effectué par les circuits électroniques internes de la machine 8, l'algorithme étant contenu dans le logiciel additionnel dont est muni le microcontrôleur, cet algorithme étant par exemple du type DES.
La capacité à faire la machine 8 renvoyer des données au centre 1 peut notamment être utilisée pour procéder, sur commande, comme indiqué ci-dessus, au relevé du compteur ascendant, afin de facturer les machines d'après leur consommation réelle.
Elle peut également servir pour assurer le contrôle de la maintenance des machines : pour cela, une carte est émise par le centre et envoyée à l'organisation chargée de la maintenance. Cette carte porte le numéro de la machine à vérifier, et une date limite pour procéder à la vérification. Un technicien doit alors se rendre auprès de la machine, introduire la carte dans celle-ci, ce qui inscrira les informations demandées sur l'état de ladite machine. La preuve de l'intervention sera donnée par le retour de la carte au centre 1.
Il est également possible que l'émetteur à
authentifier soit le centre 1. Dans ce cas, s'il n'a aucune données à transmettre ou si elles sont en nombre insuffisant, il génère une série de caractères de facon aléatoire, il calcule sur la base de ceux-ci le cryptogramme, et il inscrit à la fois la série de caractères et le cryptogramme, celui-ci étant vérifié à l'arrivée par la machine 8.
Dans un autre mode de réalisation, expliqué ci-après à l'appui des figures 1 et 7, ce ne sont pas leslecteurs/encodeurs 4 prévus dans le centre 1 qui servent à
celui-ci pour inscrire ou lire des informations sur la carte 14, mais le terminal télématique 24 montré sur la figure 7, qui est présent sur un site où se trouve un certain nombre de machines 8, ce site étant éloigné du centre 1. Le terminal 24 comporte dans un boîtier unique au moins un lecteur/encodeur 25 de carte à puce, du même genre que le lecteur/encodeur 4 du centre 1 ou que celui qui est prévu dans les machines 8 et qui comporte un logement 18 pour la carte. En outre du lecteur/encodeur 25, le terminal 24 comporte des circuits logiques de commande ainsi qu'un modem, et éventuellement, comme dans l'exemple montré sur la figure 7, un clavier 26 et un écran 27.
Les circuits logiques de commande sont sensibles à l'introduction d'une carte dans le lecteur/encodeur 25, reconnaissent le type de carte introduit et vérifient que la carte contient les informations d'identification appropriées.
Selon les informations lues sur la carte (voir plus loin), les circuits de commande peuvent lancer l'exécution d'une opération de lecture de la carte, d'une opération d'écriture, ou encore appeler de facon automatique le centre 1 au moyen du modem pour demander une transaction, transmettre des informations vers le centre ou en recevoir de celui-ci.
Dans le site où se trouve le terminal 24 et les différentes machines 8, il est prévu une carte 14 par machine, dont la mémoire comporte le numéro d'identification - 21567~1 de cette machine grâce à une initialisation effectuée par le centre 1, sans que celui-ci ne produire d'étiquette avec l'imprimante 5 ni n'en colle à l'emplacement 17, et plus généralement dans la variante utilisant le terminal 24, on ne colle pas d'étiquette sur les cartes 14 utilisées. A part cette différence, la transmission des informations est similaire à celle du premier mode de réalisation si ce n'est que le lecteur/encodeur 25 est relié à l'ordinateur 2 non pas par l'intermédiaire d'un ordinateur de gestion 3, mais par l'intermédiaire du réseau téléphonique public 7 et du modem 6.
Du point de vue de l'utilisateur, alors que pour obtenir une instruction de rechargement de compteur lorsque la carte est émise par le centre, il doit effectuer une demande par téléphone, courrier, télécopie, ou télex, et attendre que la carte soit créée par le centre pendant ses heures d'ouverture et enfin envoyée sur le site par courrier ou porteur, le fait de disposer d'un terminal télématique 24 permet d'obtenir une instruction de rechargement en quelques instants et à toute heure.
Pour obtenir une telle instruction, la carte propre à la machine qui en a besoin est introduite dans cette dernière, la carte étant reconnue, la machine 8 va enregis-trer sur la carte 14 qui lui est propre son état, et notam-ment la valeur de certains de ses compteurs, ainsi que lecryptogramme d'utilisation.
L'utilisateur retire alors la carte de la machine, et l'introduit dans le terminal. Celui-ci reconnaît la carte, et appelle le centre grâce à son modem, la communi-cation passant par le réseau téléphonique public 7 et par lemodem 6 du centre 1, les données transmises étant celles qui sont inscrites dans la mémoire de la carte 14.
Après avoir re~u les données, le centre 1 vérifie l'authenticité de celles-ci grâce au cryptogramme, et si toutes les conditions sont remplies, il envoie par retour un message comportant les données à inscrire sur la carte pour 21~67~1 .
constituer une instruction de rechargement de compteur, et notamment l'un des 250 nombres encore valides.
L'utilisateur récupère la carte du terminal et l~insère à nouveau dans la machine, qui effectue les mêmes opérations que décrit plus haut jusqu'à recharger son compteur, certaines données pouvant être écrites ensuite sur la carte pour que le processus reproduise lorsqu'il sera à
nouveau nécessaire de demander une nouvelle instruction de rechargement de compteur.
De nombreuses variantes sont possibles en fonction des circonstances, et à cet égard, on rappelle que l'invention ne se limite pas aux exemples décrits et repré-sentés.
Claims (10)
1. Procédé de transmission d'informations entre un centre de contrôle informatisé (1) et une pluralité
de machines à affranchir électroniques (8), au moins afin que le centre (1) puisse transmettre à chaque dite machine (8) une instruction de rechargement de compteur, procédé dans lequel on inscrit ou on lit les données respectivement à
émettre et à recevoir dans une mémoire d'un objet portatif qu'on transporte entre un moyen d'inscription des données à
émettre (4, 18, 25) et un moyen de lecture des données à
recevoir (4, 18, 25), avec un dit moyen d'inscription (4, 25) commandé par le centre (1) et un dit moyen de lecture (18) prévu dans chaque machine à affranchir ; caractérisé en ce qu'on utilise des objets portatifs (14) où l'inscription et la lecture des données dans la mémoire sont libres, en prévoyant, si l'on transmet des informations à protéger de la fraude telles que ladite instruction de rechargement, d'émettre des données comportant un moyen d'authentification, et de ne prendre en compte les données reçues qu'après vérification du moyen d'authentification, celui-ci étant adapté à ne pouvoir être préparé et vérifié que si on connaît des informations secrètes conservées à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine avec laquelle s'effectue la transmission.
de machines à affranchir électroniques (8), au moins afin que le centre (1) puisse transmettre à chaque dite machine (8) une instruction de rechargement de compteur, procédé dans lequel on inscrit ou on lit les données respectivement à
émettre et à recevoir dans une mémoire d'un objet portatif qu'on transporte entre un moyen d'inscription des données à
émettre (4, 18, 25) et un moyen de lecture des données à
recevoir (4, 18, 25), avec un dit moyen d'inscription (4, 25) commandé par le centre (1) et un dit moyen de lecture (18) prévu dans chaque machine à affranchir ; caractérisé en ce qu'on utilise des objets portatifs (14) où l'inscription et la lecture des données dans la mémoire sont libres, en prévoyant, si l'on transmet des informations à protéger de la fraude telles que ladite instruction de rechargement, d'émettre des données comportant un moyen d'authentification, et de ne prendre en compte les données reçues qu'après vérification du moyen d'authentification, celui-ci étant adapté à ne pouvoir être préparé et vérifié que si on connaît des informations secrètes conservées à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine avec laquelle s'effectue la transmission.
2. Procédé selon la revendication 1, caractérisé
en ce que :
- à la mise en service de chaque dite machine à
affranchir (8), on réalise une phase d'initialisation dans laquelle on lui attribue de manière secrète un ensemble de nombres aléatoires différents qu'on charge à la fois dans une mémoire sécurisée du centre (1) et dans une mémoire sécurisée de la machine (8), chaque nombre secret y étant conservé en association avec un index à deux états mis alors dans un premier état ;
- pour transmettre une instruction de recharge-ment de compteur à destination de cette machine, le centre lit dans sa dite mémoire sécurisée l'un des nombres secrets attribués à cette machine et dont l'index est dans le premier état, il met dans le deuxième état l'index associé au nombre secret lu, et il inscrit dans la mémoire d'un dit objet portatif (14) ledit nombre secret lu ; et - lorsqu'une machine à affranchir détecte la présence d'un objet portatif dans son moyen de lecture, elle fait celui-ci lire la mémoire de l'objet, elle recherche si le nombre figurant dans les données qu'elle vient de recevoir fait partie des nombres secrets conservés dans sa mémoire sécurisée, et si elle y trouve ce nombre associé à un index dans le premier état, elle met l'index dans le deuxième état, et elle recharge son compteur.
en ce que :
- à la mise en service de chaque dite machine à
affranchir (8), on réalise une phase d'initialisation dans laquelle on lui attribue de manière secrète un ensemble de nombres aléatoires différents qu'on charge à la fois dans une mémoire sécurisée du centre (1) et dans une mémoire sécurisée de la machine (8), chaque nombre secret y étant conservé en association avec un index à deux états mis alors dans un premier état ;
- pour transmettre une instruction de recharge-ment de compteur à destination de cette machine, le centre lit dans sa dite mémoire sécurisée l'un des nombres secrets attribués à cette machine et dont l'index est dans le premier état, il met dans le deuxième état l'index associé au nombre secret lu, et il inscrit dans la mémoire d'un dit objet portatif (14) ledit nombre secret lu ; et - lorsqu'une machine à affranchir détecte la présence d'un objet portatif dans son moyen de lecture, elle fait celui-ci lire la mémoire de l'objet, elle recherche si le nombre figurant dans les données qu'elle vient de recevoir fait partie des nombres secrets conservés dans sa mémoire sécurisée, et si elle y trouve ce nombre associé à un index dans le premier état, elle met l'index dans le deuxième état, et elle recharge son compteur.
3. Procédé selon la revendication 2, caractérisé
en ce que, dans ladite phase d'initialisation, on affecte à
la machine une valeur unique de rechargement de compteur, qu'elle prend en compte à chaque fois qu'elle recharge son compteur.
en ce que, dans ladite phase d'initialisation, on affecte à
la machine une valeur unique de rechargement de compteur, qu'elle prend en compte à chaque fois qu'elle recharge son compteur.
4. Procédé selon la revendication 2, caractérisé
en ce que, dans ladite phase d'initialisation, on prévoit plusieurs séries de nombres aléatoires différents à chacune desquelles correspond une valeur distincte de rechargement de compteur, la machine (8), lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
en ce que, dans ladite phase d'initialisation, on prévoit plusieurs séries de nombres aléatoires différents à chacune desquelles correspond une valeur distincte de rechargement de compteur, la machine (8), lorsqu'elle recharge son compteur, prenant en compte la valeur correspondant à la série dont fait partie le nombre secret qu'elle vient de recevoir.
5. Procédé selon l'une quelconque des revendica-tions 1 à 4, caractérisé en ce que :
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à produire un cryptogramme à partir de données et d'une telle clef numérique, et on charge ces clefs à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine ;
- pour authentifier l'origine d'informations émises par le centre (1) ou par ladite machine (8), on choisit l'une desdites clefs numériques secrètes, l'émetteur de l'information (1, 8) calcule un cryptogramme avec cette clef, il inscrit dans la mémoire d'un dit objet portatif (14) l'information à transmettre ainsi que le cryptogramme, et lorsque le destinataire de l'information détecte la présence d'un objet portatif (14) dans son moyen de lecture (4, 18, 25), il fait celui-ci lire la mémoire de l'objet (14), il calcule un cryptogramme avec la même clef, il compare le cryptogramme figurant dans les données reçues avec celui qu'il a calculé, et ne considère les informations comme authentiques que si le cryptogramme reçu et le cryptogramme calculé se correspondent.
- à la mise en service de chaque dite machine à
affranchir, on réalise une phase d'initialisation dans laquelle on lui donne un jeu de clefs numériques secrètes pour un algorithme adapté à produire un cryptogramme à partir de données et d'une telle clef numérique, et on charge ces clefs à la fois dans une mémoire sécurisée du centre et dans une mémoire sécurisée de la machine ;
- pour authentifier l'origine d'informations émises par le centre (1) ou par ladite machine (8), on choisit l'une desdites clefs numériques secrètes, l'émetteur de l'information (1, 8) calcule un cryptogramme avec cette clef, il inscrit dans la mémoire d'un dit objet portatif (14) l'information à transmettre ainsi que le cryptogramme, et lorsque le destinataire de l'information détecte la présence d'un objet portatif (14) dans son moyen de lecture (4, 18, 25), il fait celui-ci lire la mémoire de l'objet (14), il calcule un cryptogramme avec la même clef, il compare le cryptogramme figurant dans les données reçues avec celui qu'il a calculé, et ne considère les informations comme authentiques que si le cryptogramme reçu et le cryptogramme calculé se correspondent.
6. Procédé selon la revendication 5, caractérisé
en ce que les données avec lesquelles le cryptogramme est calculé sont des caractères figurant dans les informations émises.
en ce que les données avec lesquelles le cryptogramme est calculé sont des caractères figurant dans les informations émises.
7. Procédé selon la revendication 5, caractérisé
en ce que les données avec lesquelles le cryptogramme est calculé sont des caractères générés de facon aléatoire, qu'on inscrit également dans la mémoire de l'objet portatif (14).
en ce que les données avec lesquelles le cryptogramme est calculé sont des caractères générés de facon aléatoire, qu'on inscrit également dans la mémoire de l'objet portatif (14).
8. Procédé selon l'une quelconque des revendica-tions 1 à 7, caractérisé en ce que le centre commande un moyen (4, 25) d'inscription/lecture dans la mémoire de l'objet portatif (14), et en ce que chaque dite machine à
affranchir (8) comporte un tel moyen d'inscription/lecture (18).
affranchir (8) comporte un tel moyen d'inscription/lecture (18).
9. Procédé selon la revendication 8, caractérisé
en ce qu'au moins un moyen (25) d'inscription/lecture commandé par le centre (1) fait partie d'un terminal téléma-tique (24) disposé dans un site où se trouve une dite machine à affranchir (8), ledit terminal (24) comportant des moyens pour se relier au centre à travers le réseau téléphonique public (7).
en ce qu'au moins un moyen (25) d'inscription/lecture commandé par le centre (1) fait partie d'un terminal téléma-tique (24) disposé dans un site où se trouve une dite machine à affranchir (8), ledit terminal (24) comportant des moyens pour se relier au centre à travers le réseau téléphonique public (7).
10. Procédé selon l'une quelconque des revendica-tions 1 à 9, caractérisé en ce que ledit objet portatif est une carte à mémoire.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9410530A FR2724244A1 (fr) | 1994-09-01 | 1994-09-01 | Procede de transmission d'informations entre un centre de controle informatise et une pluralite de machines a affranchir electroniques |
| FR9410530 | 1994-09-01 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CA2156791A1 CA2156791A1 (fr) | 1996-03-02 |
| CA2156791C true CA2156791C (fr) | 2002-10-22 |
Family
ID=9466636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA002156791A Expired - Fee Related CA2156791C (fr) | 1994-09-01 | 1995-08-23 | Procede de transmission d'informations entre un centre de controle informatise et une pluralite de machines a affranchir electronique |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5675651A (fr) |
| EP (1) | EP0700021B1 (fr) |
| CA (1) | CA2156791C (fr) |
| DE (1) | DE69534073T2 (fr) |
| FR (1) | FR2724244A1 (fr) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2793332B1 (fr) | 1999-05-05 | 2001-08-10 | Secap | Machine a affranchir et son procede de fonctionnement |
| DE10023145A1 (de) * | 2000-05-12 | 2001-11-15 | Francotyp Postalia Gmbh | Frankiermaschine und Verfahren zur Freigabe einer Frankiermaschine |
| WO2003044621A2 (fr) * | 2001-11-16 | 2003-05-30 | Neopost Group | Procede et appareil de capture securisee de donnees |
| US20030097337A1 (en) * | 2001-11-16 | 2003-05-22 | George Brookner | Secure data capture apparatus and method |
| FI124437B (fi) | 2009-12-18 | 2014-08-29 | Itella Oyj | Järjestelmä, menetelmä ja palvelu varojen lisäämiseksi etukäteen maksettavaan palveluun |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2916207A1 (de) * | 1979-04-21 | 1980-11-13 | Hess Richard | Vorrichtung und ein mit dieser vorrichtung codierter wertcoupon zum vorbestellen von menues o.dgl. in dieser vorrichtung |
| US4436992A (en) * | 1981-01-08 | 1984-03-13 | Simjian Luther G | Check controlled metering device |
| GB8400809D0 (en) * | 1984-01-12 | 1984-02-15 | De La Rue Co Plc | Prepayment metering system |
| GB2173738B (en) * | 1985-04-19 | 1989-07-12 | Roneo Alcatel Ltd | Secure transport of information between electronic stations |
| CA1301335C (fr) * | 1988-02-08 | 1992-05-19 | Robert K.T. Chen | Systeme a affranchir a carte de valeur |
| CH678368A5 (fr) * | 1989-03-29 | 1991-08-30 | Frama Ag | |
| GB2251210B (en) * | 1990-12-31 | 1995-01-18 | Alcatel Business Systems | Postage meter system |
-
1994
- 1994-09-01 FR FR9410530A patent/FR2724244A1/fr active Granted
-
1995
- 1995-08-22 US US08/517,868 patent/US5675651A/en not_active Expired - Fee Related
- 1995-08-23 CA CA002156791A patent/CA2156791C/fr not_active Expired - Fee Related
- 1995-08-31 EP EP95401980A patent/EP0700021B1/fr not_active Expired - Lifetime
- 1995-08-31 DE DE69534073T patent/DE69534073T2/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP0700021A1 (fr) | 1996-03-06 |
| DE69534073T2 (de) | 2006-02-09 |
| FR2724244A1 (fr) | 1996-03-08 |
| US5675651A (en) | 1997-10-07 |
| EP0700021B1 (fr) | 2005-03-16 |
| FR2724244B1 (fr) | 1997-02-21 |
| CA2156791A1 (fr) | 1996-03-02 |
| DE69534073D1 (de) | 2005-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0704081B1 (fr) | Procede de controle d'une imprimante et cartouche pour obtenir des affranchissements postaux | |
| EP0423035B1 (fr) | Système de paiement ou de transfert d'informations par carte à mémoire électronique porte-monnaie | |
| EP0320336B1 (fr) | Système de gestion par carte du stationnement payant de véhicules | |
| EP0402182B1 (fr) | Système de paiement par cartes à circuits intégrés bi-module | |
| CA2547811A1 (fr) | Procede et systeme de location automatique de bicyclettes | |
| FR2471632A1 (fr) | Appareil et procede pour coder et decoder une carte delivree a un individu par une entite | |
| CH675029A5 (fr) | ||
| EP0527203A1 (fr) | Procede et dispositif de transaction entre un premier et au moins un deuxieme supports de donnees et support a cette fin. | |
| EP0617819A1 (fr) | Procede d'intervention sur une borne de delivrance d'un bien ou d'un service | |
| EP1295266A1 (fr) | Syst me de transaction avec dispositif personnel portatif d'identification et de contr le de transaction | |
| EP1390922A1 (fr) | Systeme de gestion d'une flotte de bicyclettes, bicyclette et equipements de stockage pour un tel dispositif | |
| EP0277440B1 (fr) | Système de fourniture de prestations à revalidation | |
| FR2528197A1 (fr) | Procede de controle de l'usage de documents reserves, documents et dispositifs pour sa mise en oeuvre | |
| CA2156791C (fr) | Procede de transmission d'informations entre un centre de controle informatise et une pluralite de machines a affranchir electronique | |
| FR2586124A1 (fr) | Dispositif de verrouillage de machine a affranchir | |
| CA2156803A1 (fr) | Machine a affranchir electronique | |
| EP1034517B1 (fr) | Procede de gestion des donnees dans une carte a puce | |
| FR2832829A1 (fr) | Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur | |
| EP2977851A1 (fr) | Dispositif et procede d'authentification de document | |
| FR2514592A1 (fr) | Procede et dispositif de consultation de fichiers de donnees et/ou de transactions bancaires, preserves des fraudes grace a un procede de communication code par variable aleatoire | |
| FR2770669A1 (fr) | Taximetre presentant un lecteur de carte a memoire | |
| EP0498477B1 (fr) | Système de gestion de moyens de paiement de prestations par support d'information amovible | |
| FR2728711A1 (fr) | Dispositif de validation | |
| FR2919094A1 (fr) | Dispositif de delivrance,dans un magasin,d'un code d'acces a distance a un fichier numerique et procede correspondant. | |
| EP1922856A2 (fr) | Procede d'authentification d'un utilisateur et dispositif de mise en oeuvre |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request | ||
| MKLA | Lapsed |