EP2058769B1 - Procédé d'affranchissement et système d'expédition de courrier avec augmentation de frais de port centrale - Google Patents

Claims (21)

1. Procédé d'affranchissement avec relevé centralisé du montant d'affranchissement dans le centre de données d'un transporteur postal, avec génération d'un premier code d'impression d'affranchissement (IDAKey₁ ) pendant une initialisation de l'affranchisseuse, avec création d'une impression d'affranchissement à l'aide de l'affranchisseuse, et avec un dispositif d'évaluation de l'impression d'affranchissement éloigné de l'affranchisseuse, comportant les étapes

   - que le premier code d'impression d'affranchissement (IDAKey₁ ) soit transmis de l'affranchisseuse au dispositif éloigné d'évaluation destiné au contrôle d'impressions d'affranchissement sur des articles postaux,

   - qu'à chaque code d'impression d'affranchissement (IDAKey₁ ) soit attribué un numéro de génération de code (i), qui sera modifié d'une valeur numérique définie constante (h) en passant d'un code d'impression d'affranchissement au suivant,

   - que la déduction d'un prochain code d'impression d'affranchissement (IDAKey_i+h ) du code d'impression d'affranchissement précédent (IDAKey_i ) soit généré selon un premier algorithme cryptographique,

   - qu'un nouveau code d'impression d'affranchissement soit déduit pour chaque impression d'affranchissement,

   - que soit créé un code de contrôle d'intégrité (M) basé sur le nouveau code d'impression d'affranchissement (IDAKey_i ), le numéro de génération de code (i) qui lui est affecté, l'identification d'appareil (g) de l'affranchisseuse et sur un second algorithme cryptographique,

   - que l'impression d'affranchissement contienne de manière scannable au moins l'identification d'appareil (g) de l'affranchisseuse, le numéro de génération de code (i) et le code de contrôle d'intégrité (M),

   - que pour l'affranchissement les impressions d'affranchissement soient imprimées sur les articles postaux,

   - que les articles postaux soient transportés et livrés dans un centre de tri de courrier du transporteur postal,

   - que les impressions d'affranchissement soient scannées et contrôlées chez le transporteur postal dans une opération durant laquelle le code de contrôle d'intégrité (M) est vérifié cryptographiquement, en formant un code de contrôle d'intégrité comparatif (Mref) pour la comparaison avec le code de contrôle d'intégrité (M) imprimé et que

   - les frais soient enregistrés pour la comptabilisation centrale, lesdits frais étant facturés à l'expéditeur des articles postaux à la fin de la période de décompte de manière découplée temporellement de la comptabilisation.
2. Procédé selon la revendication 1, caractérisé par les étapes suivantes :

   - transmission de données d'au moins une identification d'appareil (g) de l'affranchisseuse, d'un premier numéro de génération de code i= 1 et du premier code (IDAKey₁ ) à un centre de données éloigné chez le transporteur postal avant la fin de l'initialisation (400) de l'affranchisseuse, et enregistrement interne crypté du premier code d'impression d'affranchissement (IDAKey₁ ) généré dans la mémoire volatile de l'affranchisseuse,

   ou
   génération d'un code d'impression d'affranchissement (IDAKey_i ) déduit selon le premier algorithme cryptographique et enregistrement interne crypté du code d'impression d'affranchissement (IDAKey_i ) déduit,

   - identification d'un ordre d'affranchissement par l'affranchisseuse pour un article postal devant être imprimé et démarrage du calcul d'une impression d'affranchissement avec génération d'un code de contrôle d'intégrité (M) selon le deuxième algorithme cryptographique, et dont la génération s'effectue selon l'identification d'appareil (g) de l'affranchisseuse, du numéro de génération de code (i) et du premier code d'impression d'affranchissement (IDAKey₁ ) ou d'un code d'impression d'affranchissement déduit (IDAKey_i ), et dont le premier code d'impression d'affranchissement (IDAKey₁ ) sauvegardé en interne de manière cryptée ou le code d'impression d'affranchissement (IDAKey_i ) déduit est décrypté en code d'impression d'affranchissement (IDAKey ₁, IDAKeyi)présenté en texte clair, à l'aide d'une clé cryptographique (IMDKey) interne,

   - traitement des données de l'impression d'affranchissement avec le code de contrôle d'intégrité (M),

   - impression de l'article postal avec une impression d'affranchissement qui contient au minimum le marquage de l'identification d'appareil (g) de l'affranchisseuse, du numéro de génération de code (i) et du code de contrôle d'intégrité (M),

   - modification pas à pas du numéro de génération de code (i) d'une valeur numérique (h) définie, déduction du prochain code d'impression d'affranchissement (IDAKey_i + h) à partir du numéro actuel de génération de code (i), cryptage au moins du prochain code d'impression d'affranchissement (IDAKey_i + h) et d'une clé de communication (COMKey) à l'aide de la clé cryptographique (IMDKey) interne et enregistrement interne crypté du prochain code d'impression d'affranchissement (IDAKeyi + h) et de la clé de communication (COMKey) ainsi que l'écrasement dans la mémoire volatile de l'affranchisseuse de la clé de communication (COMKey) présente en texte clair, du code d'impression d'affranchissement (IDAKey_i +h) et de son prédécesseur (IDAKey_i ),

   - transport au centre de tri de courrier par le transporteur postal des articles postaux affranchis par l'affranchisseuse,

   - livraison de l'article postal au centre de tri de courrier du transporteur postal et scannage de l'impression d'affranchissement et évaluation des données scannées à l'aide d'un procédé de vérification dans le centre de données du transporteur postal, durant lequel le code de contrôle d'intégrité (M) est vérifié cryptographiquement avec un code actuel correspondant au code d'impression d'affranchissement (IDAKey_i ),

   - relevé centralisé du montant d'affranchissement au centre de données du transporteur postal, si l'authenticité du code de contrôle d'intégrité (M) est prouvée, ou encore,

   - déroulement d'une routine de traitement d'erreur, si l'authenticité du code de contrôle d'intégrité (M) n'a pas pu être prouvée ou encore si une identification d'appareil (g) de l'affranchisseuse ou un numéro de génération de code (i) contient une erreur.
3. Procédé selon les revendications 1 et 2, caractérisé en ce que le numéro de génération de code (i) soit augmenté de la valeur 1 (h = 1) à chaque opération d'affranchissement.
4. Procédé selon la revendication 3, caractérisé en ce que, pour un prochain numéro de génération de code (i+ 1), la déduction du prochain code d'impression d'affranchissement (IDAKey_i+1 ) s'opère, à partir du numéro actuel de génération de code (i) et du code actuel d'impression d'affranchissement (IDAKeyi), d'après le premier algorithme cryptographique et selon la formule suivante : $${\mathit{IDAKey}}_{i+1}\leftarrow {\mathit{hash}}_{}\left(i,{\mathit{IDAKey}}_i\right)\mathrm{.}$$

   
5. Procédé selon les revendications 1 à 4, caractérisé en ce qu'un code d'authentification d'une empreinte cryptographique de message avec clé (HMAC - keyed-hash message authentication code), basé sur une fonction de hachage, soit utilisé comme premier algorithme cryptographique.
6. Procédé selon les revendications 1 à 5, caractérisé en ce que la génération d'un code de contrôle d'intégrité (M) s'opère selon le deuxième algorithme cryptographique à l'aide d'un code d'impression d'affranchissement cryptographique secret (IDAKey_i ) de l'expéditeur, de l'identification d'appareil (g) de l'affranchisseuse et de son numéro actuel de génération de code (i), d'après la formule: $$M\leftarrow {\mathit{HMAC}}_{}\left({\mathit{IDAKey}}_i,\left(\mathit{g}\Vert \mathit{i}\right)\right)\mathrm{.}$$

   
7. Procédé selon les revendications 1 à 5, caractérisé en ce que la génération d'un code de contrôle d'intégrité (M) s'opère selon le deuxième algorithme cryptographique à l'aide d'un code d'impression d'affranchissement cryptographique secret IDAKey_i de l'expéditeur, de l'identification d'appareil (g) de l'affranchisseuse et de son numéro actuel de génération de code (i), d'après la formule: $$M\leftarrow \mathit{HMAC}\left({\mathit{IDAKey}}_i,f\left(\mathit{g},\mathit{i},{\mathit{IDAKey}}_i\right)\right)\mathrm{.}$$

   
8. Procédé selon une des revendications 6 ou 7, caractérisé en ce qu'une évaluation des données scannées soit effectuée à l'aide d'un procédé de vérification dans le centre de données du transporteur postal et que ladite évaluation comporte une détermination de la relation mathématique du numéro de génération de code (i∓x) actuellement scanné par rapport à la copie (j) du numéro de génération de code (i) lu en dernier, et dont la valeur (x), de la modification de la copie (j) du numéro de génération de code (i) lu en dernier, résulte du produit de la valeur de pas (h) et du nombre (z) de modifications, et dont une clé de vérification d'impression d'affranchissement (IDAKey_J ) actuelle est calculée, ladite clé correspondant au code d'impression d'affranchissement (IDAKey_j∓h ) scanné, si la relation mathématique est identique à une relation mathématique prédéfinie J = j + x with x = h z, et dont la copie (J) locale correspond au numéro de génération de code (i∓x) lu actuellement et dont l'article postal est soumis à un tri sélectif de rejet et les données scannées à un traitement d'erreur, si la relation mathématique ne correspond pas à la relation mathématique prédéfinie.
9. Procédé selon la revendication 8, caractérisé en ce que l'article postal soit retourné à l'expéditeur, si la relation mathématique du numéro de génération de code (i∓x) ne correspond pas à la relation mathématique prédéfinie par rapport à la copie (j) du numéro de génération de code (i) lu en dernier et que l'expéditeur de l'article postal a été informé et a donné son accord pour un retour.
10. Procédé selon la revendication 8, caractérisé en ce que l'article postal soit retourné à l'expéditeur, si la relation mathématique du numéro de génération de code (i∓x) actuellement scanné ne correspond pas à la relation mathématique prédéfinie par rapport à la copie (j) du numéro de génération de code (i) lu en dernier et que l'expéditeur de l'article postal a été informé et a donné son accord pour un retour.
11. Procédé selon l'une des revendications 8 à 10, caractérisé en ce que le traitement suivant de données scannées chez le transporteur postal soit effectué par une routine (300) qui comporte, un décodage (301) des données scannées, une identification de l'expéditeur respectif (302), une détermination (303) du montant d'affranchissement respectif, une vérification de sécurité (304) de chaque impression d'affranchissement et une comptabilisation centrale (306) du montant d'affranchissement sur un compte de l'expéditeur, ainsi que soit effectué un transport (4) et une livraison (5) des articles postaux correctement affranchis aux destinataires ou que les articles postaux soient soumis à un tri sélectif de rejet au centre de tri de courrier, si le traitement continu des données scannées n'est pas possible dans la routine (300), et dont

    - l'identification de l'expéditeur respectif (302) comporte une recherche d'après l'identification d'appareil (g) de l'affranchisseuse dans une base de données du centre de tri de courrier ou du centre de données et d'après la copie (j) enregistrée correspondante du numéro de génération de code (i) lu en dernier, pour lequel il existe un code d'impression d'affranchissement correspondant enregistré,

    - la vérification de sécurité (304) de chaque impression d'affranchissement comporte une détermination de la relation mathématique du numéro de génération de code (i ∓x) par rapport à la copie (j) du numéro de génération de code (i) lu en dernier ainsi qu'une vérification cryptographique du code de contrôle d'intégrité (M), et dont une clé de vérification d'impression d'affranchissement (IDAKey_J ) avec J = j + x, correspondante au code d'impression d'affranchissement (IDAKey_i±x ) actuel suivant de l'affranchisseuse, soit créé selon le premier algorithme cryptographique, et dont le premier algorithme cryptographique soit utilisé z fois en correspondance avec la détermination de la relation mathématique, ainsi que la clé de vérification d'impression d'affranchissement (IDAKey_J ) générée soit utilisée ensemble avec la copie (J) du numéro de génération de code (i∓x) actuellement scanné et avec l'identification d'appareil (g) pour former le code de contrôle d'intégrité comparatif (Mref), d'après le deuxième algorithme cryptographique.
12. Procédé selon la revendication 1, caractérisé en ce que la sécurité de l'identification d'appareil (g) soit assurée au minimum par la saisie d'un mot de passe.
13. Procédé selon la revendication 12, caractérisé en ce que soit demandé la saisie du mot de passe existant et de l'identification d'appareil (g), et que leur authenticité soit vérifiée, avant le calcul d'une impression d'affranchissement, si une durée prédéfinie pour l'enregistrement de la clé cryptographique interne (IMDKey) est écoulée.
14. Procédé selon la revendication 12, caractérisé en ce que le mot de passe existant puisse être modifié si nécessaire avant le calcul d'une impression d'affranchissement, et qu'avant ladite modification du mot de passe existant, la saisie du mot de passe existant et de l'identification d'appareil (g) soit demandée et que leur authenticité soit vérifiée.
15. Procédé selon la revendication 12, caractérisé en ce que la sécurité de l'identification d'appareil soit assurée par une combinaison des mesures suivantes:

    a) Saisie du mot de passe à l'aide du clavier ou encore à l'aide d'un support d'identification utilisant la technologie RFID, d'une carte magnétique, d'une carte à puce ou d'un appareil portable relié à un réseau personnel faisant partie de l'environnement de l'affranchisseuse.

    b) Authentification de l'identification d'appareil sur chaque impression d'affranchissement dans l'environnement du transporteur postal, pour exclure toute utilisation d'identifications d'appareils erronées.

    c) Authentification unique de l'identification d'appareil sur chaque impression d'affranchissement dans l'environnement du transporteur postal, pour exclure toute ré-utilisation d'authentifications copiées d'identifications d'appareils erronées.

    d) Sécurisation par cryptage au minimum de la liaison de communication au centre de données de l'exploitant.

    e) Gestion de comptes séparés d'utilisateurs par un système d'exploitation connu d'un ordinateur personnel en rapport avec l'utilisation d'affranchisseuses utilisées par plusieurs opérateurs.
16. Procédé selon la revendication 15, caractérisé en ce qu'un premier code d'impression d'affranchissement (IDAKey ₁) généré soit transmis, via une liaison de communication sécurisée et pendant une initialisation de l'affranchisseuse, au centre de données d'un exploitant et ensuite au centre de données du transporteur postal.
17. Système d'envoi d'articles postaux avec relevé centralisé du montant d'affranchissement dans le centre de données d'un transporteur postal, avec une affranchisseuse (10, 10', 10", 10*), qui peut créer des impressions d'affranchissement et qui comporte un moyen de génération de codes, et dont ledit moyen de génération de codes comporte un processeur (104), une mémoire de programme (105), un pilote codé cryptographiquement (106) et des mémoires (103, 107),

    - et dont le moyen de génération de codes génère, pendant une initialisation de l'affranchisseuse, un premier code d'impression d'affranchissement (IDAKey ₁), qui est transmis par l'affranchisseuse au centre de données du transporteur postal pour une évaluation à distance d'impressions d'affranchissement à vérifier sur des articles postaux,

    - et dont chaque code d'impression d'affranchissement (IDAKey_i ) fait l'objet d'une affectation d'un numéro de génération de code (i), qui est modifié d'une valeur numérique définie constante (h) en passant d'un code d'impression d'affranchissement au suivant,

    - et dont la déduction d'un prochain code d'impression d'affranchissement (IDAKey_i + h) du code d'impression d'affranchissement précédent (IDAKey_i ) soit généré selon un premier algorithme cryptographique,

    - et dont un nouveau code d'impression d'affranchissement soit déduit pour chaque impression d'affranchissement,

    - et dont soit créé un code de contrôle d'intégrité (M) basé sur le nouveau code d'impression d'affranchissement (IDAKey_i ), sur le numéro de génération de code (i) qui lui est affecté, sur l'identification d'appareil (g) de l'affranchisseuse et sur un second algorithme cryptographique,

    - et dont l'impression d'affranchissement contienne de manière scannable au moins l'identification d'appareil (g) de l'affranchisseuse, le numéro de génération de code (i) et le code de contrôle d'intégrité (M),

    - et dont l'affranchisseuse est destinée à l'affranchissement, durant lequel les impressions d'affranchissement sont imprimées sur des articles postaux.

    - et dont un centre de tri de courrier du transporteur postal est prévu pour la livraison des articles postaux transportés,

    - et dont des moyens de scannage d'impressions d'affranchissement dans le centre de tri de courrier et des premiers moyens d'évaluation pour la vérification d'impressions d'affranchissement dans le centre de données du transporteur postal, reliés entre eux en matière de communication, sont prévus, et dont le code de contrôle d'intégrité (M) est vérifié cryptographiquement en utilisant un code de contrôle d'intégrité comparatif (Mref) pour la comparaison avec le code de contrôle d'intégrité (M) imprimé, ainsi

    - que soient prévus des moyens destinés à la comptabilisation des montants d'affranchissement pour des articles postaux d'un même expéditeur sur un compte séparé dans le centre de données du transporteur postal, et dont le relevé centralisé du montant d'affranchissement est ensuite effectué si l'authenticité du code de contrôle d'intégrité est établie et justifiée, et que les frais soient enregistrés pour la comptabilisation centrale, lesdits frais étant facturés à l'expéditeur des articles postaux à la fin de la période de décompte de manière découplée temporellement de la comptabilisation.
18. Procédé d'envoi d'articles postaux selon la revendication 17, caractérisé en ce,

    - que le système comporte des moyens de communication prévus pour effectuer un transfert de données au minimum d'une identification d'appareil (g) de l'affranchisseuse, d'un premier numéro de génération de code (i=1) et du premier code (IDAKey₁ ) à un centre de données du transporteur postal avant la fin de l'initialisation (400) de l'affranchisseuse, et dont ladite affranchisseuse est équipée d'une interface de communication (109) possédant une entrée/sortie de série pour l'échange de données avec un centre de données d'exploitant (14), et dont ladite affranchisseuse transmet le premier code d'impression d'affranchissement (IDAKey₁ ) via le centre de données d'exploitant (14) pour l'évaluation à distance d'impressions d'affranchissement devant être vérifiées sur des articles postaux, au centre de données (7) du transporteur postal,

    - que la mémoire (103), le processeur (104), le pilote (106) et la mémoire (107) soient programmés pour la génération d'un nouveau code d'impression d'affranchissement et pour le calcul d'une impression d'affranchissement avant la création d'un affranchissement dans l'affranchisseuse par un code de programme enregistré dans la mémoire de programme (105) pour la commande de l'affranchisseuse, et dont le code d'impression d'affranchissement (IDAKey_i ) soit déduit d'un prédécesseur enregistré selon le premier algorithme cryptographique, et dont une sauvegarde interne du code d'impression d'affranchissement (IDAKey_i ) déduit soit effectuée sous forme cryptée, et dont un ordre d'affranchissement soit détecté par l'affranchisseuse pour un article postal devant être imprimé et que soit démarré le calcul d'une impression d'affranchissement avec création d'un code de contrôle d'intégrité (M) selon le second algorithme cryptographique, et dont la génération soit effectuée en fonction de l'identification d'appareil (g) de l'affranchisseuse, du numéro de génération de code (i) et du premier code d'impression d'affranchissement (IDAKey₁ ) ou d'un code d'impression d'affranchissement (IDAKey_i ) déduit, et dont le premier code d'impression d'affranchissement (IDAKey_i ) enregistré de manière cryptée en interne ou le code d'impression d'affranchissement (IDAKey_i ) déduit soit décrypté en code d'impression d'affranchissement (IDAKey₁ , IDAKey_i ) présent en texte clair, et dont les données d'impression d'affranchissement soient traitées avec le code de contrôle d'intégrité (M) et que l'article postal soit imprimé avec une impression d'affranchissement qui contient un marquage présentant au moins l'identification d'appareil (g) de l'affranchisseuse, le numéro de génération de code (i) et le code de contrôle d'intégrité (M), et dont le numéro de génération de code (i) soit modifié pas à pas d'une valeur numérique définie (h) et que le prochain code d'impression d'affranchissement (IDAKey_i + h) soit déduit du numéro actuel de génération de code (i), et dont au moins le prochain code d'impression d'affranchissement (IDAKey_i ) + h) et une clé de communication (COMKey) soient cryptés à l'aide de la clé cryptographique interne (IMDKey) et que soit effectuée une sauvegarde interne du prochain code d'impression d'affranchissement (IDAKey_i ) + h) et de la clé de communication (COMKey) ainsi que l'écrasement de la clé de communication (COMKey) présente en texte clair et du code d'impression d'affranchissement (IDAKey_i + h) et de son prédécesseur (IDAKey_i ), dans la mémoire volatile de l'affranchisseuse,

    - que soient prévus des moyens pour transporter les articles postaux affranchis par l'affranchisseuse et pour livrer l'article postal au centre de tri de courrier du transporteur postal.

    - que soient prévus des moyens pour le scannage de l'impression d'affranchissement au centre de tri de courrier et des moyens pour évaluer les données scannées à l'aide d'un procédé de vérification dans le centre de données du transporteur postal, durant lequel le code de contrôle d'intégrité (M) scanné est vérifié cryptographiquement avec un code actuel correspondant au code d'impression d'affranchissement (IDAKey_i ),

    - que soient prévus des moyens pour le relevé centralisé des montants d'affranchissement au centre de données du transporteur postal, ledit relevé centralisé du montant d'affranchissement étant réalisé si l'authenticité du code de contrôle d'intégrité (M) est prouvée,

    - que soient prévus des moyens pour le déroulement d'une routine de traitement d'erreur, ladite routine de traitement d'erreur entrant en action si l'authenticité du code de contrôle d'intégrité (M) n'a pas pu être prouvée ou encore si une identification d'appareil (g) de l'affranchisseuse ou un numéro de génération de code (i) contient une erreur.
19. Système d'envoi d'articles postaux selon la revendication 17, caractérisé en ce que le traitement suivant de données scannées soit effectué dans le centre de tri de courrier du transporteur postal ou dans le centre de données du transporteur postal.
20. Système d'envoi d'articles postaux selon la revendication 17, caractérisé en ce que le moyen de génération de codes de l'affranchisseuse soit programmé pour effectuer un calcul avant l'affranchissement en utilisant le premier et le second algorithme cryptographique, et dont un premier code de contrôle d'intégrité basé sur le second algorithme cryptographique soit généré pour une première impression d'affranchissement, et dont, pour chaque impression d'affranchissement suivante, soit déduit un code d'impression d'affranchissement suivant à partir d'un prédécesseur du code d'impression d'affranchissement selon le premier algorithme cryptographique et que soit créé un code de contrôle d'intégrité, basé sur le code d'impression d'affranchissement suivant, un numéro de génération de code, une identification d'appareil de l'affranchisseuse et sur le second algorithme cryptographique.
21. Système d'envoi d'articles postaux selon les revendications 17 à 19, caractérisé en ce que soient prévues, une mémoire non volatile (101) pour la sauvegarde de mot de passe sur un niveau inférieur de la protection mémoire, une mémoire volatile (102) pour une sauvegarde temporelle de la clé cryptographique interne (IMDKey) dans un fichier IMDKey sur un niveau médian de la protection mémoire ainsi qu'une mémoire (103) pour une sauvegarde volatile interne cryptée de données sur un niveau supérieur de la protection mémoire, et dont les données de la mémoire (103) destinée à la sauvegarde interne volatile cryptée de données sur un niveau supérieur de la protection mémoire, contiennent le code d'impression d'affranchissement (IDAKey) et la clé de communication (COMKey) sous forme cryptée.

Images