Note: Descriptions are shown in the official language in which they were submitted.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
"Machine à affranchir et son procédé de fonctionnement"
La présente invention concerne une machine à affranchir
électronique.
Elle concerne également un procédé pour réaliser des
transactions entre cette machine à affranchir et un centre de contrôle
informatisé.
Les machines à affranchir comportent de manière classique des
moyens d'affranchissement qui permettent d'apposer une marque
d'affranchissement sur un courrier.
Des moyens de commande et de gestion de ces moyens
d'afFranchissement permettent de calculer la valeur d'affranchissement et de
créer la marque apposée sur le courrier.
De telles machines comportent également des moyens de
comptabilisation des affranchissements. Généralement, elles comportent un
compteur dit ascendant dont la valeur, à chaque impression d'une marque
d'affranchissement, est augmentée du montant de la valeur de cet
affranchissement, et/ou un compteur dit descendant, dont la valeur est
diminuée de cette même valeur d'affranchissement.
Le compteur dit ascendant représente ainsi la valeur totale des
affranchissements imprimés par la machine depuis sa mise en service tandis
que le compteur dit descendant indique le crédit disponible, non encore
consommé depuis le dernier rechargement de la machine en unités monétaires.
Lors du fonctionnement de telles machines, il est nécessaire de
procéder périodiquement au rechargement du compteur dit descendant. II est
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
2
en outre utile d'effectuer des relevés des compteurs ou des statistiques
diverses sur les affranchissements réalisés par la machine.
On connait des systèmes qui permettent de transmettre des
informations de rechargement à une machine à affranchir grâce à une carte à
mémoire, du type carte à puce, qui est transportée entre le centre de contrôle
informatisé et la machine à affranchir. Un tel système est décrit par exemple
dans la demande de brevet FR 94 10530 au nom de la Demanderesse.
Cependant, pour obtenir une instruction de rechargement de
compteur, l'utilisateur doit effectuer une demande au centre de contrôle qui
crée
la carte mémorisant les instructions de rechargement èt l'envoie ensuite à
l'utilisateur.
Un tel système présente l'inconvénient d'être long à mettre en
oeuvre et d'utiliser une carte qui transite entre le centre et le site sur
lequel est
utilisée la machine à affranchir.
Afin d'accélérer l'opération de rechargement, on peut disposer
d'un terminal télématique directement sur le site de l'utilisateur, ce
terminal
étant relié au centre de contrôle au moyen d'un modem, la communication
passant par le réseau téléphonique public. Chaque carte à mémoire, associée
respectivement à une machine à affranchir, peut être insérée dans le terminal
et
des données de rechargement, envoyées par le centre, sont inscrites sur la
carte à mémoire. Cette carte est ensuite de manière classique insérée dans la
machine à affranchir associée.
Cependant, même dans ce système amélioré, la carte à mémoire
est périodiquement extraite de la machine à affranchir. Elle doit par
conséquent
présenter des garanties importantes pour éviter toute fraude sur les données
inscrites sur cette carte.
La présente invention a pour but de proposer une machine à
affranchir et un procédé pour réaliser des transactions entre le centre de
contrôle et la machine à affranchir, qui permettent notamment la réalisation
de
ces transactions de manière rapide et sécurisée.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
3
A cet effet, la machine à affranchir électronique comprend des
moyens d'affranchissement et des moyens de comptabilisation des
affranchissements.
Conformément à l'invention, cette machine à affranchir comporte
des moyens de connexion, via un réseau de communication informatique, à un
serveur central d'un centre de contrôle informatisé, et des moyens formant
serveur informatique adaptés à émettre et recevoir des requêtes et des
réponses informatiques pour réaliser des transactions avec le serveur central,
les transactions étant choisies parmi au moins un rechargement des moyens de
comptabilisation des affranchissement, un transfert de wfichiers formant des
relevés des moyens de comptabilisation et un cycle d°affranchissement.
Grâce à l'invention, la machine à affranchir est assimilable à un
terminal informatique qui peut directement échanger des informations avec un
serveur central du centre de contrôle, par exemple par un réseau de
communication du type Internet.
En utilisant un protocole de communication, tel que par exemple le
protocole pour le transport d'hypertexte ( en anglais Hyper Text Transfer
Protocol ou HTTP) défini pour le réseau de communication utilisé, on peut
aisément transférer des informations de la machine à affranchir vers le
serveur
central et réciproquement.
II n'est plus nécessaire d'utiliser un objet portatif du type carte à
mémoire amovible pour effectuer les opérations de rechargement ou d'analyse
de la machine.
En outre, la connexion de la machine à affranchir au serveur
central directement par un réseau informatique permet éventuellement d'exiger
une autorisation du centre pour chaque cycle d'affranchissement et non plus
pour une valeur globale d'affranchissement stockée sur la machine dans le
compteur dit descendant, puis dépensée au fur et à mesure de cycles
successifs d'affranchissement.
Selon une caractéristique préférée de l'invention, les moyens
formant serveur informatique comprennent autant de serveurs informatiques
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
4
distincts que de types de transaction à réaliser entre ladite machine et le
serveur central.
Ainsi, les serveurs informatiques sont dédiés à une opération et
une seule de telle sorte qu'une autorisation spécifique peut étre accordée à
chaque serveur de la machine à affranchir par le serveur central pour la
réalisation d'une transaction.
En pratique, plusieurs serveurs peuvent étre incorporés
physiquement dans la machine à affranchir ou bien un serveur principal peut
être organisé en sous-serveurs ayant chacun une fonction spécifique.
Selon une caractéristique préférée de l'invention, la machine à
affranchir comporte des moyens de calcul de données d'inspection adaptés à
authentifier l'état des moyens de comptabilisation.
Ces données d'inspection permettent de certifier l'authentification
de la machine au niveau du serveur central et de vérifier l'intégrité des
différents
compteurs.
En pratique, les moyens de calcul de données d'inspection sont
adaptés à produire un cryptogramme à partir de données des moyens de
comptabilisation et d'une clé numérique secrète associée à un algorithme de
calcul.
La clé numérique, qui peut étre initialisée en usine, permet de
signer les données d'inspection transmises.
Elle peut étre dynamique et ëtre modifiée au cours du temps, par
exemple à chaque nouvelle transaction.
Selon un autre aspect de l'invention, un procédé de réalisation
d'une transaction entre une machine à affranchir conforme à l'invention et un
serveur central d'un centre de contrôle informatisé, mis en oeuvre sur ladite
machine à affranchir, comporte les étapes suivantes
- connexion de la machine à affranchir avec ledit serveur central ;
- transfert d'un identifiant ;
- blocage de ladite machine à affranchir ;
- transfert d'un code de transaction ;
- réalisation de ladite transaction ; et
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
- déblocage de ladite machine à affranchir.
Avant toute transaction entre le serveur central et la machine à
affranchir, un blocage de cette dernière permet de bloquer l'utilisation de la
machine et de prévenir toutes tentatives d'intrusions pour pirater le système
tant
5 que la transaction initialisée ne s'est pas déroulée correctement.
Le transfert d'un code de transaction permet d'authentifier auprès
du serveur central la fonction qui doit être demandée à la machine à
affranchir.
Ainsi, la réalisation d'une transaction requiert la réception d'une
autorisation spécifique du serveur central.
Selon une caractéristique préférée de l'invention, ce procédé
comprend en outre une étape de transfert de données d'inspection adaptées à
authentifier l'état des moyens de comptabilisation de la machine.
Cette étape permet au serveur central de vérifier l'intégrité des
données et de déceler toute fraude ou dysfonctionnement de la machine à
affranchir.
De préférence, ce procédé de réalisation d'une transaction
comprend deux étapes de transfert de données d'inspection, l'une avant et
l'autre après la réalisation de la transaction, ce qui permet de ne réaliser
la
transaction que si l'intégrité des différents compteurs est vérifiée et de
contrôler
que les différents paramètres transmis lors de la transaction ont été
correctement mémorisés.
Selon un aspect analogue et symétrique de l'invention, un procédé
de réalisation d'une transaction entre une machine à affranchir conforme à
l'invention et un serveur central d'un centre de contrôle informatisé, mis en
oeuvre sur le serveur central, comporte les étapes suivantes
- identification de la machine à affranchir ;
- réalisation de ladite transaction ;
- transfert d'un code de rechargement pour débloquer la machine ;
et
- déconnexion du serveur central de la machine à affranchir.
Ce procédé de réalisation d'une transaction mis en oeuvre sur le
serveur central présente des avantages et des caractéristiques préférentielles
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
6
symétriques à ceux décrits précédemment pour le procédé de réalisation d'une
transaction mis en oeuvre sur la machine à affranchir.
La présente invention concerne également un réseau de
communication informatique comportant au moins une machine à affranchir
conforme à l'information et un serveur central d'un centre de contrôle
informatisé.
Ce réseau de communication permet de relier en temps réel une
machine à affranchir à un centre de contrôle informatisé pour permettre la
réalisation d'un certain nombre de transactions à distance du type
rechargement de compteurs, relevés des compteurs, réalisation d'un cycle
d'affranchissement ou autres transactions.
D'autres avantages et particularités de l'invention apparaîtront
encore dans la description ci-après.
Aux dessins annexés, donnés à titre d'exemples non limitatifs
- la figure 1 est un diagramme blocs illustrant un réseau de
communication conforme à un mode de réalisation de l'invention ;
- la figure 2 est un schéma illustrant une machine à affranchir
conforme à un mode de réalisation de l'invention ;
- la figure 3 est un schéma illustrant les différentes couches de la
connexion d'une machine à affranchir à un réseau de communication
informatique ; et
les figures 4, 5 et 6 sont des graphes illustrant le procédé de
réalisation d'une transaction conforme à un mode de réalisation de
l'invention,
respectivement pour un rechargement de compteur, un relevé de compteur et
un cycle d'affranchissement.
La figure 1 illustre un réseau de communication informatique 1 qui
comporte plusieurs machines à affranchir 10 qui sont reliées par le réseau 1 à
un serveur central 20 d'un centre de contrôle informatisé 2.
Certaines machines à affranchir 10, numérotées 3,..., N, peuvent
être directement connectées au réseau de communication 1.
Alternativement, plusieurs machines à affranchir 10, numérotées
1, 2, ..., Z, peuvent étre connectées à un réseau de communication
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
7
informatique local 3, ce réseau local 3 étant connecté au serveur central 20
par
un serveur local intermédiaire 30.
Une telle configuration est particulièrement bien adaptée lorsque
plusieurs machines à affranchir 10 sont présentes sur un méme site 4, par
exemple à l'intérieur d'une entreprise, les machines à affranchir 10 étant
connecté au réseau local de l'entreprise, du type réseau Ethernet.
Le serveur central 20 et le serveur 30 du réseau local 4 sont
typiquement des ordinateurs comprenant un microprocesseur, une mémoire
morte adaptée à enregistrer des programmes pour communiquer via les
réseaux de communication 1, 3 avec différents serveurs de ces réseaux et une
mémoire vive qui enregistre les variables modifiées lors de l'exécution de ces
programmes.
Les machines à affranchir 10 comportent de façon classique,
comme illustrée schématiquement à la figure 2, des moyens d'affranchissement
11 qui comprennent par exemple une tête d'impression située au dessus d'un
plateau de guidage de l'objet sur lequel la marque d'affranchissement doit
être
apposée.
La machine 10 peut en outre comporter en tant que périphériques
un clavier 12 permettant à l'utilisateur de saisir certains paramètres
nécessaires
à l'affranchissement et une balance 13 pour la pesée des objets à affranchir.
Des moyens de commande et de gestion électronique sont
généralement adaptés à commander les moyens d'affranchissement 11 au
moyen de circuits électroniques internes pilotés par un microcontrôleur muni
d'un logiciel de gestion des affranchissements.
La machine 10 comporte en outre des moyens de comptabilisation
17 des affranchissements. Typiquement, deux compteurs sont intégrés à la
machine à affranchir, un compteur ascendant cumulant les valeurs
d'affranchissement délivrées par la machine depuis sa mise en service et un
compteur descendant débité à chaque affranchissement.
On comprend aisément que ce compteur doit étre périodiquement
rechargé et qu'un affranchissement par la machine n'est rendu possible que si
sa valeur n'excède pas la valeur stockée dans ce compteur descendant.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
8
Ces compteurs sont mémorisés de préférence sur une carte à
puce interne à la machine à affranchir 10 qui forme ainsi une mémoire
sécurisée 17. Cette mémoire sécurisée 17 pourrait être intégrée sur d'autres
types de support, tel que par exemple un microprocesseur OTP (en anglais
One-time Programmable).
A titre de variante, illustrée en pointillés à la figure 2, ces
compteurs 17 pourraient être logés dans une boîte plombée 15, en périphérie
de la machine à affranchir 10 proprement dite ( en anglais Postal Security
Device ou PSD).
Comme décrit plus loin en référence au fonctionnement de cette
machine à affranchir 10, la mémoire sécurisée 17 permet de mémoriser des
codes de rechargement de la machine 10, un jeu de clés numériques et un
algorithme de calcul d'un cryptogramme à partir de données des moyens de
comptabilisation 17 et d'une clé numérique.
Ces données mémorisées peuvent étre transférées au moins en
partie lors d'une phase d'initialisation de la machine à affranchir d'une
carte à
puce 16 vers la mémoire sécurisée 17 intégrée dans la machine à affranchir 10.
Comme cela sera mieux compris dans la description ci-après du
fonctionnement de la machine à affranchir 10, un jeu de codes de
rechargement est aussi mémorisé, ces codes de rechargement étant adaptés à
débloquer la machine lorsqu'un code de rechargement valide est transféré par
le serveur central.
Les formats des cartes à puce 16 ou 17 sont conformes à la
norme ISO. Elles sont équipées d'un microcircuit du type mémoire vive non
volatile, réinscriptible, du type EEPROM ou équivalent.
Conformément à l'invention, la machine à affranchir 10 comporte
des moyens de connexion 18, 19, via le réseau de communication informatique
1, au serveur central 20 du centre de contrôle informatisé 2.
Comme mieux illustré à la figure 3, on implémente dans la
machine à affranchir 10 une pile de protocoles TCP/IP qui permet d'accéder à
des moyens connus tels que internet ou éthernet en utilisant des connexions
18, 19 standards.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
9
Ce modèle de réseau informatique comporte de manière connue
une couche de transport 21 dite TCP (en anglais Transmission Control
Protocol) au dessus de la couche réseau ou internet 22 dite IP (en anglais
Internet Protocol).
Une couche de liaison 23, du type SLIP (en anglais Serial Line
Internet Protocol) ou PPP (en anglais Point-to-Point Protocol) est disposée au-
dessus de la couche physique permettant de relier proprement dit la machine
au réseau de communication 1.
Cette couche physique comporte soit une interface Ethernet 19
10 lorsque la machine 10 est connectée au réseau local 3, soit une connexion
du
type RS 232 18 dans le standard EIA (en anglais Electronic Industries
Association) qui permet de relier la machine à affranchir 10 directement au
réseau 1 via un modem.
Ce protocole TCP/IP est bien connu de l'homme du métier des
réseaux de communication informatique et ne nécessite pas d'être décrit en
détails ici.
Ce protocole TCP/IP permet d'accéder ainsi aux réseaux de
communication de façon standardisée, et notamment au réseau Internet. Ce
protocole est intégré avec un noyau temps réel et son activation dans la
machine est conditionnée au lancement du noyau temps réel.
II peut étre avantageux de munir la machine à affranchir 10 d'une
couche série 24, notamment pour des opérations de maintenance qui doivent
étre réalisées avant que la machine 10 n'ait lancé le noyau temps réel et donc
le protocole TCP/IP.
Cette couche série 24 peut utiliser un connecteur par
l'intermédiaire duquel on a accès aux circuits internes de la machine 10, ce
connecteur pouvant être raccordé à un ordinateur du centre 2 afin d'effectuer
une opération d'initialisation. Lors de l'utilisation normale de la machine,
l'accès
se fait par l'intermédiaire de la couche TCP/IP, le connecteur de la couche
série
24 pouvant étre masquée par une enveloppe de protection inviolable.
L'utilisation de ce protocole TCP/IP permet d'implémenter dans la
machine 10 des moyens formant serveur informatique 31 adaptés à émettre et
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
recevoir des requétes et des réponses informatiques pour réaliser des
transactions avec le serveur central 20 via le réseau de communication 1.
On peut ainsi implémenter un serveur central HTTP 31 avec des
fonctions spécifiques pour les différentes fonctions réalisées par la machine
10.
5 Ces fonctions ou transactions réalisées par la machine 10 peuvent
être de manière non limitatives choisies parmi
- un rechargement 32 des moyens de comptabilisation 17 des
affranchissements, et notamment le rechargement du compteur descendant,
- un transfert de fichiers formant des relevés 33 des moyens de
10 comptabilisation afin de contrôler l'état des compteurs 17 ou d'établir des
statistiques sur le type d'affranchissements réalisés par la machine 10,
un cycle d'affranchissement 34 qui permet de calculer et créer la
marque d'affranchissement à apposer à partir d'un logiciel de calcul et de
commande des affranchissements,
- éventuellement la mise à jour 35 d'une base de données
regroupant les tarifs applicables,
- la gestion des éléments périphériques 36, tels que le clavier 12
ou la balance 13,
- le contrôle à distance 37 via un ordinateur de la machine 10,
- une mise à jour 38, généralement partielle, du logiciel de calcul
et de commande des affranchissements,
- éventuellement une modification de la configuration succursale
39 pour modifier des paramètres relatifs à l'utilisateur qui ont été
introduits lors
de la phase d'initialisation de la machine 10,
- éventuellement une modification de la configuration usine 40
pour modifier des paramètres d'identification de la machine qui ont été
également introduits lors d'une phase d'initialisation de la machine 10, et
- une modification de l'accès technicien 41 pour autoriser ou non
l'accès à la machine, notamment pour des opérations de maintenance
périodiques.
Bien entendu, d'autres types de requêtes et de transactions
peuvent être prévus dans la machine à affranchir 10.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
11
Le serveur informatique HTTP 31 comprend ainsi autant de sous-
serveurs informatiques distincts 32 à 41 que de types de transaction à
réaliser
entre la machine 10 et le serveur central 20.
Les accès à toutes ou certaines de ces fonctions peuvent être
combinés avec des codes de transaction qui autorisent l'accès à l'un ou
l'autre
des serveurs 31-41.
Des procédés de signature par cryptogrammes peuvent
également être utilisés pour garantir l'intégrité des transactions réalisées.
Ainsi la machine à affranchir 10 peut comporter des moyens de
calcul de données d'inspection 25 adaptés à authentifier~l'état des moyens de
comptabilisation 17.
Ces moyens de calcul de données d'inspection 25 sont adaptés à
produire un cryptogramme calculé à partir de données stockées dans les
moyens de comptabilisation 17 et d'une des clés numériques associées à
l'algorithme de calcul.
On va décrire à présent, selon un second aspect de l'invention, un
procédé de réalisation d'une transaction mis en oeuvre par la machine à
affranchir 10 telle que décrite ci-dessus et un serveur central 20, la machine
à
affranchir 10 et le serveur central 20 étant connectés par le réseau de
communication Internet 1.
De manière générale, et comme illustré aux figures 4, 5 et 6, pour
réaliser une transaction, le procédé comporte tout d'abord une étape de
connexion E1, E21, E41 de la machine à affranchir 10 avec le serveur central
20.
En pratique, la machine passe tout d'abord en mode
communication, puis appelle le serveur central via le réseau informatique 1.
Une étape de transfert E2, E22, E42 d'un identifiant permet
d'adresser au serveur 20, une information permettant l'identification de la
machine 10 parmi toutes les machines à affranchir pouvant communiquer avec
le serveur central 20 via le réseau de communication informatique 1.
Cet identifiant peut être, à titre d'exemple non limitatif, un numéro
de bâti ou numéro de machine déterminé en usine.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
12
Le procédé comporte alors du coté serveur central 20 une étape
d'identification E3, E23, E43 de la machine à affranchir 10, en comparant
l'identifiant transmis aux identifiants mémorisés sur le serveur central 20.
Si la machine à affranchir est bien identifiée par le serveur central
20 comme appartenant à l'ensemble des machines 10 qui sont gérées par le
centre de contrôle informatisé 2, une étape de demande des données
d'inspection E4, E24, E44 est mise en oeuvre à destination de la machine à
affranchir 10.
Symétriquement, une étape de transfert des données d'inspection
E5, E25, E45 est ensuite mise en oeuvre sur la machine à affranchir, pour
authentifier l'état des moyens de comptabilisation 17 de la machine 10.
Un cryptogramme est ainsi calculé au moyen d'un algorithme
utilisant une clé secrète et des données issues des compteurs 17.
Le calcul du cryptogramme est réalisé par la machine à partir par
exemple d'un algorithme du type DES.
La clé secrète et le cryptogramme sont ensuite transférés au
serveur central 20.
Cette étape de transfert est suivie d'une étape de blocage E6,
E26, E46 de la machine à affranchir qui se verrouille, ce qui interdit son
utilisation tant que la transaction initialisée ne s'est pas déroulée
correctement.
Le verrouillage de la machine à affranchir 10 peut être réalisé de
différentes façons.
En pratique, par exemple lorsque l'on veut recharger le compteur
descendant, la valeur de ce dernier est transférée dans un compteur temporaire
et le compteur descendant proprement dit de la machine à affranchir 10 est mis
à zéro ce qui bloque la machine.
On crédite la machine en ajoutant une somme d'argent dans le
compteur temporaire.
Une fois la transaction réalisée correctement, le déblocage de la
machine est obtenu en transférant la valeur du compteur temporaire dans le
compteur descendant de la machine.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
13
Une étape de transfert d'un code de transaction E7, E27, E47 est
ensuite mise en oeuvre sur la machine à affranchir 10 pour authentifier la
transaction demandée.
Cette transaction peut être soit une demande de rechargement
des moyens de comptabilisation 17 des affranchissements (figure 4), c'est-à-
dire du compteur descendant, soit une demande de télérelevé (figure 5) lorsque
la transaction requise est un transfert de fichiers formant des relevés des
moyens de comptabilisation 17, soit une demande d'affranchissement (figure 6),
par exemple pour un certain nombre de courriers à affranchir avec une valeur
donnée, lorsque la transaction requise est un cycle d'affranchissement.
Bien entendu, d'autres types de transaction peuvent être
envisagés.
Dans le cas particulier de la figure 6, lors d'une demande
d'affranchissement, le procédé comporte en outre une étape E48 de demande
d'un montant d'affranchissement, entré par exemple par l'utilisateur au moyen
du clavier 12 de la machine à affranchir 10.
Le procédé comprend ensuite au niveau du serveur central 20 une
étape de vérification E8, E28, E49 du cryptogramme reçu. En pratique, le
cryptogramme est recalculé à partir des données reçues et de la clé numérique,
puis le serveur central 20 vérifie que le cryptogramme calculé est bien
identique
au cryptogramme transféré par la machine 10 afin d'authentifier l'état des
moyens de comptabilisation 17 de la machine 10 si les deux cryptogrammes
sont identiques.
Dans l'affirmative, la transaction proprement dite peut être
réalisée.
Ainsi, comme illustré à la figure 4, lorsque la transaction est un
rechargement du compteur descendant, un code de rechargement est transféré
lors d'une étape de transfert E10. Ce code de rechargement est choisi parmi
une liste de codes préenregistrées à la fois au niveau du serveur central 20
et
dans la mémoire sécurisée 17 de la machine 10, ce code de rechargement
étant associé à une valeur de rechargement du compteur.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
14
Cette manière de procéder évite tout transfert de valeur monétaire
sur le réseau informatique pour le rechargement du compteur. On pourra se
reporter avantageusement à la demande de brevet FR 94 10530 au nom de la
Demanderesse pour les détails relatifs au rechargement d'un compteur
descendant à partir de codes de rechargement préenregistrés.
Lorsque la transaction est un relevé des compteurs, comme
illustré à la figure 5, le serveur central forme une requéte pour demander que
les fichiers à télérelever soient transférés dans une étape E29.
Si la transaction concerne directement l'exécution d'un cycle
d'affranchissement, comme illustré à la figure 6, le serveur central 20
adresse
des informations d'affranchissement lors d'une étape de transfert E50, qui
permettront à la machine de composer la marque d'affranchissement à apposer
sur chacun des courriers.
On remarque qu'avant toute transaction, le calcul et la vérification
du cryptogramme par la machine 10 et le serveur central 20 permettent
préalablement de vérifier l'intégrité des compteurs 14 de la machine 10.
S'il n'y a pas concordance entre les cryptogrammes, la transaction
est interrompue.
Comme illustré aux figures 4 et 5, le procédé peut en outre
comporter une étape de transfert E9, E32 de données d'une prochaine
transaction, telles que par exemple une nouvelle clé numérique pour le calcul
de l'algorithme d'authentification des compteurs.
Comme illustré à la figure 4, cette étape de transfert de données
E9 pour une prochaine transaction peut être mise en ceuvre avant la
réalisation
de la transaction, ou alternativement, après la réalisation de la transaction,
comme illustré à la figure 5.
La transaction est alors réalisée sur la machine à affranchir.
Comme illustré à la figure 4, on recharge à une étape de
rechargement E12 le compteur descendant à partir du code de rechargement
reçu, en fonction d'une valeur préenregistrée en regard de ce code dans la
mémoire sécurisée 17.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
Lors d'un télérelevé, illustré à la figure 5, on transmet au serveur
central 20 des fichiers regroupant les données des compteurs 17 lors d'une
étape de transfert E30.
Du fait de l'utilisation d'un serveur HTTP 31 sur la machine, les
5 fichiers de télérelevés peuvent être directement écrits et transférés en
langage
de balisage hypertextuel (en anglais HyperText Markup Language ou HTML).
Une étape de vérification E31 des données reçues est en outre
mise en oeuvre sur le serveur central 20 pour vérifier que le télérelevé a été
correctement effectué.
10 Lors d'un cycle d'affranchissement, les informations transmises
par le serveur permettent comme illustré à la figure 6, d'affranchir un ou
plusieurs courriers lors d'une étape d'affranchissement E53 en apposant une
marque d'affranchissement créée de manière usuelle à partir d'un certains
nombres de paramètres (destination, poids du courrier, coordonnées de
15 l'expéditeur, pli recommandé, ...).
Cet affranchissement s'accompagne également d'une
incrémentation du compteur ascendant et d'une décrémentation du compteur
descendant de la valeur d'affranchissement correspondant au cycle
d'affranchissement exécuté.
Le procédé comporte en outre après la réalisation de la
transaction, de nouvelles étapes de demande et de transfert de données
d'inspection E11, E14, E33, E34, E52, E55 pour authentifier l'état des moyens
de comptabilisation 17 de la machine 10 une fois la transaction réalisée.
Cette authentification est particulièrement importante lors d'un
rechargement du compteur ou d'un cycle d'affranchissement et peut
éventuellement étre omise lorsque que les compteurs n'ont pas été a priori
modifiés par la transaction, comme cela est le cas lors d'un télérelevé.
Symétriquement, sur le serveur central 20, une étape de
vérification des données reçues E15, E35, E56 est mise en oeuvre pour
réceptionner et vérifier le cryptogramme associé à la clé numérique utilisée
pour son calcul.
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
16
La vérification du cryptogramme est adaptée à authentifier l'état
des moyens de comptabilisation une fois la transaction réalisée par la machine
à affranchir.
Cette étape de vérification est mise en oeuvre de la même
manière qu'à l'étape de vérification E8, E28, E49 décrite précédemment.
Une fois la transaction réalisée, ta machine à affranchir 10 est
déverrouillée dans une étape de déblocage E13, E37, E54.
Ce déblocage est autorisé lorsqu'un code de rechargement valide
est transmis par le serveur central 20 à la machine 10.
En pratique, la machine peut mémoriser un jeu de codes de
rechargement, éventuellement ordonné. Lorsqu'un code de rechargement est
reçu, la machine à affranchir vérifie que ce code fait partie du jeu de codes
mémorisés, et éventuellement, qu'il est identique à un code prédéterminé dans
l'ordre de parcours du jeu de codes mémorisés.
Lorsque la transaction est un rechargement des compteurs
comme illustré à la figure 4, le code de rechargement transféré à l'étape E10
permet de débloquer la machine 10.
Sinon, une étape spécifique de transfert d'un code de
rechargement E36, E51 est mise en oeuvre sur le serveur central 20.
Ce changement de code de rechargement à chaque transaction
avec le serveur central 20 permet de renforcer la sécurité d'accès au serveur
central 20 via le réseau de communication 1 pour éviter que des machines à
affranchir 10 se connectent sans autorisation à ce serveur 20.
Une dernière étape E16, E38, E57 permet de déconnecter la
machine à affranchir 10 du réseau de communication 1 en mettant fin au mode
communication.
Ce procédé conforme à l'invention permet ainsi de réaliser des
transactions diverses entre un serveur central 20 et une machine à affranchir
sans requérir de transfert matériel de l'un à l'autre.
Dans un mode préféré de l'invention, dans lequel un cycle
d'affranchissement tel qu'illustré à la figure 6 est mis en oeuvre, la machine
10
CA 02373053 2001-11-02
WO 00/68895 PCT/FR00/00660
17
doit systématiquement demander une autorisation au serveur central 20 pour
affranchir.
Eventuellement, les informations transmises par le serveur central
20 pour le cycle d'affranchissement peuvent comprendre une indication de
rechargement du compteur descendant, d'une valeur juste égale à la valeur
nécessaire pour réaliser le cycle d'affranchissement. Une fois ce dernier
terminé, le compteur descendant retrouve sa valeur initiale, par exemple une
valeur nulle.
Le serveur central 20 gère la comptabilisation de la machine,
celle-ci ne gérant plus directement d'argent.
Elle possède des compteurs pour garantir une sécurisation du
système dans sa globalité, ces compteurs étant utilisés lors de
l'authentification
de la machine 10 par le serveur central 20 du centre de contrôle 2.
Bien entendu, de nombreuses modifications peuvent étre
apportées à l'exemple décrits ci-dessus sans sortir du cadre de l'invention.
Ainsi d'autres transactions peuvent être réalisées sur le réseau de
communication 1 entre la machine 10 et le serveur central 20, par exemple pour
mettre à jour des tarifs ou le logiciel de calcul de la marque
d'affranchissement.
Les procédures d'authentification et de signature telles que décrites
précédemment peuvent également étre utilisées lors de ces transactions afin
d'authentifier la machine à affranchir 10 qui requiert la transaction.
