(19)
(11) EP 0 413 636 A1

(12) DEMANDE DE BREVET EUROPEEN

(43) Date de publication:
20.02.1991  Bulletin  1991/08

(21) Numéro de dépôt: 90402298.5

(22) Date de dépôt:  16.08.1990
(51) Int. Cl.5G07F 9/06, G07F 17/24, G07B 15/00
(84) Etats contractants désignés:
DE ES GB IT NL

(30) Priorité: 17.08.1989 FR 8910962

(71) Demandeur: SCHLUMBERGER INDUSTRIES
F-92120 Montrouge (FR)

(72) Inventeurs:
  • Lelouch, Franck
    F-94100 Saint-Maur (FR)
  • Ferrus, Joelle
    F-25000 Besançon (FR)

(74) Mandataire: Dronne, Guy et al
Cabinet Beau de Loménie 158, rue de l'Université
75340 Paris Cédex 07
75340 Paris Cédex 07 (FR)


(56) Documents cités: : 
   
       


    (54) Système et procédé pour contrôler la collecte de bornes à prépaiement


    (57) La présente invention a pour objet un système et un procédé pour sécuriser et contrôler la collecte de bornes à prépaiement notamment de bornes de stationnement payant pour véhicules.
    Le système comprend un centre de collecte (10), des bornes (B₁...Bi) comprenant chacune un coffre (18) pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation (34, 38) pour mémoriser des informations spécifiques à chaque borne Bi,des moyens de dialogue (24, 28, 30, 36) entre ledit centre de collecte (10) et lesdites bornes (B₁... Bi) pour échanger des informations chiffrées, et des moyens de traitement (10, 12, 13, 16, 20, 22, 24, 28, 30, 32, 34, 36, 38, 40, 46, 48, 52, 54) pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la collecte en fonction des résultats de la comparaison.




    Description


    [0001] La présente invention a pour objet un système et un procédé pour sécuriser et contrôler la collecte de bornes à prépaiement notamment de bornes de stationnement payant pour véhicules.

    [0002] Des bornes à prépaiement sont utilisées par exemple pour la délivrance d'objets divers tels que timbres, tickets... ou l'obtention de services (taxe de transport...), en échange de pièces de monnaie. Une application plus particulière concerne les bornes de stationnement payant pour véhicules. Il est bien connu que, sur les voies publiques, en particulier dans les grandes agglomérations, le stationnement payant en fonction du temps de stationnement du véhicule s'est beaucoup développé. En d'autres termes, pour pouvoir laisser en stationnement son véhicule, pendant un certain temps, l'automobiliste doit prépayer un montant donné pour être autorisé à stationner effectivement.

    [0003] Ll'automobiliste qui veut stationner sur l'un des emplacements contrôlés par une borne de stationnement placée sur le trottoir, introduit dans la borne des pièces de monnaie pour un montant correspondant au temps de stationnement désiré.

    [0004] Ces bornes de stationnement comportent un coffre qui peut être du type décrit dans le brevet français 2484674 déposé le 11 juin 1980 au nom du demandeur, pour le stockage temporaire des pièces de monnaie introduites dans les bornes avant leur transfert dans un dispositif de collecte. Une partie du coffre est constituée par la borne elle-même et présente un orifice de collecte normalement obturé par un obturateur, qui est lui-même bloqué par le pène d'une serrure d'accès à l'orifice de collecte, le pène étant manoeuvrable uniquement à l'aide d'une clé physique par le personnel de collecte. La clé physique introduite dans la serrure, efface le pène correspondant, libérant complètement l'obturateur. L'orifice de collecte étant ainsi dégagé, le dispositif de collecte, décrit lui aussi dans la demande précitée, préalablement disposé en vis-à-vis de l'orifice de collecte, récupère par effet de gravité les pièces de monnaie accumulées dans le coffre de la borne, par utilisation d'un flexible, à travers l'ouverture dégagée par l'obturateur.

    [0005] Un des inconvénients est que le personnel de collecte, dûment autorisé à posséder la clé physique pour ouvrir le coffre, peut frauduleusement détourner une partie de la collecte, c'est-à-dire des pièces de monnaie stockées dans le coffre, au cours du transfert de ces pièces de monnaie du coffre dans le dispositif de collecte via le flexible. En effet, une fois le coffre complètement vidé, le personnel de collecte peut récupérer frauduleusement les pièces de monnaie encore contenues dans le flexible, ou se servir directement dans le dispositif de collecte. Le problème est qu'on ne peut pas détecter le vol de ces pièces de monnaie au cours de la collecte et qu'on ne peut pas en déterminer les auteurs. Cette collecte frauduleuse peut être qualifiée de "détournée".

    [0006] Pour accroître la sécurité de collecte de bornes à prépaiement, un objet de l'invention est de fournir un système supplémentaire de protection, qui s'ajoute à l'utilisation de la clé physique, permettant de diminuer le risque d'une collecte détournée en dissuadant le personnel de collecte de voler des pièces de monnaie au cours de la collecte.

    [0007] Pour atteindre ce but, selon l'invention, le système pour sécuriser et contrôler la collecte de bornes à prépaiement, est caractérisé en ce qu'il comprend un centre de collecte, des bornes (B₁ ...Bi) comprenant chacune un coffre pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation pour mémoriser des informations spécifiques à chaque borne Bi, des moyens de dialogue entre ledit centre de collecte et lesdites bornes (B₁ ... Bi) pour échanger des informations chiffrées, et des moyens de traitement pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la collecte en fonction des résultats de la comparaison.

    [0008] Selon un mode préféré de réalisation, le système comprend
    - des moyens externes auxdites bornes (B₁...Bi) pour générer des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques ;
    - des moyens pour chiffrer lesdits messages de commande ;
    - des moyens pour transmettre lesdits messages de commande chiffrés vers lesdites bornes (B₁...Bi) ;
    - des moyens situés dans chaque borne (B₁...Bi) pour déchiffrer ledit message de commande chiffré correspondant à ladite borne et pour valider ledit message de commande déchiffré ; et
    - des moyens situés dans chaque borne (B₁.....Bi) pour délivrer un signal de commande à un moyen mécanique permettant l'ouverture dudit coffre .
    - des moyens situés dans chaque borne (B₁...Bi) pour générer des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et pour chiffrer lesdits messages de retour ;
    - des moyens pour transmettre lesdits messages de retour d'informations chiffrés vers ledit centre de collecte ;
    - des moyens situés dans ledit centre de collecte pour déchiffrer lesdits messages de retour chiffrés et pour les valider ;
    - des moyens situés dans ledit centre de collecte pour comparer ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés avec celui des pièces de monnaie résultant de la collecte physique ; et
    - des moyens situés dans ledit centre de collecte pour traiter les résultats de cette comparaison afin de détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants à une valeur d'erreur près donnée, et pour identifier le personnel de collecte auteur du vol par connaissance des informations d'identification contenues dans lesdits messages de retour.

    [0009] Le procédé pour sécuriser et contrôler la collecte de bornes à prépaiement est caractérisé en ce qu'il comprend les étapes suivantes :
    - on fournit un centre de collecte ;
    - on fournit des bornes (B₁...Bi) comprenant chacune un coffre pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation pour mémoriser des informations spécifiques à chaque borne Bi ;
    - On fournit des moyens de dialogue entre ledit centre de collecte et lesdites bornes (B₁...Bi) pour échanger des informations chiffrées ;
    - On compare lesdites informations chiffrées avec lesdites informations spécifiques ; et
    - on autorise la collecte en fonction des résultats de la comparaison.

    [0010] Selon un mode préféré de mise en oeuvre de l'invention, les bornes sont des bornes pour la gestion du stationnement payant des véhicules.

    [0011] D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description qui suit de plusieurs modes de mise en oeuvre de l'invention donnés à titre d'exemples non limitatifs. La description se réfère au dessin annexé sur lequel :

    [0012] La figure unique est une vue en bloc diagramme d'un mode de mise en oeuvre du système de contrôle de la collecte selon l'invention.

    [0013] En se référant à la figure unique, on va décrire un mode de réalisation du système pour contrôler la collecte de bornes à prépaiement, notamment de bornes de stationnement payant pour véhicules. Le système comporte essentiellement un centre de collecte 10, comprenant entre autres un microordinateur 12, ayant pour rôle de sécuriser et contrôler la collecte de bornes de stationnement, un réseau de bornes de stationnement B₁... Bi comportant chacune une fente 14 pour l'introduction de pièces de monnaie. Les pièces introduites dans la fente 14 sont contrôlées par un sélecteur de pièces 16 qui détecte le montant effectif introduit dans la fente 14. Bien entendu, après être passées dans le sélecteur de pièces 16, les pièces de monnaie sont stockées temporairement dans un coffre 18, décrit précédemment, avant leur transfert dans un dispositif de collecte.

    [0014] Le système comporte de plus un terminal portable 24, porté par le préposé chargé de la collecte des bornes B₁...­Bi assurant la liaison et l'échange d'informations entre le centre de collecte 10 et le réseau de bornes B₁...­Bi.

    [0015] On envoie une clé logique (suite ordonnée d'un certain nombre de bits) caractéristique de chacune des bornes du réseau, du centre de collecte à la borne considérée par l'intermédiaire du terminal portable 24. Si la clé logique est cohérente avec un certain nombre de critères ou données mémorisés dans la borne, l'électronique de la borne va commander l'ouverture du coffre stockant les pièces de monnaie en actionnant un moyen mécanique d'ouverture. La clé logique n'est en fait valide que pendant la durée de la collecte car le coffre ne peut être ouvert que s'il y a identité d'un certain nombre de données entre celles contenues dans la borne et celles contenues dans la clé logique. La clé physique toutefois peut exister pour accroître la sécurité.

    [0016] Pour fonctionner, le système doit obéir à deux impératifs. Il faut que la clé logique, si elle peut être modifiée au cours de son transfert entre le centre de collecte 10 et la borne considérée via le terminal 24, ne soit pas cohérente avec les critères mémorisés dans la borne et donc non validée par la borne, empêchant ainsi l'ouverture du coffre, et donc la collecte. Il faut d'autre part que le coffre de la borne authentifie la clé logique spécifique comme provenant effectivement du centre de collecte. Pour signer son intervention, le centre de collecte génère des clés logiques, utilisant une technique de chiffrement.

    [0017] Le centre de collecte 10, par l'intermédiaire du microordinateur 12 sélectionne une équipe de collecte et un circuit de collecte pour un réseau de bornes B₁... Bi.

    [0018] Les numéros de série de chaque borne du réseau sont mémorisés dans la mémoire 13 du microordinateur 12. Un programme du microordinateur 12 génère les messages de commande en clair pour chaque borne du réseau (message MC), c'est à dire les clés logiques en clair. Chaque message de commande comprend un message d'informations fonction de l'équipe de collecte, de la date, du numéro de série de la borne considérée et d'un indice R spécifique à chaque borne Bi dont la fonction sera décrite ultérieurement suivi de l'ordre pour relever le montant de pièces de monnaie contenues dans le coffre de la borne considérée, ledit montant étant mémorisée dans cette borne et de l'ordre d'ouverture de coffre. L'indice R et le numéro de série spécifiques à chaque borne Bi constituent ce qu'on appelle les informations spécifiques à la borne Bi.

    [0019] Ce message d'informations est par exemple de la forme : /Equipe collecte 23/11mars 1989/Borne no 46 281/R.

    [0020] Ces messages de commande sont ensuite chiffrés ou cryptés dans le microordinateur 12 en utilisant la fonction R.S.A. de cryptage ou chiffrement à clé publique. Cette fonction comprend une clé secrète d₁, et un couple (e,n₁) formant clé publique, supposée connue. Dans le mode de réalisation décrit, la clé d₁ et le couple (e,n₁) sont utilisés pour chiffrer les messages de commande de toutes les bornes d'un même réseau, mais on peut tout aussi bien envisager une clé secrète d et un couple (e,n) spécifiques à chaque borne du réseau. Le message de commande (MC), ainsi chiffré par l'utilisation de la clé secrète d₁ et du couple (e, n₁), est transformé en un message de commande chiffré ou signé (MC chiffré) correspondant à la clé logique définie précédemment. Dans le centre 10, on peut schématiser le chiffrement par la formule
    MCd1 modulo (n₁) = MC chiffré.

    [0021] Une carte à mémoire électronique 20, dans le centre 10, mémorise le couple clé secrète - clé publique (d₁, n₁), e mémorisé dans la mémoire 13 étant égal à trois dans le mode réalisation décrit, protégée en lecture par une clé propre et un code confidentiel . La carte 20 est ensuite introduite dans le lecteur de carte 22 qui est lui-même connecté au microordinateur 12.

    [0022] Le microordinateur 12 pour chiffrer un message de commande d'une borne Bi du réseau utilise la clé secrète d₁ mémorisée dans la carte 20 via le lecteur 22. Les messages de commande chiffrés ainsi obtenus, correspondant à chacune des bornes du réseau, sont stockés dans la mémoire 13. L'utilisation de la carte à mémoire électronique 20 permet de gérer les opérations de chiffrement sans que l'utilisateur préposé au centre de collecte connaisse la valeur de la clé secrète d₁. La carte à mémoire 20, support de la clé secrète d₁, peut être confiée à un seul employé de confiance responsable du centre de collecte 10, limitant ainsi les risques de connaissance frauduleuse de la clé d₁.

    [0023] En effet, la connaissance de la clé secrète d₁ permet de chiffrer n'importe quel message de commande, et la borne Bi via le terminal 24, reconnaissant la signature du centre 10, envoie un signal de commande pour l'ouverture du coffre si le message de commande comprend un ordre d'ouverture de coffre, ce qui est à l'opposé du but recherché, d'où l'intérêt d'un accès difficile à la clé secrète d₁, par exemple mémorisée dans une carte à mémoire électronique 20.

    [0024] Le terminal portable 24 porté par le préposé chargé de la collecte comprend un circuit électronique 42 avec une mémoire de stockage 26. La recopie dans la mémoire de stockage 26 du terminal portable 24 des messages de commande chiffrés correspondant à chaque borne Bi ou clés logiques stockés dans la mémoire 13 du microordinateur 12, peut se faire par liaison filaire, par rayonnement infrarouge ou tout autre type de liaison capable de transmettre des informations. Dans le cadre du mode de réalisation par transmission infrarouge, le terminal 24 est muni d'un émetteur-récepteur infrarouge 28 pour dialoguer avec le centre 10 qui est également muni d'un émetteur-récepteur infrarouge 30. Un tel système est décrit dans la demande de brevet européen no 84/401799.

    [0025] La borne Bi comprend un microprocesseur 32 qui gère l'ensemble de ses fonctions comprenant une mémoire 34. Le microprocesseur 32 et la mémoire 34 forme la carte principale 46 de la borne Bi.

    [0026] Le coffre 18 de la borne Bi comprend un microprocesseur 40 avec une mémoire 38 mémorisant entre autres informations le numéro de série de ladite borne Bi, le microprocesseur 40 étant relié au microprocesseur 32 de la borne Bi. La carte principale 46 joue le rôle d'intermédiaire entre le terminal 24 et le microprocesseur 40 du coffre 18.

    [0027] Le signal délivré par le sélecteur de pièces 16, représentatif du montant de pièces de monnaie introduites par la fente 14 de la borne Bi est envoyé au microprocesseur 32 de la carte principale 46 qui calcule le montant correspondant de pièces de monnaie. Ce montant est ensuite additionné au montant global de pièces de monnaie déjà introduites dans le coffre 18 via la fente 14, ledit montant global étant mémorisé dans la mémoire 34. Ce montant global est ensuite envoyé périodiquement, par exemple quotidiennement, dans la mémoire 38 du microprocesseur 40 du coffre 18 en venant écraser la valeur du montant global précédemment envoyé du microprocesseur 32 dans la mémoire 38 du coffre. D'autres informations sont mémorisées dans la mémoire 34 comme par exemple l'état de la pile d'alimentation de la borne Bi délivré par le dispositif 44 et la date.

    [0028] Le préposé à la collecte présente le terminal portable 24 à la borne Bi. Par transmission infrarouge et par activation de l'émetteur-récepteur infrarouge 36 de la borne Bi, ou par tout autre moyen de transmission, le terminal 24 envoie un ordre de lecture du numéro de série à la carte principale 46 de la borne Bi. En réponse, le terminal 24 par l'intermédiaire de son circuit électronique 42 reçoit le numéro de série de la borne Bi considérée, envoyé par le microprocesseur 40 via la carte principale 46. Le circuit électronique 42 du terminal portable 24 compare le numéro de série reçu de la borne Bi considérée avec une liste préenregistrée dans la mémoire 26 du circuit électronique 42 de numéros de série des bornes auxquelles est adressé un message de commande chiffré. Cette liste préenregistrée de numéros de série élaborée par le centre de collecte 10, est chargée dans la mémoire 26 du circuit électronique 42 du terminal 24 lors de la transmission des messages de commande chiffrés du centre de collecte vers le terminal 24. S'il y a correspondance de valeur entre le numéro de série reçu et un des numéros de série contenus dans la liste préenregistrée, le terminal 24 transmet par les moyens 28 et 36 le message de commande chiffré correspondant ou clé logique vers la carte principale 46 de la borne Bi. Cette clé logique est ensuite transmise de la carte principale 46 vers la mémoire 38 du microprocesseur 40 du coffre 18 pour y être déchiffrée. Cette opération de déchiffrement de la clé logique ne peut s'effectuer qu'à l'intérieur du coffre 18 par le microprocesseur 40, qui ne doit pas être accessible au personnel de collecte, et non dans la carte principale 46 auquelle le personnel de collecte a accès en pratique. Par utilisation de la clé publique (e, n₁) mémorisée dans la mémoire 38, la clé logique ou message de commande chiffré correspondant à la borne Bi, est déchiffré par le microprocesseur 40 du coffre qui génère le message de commande en clair (message MC). Dans le coffre, on peut schématiser le déchiffrement de la clé logique par la formule
    (MC chiffré)e modulo (n₁) = MC.

    [0029] La validation du message MC en clair est effectuée par le microprocesseur 40 du coffre en comparant la valeur de l'indice R mémorisée dans la mémoire 38 du coffre 18 avec celle de l'indice R contenue dans le message d'informations du MC en clair et en comparant le numéro de série de la borne Bi mémorisé dans la mémoire 38 du coffre avec celui contenu dans le message d'informations. S'il y a correspondance de valeur, le microprocesseur 40 envoie un message de retour d'informations chiffré au terminal 24 via la carte principale 46 qui est la réponse à l'ordre pour relever le montant de pièces de monnaie contenu dans le message de commande. Par ailleurs, si le message de commande MC contient l'ordre d'ouverture de coffre, le microprocesseur 40 envoie un signal à une électronique de commande, commandant un moyen mécanique d'ouverture du coffre 18, en l'occurence une tige métallique qui se trouve sur la course de dégagement du pène de la serrure précédemment décrite manoeuvrable par la clé physique. La tige, actionnée par l'électronique 48, perpendiculaire au pène de la serrure, effectue un mouvement vertical de telle sorte qu'elle se trouve entièrement au-dessus du plan contenant le pène. Le pène, dont la course de dégagement est ainsi libérée, peut être actionnée par la clé physique.

    [0030] Cela provoque aussi l'envoi d'un message sur l'écran 50 du terminal 24 à l'adresse du préposé à la collecte dont l'intitulé est "introduisez la clé physique", par l'intermédiaire des microprocesseurs 40 et 32 de la borne Bi.

    [0031] A compter de la validation du MC par le microprocesseur 40, une temporisation d'une durée déterminée démarre, pendant laquelle le préposé à la collecte, prévenu par l'apparition du message sur l'écran 50 du terminal 24, doit introduire la clé physique permettant d'actionner le pène libérant l'obturateur. Pendant la durée de cette temporisation, la tige métallique se trouve en position haute par rapport au pène. A la fin de la temporisation, la tige revient à sa position initiale, bloquant le pène de la serrure, de sorte que si on veut collecter de nouveau la borne Bi, il faut attendre l'envoi d'une nouvelle clé logique avec l'indice R correct, par le relais du terminal 24, car la fin de la temporisation provoque aussi la modification de l'indice R mémorisé dans la mémoire 38, par l'utilisation d'un algorithme mémorisé dans la mémoire 38 du microprocesseur 40 du coffre 18. Cette modification peut être une incrémentation d'une unité de l'indice R. Cette modification de l'indice R permet de rendre inutilisable les clés logiques des collectes précédentes pour la borne Bi, car dans ce cas-là la non correspondance des valeurs des indices R contenus dans les clés logiques déchiffrées et la mémoire 38 du microprocesseur 40 ne permet pas la validation du message de commande. De ce fait même si le message de commande contient l'ordre d'ouverture de coffre, le microprocesseur 40 n'envoie pas un signal à l'électronique de commande 48, la tige métallique reste dans sa position, ne permettant pas le dégagement du pène et donc le coulissement de l'obturateur, même si la personne mal intentionnée a en sa possession la clé physique. La modification de l'indice R provoque aussi la mise à zéro du montant global de pièces de monnaie contenues dans le coffre 18, mémorisé dans la mémoire 34.

    [0032] Le MC chiffré ou la clé logique doit au-moins être intègre, c'est-à-dire qu'il ou elle n'apu être chiffré que par le centre de collecte 10, cette signature par utilisation de la clé d₁ étant authentifiée par le microprocesseur 40 du coffre 18 de la borne Bi. Un éventuel fraudeur pourra connaître la contenu du message MC en clair car le couple (e,n) forme clé publique et que MC chiffré peut être frauduleusement lu dans le terminal 24, mais il ne pourra pas fabriquer des MC chiffrés sans la connaissance de la clé d₁.

    [0033] Dans un deuxième temps, on va aborder le problème de la détection du vol de pièces de monnaie au cours de la collecte et de la prévention de la collecte "détournée". On a déjà signalé ci-avant que la présence de l'ordre pour relever le montant de pièces de monnaie dans le message de commande provoque l'envoi d'un message de retour d'informations chiffré de la borne Bi dans le terminal 24 dont la création est décrite ci-après. Le microprocesseur 40 du coffre 18 génère un message de retour d'informations en clair (message RICL) composé d'informations mémorisées dans sa mémoire 38 ou dans la mémoire 34 de la carte principale 46 telles que des informations sur l'identification du personnel de collecte, la date, le numéro de série de la borne Bi collectée, le montant des pièces de monnaie contenues dans le coffre 18, ou encore des données liées à la maintenance ou tout autre information. Ce message RICL peut se présenter sous la forme :
    Equipe collecte 23/11 mars 1989/borne no 46 281/­Somme 5250 FF/

    [0034] Pour générer le message RICI, le microprocesseur 40 du coffre 18, une fois déchiffré le MC chiffré, récupère l'information sur l'identification du personnel de collecte (ex : Equipe Collecte 23) contenue dans le MC en clair, pour l'intégrer dans le message RICL.

    [0035] Le message RICL est ensuite chiffré ou crypté au niveau du microprocesseur 40 en utilisant la fonction D.E.S. (Data Encription Standard) de cryptage ou chiffrement à clé symétrique k qui doit rester secrète. Le message RICL, chiffré par l'utilisation de la clé secrète k mémorisée au niveau de la mémoire 38, est transformé en un message de retour d'informations chiffré (message RICH). On peut schématiser le chiffrement du RICL au niveau du microprocesseur 40 par la formulation :
    DES (k, RICL) = RICH

    [0036] Le DES consiste à effectuer des permutations et certaines opérations non linéaires sur les bits du message à chiffrer. Ces manipulations de bits sont paramétrés par k.

    [0037] Le RICH ainsi obtenu, est transféré dans la mémoire 26 du terminal 24 via la carte principale 46. Dès que le préposé ou l'équipe de collecte a collecté l'ensemble des bornes B₁... Bi du circuit de collecte préalablement défini, il ou elle retourne au centre de collecte 10 et effectue le transfert des messages de retour d'informations chiffrés des bornes B₁.... Bi effectivement collectées du circuit de collecte, de la mémoire 26 du microprocesseur 42 du terminal 24 dans la mémoire 13 du microordinateur 12 du centre de collecte 10 par l'intermédiaire des moyens 30 et 28, ou de tout autre moyen de transmission terminal portable - centre de collecte.

    [0038] Lors de l'initialisation du système, le centre de collecte (10) génère des ordres d'initialisation en clair spécifiques à chacune des bornes Bi, qui sont envoyés dans le microprocesseur 40 de chaque coffre 18 des bornes Bi pour y être traités, via le terminal portable 24 et la carte principale 46. Chacun de ces ordres contient le numéro de série de la borne considérée, la clé k de la fonction DES, la clé publique (e, n₁) de la fonction RSA et l'indice R qui est égal à un. Dès que le microprocesseur 40 du coffre 18 reçoit cet ordre d'initialisation spécifique à la borne Bi, il stocke dans sa mémoire 38 les informations contenues dans l'ordre d'initialisation telles que la clé k, la clé (e,n₁), la valeur de l'indice R et le numéro de série de la borne considérée.

    [0039] Par utilisation de la clé secrète k mémorisée dans de la carte à mémoire 20 introduite dans le lecteur de carte 22, le microordinateur 12 déchiffre les messages RICH de chacune des bornes Bi aboutissant à la restitution des messages de retour d'informations en clair RICL de chacune des bornes Bi. Dans le microordinateur 12, le déchiffrement des messages RICH se présente sous la forme :
    DES⁻¹ (k, RICH) = RICL.

    [0040] Seule la connaissance de la clé secrète k permet de chiffrer ou déchiffrer les messages RICL ou RICH. De ce fait, la fonction DES assurent les propriétés de confidentialité et d'intégrité des informations contenues dans les messages de retour chiffrés.

    [0041] Un circuit de traitement 52 relié au microordinateur 12 calcule le montant global de pièces de monnaie théoriquement contenues dans l'ensemble des coffres des bornes B₁...Bi effectivement collectées du circuit de collecte en additionnant les montants de pièces de monnaie théoriquement contenues dans chaque coffre des bornes Bi, indiqués dans les messages RICL de chacune des bornes Bi. Le circuit 52 traite aussi les autres informations contenues dans les messages RICL.

    [0042] Pour détecter le vol des pièces de monnaie au cours de la collecte des bornes B₁... Bi du circuit de collecte, il suffit de comparer le montant des pièces de monnaie effectivement contenues dans le chariot de collecte issues de la collecte des bornes B₁... Bi avec le montant global de pièces de monnaie théoriquement contenues dans chaque borne Bi. Cette comparaison est effectuée par le comparateur 54 et les résultats de cette comparaison sont traités par le circuit de traitement 52. Si ces deux montants sont égaux à un pourcentage d'erreur près donné, il n'y a pas eu de vol au cours de cette collecte pour le circuit de collecte donné. Par contre, si la différence entre les deux montants est supérieure au pourcentage d'erreur donné, cela indique qu'un vol de pièces de monnaie a été effectué au cours de cette collecte et ce vol est ainsi détecté. Les auteurs de ce vol peuvent être facilement identifiés par les indications contenues dans les messages de retour d'informations sur l'équipe de collecte.

    [0043] Cette détection de vol de pièces de monnaie au cours de la collecte peut ainsi prévenir la collecte qualifiée de "détournée".

    [0044] La valeur de l'indice R précédemment mentionné, est mémorisée dans la mémoire 13 du microordinateur 12. Dès que la microordinateur 12 reçoit les messages de retour d'informations, la valeur de l'indice R spécifique à chaque borne Bi est écrasée par la nouvelle valeur de l'indice R spécifique à chaque borne Bi contenue dans les messages de retour d'informations, et c'est cette nouvelle valeur R spécifique qui sera intégrée dans les prochains messages de commande des bornes B₁... Bi de ce circuit de collecte. La validation du message de commande dans la borne Bi pourra s'effectuer, car la correspondance de la valeur de l'indice R contenu dans la borne et celle du R contenu dans le message de commande correspondant sera effective.

    [0045] Il est possible que des fraudeurs arrivent à casser le cryptosystème, c'est à dire à connaître la clé secrète d₁ de la fonction RSA et la clé secrète k de la fonction DES, soit par des attaques cryptanalytiques, soit en lisant directement la clé secrète d₁ dans la carte à mémoire 20 du centre de collecte 10 ou en lisant la clé secrète k dans le coffre 18 ou le centre de collecte 10. La lecture des clés secrètes est catastrophique car le fraudeur peut alors collecter les bornes B₁... Bi du circuit de collecte concerné ou introduire de fausses informations, notamment sur le montant des pièces de monnaie contenues dans le coffre 18, dans le message de retour envoyé par la borne Bi vers le centre de collecte 10 via le terminal 24.

    [0046] Pour remédier à ce problème, il a été prévu lors de l'initialisation du système de mémoriser des clés de rechange dans le centre de collecte et dans le coffre 18 de la borne Bi. Concernant la fonction RSA, la carte à mémoire 20 mémorise le couple de clés (d₂, n₁) qui est effectivement utilisé pour chiffrer le message d'ouverture du coffre, mais aussi d'autres couples de clé (d₁, n₂), (d₃, n₃).. qui peuvent jouer le rôle de clés de rechange au cas où la clé secrète d₁ est connue d'un fraudeur. Chaque couple de clés (d₂, n₂), (d₃, n₃) peut être mémorisé dans une carte à mémoire spécifique.De même dans le coffre 18, la mémoire 38 mémorise la clé publique n₁ qui est effectivement utilisée, mais aussi d'autres clés publiques de rechange n₂, n₃..., e restant toujours égal à 3. Ces clés publiques de rechange n₂, n₃ sont mémorisées dans la mémoire 38 du coffre 18 par l'intermédiaire du terminal portable 24 lors de la phase d'initialisation par l'envoi d'un ordre d'initialisation en clair, précédemment défini, par le centre de collecte (10) vers la borne Bi. A partir du moment où on a la certitude que la clé secrète d₁ est connue d'un fraudeur, le centre de collecte 10 envoie via le terminal 24 un ordre chiffré par (d₁, n₁) vers le microprocesseur 40 du coffre 18 lui commandant d'utiliser dorénavant la clé publique suivante mémorisée dans la mémoire 38, en l'occurence n₂, pour déchiffrer les messages de commande. De même au niveau du centre de collecte 10, le microordinateur 12 utilisera dorénavant pour chiffrer les messages de commande le couple de clés suivant mémorisé dans la carte à mémoire 20, ou mémorisé dans une autre carte à mémoire, en l'occurence (d₂, n₂).

    [0047] Concernant la fonction D.E.S., la clé secrète k est mémorisée dans la carte à mémoire 20 et dans la mémoire 38 du coffre 18. En cas de connaissance frauduleuse, la clé k doit être changée. Le microordinateur 12 commande l'effacement de la clé k dans la carte à mémoire 20 et l'inscription dans cette même carte de la nouvelle clé k. Il envoie un ordre chiffré par la fonction RSA de changement de la clé k, contenant le chiffrement DES de la la nouvelle clé k à l'aide de l'ancienne clé k, au microprocesseur 40 du coffre 18 via le terminal 24. Le coffre 18, recevant cet ordre via le terminal 24, le déchiffre et la nouvelle clé k est inscrite dans la mémoire 38 du microprocesseur 40 à la place de l'ancienne clé k.

    [0048] Lors de l'initialisation du système, la valeur de l'indice R pour chacune des bornes Bi mémorisé dans la mémoire 13 du microordinateur 12 du centre de collecte 10 est mise à un.


    Revendications

    1) Système pour sécuriser et contrôler la collecte de bornes à prépaiement (B₁...Bi) caractérisé en ce qu'il comprend un centre de collecte (10), des bornes (B₁...Bi) comprenant chacune un coffre (18) pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation (34, 38) pour mémoriser des informations spécifiques à chaque borne Bi, des moyens de dialogue (24, 28, 30, 36) entre ledit centre de collecte (10) et lesdites bornes (B₁... Bi) pour échanger des informations chiffrées, et des moyens de traitement (10, 12, 13, 16, 20, 22, 24, 28, 30, 32, 34, 36, 38, 40, 46, 48, 52, 54) pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la collecte en fonction des résultats de la comparaison.
     
    2) Système selon la revendication 1 caractérisé en ce que lesdits moyens de traitement (10, 12, 13, 20, 22, 24, 28, 30, 32, 34, 36, 38, 40, 48) comprennent :
    - des moyens (10, 12, 13, 20, 22) externes auxdites bornes (B₁...Bi) pour générer des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques ;
    - des moyens (12, 13) pour chiffrer lesdits messages de commande ;
    - des moyens (24, 28, 30, 32, 34, 36, 46) pour transmettre lesdits messages de commande chiffrés vers lesdites bornes (B₁...Bi) ;
    - des moyens (38, 40) situés dans chaque borne (B₁...Bi) pour déchiffrer ledit message de commande chiffré correspondant à ladite borne et pour valider ledit message de commande déchiffré ; et
    - des moyens (48) situés dans chaque borne (B₁.....Bi) pour délivrer un signal de commande à un moyen mécanique permettant l'ouverture dudit coffre (18) .
     
    3) Système selon la revendication 2 caractérisé en ce que lesdits moyens de traitement (10, 12, 13, 16, 24, 28, 30, 32, 34, 36, 38, 40, 46, 52, 54) comprennent de plus:
    - des moyens (16, 38, 40, 44) situés dans chaque borne (B₁...Bi) pour générer des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre (18) de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et pour chiffrer lesdits messages de retour ;
    - des moyens (24, 28, 30, 32, 34, 36, 46) pour transmettre lesdits messages de retour d'informations chiffrés vers ledit centre de collecte (10) ;
    - des moyens (12, 13) situés dans ledit centre de collecte (10) pour déchiffrer lesdits messages de retour chiffrés et pour les valider ;
    - des moyens (54) situés dans ledit centre de collecte (10) pour comparer ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés avec celui des pièces de monnaie résultant de la collecte physique ; et
    - des moyens (52) situés dans ledit centre de collecte (10) pour traiter les résultats de cette comparaison afin de détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants à une valeur d'erreur près donnée, et pour identifier le personnel de collecte auteur du vol par connaissance des informations d'identification contenues dans lesdits messages de retour.
     
    4) Système selon l'une quelconque des revendications 2 et 3 caractérisé en ce que lesdits moyens (38, 40) de validation dudit message de commande déchiffré comprennent des moyens (38, 40) pour comparer la valeur d'un numéro de borne Bi correspondant à une desdites informations spécifiques, contenue dans ledit message déchiffré avec la valeur du numéro de borne Bi mémorisé dans lesdits moyens de mémorisation (34, 38), et des moyens (40) pour traiter les résultats de cette comparaison afin de valider ledit message de commande déchiffré en fonction des résultats de ladite comparaison.
     
    5) Système selon l'une quelconque des revendications 2,3 et 4 caractérisé en ce que lesdits moyens (38, 40) de validation dudit message de commande déchiffrée comprennent des moyens (38, 40) pour comparer la valeur d'un indice R correspondant à une desdites informations spécifiques,contenue dans ledit message de commande déchiffrée avec la valeur de l'indice R mémorisé dans lesdits moyens de mémorisation (34, 38), des moyens (40) pour traiter les résultats de cette comparaison afin de valider ledit message de commande déchiffré en fonction des résultats de ladite comparaison, et des moyens (38, 40) pour modifier ledit indice R mémorisé dans lesdits moyens de mémorisation (34, 38) à la fin de chaque collecte réalisée de sorte que les messages de commande des précédentes collectes ne sont plus valables et ne peuvent pas être validées.
     
    6) Système selon la revendications 3 caractérisé en ce que lesdits moyens de mémorisation (34, 38) comprennent une mémoire (38) et un microprocesseur (40) situés dans le coffre de chacune des bornes Bi et non accessibles au personnel de collecte, mémorisant notamment le montant des pièces de monnaie contenues dans ledit coffre (18).
     
    7) Système selon l'une quelconque des revendications 1 à 5 caractérisé en ce que lesdits moyens de mémorisation (34,38) comprennent une mémoire (38) et un microprocesseur (40) situés dans le coffre de chacune des bornes Bi et non accessibles au personnel de collecte, mémorisant notamment lesdites informations spécifiques.
     
    8) Système selon l'une quelconque des revendications 1 à 7 caractérisé en ce que lesdites bornes à prépaiement (B₁...Bi) sont des bornes de stationnement payant.
     
    9) Système selon l'une quelconque des revendications 1 à 8 caractérisé en ce que lesdits moyens de dialogue comprennent un terminal portable (24) comprenant un écran (50), un circuit électronique (42), une mémoire (26) pour mémoriser lesdites informations chiffrées et des moyens de transmission (28) avec ledit centre de collecte (10) et ladite borne Bi.
     
    10) Système selon l'une quelconque des revendications 2 à 9 caractérisé en ce que lesdits messages de commande sont chiffrés par un algorithme à clé secrète et à clé publique, ladite clé secrète étant mémorisée dans ledit centre de collecte (10) et ladite clé publique mémorisée à la fois dans ledit centre de collecte (10) et dans chaque borne Bi.
     
    11) Système selon l'une quelconque des revendications 3 à 9 caractérisé en ce que lesdits messages de retour sont chiffrés par un algorithme à clé secrète, ladite clé secrète étant mémorisée dans ledit centre de collecte (10) et dans chaque borne Bi.
     
    12) Procédé pour sécuriser et contrôler la collecte de bornes à prépaiement (B₁...Bi) caractérisé en ce qu'il comprend les étapes suivantes :
    - on fournit un centre de collecte (10) ;
    - on fournit des bornes (B₁...Bi) comprenant chacune un coffre (18) pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation (34, 38) pour mémoriser des informations spécifiques à chaque borne Bi ;
    - On fournit des moyens de dialogue (24, 28, 30, 36) entre ledit centre de collecte (10) et lesdites bornes (B₁...Bi) pour échanger des informations chiffrées ;
    - On compare lesdites informations chiffrées avec lesdites informations spécifiques ; et
    - on autorise la collecte en fonction des résultats de la comparaison.
     
    13) Procédé selon la revendication 12 caractérisé en ce que les étapes de comparaison et d'autorisation comprennent les étapes suivantes :
    - On génère à l'externe desdites bornes (B₁...Bi) des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques;
    - On chiffre lesdits messages de commande ;
    - On transmet lesdits messages de commande chiffrés vers lesdites bornes (B₁... Bi) ;
    - On déchiffre dans chaque borne (B₁...Bi) ledit message de commande chiffré correspondant à ladite borne et on valide ledit message de commande chiffré ; et
    - On envoie par des moyens (48) situés dans chaque borne (B₁...Bi) un signal de commande à un moyen mécanique permettant l'ouverture dudit coffre (18).
     
    14) Procédé selon la revendication 13 caractérisé en ce que les étapes de comparaison et d'autorisation comprennent de plus les étapes suivantes :
    - On génère dans chaque borne (B₁... Bi) des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre (18) de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et on chiffre lesdits messages de retour ;
    -On transmet lesdits messages de retour d'informations chiffrés vers ledit centre de collecte (10) ;
    -On déchiffre dans ledit centre de collecte (10) lesdits messages de retour chiffrés et on les valide ;
    -On compare dans ledit centre de collecte (10) ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés avec celui des pièces de monnaie résultant de la collecte physique ; et
    -On traite dans ledit centre de collecte (10) les résultats de cette comparaison afin de détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants à une valeur d'erreur près donnée, et pour identifier le personnel de collecte auteur du vol par connaissance des informations d'identification contenues dans lesdits messages de retour.
     
    15) Procédé selon l'une quelconque des revendications 12 à 14 caractérisé en ce que lesdites bornes à prépaiement (B₁...Bi) sont des bornes de stationnement payant.
     




    Dessins







    Rapport de recherche