EP0960406B1 - Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable - Google Patents

Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable Download PDF

Info

Publication number
EP0960406B1
EP0960406B1 EP97932877A EP97932877A EP0960406B1 EP 0960406 B1 EP0960406 B1 EP 0960406B1 EP 97932877 A EP97932877 A EP 97932877A EP 97932877 A EP97932877 A EP 97932877A EP 0960406 B1 EP0960406 B1 EP 0960406B1
Authority
EP
European Patent Office
Prior art keywords
container
station
recipient
mode
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP97932877A
Other languages
German (de)
English (en)
Other versions
EP0960406A1 (fr
Inventor
Jean-Marc Lacombe
Marc Geoffroy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oberthur Cash Protection SA
Original Assignee
Axytrans SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axytrans SA filed Critical Axytrans SA
Publication of EP0960406A1 publication Critical patent/EP0960406A1/fr
Application granted granted Critical
Publication of EP0960406B1 publication Critical patent/EP0960406B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/70Operating mechanism
    • Y10T70/7051Using a powered device [e.g., motor]
    • Y10T70/7062Electrical type [e.g., solenoid]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/80Parts, attachments, accessories and adjuncts
    • Y10T70/8027Condition indicators
    • Y10T70/8054With recorder
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/80Parts, attachments, accessories and adjuncts
    • Y10T70/8027Condition indicators
    • Y10T70/8054With recorder
    • Y10T70/8081Electric

Definitions

  • the present invention relates to a system for protection of documents or valuables, such as means of payment, banknotes, checks or cards bank, enclosed in an inviolable container physically called in the whole container suite, passing by a succession of logical states identified in number restricted, and which, in the event of aggression, provokes their degradation by appropriate means.
  • Such a protection system is fully described in European patent EP-0.409.725, and it is characterized in that the container is provided with management means internal operating like a "mode machine” limited "whose operating cycle includes a number restricted from logical states called “modes”, the transition from a first mode to a second mode being the consequence a one-off event the legality of which is, or has been beforehand, verified by an autonomous means which can be put in contact with said internal management means of the container, said transition then being accompanied by the memory loss from the previous mode.
  • management means internal operating like a "mode machine” limited "whose operating cycle includes a number restricted from logical states called "modes”, the transition from a first mode to a second mode being the consequence a one-off event the legality of which is, or has been beforehand, verified by an autonomous means which can be put in contact with said internal management means of the container, said transition then being accompanied by the memory loss from the previous mode.
  • the stations group the heavy electronic interfaces for this purpose and, containers and user just manage a basic connection dialog with the same stations; of course, the supervising computer manages more complex exchanges and it also constitutes a server center located at a distance from all stations, all users, and all containers, which provides effective protection against possible both logical and physical attacks.
  • Such a protection system is particularly effective for all established funds transfers, to habitual and above all repetitive, such as by example, transfers between a bank and its various agencies; it is then entirely suitable to install so many on departure and on arrival, permanent reception terminals, otherwise called in the previous document already cited, "resident stations", serving as interfaces between the containers physically transferring funds, the human being - that is, the sender, the conveyor and later the recipient -, and the host, otherwise known as a computer / supervisor.
  • container 1 for example by the head of a central banking agency, called thereafter consignor 2.
  • container 1 must be transported by a conveyor 3 to a occasional recipient, for example a small trader.
  • the general system according to the invention according to Figure 1 is made up of a star network, connecting to a single terminal the container 1, the supervisor computer 4, the sender 2 and the conveyor 3; this single terminal subsequently called station 5, is the center of the star network.
  • a first station 5 is naturally located at place of departure of container 1 and, in accordance with the invention and with reference to FIG. 2, the station of arrival is no longer resident, but on the contrary it is mobile and transportable, for all reasons widely developed in the preamble to these, namely that the carrier can deliver these funds in a very occasional to a recipient who may otherwise be located in any place without first having the same transporter is required to set up an arrival station there equipped with heavy and therefore expensive equipment.
  • mobile station 6 includes a terminal 7 with keyboard and screen 8 provided with a microprocessor and a memory card reader 9 capable of receive from the correct recipient 10 a card to microprocessor 11 personalized and above all authenticated by a confidential code 12 sent to the recipient 10 separately and beforehand by the transporter within security conditions which will be indicated later.
  • the mobile station 6 in accordance with a essential characteristic of the invention is, during the transfer, completely disconnected from the computer supervisor 4 i.e. no means of communication does not exist between the latter and the terminal when the remittance of funds is made.
  • the mobile station 6 is put in relationship with container 1 by means of a communication 13 comprising according to a characteristic secondary and advantageous of the invention, a source autonomous supply 14 of the container 1 and its electromagnetic locking devices.
  • the authentication of the part of the system that issues a message is actually authenticate said message itself by verifying a computer signature calculated on the content of said message using a key algorithm, of course only held by the only parties exchanging the said message.
  • an algorithm of the type symmetrical for example the DES algorithm (from the English Data Encryption Standard) whose characteristics are standardized; remember that in this algorithm, the couple container 1 / memory card 11 has a key K this key K is placed in a memory of container 1 while that the card 11 which has the same key K, remains of course under the sole protection of the end user 11.
  • the electronic signature intended to authenticate the message and its author will be herself calculated on the content of messages according to a algorithm advantageously similar to the DES algorithm of encryption that has just been recalled.
  • container 1 is completely identical to the operation of containers widely described in European patent EP-0.409.725 already mentioned, i.e. container 1 also works here as a "limited mode machine".
  • the supervisor 4 generates one or more several encryption keys of the DES type that it will implement from the transport of funds in container 1 after have been previously inserted into the microprocessor of the card allowing the authentication of the recipient at time of delivery of container 1.
  • container 1 will be programmed for a destination on mobile station 6 and not on a resident station 5.
  • the conveyor 3 On delivery of the container (s) 1, the conveyor 3 presents the terminal 7 to the alleged user 10 who will then have to insert the microprocessor card encrypted 11 that he holds and at the same time type in his code confidential 12 on the keyboard of said terminal 7. When the user is correctly identified, the conveyor 3 retrieves the terminal to connect it via the interface of communication 13 to container 1 which, after confrontation successful carrier authentication codes and therefore the destination, immediately goes into opening mode allowing the authorized user 10 to recover the funds which were normally intended for him.
  • container 1 is closed, reprogrammed and put in departure mode towards the original site, all this according to chained stages since they are independent of supervisor 4 who cannot intervene at this time.
  • the conveyor 3 disconnects container 1 from its interface 13, the user 10 resumes his microprocessor card 11; the conveyor 3 returns to the transport vehicle with the mobile terminal and container 1 for a return to the site of departure, that is to say at the central agency.
  • a standalone printer 15 for delivering to recipient of funds 10, a ticket 16, constituting a voucher of funds.
  • microprocessor equipping the terminal 7 will advantageously be used to store all information from the containers regarding traceability of daily operations, to sites not equipped with fixed stations 5.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Warehouses Or Storage Devices (AREA)
  • Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)
  • Control Of Conveyors (AREA)

Description

La présente invention concerne un système de protection de documents ou d'objets de valeur, tels que moyens de paiement, billets de banque, chèques ou cartes bancaires, enfermés dans un contenant inviolable physiquement, appelé dans toute la suite conteneur, passant par une succession d'états logiques identifiés en nombre restreint, et qui, en cas d'agression, provoque leur dégradation par des moyens appropriés.
Un tel système de protection est entièrement décrit dans le brevet européen EP-0.409.725, et il se caractérise en ce que le conteneur est pourvu de moyens de gestion internes fonctionnant à la manière d'une machine à "modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques appelés "modes", la transition d'un premier mode à un second mode étant la conséquence d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes du conteneur, ladite transition s'accompagnant alors de la perte de mémoire du mode antérieur.
Selon le brevet antérieur, le système est utilisable pour la protection de fonds placés dans un conteneur, par exemple par le responsable d'une agence bancaire nommé expéditeur afin d'être transporté par un convoyeur, par exemple vers une succursale de cette agence bancaire ; la succession des états logiques et, par conséquent, le transfert de la responsabilité est confié à un ordinateur unique jouant en fait le rôle de superviseur pour gérer la sécurité logique des conteneurs, c'est-à-dire pour vérifier la licéité des transitions de certains modes de fonctionnement de leurs moyens de gestion internes vers certains autres modes ; on peut, à cet égard, citer trois exemples de transition particulièrement significatifs :
  • a) lors d'un transport, la protection des fonds ne peut être assurée que par le conteneur : le système comprend alors uniquement le conteneur,
  • b) à la fin d'un transport au moment de la livraison, seule une source d'information extérieure au conteneur peut provoquer l'interruption du mode dans lequel il a été placé au début de son transport et qui constitue sa seule mémoire : le système doit alors être étendu à la source d'information extérieure c'est-à-dire l'ordinateur, qui doit préalablement à cette extension être reconnu comme un partenaire fiable et sûr par le conteneur,
  • c) après la livraison, la protection des fonds enfermés dans le conteneur est encore totale, car son ouverture nécessite l'extension du système à une deuxième source d'information extérieure, l'utilisateur de ces fonds (c'est-à-dire le destinataire, l'expéditeur ou le convoyeur), qui doit à son tour être reconnu comme un partenaire fiable et sûr par le conteneur et l'ordinateur superviseur.
    • Les transitions entre ces trois types de mode décident en fait du transfert de responsabilité attaché à la protection des fonds, qu'ils soient ou non enfermés dans le conteneur.
    Selon une caractéristique fondamentale du document antérieur, le conteneur, l'ordinateur, l'expéditeur ou le destinataire et le convoyeur sont reliés respectivement au départ et à l'arrivée à une borne unique appelée "station" pour constituer au point de départ et au point d'arrivée un réseau en étoile, dont ladite station est le centre. Il est donc prévu une première station au lieu du départ d'un conteneur, et au moins une autre station à son lieu d'arrivée. Le recours à une telle station reliant de manière étoilée toutes les parties prenantes, permet avantageusement d'alléger les interfaces permettant auxdites parties de dialoguer ensemble. Les stations regroupent à cet effet les interfaces électroniques lourdes et, conteneurs et utilisateur se contentent de gérer un dialogue élémentaire de connexion avec les mêmes stations ; bien entendu, l'ordinateur superviseur gère quant à lui des échanges plus complexes et il constitue d'ailleurs un centre serveur situé à distance de toutes les stations, de tous les utilisateurs, et de tous les conteneurs, ce qui lui assure une protection efficace contre d'éventuelles agressions tant logiques que physiques.
    Enfin, ajoutant à la confidentialité structurelle des stations, il est prévu que toutes les communications entre deux parties au système soient effectuées selon un protocole permettant à la partie recevant un message d'authentifier celle qui est censée l'avoir émis, cette authentification pouvant en outre faire l'objet d'un accusé de réception.
    Un tel système de protection est particulièrement efficace pour tous les transferts de fonds institués, à caractère habituel et surtout répétitif, tel que par exemple, les transferts entre une banque et ses diverses agences ; il est alors tout à fait adapté d'installer tant au départ qu'à l'arrivée, des bornes d'accueil à demeure, autrement appelées dans le document antérieur déjà cité, "stations résidentes", servant d'interfaces entre le ou les conteneurs assurant physiquement le transfert des fonds, l'être humain - c'est-à-dire l'expéditeur, le convoyeur et plus tard le destinataire -, et le centre serveur, autrement appelé ordinateur/superviseur.
    Toutefois, en de nombreuses circonstances, il est nécessaire de transférer ou collecter des fonds de manière occasionnelle ou provisoire vers des lieux pouvant être très divers d'une période à une autre ; il s'agit notamment d'apporter un service de transfert de fonds sécurisé, à toute catégorie de petit commerce, dont la fréquence de desserte est a priori très variable.
    On comprend bien que dans tous ces cas, il ne soit pas raisonnable économiquement d'installer un matériel lourd résident et c'est la raison pour laquelle il est proposé conformément à la présente invention de remplacer au point de destination, les stations résidentes par des stations portatives ou mobiles ; on imagine dès lors assez bien que pour le transporteur, une telle solution procure une grande souplesse d'utilisation dans la mesure où, elle ne nécessite aucune installation préalable de matériel et suppose pour le client, des délais de mise en place du service extrêmement courts, ce qui procure encore au transporteur un atout commercial décisif ; c'est notamment le cas à l'occasion d'événements tels que foires, marchés, expositions, ou encore pour approvisionner ou porter des fonds auprès de commerces de détail. On peut aussi remarquer que même dans le transport de fonds interbancaire, de nombreux cas se résument à de simples livraisons avec remise immédiate des fonds, pour lesquels il n'est requis aucun stockage sécurisé ; ici encore, une station mobile convient tout à fait à ce type de service, et à l'inverse, l'installation d'une station résidente eût été inconcevable, rendant inutilisable le système de protection tel que décrit dans le brevet antérieur déjà cité.
    A cet effet, et conformément à la présente invention, il est proposé un système de transport sécurisé de valeurs notamment de moyens de paiement, billets de banque, chèques, ou cartes bancaires depuis un site central de départ jusqu'à un site destinataire, enfermées dans un conteneur, qui, en cas d'agression, provoque leur dégradation par des moyens appropriés, et qui est pourvu de moyens de gestion internes fonctionnant à la manière d'une "machine à modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques, appelés modes, la transition d'un premier mode à un second mode résultant d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes, ladite transition s'accompagnant alors de la perte de mémoire du mode antérieur, ledit système pouvant comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par :
    • un utilisateur des valeurs, qu'il s'agisse d'un expéditeur, d'un destinataire ou d'un convoyeur,
    • un conteneur,
    • un centre serveur unique et situé à distance pouvant se mettre en relation avec les moyens de gestion internes dudit conteneur, au moins lorsqu'il est au point de départ, pour contrôler la licéité d'un événement provoquant une transition d'un mode vers un autre mode,
       lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique, appelée station, de manière à constituer un réseau en étoile dont ladite station est le centre, caractérisé en ce que la station d'au moins un destinataire n'est pas une station résidente, mais une station mobile et transportable.
    D'autres caractéristiques et avantages du système selon l'invention ressortiront mieux de la description qui va être donnée d'une réalisation particulière mettant en jeu un cas simple de transport de fonds entre un site central et un seul destinataire entrant par exemple dans la catégorie des petits commerçants, un tel cas n'étant donné qu'à titre d'illustration non limitative du système selon l'invention, en référence au dessin annexé sur lequel :
    • la figure 1 est un schéma synoptique de l'organisation en réseau du système selon l'antériorité décrite dans le brevet européen EP-0.409.725,
    • la figure 2 est un schéma synoptique d'une organisation avec une station mobile conforme à l'invention.
    En référence à la figure 1, le système selon l'antériorité est notamment utilisé pour la protection de fonds qui ont été placés dans un conteneur 1, par exemple par le responsable d'une agence bancaire centrale, appelé par la suite expéditeur 2. Selon l'exemple, le conteneur 1 doit être transporté par un convoyeur 3 vers un destinataire occasionnel, par exemple un petit commerçant.
    Tous les événements précédant le transport de fonds et occasionnant un nombre de transitions d'un mode à un autre, conformément aux enseignements de l'antériorité sont largement détaillés dans le brevet EP-0.409.725 et on rappellera seulement ici que tous les transferts de responsabilité en relation avec les divers états logiques que peut prendre le conteneur 1 sont contrôlés par un ordinateur superviseur unique 4, gérant la sécurité logique du conteneur 1, c'est-à-dire vérifiant la licéité des transitions de certains modes de fonctionnement des moyens de gestion internes dudit conteneur vers d'autres modes de fonctionnement. On se reportera ici à la description donnée dans l'antériorité pour le détail des transitions possibles entre les divers modes de fonctionnement depuis l'instant où les fonds sont disposés à l'intérieur du conteneur 1 jusqu'à leur arrivée sur le site de destination où le destinataire doit prendre en charge les fonds qu'il attend.
    Comme dans l'antériorité, le système général selon l'invention conformément à la figure 1 est constitué en un réseau en étoile, reliant à une borne unique le conteneur 1, l'ordinateur superviseur 4, l'expéditeur 2 et le convoyeur 3 ; cette borne unique appelée par la suite station 5, constitue le centre du réseau étoilé.
    Une première station 5 est naturellement implantée au lieu du départ du conteneur 1 et, conformément à l'invention et en référence à la figure 2, la station d'arrivée n'a plus un caractère résident, mais au contraire elle est mobile et transportable, pour toutes les raisons largement développées en préambule des présentes, à savoir que le transporteur peut délivrer ces fonds de manière très occasionnelle à un destinataire qui par ailleurs peut être situé en n'importe quel lieu sans que préalablement le même transporteur soit tenu d'y implanter une station d'arrivée dotée d'équipements lourds et par conséquent coûteux.
    En référence à la figure 2 la station mobile 6 comprend un terminal 7 à clavier et écran 8 pourvu d'un microprocesseur et d'un lecteur de carte à mémoire 9 apte à recevoir du bon destinataire 10 une carte à microprocesseur 11 personnalisée et surtout authentifiée par un code confidentiel 12 transmis au destinataire 10 séparément et préalablement par le transporteur dans les conditions de sécurité qui seront indiquées plus loin.
    La station mobile 6 conformément à une caractéristique essentielle de l'invention, est, pendant le transfert, totalement déconnectée de l'ordinateur superviseur 4 c'est-à-dire qu'aucun moyen de communication n'existe entre ce dernier et le terminal au moment où la remise des fonds s'effectue.
    D'un autre côté la station mobile 6 est mise en relation avec le conteneur 1 au moyen d'une interface de communication 13 comportant selon une caractéristique secondaire et avantageuse de l'invention, une source autonome d'alimentation 14 du conteneur 1 et de ses dispositifs électromagnétiques de verrouillage.
    Préalablement au transport de fonds envisagé, il est remis à l'utilisateur final 10 une carte à microprocesseur 11 tout à fait analogue dans sa forme et dans son fonctionnement à une classique carte bancaire ; cette carte 11 est préalablement chargée des données cryptographiques qui seront ultérieurement nécessaires non seulement aux échanges de messages entre les parties prenantes sur le site d'arrivée, mais encore pour l'initialisation et le bon déroulement de toutes les étapes destinées à autoriser l'ouverture du conteneur et par là la récupération des fonds qu'il contient par le légitime destinataire 10 tout en programmant correctement le retour dudit conteneur vers le site central de départ. Bien entendu, l'ensemble des données de cryptage sont avant le départ générées par l'ordinateur 4 fonctionnant ici en centre serveur. De cette façon, l'ordinateur 4 n'intervient plus directement dans les étapes de livraison ; c'est la raison pour laquelle les échanges entre celui-ci, la station 6 via la carte 11 et le conteneur 1 à destination, ont été représentés en traits mixtes fins sur la figure 2.
    Il peut être ici rappelé, que à l'instar de ce qui est décrit dans le brevet antérieur, l'authentification de la partie du système qui émet un message consiste en fait à authentifier ledit message lui-même par vérification d'une signature informatique calculée sur le contenu dudit message au moyen d'un algorithme à clefs, naturellement uniquement détenues par les seules parties échangeant ledit message.
    A cet effet, il sera avantageusement utilisé comme algorithme de chiffrement, un algorithme du type symétrique, par exemple l'algorithme DES (de l'anglais Data Encryption Standard) dont les caractéristiques sont normalisées ; rappelons que dans cet algorithme, le couple conteneur 1 / carte à mémoire 11 possède une clef K cette clef K est placée dans une mémoire du conteneur 1 tandis que la carte 11 qui possède la même clef K, reste bien sûr sous l'unique protection de l'utilisateur final 11. On notera qu'avantageusement, la signature électronique destinée à authentifier le message et son auteur sera elle-même calculée sur le contenu des messages selon un algorithme avantageusement semblable à l'algorithme DES de chiffrement qui vient d'être rappelé.
    On peut également différencier les clefs de chiffrement et d'authentification afin d'augmenter encore la sécurité cryptographique.
    Il convient enfin de noter que le fonctionnement du conteneur 1 est totalement identique au fonctionnement des conteneurs largement décrit dans le brevet européen EP-0.409.725 déjà cité, c'est-à-dire que le conteneur 1 fonctionne ici aussi en "machine à modes limités".
    Conformément à l'exemple simplifié retenu pour illustrer l'invention, il est donc convenu de délivrer des fonds partant d'une agence centrale pour être délivrés à un utilisateur occasionnel 10 non équipé d'une station résidente 5. L'utilisateur 10 préalablement à l'opération envisagée, reçoit d'un côté sa carte à microprocesseur 11 dûment cryptée, et séparément il reçoit à la manière des cartes bancaires un code secret 12 correspondant à la carte 11.
    Parallèlement, le superviseur 4 génère une ou plusieurs clefs de cryptage du type DES qu'il implémentera au départ du transport de fonds dans le conteneur 1 après avoir été préalablement insérées dans le microprocesseur de la carte permettant l'authentification du destinataire au moment de la livraison du conteneur 1.
    De même, avant le départ de l'agence centrale, le ou les conteneurs 1 destinés à la station mobile 6 seront informés de cette situation par une opération supplémentaire menée par le responsable de l'agence centrale ; dans l'exemple, le conteneur 1 sera programmé pour une destination sur station mobile 6 et non pas sur une station résidente 5.
    A la livraison du ou des conteneurs 1, le convoyeur 3 présente le terminal 7 à l'utilisateur présumé 10 lequel devra alors introduire la carte à microprocesseur cryptée 11 qu'il détient et parallèlement taper son code confidentiel 12 sur le clavier dudit terminal 7. Lorsque l'utilisateur est correctement identifié, le convoyeur 3 récupère le terminal pour le connecter via l'interface de communication 13 au conteneur 1 qui, après confrontation réussie des codes d'authentification du porteur et donc de la destination, transite immédiatement en mode ouverture permettant à l'utilisateur autorisé 10 de récupérer les fonds qui lui étaient normalement destinés.
    Par la suite, le conteneur 1 est refermé, reprogrammé et mis en mode départ vers le site d'origine, tout ceci selon des étapes enchaínées puisque indépendantes du superviseur 4 qui ne peut à cet instant intervenir.
    Après l'autorisation d'enlèvement, le convoyeur 3 déconnecte le conteneur 1 de son interface 13, l'utilisateur 10 reprend sa carte à microprocesseur 11 ; le convoyeur 3 retourne au véhicule de transport avec le terminal mobile et le conteneur 1 pour un retour au site de départ, c'est-à-dire à l'agence centrale.
    Selon une caractéristique particulière de l'invention, il est prévu d'adjoindre au terminal 7 une imprimante autonome 15 permettant de délivrer au destinataire des fonds 10, un ticket 16, constituant un bon de prise en charge des fonds.
    Naturellement, le microprocesseur équipant le terminal 7 sera avantageusement utilisé pour stocker toutes informations provenant des conteneurs et concernant la traçabilité des opérations quotidiennement effectuées, vers des sites non équipés de stations fixes 5.

    Claims (8)

    1. Système sécurisé depuis un site de départ jusqu'à un site destinataire pour le transport de valeurs notamment de moyens de paiement, billets de banque, chèques, ou cartes bancaires, enfermées dans un conteneur (1), qui, en cas d'agression, provoque leur dégradation par des moyens appropriés, et qui est pourvu de moyens de gestion internes fonctionnant à la manière d'une "machine à modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques, appelés modes, la transition d'un premier mode à un second mode résultant d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes, ladite transition s'accompagnant alors de la perte de mémoire du mode antérieur, ledit système pouvant comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par :
      un utilisateur des valeurs, qu'il s'agisse d'un expéditeur, d'un destinataire (10) ou d'un convoyeur (3),
      un conteneur (1),
      un centre serveur (4) unique et situé à distance, pouvant se mettre en relation avec les moyens de gestion internes dudit conteneur (1) au moins lorsqu'il est sur le site de départ, pour contrôler la licéité d'un événement provoquant une transition d'un mode vers un autre mode,
         lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique, appelée station (5,6), de manière à constituer un réseau en étoile dont ladite station (5,6) est le centre, caractérisé en ce que la station (6) d'au moins un destinataire (10) est une station mobile et transportable, comprenant un terminal (7) à clavier et écran (8) pourvu d'un microprocesseur et d'un lecteur de carte à mémoire (9), entièrement autonome c'est-à-dire non relié au centre serveur (4) et apte à être relié par un interface de communication (13) avec le conteneur (1) ledit interface (13) possédant avantageusement la source d'énergie (14) permettant d'alimenter le terminal (7) et le conteneur (1) et notamment son verrou électromagnétique.
    2. Système de protection selon la revendication précédente caractérisé en ce que les événements pouvant survenir au lieu de destination où se trouve une station mobile (6) à savoir les opérations d'ouverture, de fermeture du conteneur (1), de reprogrammation vers le site central et de départ, sont programmés dès l'origine, avant le départ du site central, dans les moyens de gestion internes du conteneur (1), les transitions d'un mode à l'autre résultant de tels événements se faisant alors de manière non séquentielle, c'est-à-dire enchaínée.
    3. Système de protection selon l'une quelconque des revendications précédentes caractérise en ce que le destinataire (10) associé à une station mobile (6) détient une carte à microprocesseur (11) personnalisée par un code confidentiel (12) remis préalablement et séparément audit destinataire (10) lui permettant au moment de la livraison du conteneur (1) grâce à son interface de communication (13) couplée au terminal (7), d'une part de s'identifier par introduction de la carte (11) dans le lecteur (9) validée par l'entrée du code confidentiel (12) et, d'autre part d'enchaíner les événements ouverture-reprogrammation-départ.
    4. Système de protection selon la revendication précédente caractérisé en ce que le micro processeur d'un conteneur (1) et la carte personnalisée (11) du destinataire (10) comportent des moyens d'authentification informatique des messages qu'ils échangent ensemble, via le terminal (7) et l'interface (13).
    5. Système de protection selon la revendication précédente caractérisé en ce que l'authentification de la partie émettrice d'un message consiste à authentifier le message lui-même par vérification d'une signature informatique calculée sur le contenu dudit message au moyen d'un algorithme à clefs (DES) uniquement détenues par les parties à l'échange.
    6. Système de protection selon l'une quelconque des revendications précédentes, caractérisé en ce que les messages échangés entre deux parties du système sont chiffrés au moyen d'un algorithme de chiffrement à clefs (DES) qui sont détenues uniquement par ces deux parties, ledit algorithme (DES) pouvant avantageusement être, par exemple, une variante de l'algorithme servant à élaborer une signature d'authentification dudit message.
    7. Système de protection selon l'une quelconque des revendications précédentes caractérisé en ce que le terminal (7) est équipé d'une imprimante autonome (15) destinée à délivrer au destinataire (10) un bon (16) de prise en charge des valeurs.
    8. Système de protection selon l'une quelconque des revendications précédentes caractérisé en ce que le terminal (7) enregistre toutes informations provenant du ou des conteneurs (1) et concernant la traçabilité des événements survenus quotidiennement, vers des sites équipés de stations mobiles (6).
    EP97932877A 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable Expired - Lifetime EP0960406B1 (fr)

    Applications Claiming Priority (3)

    Application Number Priority Date Filing Date Title
    FR9608605 1996-07-10
    FR9608605A FR2751111B1 (fr) 1996-07-10 1996-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable
    PCT/FR1997/001254 WO1998001833A1 (fr) 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable

    Publications (2)

    Publication Number Publication Date
    EP0960406A1 EP0960406A1 (fr) 1999-12-01
    EP0960406B1 true EP0960406B1 (fr) 2002-03-13

    Family

    ID=9493899

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP97932877A Expired - Lifetime EP0960406B1 (fr) 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable

    Country Status (12)

    Country Link
    US (1) US6430689B1 (fr)
    EP (1) EP0960406B1 (fr)
    AT (1) ATE214502T1 (fr)
    AU (1) AU3625797A (fr)
    BR (1) BR9712967A (fr)
    CA (1) CA2259285C (fr)
    DE (1) DE69711091T2 (fr)
    DK (1) DK0960406T3 (fr)
    ES (1) ES2174268T3 (fr)
    FR (1) FR2751111B1 (fr)
    PT (1) PT960406E (fr)
    WO (1) WO1998001833A1 (fr)

    Families Citing this family (9)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    FR2804994B1 (fr) * 2000-02-16 2003-06-27 Cpr Billets Dispositif et procede de transport securise d'un objet
    FR2808912A1 (fr) * 2000-05-11 2001-11-16 Andre Nouvon Dispositif de controle d'authenticite des billets de banque et protection par dissuasion des transports de fonds
    JP2003058928A (ja) * 2001-08-13 2003-02-28 Toshiba Corp 銀行券鑑査機及び銀行券鑑査結果データ処理方法
    AU2002343060A1 (en) * 2001-11-23 2003-06-10 De La Rue International Limited Verification method and apparatus
    SE520944C2 (sv) * 2002-01-22 2003-09-16 Sqs Ab Förfarande vid öppning av en transporterbar behållare samt anordning för genomförandet av förfarandet
    DE102008045607A1 (de) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein
    US10657488B2 (en) * 2009-07-14 2020-05-19 Carefusion 303, Inc. Portable inventory tracking system
    DE102010061070A1 (de) * 2010-12-07 2012-06-14 Wincor Nixdorf International Gmbh Verfahren zur Inbetriebnahme und Verfahren zum Betreiben einer Geldkassette
    EP2953100A1 (fr) * 2014-06-03 2015-12-09 Deutsche Postbank AG Système logistique d'argent en espèces et procédé de manipulation de processus logistiques d'argent en espèces

    Family Cites Families (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
    US4929880A (en) * 1985-12-30 1990-05-29 Supra Products, Inc. Electronic lock system with battery conservation features
    SE455653B (sv) * 1987-08-11 1988-07-25 Inter Innovation Ab Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning
    US5191611A (en) * 1989-04-03 1993-03-02 Lang Gerald S Method and apparatus for protecting material on storage media and for transferring material on storage media to various recipients
    FR2649748B1 (fr) * 1989-07-17 1991-10-11 Axyval Sa Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint
    US5321242A (en) * 1991-12-09 1994-06-14 Brinks, Incorporated Apparatus and method for controlled access to a secured location
    GB2246656A (en) * 1990-08-03 1992-02-05 Timetill Security Ltd Cassette for the transfer of paper currency.
    FR2685113B1 (fr) * 1991-12-17 1998-07-24 Gemplus Card Int Procede d'intervention sur une borne de delivrance d'un bien ou d'un service.

    Also Published As

    Publication number Publication date
    WO1998001833A1 (fr) 1998-01-15
    CA2259285A1 (fr) 1998-01-15
    FR2751111B1 (fr) 1998-10-09
    DE69711091T2 (de) 2003-03-27
    DK0960406T3 (da) 2002-07-08
    US6430689B1 (en) 2002-08-06
    CA2259285C (fr) 2003-07-08
    PT960406E (pt) 2002-08-30
    FR2751111A1 (fr) 1998-01-16
    ES2174268T3 (es) 2002-11-01
    DE69711091D1 (de) 2002-04-18
    EP0960406A1 (fr) 1999-12-01
    AU3625797A (en) 1998-02-02
    BR9712967A (pt) 2000-03-14
    ATE214502T1 (de) 2002-03-15

    Similar Documents

    Publication Publication Date Title
    EP1008257B1 (fr) Procede et systeme pour securiser les centres de gestion d'appels telephoniques
    EP0950303B1 (fr) Procede et systeme pour securiser les prestations de service a distance des organismes financiers
    US7254561B1 (en) Method and device for performing electronic transactions
    EP0426541B1 (fr) Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre
    EP0973318A1 (fr) Procédé pour payer à distance, au moyen d'un radiotéléphone mobile, l'acquisition d'un bien et/ou d'un service, et système et radiotéléphone mobile correspondants
    EP0409725B1 (fr) Système de protection de documents ou d'objets enfermés dans un contenant inviolable
    WO2006092446A1 (fr) Procede de securisation d'une transaction avec une carte de paiement, et centre d'autorisation pour la mise en oeuvre de ce procede
    EP0950307B1 (fr) Procede et systeme pour securiser les prestations de service d'operateurs de telecommunication
    EP0960406B1 (fr) Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable
    WO1999040546A1 (fr) Protocole de controle d'acces entre une cle et une serrure electroniques
    FR2922669A1 (fr) Dispositif electronique portable pour l'echange de valeurs et procede de mise en oeuvre d'un tel dispositif
    FR2907948A1 (fr) Procede de lutte contre le vol de billets,billet,dispositif d'inactivation et dispositif d'activation correspondants.
    FR2697929A1 (fr) Protocole sécurisé d'échange de données entre un dispositif de transfert et un objet portatif.
    CA2500691A1 (fr) Procede de consultation securisee de recepisses de livraison d'objets
    WO2006117351A2 (fr) Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
    EP2131318A1 (fr) Procédés et dispositif pour entités électroniques pour l'échange et l'utilisation de droits
    FR2922670A1 (fr) Procede et dispositif pour l'echange de valeurs entre entites electroniques portables personnelles
    WO2007131905A1 (fr) Procede d'activation d'un terminal
    FR2773405A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires
    EP4254286B1 (fr) Système d'acheminement d'objets contenus dans des boîtes sur lesquelles sont prévus des moyens d'identification du destinataire
    FR2789203A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires, les ressources accedante et accedee etant depourvues d'horloge temps reel
    EP1962239A1 (fr) Procédé de vérificatiion d'un code identifiant un porteur, carte à puce et terminal respectivement prévus pour la mise en ceuvre dudit procédé
    FR3125622A1 (fr) Procédé de transaction entre un organisme et un établissement sur une chaîne de blocs
    FR2971109A1 (fr) Systeme biometrique de verification de l'identite avec un signal de reussite, cooperant avec un objet portatif

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    17P Request for examination filed

    Effective date: 19990204

    AK Designated contracting states

    Kind code of ref document: A1

    Designated state(s): AT BE CH DE DK ES FI GB GR IE IT LI LU MC NL PT SE

    GRAG Despatch of communication of intention to grant

    Free format text: ORIGINAL CODE: EPIDOS AGRA

    17Q First examination report despatched

    Effective date: 20010504

    GRAG Despatch of communication of intention to grant

    Free format text: ORIGINAL CODE: EPIDOS AGRA

    GRAH Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOS IGRA

    GRAH Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOS IGRA

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: IF02

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): AT BE CH DE DK ES FI GB GR IE IT LI LU MC NL PT SE

    REF Corresponds to:

    Ref document number: 214502

    Country of ref document: AT

    Date of ref document: 20020315

    Kind code of ref document: T

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REF Corresponds to:

    Ref document number: 69711091

    Country of ref document: DE

    Date of ref document: 20020418

    REG Reference to a national code

    Ref country code: DK

    Ref legal event code: T3

    GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

    Effective date: 20020617

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: NV

    Representative=s name: BOVARD AG PATENTANWAELTE

    REG Reference to a national code

    Ref country code: PT

    Ref legal event code: SC4A

    Free format text: AVAILABILITY OF NATIONAL TRANSLATION

    Effective date: 20020606

    REG Reference to a national code

    Ref country code: GR

    Ref legal event code: EP

    Ref document number: 20020401882

    Country of ref document: GR

    REG Reference to a national code

    Ref country code: ES

    Ref legal event code: FG2A

    Ref document number: 2174268

    Country of ref document: ES

    Kind code of ref document: T3

    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20021216

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PFA

    Owner name: AXYTRANS

    Free format text: AXYTRANS#102, BOULEVARD MALESHERBES#75017 PARIS (FR) -TRANSFER TO- AXYTRANS#102, BOULEVARD MALESHERBES#75017 PARIS (FR)

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: LU

    Payment date: 20140722

    Year of fee payment: 18

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: IE

    Payment date: 20140729

    Year of fee payment: 18

    Ref country code: CH

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: FI

    Payment date: 20140711

    Year of fee payment: 18

    Ref country code: DK

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: DE

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: NL

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: GR

    Payment date: 20140717

    Year of fee payment: 18

    Ref country code: MC

    Payment date: 20140714

    Year of fee payment: 18

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: GB

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: SE

    Payment date: 20140721

    Year of fee payment: 18

    Ref country code: ES

    Payment date: 20140728

    Year of fee payment: 18

    Ref country code: AT

    Payment date: 20140619

    Year of fee payment: 18

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: IT

    Payment date: 20140730

    Year of fee payment: 18

    Ref country code: PT

    Payment date: 20140113

    Year of fee payment: 18

    REG Reference to a national code

    Ref country code: PT

    Ref legal event code: MM4A

    Free format text: LAPSE DUE TO NON-PAYMENT OF FEES

    Effective date: 20160111

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R119

    Ref document number: 69711091

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: DK

    Ref legal event code: EBP

    Effective date: 20150731

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: MC

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150731

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    REG Reference to a national code

    Ref country code: SE

    Ref legal event code: EUG

    REG Reference to a national code

    Ref country code: AT

    Ref legal event code: MM01

    Ref document number: 214502

    Country of ref document: AT

    Kind code of ref document: T

    Effective date: 20150710

    GBPC Gb: european patent ceased through non-payment of renewal fee

    Effective date: 20150710

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: LU

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    REG Reference to a national code

    Ref country code: NL

    Ref legal event code: MM

    Effective date: 20150801

    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: MM4A

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    Ref country code: LI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150731

    Ref country code: DE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20160202

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150731

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GR

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160202

    Ref country code: SE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150711

    Ref country code: FI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    Ref country code: AT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    Ref country code: PT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160111

    Ref country code: NL

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150801

    REG Reference to a national code

    Ref country code: GR

    Ref legal event code: ML

    Ref document number: 20020401882

    Country of ref document: GR

    Effective date: 20160202

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150710

    REG Reference to a national code

    Ref country code: ES

    Ref legal event code: FD2A

    Effective date: 20160826

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: DK

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150731

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: ES

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20150711

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: BE

    Payment date: 20160720

    Year of fee payment: 20