FR2651058A1 - Systeme et procede pour controler la collecte de bornes a prepaiement - Google Patents

Systeme et procede pour controler la collecte de bornes a prepaiement Download PDF

Info

Publication number
FR2651058A1
FR2651058A1 FR8910962A FR8910962A FR2651058A1 FR 2651058 A1 FR2651058 A1 FR 2651058A1 FR 8910962 A FR8910962 A FR 8910962A FR 8910962 A FR8910962 A FR 8910962A FR 2651058 A1 FR2651058 A1 FR 2651058A1
Authority
FR
France
Prior art keywords
collection
terminal
terminals
encrypted
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR8910962A
Other languages
English (en)
Other versions
FR2651058B1 (fr
Inventor
Franck Lelouch
Joelle Ferrus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schlumberger SA
Original Assignee
Schlumberger SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schlumberger SA filed Critical Schlumberger SA
Priority to FR8910962A priority Critical patent/FR2651058B1/fr
Priority to EP90402298A priority patent/EP0413636A1/fr
Publication of FR2651058A1 publication Critical patent/FR2651058A1/fr
Application granted granted Critical
Publication of FR2651058B1 publication Critical patent/FR2651058B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F17/00Coin-freed apparatus for hiring articles; Coin-freed facilities or services
    • G07F17/24Coin-freed apparatus for hiring articles; Coin-freed facilities or services for parking meters
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Finance (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

La présente invention a pour objet un système et un procédé pour sécuriser et contrôler la collecte de bornes à prépaiement notamment de bornes de stationnement payant pour véhicules. Le système comprend un centre de collecte 10, des bornes B1 ... Bi comprenant chacune un coffre 18 pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation 34, 38 pour mémoriser des informations spécifiques à chaque borne Bi , des moyens de dialogue 24, 28, 30, 36 entre ledit centre de collecte 10 et lesdites bornes B1 ... Bi pour échanger des informations chiffrées, et des moyens de traitement 10, 12, 13, 16, 20, 22, 24, 28, 30, 32, 34, 36, 38, 40, 46, 48, 52, 54 pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la collecte en fonction des résultats de la comparaison.

Description

265 1058
-1-
SYSTEME ET PROCEDE POUR CONTROLER LA COLLECTE
DE BORNES A PREPAIEMENT
La présente invention a pour objet un système et un procédé pour sécuriser et contrôler la collecte de bornes à prépaiement notamment de bornes de stationnement payant
pour véhicules.
Des bornes & prépaiement sont utilisées par exemple pour la.
délivrance d'objets divers tels que timbres, tickets... ou l'obtention de services (taxe de transport...), en échange de pièces de monnaie. Une application plus particulière
concerne les bornes de stationnement payant pour véhicules.
Il est bien connu que, sur les voies publiques, en particulier dans les grandes agglomérations, le stationnement payant en fonction du temps de stationnement du véhicule s'est beaucoup développé. En d'autres termes, pour pouvoir laisser en stationnement son véhicule, pendant un certain temps, l'automobiliste doit prépayer un montant
donné pour être autorisé a stationner effectivement.
L'automobiliste qui veut stationner sur l'un des emplacements contrôlés par une borne de stationnement placée sur le trottoir, introduit dans la borne des pièces de monnaie pour un montant correspondant au temps de
stationnement désiré.
Ces bornes de stationnement comportent un coffre qui peut être du type décrit dans le brevet français 2484674 déposé le 11 juin 1980 au nom du demandeur, pour le stockage temporaire des pièces de monnaie introduites dans les
bornes avant leur transfert dans un dispositif de collecte.
Une partie du coffre est constituée par la borne elle-même et présente un orifice de -2- collecte normalement obturé par un obturateur, qui est luimême bloqué par le pène d'une serrure d'accès à l'orifice de collecte, le pène étant. manoeuvrable uniquement à l'aide d'une clé physique par le personnel de collecte. La clé physique introduite dans la serrure, efface le pène correspondant, libérant complètement l'obturateur. L'orifice de collecte étant ainsi dégagé, le dispositif de collecte, décrit lui aussi dans la demande précitée, préalablement disposé en vis-à-vis de l'orifice de collecte, récupère par effet de gravité les pièces de monnaie accumulées dans le coffre de la borne, par utilisation d'un flexible, à travers l'ouverture dégagée
par l'obturateur.
Un des inconvénients est que le personnel de collecte, dûment autorisé à posséder la clé physique pour ouvrir le coffre, peut frauduleusement détourner une partie de la collecte, c'est-à-dire des pièces de monnaie stockées dans le coffre, au cours du-transfert de ces pièces de monnaie
du coffre dans le dispositif de collecte via le flexible.
En effet, une fois le coffre complètement vidé, le personnel de collecte peut récupérer frauduleusement les pièces de monnaie encore contenues dans le flexible, ou se servir directement dans le dispositif de collecte. Le problème est qu'on ne peut pas détecter le vol de ces pièces de monnaie au cours de la collecte et q"utn ne peut pas en déterminer les auteurs. Cette collecte frauduleuse
peut être qualifiée de "détournée".
Pour accroître la sécurité de collecte de bornes à prépaiement, un objet de l'invention est de fournir un système supplémentaire de protection, qui s'ajoute à l'utilisation de la clé physique, permettant de diminuer le risque d'une collecte détournée en dissuadant le personnel de collecte de voler des pièces de monnaie au cours de la
2651058-
-3- collecte. Pour atteindre ce but, selon l'invention, le système pour sécuriser et contrôler la collecte de bornes à prépaiement, est caractérisé en ce qu'il comprend un centre de collecte, des bornes (B1... Bi) comprenant chacune- un coffre pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation pour mémoriser des informations spécifiques & chaque borne Bi, des moyens de dialogue entre ledit centre de collecte et lesdites bornes (Bi... Bi) pour échanger des informations chiffrées, et des moyens de traitement pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la collecte en
fonction des résultats de la comparaison.
Selon un mode préféré de réalisation, le système comprend - des moyens externes auxdites bornes (B1...Bi) pour générer des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques; - des moyens pour chiffrer lesdits messages de commande; - des moyens pour transmettre lesdits messages de commande chiffrés vers lesdites bornes (B1...Bi); - des moyens situés dans chaque borne (B...Bi) pour déchiffrer ledit message de commande chiffré correspondant & ladite borne et pour valider ledit message de commande déchiffré; et - des moyens situés dans chaque borne (B1..... Bi) pour délivrer un signal de commande & un moyen mécanique
permettant l'ouverture dudit coffre.
265I058
-4- - des moyens situés dans chaque borne (Bl...Bi) pour générer des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et pour chiffrer lesdits messages de retour; - des moyens pour transmettre lesdits messages de retour d'informations chiffrés vers ledit centre de collecte; - des moyens situés dans ledit centre de collecte pour déchiffrer lesdits messages de retour chiffrés et pour les valider; - des moyens situés dans ledit centre de collecte pour comparer ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés avec celui des pièces de monnaie résultant de la collecte physique; et - des moyens situés dans ledit centre de collecte pour
traiter les résultats de cette comparaison afin de-
détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants à une valeur d'erreur près donnée, et pour identifier le personnel de collecte auteur du vol par connaissance des informations d'identification contenues dans lesdits messages de retour. Le procédé pour sécuriser et contrôler la collecte de bornes & prépaiement est caractérisé en ce qu'il comprend les étapes suivantes: - on fournit un centre de collecte; -5- - on fournit des bornes (B1...Bi) comprenant chacune un coffre pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation pour mémoriser des informations spécifiques & chaque borne Bi; - On fournit des moyens de dialogue entre ledit centre de collecte et lesdites bornes (B1...Bi) pour échanger des informations chiffrées; - On compare lesdites informations chiffrées avec lesdites informations spécifiques; et - on autorise la collecte en fonction des résultats de
la comparaison.
Selon un mode préféré de mise en oeuvre de l'invention, les bornes sont des bornes pour la gestion du stationnement
payant des véhicules.
D'autres caractéristiques et avantages de l'invention
apparaîtront plus clairement à la lecture de la description
qui suit de plusieurs modes de mise en oeuvre de l'invention donnés à titre d'exemples non limitatifs. La
description se réfère au dessin annexé sur lequel:
La figure unique est une vue en bloc diagramme d'un mode de mise en oeuvre du système de contrôle de la collecte selon l'invention. En se référant & la figure unique, on va décrire un mode de réalisation du système pour contrôler la collecte de bornés à prépaiement, notamment de bornes de stationnement payant pour véhicules. Le système comporte essentiellement un centre de collecte 10, comprenant entre autres un microordinateur 12, ayant pour rôle de sécuriser et contrôler la collecte de bornes de stationnement, un réseau de bornes de stationnement B1... B- comportant chacune -6- une fente 14 pour l'introduction de pièces de monnaie. Les pièces introduites dans la fente 14 sont contrôlées par un sélecteur de pièces 16 qui détecte le montant effectif introduit dans la fente 14. Bien entendu, après être passées dans le sélecteur de pièces 16, les pièces de monnaie sont stockées temporairement dans un coffre 18, décrit précédemment, avant leur transfert dans un
dispositif de collecte.
Le système comporte de plus un terminal portable 24, porté
par le préposé chargé de la collecte des bornes B1...
Bi assurant la liaison et l'échange d'informations entre
le centre de collecte 10 et le réseau de bornes B1...
Bi. On envoie une clé logique (suite ordonnée d'un certain nombre de bits) caractéristique de chacune des bornes du réseau, du centre de collecte à la borne considérée par
l'intermédiaire du terminal portable 24. Si la clé logique-
est cohérente avec un certain nombre de critères ou données mémorisés dans la borne, l'électronique de la borne va commander l'ouverture du coffre stockant les pièces de monnaie en actionnant un moyen mécaniqued'ouverture. La clé logique n'est en fait valide que pendant la durée de la collecte car le coffre ne peut être ouvert que s'il y a identité d'un certain nombre de.données entre celles contenues dans la borne et celles contenues dans la clé logique. La clé physique toutefois peut exister pour
accroître la sécurité.
Pour fonctionner, le système doit obéir & deux impératifs.
Il faut que la clé logique, si elle peut être modifiée au cours de son transfert entre le centre de collecte 10 et la borne considérée via le terminal 24, ne soit pas cohérente avec les critères mémorisés dans la borne et donc non
2651058-
-7- validée par la borne, empêchant ainsi l'ouverture du coffre, et donc la collecte. Il faut d'autre part que le coffre de la borne authentifie la clé logique spécifique comme provenant effectivement du centre de collecte. Pour signer son intervention, le centre de collecte génère des
clés logiques, utilisant une technique de chiffrement.
Le centre de collecte 10, par l'intermédiaire du microordinateur 12 sélectionne une équipe de collecte et un
circuit de collecte pour un réseau de bornes B1... Bi.
Les numéros de série de chaque borne du réseau sont mémorisés dans la mémoire 13 du microordinateur 12. Un programme du microordinateur 12 génère les messages de commande en clair pour chaque borne du réseau (message MC), c'est à dire les clés logiques en clair. Chaque message de commande comprend un message d'informations fonction de l'équipe de collecte, de la date, du numéro de série de la borne considérée et d'un indice R spécifique à chaque borne Bi dont la fonction sera décrite ultérieurement suivi de l'ordre pour relever le montant de pièces de monnaie contenues dans le coffre de la borne considérée, ledit montant étant mémorisée dans cette borne et de l'ordre d'ouverture de coffre. L'indice R et le numéro de série spécifiques à chaque borne Bi constituent ce qu'on
appelle les informations spécifiques à la borne Bi.
Ce message d'informations est par exemple de la forme:
/Equipe collecte 23/11mars 1989/Borne n' 46 281/R.
Ces messages de commande sont ensuite chiffrés-ou cryptés
dans le microordinateur 12 en utilisant la fonction R.S.A.
de cryptage ou chiffrement à clé publique. Cette fonction comprend une clé secrète d1, et un couple (e,nl) formant clé publique, supposée connue. Dans le mode de réalisation décrit, la clé dl et le couple (e,nl) sont utilisés pour chiffrer les messages de commande de toutes -8- lès bornes d'un même réseau, mais on peut tout aussi bien envisager une clé secrète d et un couple (e,n) spécifiques à chaque borne du réseau. Le message de commande (MC), ainsi chiffré par l'utilisation de la clé secrète d1 et du couple (e, nl), est transformé en un message de commande chiffré ou signé (MC chiffré) correspondant à la clé logique définie précédemment. Dans le centre 10, on peut schématiser le chiffrement par la formule
MCdl modulo (nl) = MC chiffré.
Une carte & mémoire électronique 20, dans le-centre 10, mémorise le couple clé secrète - clé publique (dl, nl), e mémorisé dans la mémoire 13 étant égal à trois dans le mode réalisation décrit, protégée en lecture par une clé propre et un code confidentiel. La carte 20 est ensuite
introduite dans le lecteur de carte 22 qui est lui-même.
connecté au microordinateur 12.
Le nicroordinateur 12 pour chiffrer un message de commande d'une borne Bi du réseau utilise la clé secrète di mémorisée dans la carte 20 via le lecteur 22. Les messages de commande chiffrés ainsi obtenus, correspondant à chacune
des bornes du réseau, sont stockés dans!% - rmoire 13.
L'utilisation de la carte à mémoire électronique 20 permet de gérer les opérations de chiffrement sans que l'utilisateur préposé au centre de collecte connaisse la valeur de la clé secrète d1. La carte à mémoire 20, support de la clé secrète dl, peut être confiée à un seul employé de confiance responsable du centre e lecte 10, limitant ainsi les risques de connaissance frauduleuse de
la clé dl.
En effet, la connaissance de la clé secrète dl permet de chiffrer n'importe quel message de commande, et la borne -9 - Bi via le terminal 24, reconnaissant la signature du centre 10, envoie un signal de commande pour l'ouverture du coffre si le message de commande comprend un ordre d'ouverture de coffre, ce qui est & l'opposé du but recherché, d'o l'intérêt d'un accès difficile à la clé secrète d1, par exemple mémorisée dans une carte à
mémoire électronique 20.
Le terminal portable 24 porté par le préposé chargé de la collecte comprend un circuit électronique 42 avec une mémoire de stockage 26. La recopie dans la mémoire de stockage 26 du terminal portable 24 des messages de commande chiffrés correspondant à chaque borne Bi ou clés logiques stockés dans la mémoire 13 du microordinateur 12, peut se faire par liaison filaire, par rayonnement infrarouge ou tout autre type de liaison capable de transmettre des informations. Dans le cadre du mode de réalisation par transmission infrarouge, le terminal 24 est muni d'un émetteur-récepteur infrarouge 28 pour dialoguer avec le centre 10 qui est également muni d'un émetteur-récepteur infrarouge 30. Un tel système est décrit
dans la demande de brevet européen n' 84/401799.
La borne Bi comprend un microprocesseur 32 qui gère l'ensemble de ses fonctions comprenant une mémoire 34. Le microprocesseur 32 et la mémoire 34 forme la carte
principale 46 de la borne Bi.
Le coffre 18 de la borne Bi comprend un microprocesseur avec une mémoire 38 mémorisant entre autres informations numéro de série de ladite borne Bi, le microprocesseur étant relié au microprocesseur 32 de la borne Bi. La carte principale 46 joue le rôle d'intermédiaire entre le
terminal 24 et le microprocesseur 40 du coffre 18.
-10- Le signal délivré par le sélecteur de pièces 16, représentatif du montant de pièces de monnaie introduites par la fente 14 de la borne Bi est envoyé au microprocesseur 32 de la carte principale 46 qui calcule le montant correspondant de pièces de monnaie. Ce montant est ensuite additionné au montant global de pièces de monnaie déjà introduites dans le coffre 18 via la fente 14, ledit montant global étant mémorisé dans la mémoire 34. Ce montant global est ensuite envoyé périodiquement, par exemple quotidiennement, dans la mémoire 38 du microprocesseur 40 du coffre 18 en venant écraser la valeur du montant global précédemment envoyé du microprocesseur 32 dans la mémoire 38 du coffre. D'autres informations sont mémorisées dans la mémoire 34 comme par exemple l'état de la pile d'alimentation de la borne Bi délivré par le
dispositif 44 et la date.
Le préposé à la collecte présente le terminal portable 24 -
la borne Bi. Par transmission infrarouge et par activation de l'émetteurrécepteur infrarouge 36 de la borne Bi, ou par tout autre moyen de transmission, le terminal 24 envoie un ordre de lecture du numéro de série à la carte principale 46 de la borne Bi. En réponse, le terminal 24 par l'intermédiaire de son circuit électronique 42 reçoit le numéro de série de la borne Bi considérée, envoyé par le microprocesseur 40 via la carte principale 46. Le circuit électronique 42 du terminal portable 24 compare le numéro de série reçu de la borne Bi considérée avec une liste préenregistrée dans la mémoire 26 du circuit électronique 42 de numéros de série des bornes auxquelles est adressé un message de commande chiffré. Cette liste préenregistrée de numéros de série élaborée par le centre de collecte 10, est chargée dans la mémoire 26 du circuit électronique 42 du terminal 24 lors de la transmission des messages de commande chiffrés du centre de collecte vers le terminal 24. S'il y a correspondance de valeur entre le numéro de série reçu et un des numéros de série contenus dans la liste préenregistrée, le terminal 24 transmet par les moyens 28 et 36 le message de commande chiffré correspondant ou clé logique vers la carte principale 46 de la borne Bi. Cette clé logique est ensuite transmise de la carte principale 46 vers la mémoire 38 du
microprocesseur 40 du coffre 18 pour y être déchiffrée.
Cette opération de déchiffrement de la clé logique ne peut s'effectuer qu'à l'intérieur du coffre 18 par le microprocesseur 40, qui ne doit pas être accessible au personnel de collecte, et non dans la carte principale 46 auquelle le personnel de collecte a accès en pratique. Par utilisation de la clé publique (e, nl) mémorisée dans la mémoire 38, la clé logique ou message de commande chiffré correspondant à la borne Bi, est déchiffré par le microprocesseur 40 du coffre qui génère le message de commande en clair (message MC). Dans le coffre, on peut schématiser le déchiffrement de la clé logique par la formule
(MC chiffré)e modulo (nl) = MC.
La validation du message MC en clair est effectuée par le microprocesseur 40 du coffre en comparant la valeur de l'indice R mémorisée dans la mémoire 38 du coffre 18 avec celle de l'indice R contenue dans le message d'informations du MC en clair et en comparant le numéro de série de la borne Bi mémorisé.dans la mémoire 38 du coffre avec celui contenu dans le message d'informations. S'il y a correspondance de valeur, le microprocesseur 40 envoie un message de retour d'informations chiffré au terminal 24 via la carte principale 46 qui est la réponse 'à l'ordre pour relever le montant de pièces de monnaie contenu dans le message de commande. Par ailleurs, si le message de -12- commande MC contient l'ordre d'ouverture de coffre, le microprocesseur 40 envoie un signal & une électronique de commande, commandant un moyen mécanique d'ouverture du coffre 18, en l'occurence une tige métallique qui se trouve sur la course de dégagement du pêne de la serrure précédemment décrite manoeuvrable par la clé physique. La tige, actionnée par l'électronique 48, perpendiculaire au pène de la serrure, effectue un mouvement vertical de telle sorte qu'elle se trouve entièrement au-dessus du plan contenant le pêne. Le pêne, dont la course de dégagement
est ainsi libérée, peut être actionnée par la clé physique.
Cela provoque aussi l'envoi d'un message sur l'écran 50 du terminal 24 à l'adresse du préposé à la collecte dont l'intitulé est "introduisez la clé physique", par l'intermédiaire des microprocesseurs 40 et 32 de la borne Bi. A compter de la validation du MC par le microprocesseur 40, une temporisation d'une durée déterminée démarre, pendant laquelle le préposé à la collecte, prévenu par l'apparition du message sur l'écran 50 du terminal 24, doit introduire la clé physique permettant d'actionner le pêne libérant l'obturateur. Pendant la durée de cette temporisation, la tige métallique se trouve en position haute par rapport au pène. A la fin de la temporisation, la tige revient à sa position initiale, bloquant le pane de la serrure, de sorte que si on veut collecter de nouveau la borne Bi, il faut attendre l'envoi d'une nouvelle clé logique avec l'indice R correct, par le relais du terminal 24, car la fin de la temporisation provoque aussi la modification de l'indice R mémorisé dans la mémoire 38, par l'utilisation d'un algorithme mémorisé dans la mémoire 38 du microprocesseur du coffre 18. Cette modification peut être une incrémentation d'une unité de l'indice R. Cette -13- modification de l'indice R permet de rendre inutilisable les clés logiques des collectes précédentes pour la borne Bi, car dans ce cas-là la non correspondance des valeurs des indices R contenus dans les clés logiques déchiffrées et la mémoire 38 du microprocesseur 40 ne permet pas la validation du message de commande. De ce fait même si le message de commande contient l'ordre d'ouverture de coffre, le microprocesseur 40 n'envoie pas un signal à l'électronique de commande 48, la tige métallique reste dans sa position, ne permettant pas le dégagement du pène et donc le coulissement de l'obturateur, même si la personne mal intentionnée a en sa possession la clé physique. La modification de l'indice R provoque aussi la mise à zéro du montant global de pièces de monnaie
contenues dans le coffre 18, mémorisé dans la mémoire 34.
Le MC chiffré ou la clé logique doit au-moins être intègre, c'est-à-dire qu'il ou elle n'a pu être chiffré que par le centre de collecte 10, cette signature par utilisation de la clé d1 étant authentifiée par le microprocesseur 40 du coffre 18 de la borne Bi. Un éventuel fraudeur pourra connaître la contenu du message MC en clair car le couple (e,n) forme clé publique et que MC chiffré peut être frauduleusement lu dans le terminal 24, mais il ne pourra pas fabriquer des MC chiffrés sans la connaissance de la
clé d1.
Dans un deuxième temps, on va aborder le problème de la détection du vol de pièces de monnaie au cours de la collecte et de la prévention de la collecte "détournée". On a déjà signalé ci-avant que la présence de lordre pour relever le montant de pièces de monnaie dans le message de commande provoque l'envoi d'un message de retour d'informations chiffré de la borne Bi dans le terminal 24 dont la création est décrite ci-après. Le microprocesseur
26510S8
-14- du coffre 18 génère un message de retour d'informations en clair (message RICL) composé d'informations mémorisées dans sa mémoire 38 ou dans la mémoire 34 de la carte principale 46 telles que des informations sur l'identification du personnel de collecte, la date, le numéro de série de la borne Bi collectée, le montant des pièces de monnaie contenues dans le coffre 18, ou encore des données liées à la maintenance ou tout autre information. Ce message RICL peut se présenter sous la forme: Equipe collecte 23/11 mars 1989/borne n' 46-281/ Somme 5250 FF/ Pour générer le message RICI, le microprocesseur 40 du coffre 18, une fois déchiffré le MC chiffré, récupère
l'information sur l'identification du personnel de collecte-
(ex: Equipe Collecte 23) contenue dans le i". en clair,
pour l'intégrer dans le message RICL.
Le message RICL est ensuite chiffré ou crypte au niveau du microprocesseur 40 en utilisant la fonction D.E.S. (Data Encription Standard) de cryptage ou chiffrement à clé symétrique k qui doit rester secrète. Le message RICL, chiffré par l'utilisation de la clé secrète k mémorisée au niveau de la mémoire 38, est transformé en un message de retour d'informations chiffré (message RICH). On peut schématiser le chiffrement du RICL au niveau du microprocesseur 40 par la formulation: DES (k, RICL) = RICH Le DES consiste à effectuer des permutations et certaines opérations non linéaires sur les bits du message à
chiffrer. Ces manipulations de bits sont paramétrés par k.
-15- Le RICH ainsi obtenu, est transféré dans la mémoire 26 du terminal 24 via la carte principale 46. Dès que le préposé ou l'équipe de collecte a collecté l'ensemble des bornes B1... Bi du circuit de collecte préalablement défini, il ou elle retourne au centre de collecte 10 et effectue le transfert des messages de retour d'informations chiffrés des bornes B1.... Bi effectivement collectées du circuit de collecte, de la mémoire 26 du microprocesseur 42 du terminal 24 dans la mémoire 13 du microordinateur 12 du centre de collecte 10 par l'intermédiaire des moyens.30 et 28, ou de tout autre moyen de transmission terminal
portable - centre de collecte.
Lors de l'initialisation du système, le centre de collecte (10) génère des ordres d'initialisation en clair spécifiques à chacune des bornes Bi, qui sont envoyés dans j, qui otevysdn le microprocesseur 40 de chaque coffre 18 des bornes Bi pour y être traités, via- le terminal portable 24 et la carte principale 46. Chacun de ces ordres contient le numéro de série de la borne considérée, la clé k de la fonction DES, la clé publique (e, nl) de la fonction RSA et l'indice R qui est égal à un. Dès que le microprocesseur du coffre 18 reçoit cet ordre d'initialisation spécifique à la borne Bi, il stocke dans sa mémoire 38 les informations contenues dans l'ordre d'initialisation telles que la clé k, la clé (e,n!) , la valeur de l'indice
R et le numéro de série de la borne considérée.
Par utilisation de la clé secrète k mémorisée dans de la carte à mémoire 20 introduite dans le lecteur de carte 22, le microordinateur 12 déchiffre les messages RICH de chacune des bornes Bi aboutissant à la restitution des messages de retour d'informations en clair RICL de chacune des bornes Bi. Dans le microordinateur 12, le déchiffrement des messages RICH se présente sous la forme: -16-
DES-1 (k, RICH) = RICL.
Seule la connaissance de la clé secrète k permet de chiffrer ou déchiffrer les messages RICL ou RICH. De ce fait, la fonction DES assurent les propriétés de confidentialité et d'intégrité des informations contenues
dans les messages de retour chiffrés.
Un circuit de traitement 52 relié au microordinateur 12 calcule le montant global de pièces de monnaie théoriquement contenues dans l'ensemble des coffres des bornes B1...Bi effectivement collectées du circuit de collecte en additionnant les montants de pièces de monnaie théoriquement contenues dans chaque coffre des bornes Bi,
indiqués dans les messages RICL de chacune des bornes Bi.
Le circuit 52 traite aussi les autres informations
contenues dans les messages RICL.
Pour détecter le vol des pièces de monnaie au cours de la collecte des bornes B1... Bi du circuit de collecte, il suffit de comparer le montant des pièces de monnaie effectivement contenues dans le chariot de collecte issues de la collecte des bornes B1... Bi avec le montant global de pièces de monnaie théoriquement contenues dans chaque borne Bi. Cette comparaison est effectuée par le comparateur 54 et les résultats de cette comparaison sont traités par le circuit de traitement 52. Si ces deux montants sont égaux & un pourcentage d'erreur près donné, il n'y a pas. eu de vol au cours de cette collecte pour le circuit de collecte donné. Par contre, si la différence entre les deux montants est supérieure au pourcentage d'erreur donné, cela indique qu'un vol de pièces de monnaie a été effectué au cours de cette collecte et ce vol est ainsi détecté. Les auteurs de ce vol peuvent être facilement identifiés par les indications contenues dans -17- les messages de retour d'informations sur l'équipe de collecte. Cette détection de vol de pièces de monnaie au cours de la collecte peut ainsi prévenir la collecte qualifiée de "détournée". La valeur de l'indice Rprécédemment mentionné, est mémorisée dans la mémoire 13 du microordinateur 12. Dès que la microordinateur 12 reçoit les messages de retour d'informations, la valeur de l'indice R spécifique à chaque borne Bi est écrasée par la nouvelle valeur de l'indice R spécifique & chaque borne Bi contenue dans les messages de retour d'informations, et c'est cette nouvelle valeur R spécifique qui sera intégrée dans les prochains messages de
commande des bornes B1... Bi de ce circuit de collecte.
La validation du message de commande dans la borne Bi pourra s'effectuer, car la correspondance de la valeur de l'indice R contenu dans la borne et celle du R contenu dans
le message de commande correspondant sera effective.
Il est possible que des fraudeurs arrivent à casser le cryptosystème, c'est à dire à connaître la clé secrète dl de la fonction RSA et la clé secrète k de la fonction DES, soit par des attaques cryptanalytiques, soit en lisant directement la clé secrète dI dans la carte à mémoire 20 du centre de collecte 10 ou en lisant la clé secrète k dans le coffre 18 ou le centre de collecte 10. La lecture des clés secrètes est catastrophique car le fraudeur peut alors collecter les bornes B1... Bi du circuit de collecte concerné ou introduire de fausses informations, notamment sur le montant des pièces de monnaie contenues dans le coffre 18, dans le message de-retour envoyé par la borne
Bi vers le centre de collecte 10 via le terminal 24.
-18- Pour remédier à ce problème, il a été prévu lors de l'initialisation du système de mémoriser des clés de rechange dans le centre de collecte et dans le coffre 18 de la borne Bi. Concernant la fonction RSA, la carte à mémoire 20 mémorise le couple de clés (dl, ni) qui est effectivement utilisé pour chiffrer le message d'ouverture du coffre, mais aussi d'autres couples de clé (d2, n2), (d3, n3).. qui peuvent jouer le rôle de clés de rechange au cas o la clé secrète dI est connue d'un fraudeur. Chaque couple de clés (d2, n2), (d3, n3) peut être mémorisé dans une carte & mémoire spécifique.De même dans le coffre 18, la mémoire 38 mémorise la clé publique ni qui est effectivement utilisée, mais aussi d'autres clés publiques de rechange n2, n3..., e restant toujours égal à 3. Ces clés publiques de rechange n2, n3 sont mémorisées dans la mémoire 38 du coffre 18 par l'intermédiaire du terminal portable 24 lors de la phase d'initialisation par l'envoi d'un ordre d'initialisation en clair, précédemment défini, par le centre de collecte (10) vers la borne Bi. A partir du moment ou on a la certitude que la clé secrète dI est connue d'un fraudeur, le centre de collecte 10 envoie via le terminal 24 un ordre chiffré par (dl, nl) vers le microprocesseur 40 du coffre 18 lui commandant d'utiliser dorénavant la clé publique suivante mémorisée dans la mémoire 38, en l'occurence n2, pour déchiffrer les messages de commande. De même au niveau du centre de collecte 10, le microordinateur 12 utilisera dorénavant pour chiffrer les messages de commande le couple de clés suivant mémorisé dans la carte & mémoire 20, ou mémorisé dans une autre carte à mémoire, en l'occurence (d2, n2). Concernant la fonction D. E.S., la clé secrète k est mémorisée dans la carte & mémoire 20 et dans la mémoire 38 du coffre 18. En cas de connaissance frauduleuse, la clé k 19- doit être changée. Le microordinateur 12 commande l'effacement de la clé k dans la carte à mémoire 20 et
l'inscription dans cette même carte de la nouvelle clé k.
Il envoie un ordre chiffré par la fonction RSA de changement de la clé k, contenant le chiffrement DES de la la nouvelle clé k à l'aide de l'ancienne clé k, au microprocesseur 40 du coffre 18 via le terminal 24. Le coffre 18, recevant cet ordre via le terminal 24, le déchiffre et la nouvelle clé k est inscrite dans la mémoire
38 du microprocesseur 40 à la place de l'ancienne clé k.
Lors de l'initialisation du système, la valeur de l'indice R pour chacune des bornes Bi mémorisé dans la mémoire 13 du microordinateur 12 du centre de collecte 10 est mise à un. -20-

Claims (11)

REVENDICATIONS
1) Système pour sécuriser et contrôler la 'lecte de bornes à prépaiement (B1...Bi) caractérisé en ce qu'il comprend un centre de collecte (10), des bornes (Bî...Bi) comprenant chacune un coffre (18) pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation (34, 38) pour mémoriser des informations spécifiques à chaque borne Bi, des moyens de dialogue (24, 28, 30, 36) entre ledit centre de collecte ("- - lesdites bornes (B1... Bi) pour échanger d-,formations chiffrées, et des moyens de traitement (lu, 12, 13, 16,
, 22, 24, 28, 30, 32, 34, 36, 38, 40, 46, 48, 52, 54)
pour comparer lesdites informations chiffrées avec lesdites informations spécifiques et autoriser la
collecte en fonction des résultats de la comparaison.
2) Système selon la revendication 1 caractérisé en ce que lesdits moyens de traitement (10, 12, 13, 20, 22, 24, 28, 30, 32, 34, 36, 38, 40, 48) comprennent: - des moyens (10, 12, 13, 20, 22) externes auxdites bornes (Bi...Bi) pour générer des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques; - des moyens (12, 13) pour chiffrer lesC4t. nessages de commande; - des moyens (24, 28, 30, 32, 34, 36, 46) pour transmettre lesdits messages de commande chiffrés vers lesdites bornes (Bi...Bi); -21- - des moyens (38, 40) situés dans chaque borne (Bi...Bi) pour déchiffrer ledit message de commande chiffré correspondant à ladite borne et pour valider ledit message de commande déchiffré; et - des moyens (48) situés dans' chaque borne (B1.....Bi) pour délivrer un signal de commande à un moyen mécanique permettant l'ouverture dudit
coffre (18-).
3) Système selon la revendication 2 caractérisé en ce que lesdits moyens de traitement (10, 12, 13, 16, 24, 28, , 32, 34, 36, 38, 40, 46, 52, 54) comprennent de plus: - des moyens (16, 38, 40, 44) situés dans chaque borne (B1... Bi) pour générer des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre (18) de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et pour chiffrer lesdits messages de retour; - des moyens (24, 28, 30, 32, 34, 36, 46) pour transmettre lesdits messages de retour d'informations chiffrés vers ledit centre de collecte (10); - des moyens (12, 13) situés dans ledit centre de collecte (10) pour déchiffrer lesdits messages de retour chiffrés et pour les valider; - des' moyens (54) situés dans ledit centre de collecte (10) pour comparer ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés -22- avec celui des pièces, de monnaie résultant de la collecte physique; et - des moyens (52) situés dans ledit centre de collecte (10) pour traiter les résultats de cette comparaison afin de détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants & une valeur d'erreur près donnée, et pour identifier le personnel de collecte auteur du vol par connaissance des informations d'identification contenues dans lesdits
messages de retour.
4) Système selon l'une quelconque des revendications 2 et
3 caractérisé en ce que lesdits moyens (38, 40) de validation dudit message de commande déchiffré comprennent des moyens (38, 40) pour comparer la valeur d'un numéro de borne Bi correspondant à une desdites informations spécifiques, contenue dans Iedit message déchiffré avec la valeur du numéro de borne Bi mémorisé dans lesdits moyens de mémorisation (34, 38), et des moyens (40) pour traiter les résultats de cette comparaison afin de valider ledit message de commande déchiffré en fonction des résultats de ladite comparaison.
) Système selon l'une quelconque des revendications 2,3
et 4 caractérisé en ce que lesdits moyens (38, 40) de validation dudit message de commande déchiffrée comprennent des moyens (38, 40) pour comparer la valeur d'un indice R correspondant & une desdites informations spécifiques,contenue dans ledit message de commande déchiffrée avec la valeur de l'indice R mémorisé dans lesdits moyens de mémorisation (34, 38), des moyens (40) pour traiter les résultats de -23- cette comparaison afin de valider ledit message de commande déchiffré en fonction des résultats de ladite comparaison, et des moyens (38, 40) pour modifier ledit indice R mémorisé dans lesdits moyens de mémorisation (34, 38) à la fin de chaque collecte réalisée de sorte que les messages de commande des précédentes collectes
ne sont plus valables et ne peuvent pas être validées.
6) Système selon la revendications 3 caractérisé en ce que
lesdits moyens de mémorisation (34, 38) comprennent une mémoire (38) et un microprocesseur (40) situés dans le coffre de chacune des bornes Bi et non accessibles au personnel de collecte, mémorisant notamment le montant
des pièces de monnaie contenues dans ledit coffre (18).
7) Système selon l'une quelconque des revendications 1 à 5
caractérisé en ce que lesdits moyens de mémorisation (34,38) comprennent une mémoire (38) et un microprocesseur (40) situés dans le coffre de chacune des bornes Bi et non accessibles au personnel de collecte, mémorisant notamment lesdites informations spécifiques.
8) Système selon l'une quelconque des revendications i à 7
caractérisé en ce que lesdites bornes & prépaiement
(B1...Bi) sont des bornes de stationnement payant.
9) Système selon l'une quelconque des revendications i à 8
caractérisé en -ce que lesdits moyens de dialogue comprennent un terminal portable (24) comprenant un écran (50), un circuit électronique (42), une mémoire (26) pour mémoriser lesdites informations chiffrées -24- et des moyens de transmission (28) avec ledit centre de
collecte (10) et ladite borne Bi.
) Système selon l'une quelconque des revendications 2 à 9
caractérisé en ce que lesdits messages de commande sont chiffrés par un algorithme à clé secrète et à clé publique, ladite clé secrète étant mémorisée dans ledit centre de collecte (10) et ladite clé publique mémorisée à la fois dans ledit centre de collecte (10)
et dans chaque borne Bi.
11) Système selon l'une quelconque des revendications 3 à 9
caractérisé en ce que lesdits messages de retour sont chiffrés par un algorithme à clé secrète, ladite clé secrète étant mémorisée dans ledit centre de collecte
(10) et dans chaque borne Bi.
12) Procédé pour sécuriser et contrôler la collecte de bornes à prépaiement (B1...Bi) caractérisé en ce qu'il comprend les étapes suivantes: - on fournit un centre de collecte (10); - on fournit des bornes (B1...Bi) comprenant chacune un coffre (18) pour le stockage temporaire des pièces de monnaie introduites dans ladite borne et des moyens de mémorisation (34, 38) pour mémoriser des informations spécifiques à chaque borne Bi; - On fournit des moyens de dialogue (24, 28, 30, 36) entre ledit centre de collecte (10) et lesdites bornes (B1... Bi) pour échanger des informations chiffrées; - On compare lesdites informations chiffrées avec lesdites informations spécifiques; et - on autorise la collecte en fonction des résultats de
la comparaison.
-25- 13) Procédé selon la revendication 12 caractérisé en ce que les étapes de comparaison et d'autorisation comprennent les étapes suivantes: - On génère à l'externe desdites bornes (B1...Bi) des messages de commande comportant notamment des informations d'identification du personnel de collecte et lesdites informations spécifiques; - On chiffre lesdits messages de commande; - On transmet lesdits messages de commande chiffrés vers lesdites bornes (B1... Bi); - On déchiffre dans chaque borne (Bi...Bi) ledit message de commande chiffré correspondant à ladite borne et on valide ledit message de commande chiffré et - on envoie par des moyens (48) situés dans chaque borne (Bi...Bi) un signal de commande à un moyen
mécanique permettant l'ouverture dudit coffre (18).
14) Procédé selon la revendication 13 caractérisé en ce que les étapes de comparaison et d'autorisation comprennent de plus les étapes suivantes: On génère dans chaque borne (B1... Bi) des messages de retour comportant des informations sur le montant des pièces de monnaie contenues dans ledit coffre (18) de ladite borne (Bi) avant la collecte et lesdites informations d'identification du personnel de collecte reçues, et on chiffre lesdits messages de retour; -26- -On transmet lesdits messages de retour d'informations chiffrés vers ledit centre de collecte (10); -On déchiffre dans ledit centre de collecte (10) lesdits messages de retour chiffrés et on les valide; -On compare dans ledit centre de collecte (10) ledit montant de pièces de monnaie contenu dans lesdits messages de retour déchiffrés avec celui des pièces de monnaie résultant de la collecte physique; et -On traite dans ledit centre de collecte (10) les résultats de cette comparaison afin de détecter un éventuel vol de pièces de monnaie au cours de la collecte s'il n'y a pas correspondance de valeur entre lesdits deux montants à une valeur d'erreur près
donhée, et pour identifier le personnel de collecte-
auteur du vol par connaissance des informations d'identification contenues dans lesdits messages de retour.
) Procédé selon l'une quelconque des revendications 12 à
14 caractérisé en ce-que lesdites bornes à prépaiement
(B1...Bi) sont des bornes de stationnement payant.
FR8910962A 1989-08-17 1989-08-17 Systeme et procede pour controler la collecte de bornes a prepaiement Expired - Lifetime FR2651058B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR8910962A FR2651058B1 (fr) 1989-08-17 1989-08-17 Systeme et procede pour controler la collecte de bornes a prepaiement
EP90402298A EP0413636A1 (fr) 1989-08-17 1990-08-16 Système et procédé pour contrôler la collecte de bornes à prépaiement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8910962A FR2651058B1 (fr) 1989-08-17 1989-08-17 Systeme et procede pour controler la collecte de bornes a prepaiement

Publications (2)

Publication Number Publication Date
FR2651058A1 true FR2651058A1 (fr) 1991-02-22
FR2651058B1 FR2651058B1 (fr) 1992-08-07

Family

ID=9384761

Family Applications (1)

Application Number Title Priority Date Filing Date
FR8910962A Expired - Lifetime FR2651058B1 (fr) 1989-08-17 1989-08-17 Systeme et procede pour controler la collecte de bornes a prepaiement

Country Status (2)

Country Link
EP (1) EP0413636A1 (fr)
FR (1) FR2651058B1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1991020060A1 (fr) * 1990-06-14 1991-12-26 State Transit Authority Of New South Wales Systeme de comptabilisation de recettes d'operateurs de transit
FR2685113B1 (fr) * 1991-12-17 1998-07-24 Gemplus Card Int Procede d'intervention sur une borne de delivrance d'un bien ou d'un service.
AUPQ620100A0 (en) * 2000-03-14 2000-04-06 Reinhardt International Pty Limited A parking meter system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4471905A (en) * 1982-10-15 1984-09-18 General Signal Corporation Fare collection apparatus having improved security
US4730117A (en) * 1986-10-03 1988-03-08 General Signal Corporation Cash box identification system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4471905A (en) * 1982-10-15 1984-09-18 General Signal Corporation Fare collection apparatus having improved security
US4730117A (en) * 1986-10-03 1988-03-08 General Signal Corporation Cash box identification system

Also Published As

Publication number Publication date
FR2651058B1 (fr) 1992-08-07
EP0413636A1 (fr) 1991-02-20

Similar Documents

Publication Publication Date Title
EP0426541B1 (fr) Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
US20050001028A1 (en) Authentication methods and apparatus for vehicle rentals and other applications
CH633379A5 (fr) Installation de securite notamment pour l'execution d'operations bancaires.
WO2007048749A1 (fr) Procede de controle de verouillage de serrure, et serrure
FR2503423A1 (fr) Systeme de cartes a memoire electronique pouvant etre rechargees a des valeurs fiduciaires
FR2718091A1 (fr) Dispositif de sûreté contre le vol appliquant un codage électronique d'autorisation d'utilisation pour véhicule.
WO2002095698A1 (fr) Systeme de gestion d'une flotte de bicyclettes, bicyclette et equipements de stockage pour un tel dispositif
CA2064204C (fr) Systeme de protection de documents ou d'objets enfermes dans un contenant inviolable
FR2979726A1 (fr) Serrure electronique securisee pour coffre-fort d'automate et gestion des cles electroniques associees
ES2313872T3 (es) Cajero automatico y metodo asociado.
EP0452190A1 (fr) Système de rangement à casiers adjacents utilisé notamment dans des gares ou des aéroports
FR2774833A1 (fr) Protocole de controle d'acces entre une cle et une serrure electroniques
EP1653415A1 (fr) Procédé et équipement de gestion de badges de contrôle d'accès
EP0627713A1 (fr) Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte
EP0960406B1 (fr) Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable
FR2651058A1 (fr) Systeme et procede pour controler la collecte de bornes a prepaiement
EP1371025B1 (fr) Dispositif destine a limiter l'acces a un espace confine
FR2741103A1 (fr) Dispositif de commande de l'ouverture d'au moins deux portes et agencement de protection d'appareils le comportant
EP2691941A1 (fr) Procede et dispositif d'actionnement de serrure
WO2002081853A1 (fr) Dispositif d'acces pilote et installation correspondante
EP0700021B1 (fr) Procédé de transmission d'informations entre un centre de contrôle informatisé et une pluralité de machines à affranchir électroniques
FR2817584A1 (fr) Dispositif de securisation d'acces a un contenu situe a l'interieur d'une enceinte
EP1965342A1 (fr) Procédé pour effectuer une transaction entre un module de paiement et un module de sécurité
JP2007102274A (ja) 貸しロッカーシステム

Legal Events

Date Code Title Description
GC Lien (pledge) constituted
GC Lien (pledge) constituted