FI93761C - Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi - Google Patents

Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi Download PDF

Info

Publication number
FI93761C
FI93761C FI920187A FI920187A FI93761C FI 93761 C FI93761 C FI 93761C FI 920187 A FI920187 A FI 920187A FI 920187 A FI920187 A FI 920187A FI 93761 C FI93761 C FI 93761C
Authority
FI
Finland
Prior art keywords
box
small
authentication
station
transition
Prior art date
Application number
FI920187A
Other languages
English (en)
Swedish (sv)
Other versions
FI93761B (fi
FI920187A0 (fi
Inventor
Franklin Devaux
Marc Geoffroy
Christophe Genevois
Original Assignee
Axyval Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axyval Sa filed Critical Axyval Sa
Publication of FI920187A0 publication Critical patent/FI920187A0/fi
Publication of FI93761B publication Critical patent/FI93761B/fi
Application granted granted Critical
Publication of FI93761C publication Critical patent/FI93761C/fi

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/14Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/005Portable strong boxes, e.g. which may be fixed to a wall or the like

Landscapes

  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Packages (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Details Of Rigid Or Semi-Rigid Containers (AREA)
  • Storage Device Security (AREA)
  • Cartons (AREA)
  • Burglar Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
  • Tires In General (AREA)
  • Credit Cards Or The Like (AREA)
  • Facsimile Transmission Control (AREA)
  • Sorting Of Articles (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Lock And Its Accessories (AREA)

Description

93761 Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi
Esillä olevan keksinnön kohteena on järjestelmä 5 fyysisesti varkaudelta suojattuun säiliöön asetettujen asiakirjojen ja arvokkaiden kohteiden, erityisesti maksuvälineiden, kuten setelien, shekkien tai pankkikorttien, suojelemiseksi, tämän säiliön käydessä läpi sarjan loogisia käyttötiloja, jotka on vahvistettu käyttöön rajoite-10 tussa määrin.
Tavanomaisia järjestelmiä asiakirjojen tai arvokkaiden kohteiden, kuten maksuvälineiden, suojelemiseksi tunnetaan yleisesti nykyisin ja useimmat niistä perustuvat yleensä kassakaapin käyttöön, jossa on vahvistetut 15 seinät ja johon pääsevät käsiksi vain avaimen haltijat aineellisen tai ei-aineellisen tukivälineen (kuten koodin) välityksellä, tämän kassakaapin ollessa asetettuna myös valvottuun ympäristöön ja sen turvallisuuden ollessa varmistettuna esimerkiksi useiden panssarilevyjen avulla.
20 Vaihtoehdon näille tavanomaisille laitteille, jotka ovat usein raskaita ja hankalasti käsiteltäviä, tarjoavat esillä olevan patentin hakijan nimellä haetut useat ranskalaiset patentit. FR-patenttijulkaisun A-2 550 364 mukaisesti suojeltavat asiakirjat tai arvokkaat kohteet, joita 25 kutsutaan seuraavassa "varoiksi", asetetaan pieneen laatikkoon, jonka fyysinen tila tarkistetaan ilmaisimien avulla, jotka lähettävät jatkuvasti signaaleja, joiden on oltava pakollisen ja väistämättömän prosessin mukaisia tai muuten tämä pieni laatikko tai sen merkinnät ja siinä ole-30 vat varat tuhoutuvat.
Tätä tarkoitusta varten käytetty tuhoutuva laite voi olla esimerkiksi esillä olevan patentin hakijan nimellä haetun FR-patentin A-2 574 845 mukainen.
Arvokkaiden kohteiden, esimerkiksi vaarallisten 35 lääkeaineiden (huumeiden tai myrkkyjen) siirron yhteydessä tai kysymyksen ollessa huomattavasta lisäarvosta, tuhoutu- 2 93761 k va laite on hyvin erilainen, ja alalla toimivat ihmiset tuntevat hyvin tällaiset käytössä olevat erityisvälineet.
Edellä mainittujen patenttien tarkoituksena on tehdä ryöstön tapahtuessa hyödyttömiksi tai tuhota laatikossa 5 olevat varat, joiden näennäinen arvo on paljon niiden todellista arvoa pienempi (kuten setelien, luottokorttien ja shekkien yhteydessä on asianlaita); jolloin näitä varoja on turha ahnehtia, koska ne tuhoutuvat ennen kuin niihin päästään käsiksi.
10 Näihin järjestelmiin liittyvät anturit, jotka kyke nevät erityisesti ilmaisemaan pieneen laatikkoon kohdistuvan fyysisen hyökkäyksen, voivat olla rakenteeltaan erittäin kevyitä toisin kuin tavanomaiset panssarilevyt. Tällainen seinäanturi on selostettu esimerkiksi esillä olevan 15 patentin hakijan nimellä olevassa FR-patenttijulkaisussa A-2 615 987.
Näiden patenttien tarjoamaan suojajärjestelmään liittyy kuitenkin tiettyjä haittoja, jotka vaarantavat täydelliseksi tarkoitetun suojan luotettavuuden silloin, 20 kun varat sisältävä pieni laatikko on liikkuva ja kun se on kiinteä, ja erityisesti tämän pienen laatikon käyttötilan muutokseen välttämättä liittyvien toimenpiteiden aikana, esimerkiksi kun se poistetaan, asetetaan paikoilleen, avataan tai suljetaan.
.· 25 FR-patentti julkaisun A-2 550 364 mukaisesti tämän laatikon suojelu on itse asiassa läheisessä yhteydessä muiden pienten laatikoiden suojeluun, joita kuljettaa panssaroitu ajoneuvo, johon nämä laatikot on asetettu.
Tässä tapauksessa pieniä laatikoita suojellaan kokonaisuu-30 tena erityisesti niiden välissä kiertävän salaisen ja py-. syvän dialogin avulla, joka suojaa laatikoita kaikilta odottamattomilta häiriötekijöiltä, jotka voivat vahingoittaa suojattavia varoja. Tällaisen laitteen vaikeasti ratkaistavana ongelmana on tämän dialogin hallinta, ja sen 35 aiheuttama monimutkaisuus johtaa kalliisiin, hitaisiin ja epäluotettaviin ratkaisuihin.
3 93761
Lisäksi vaikuttaa siltä, että pienet laatikot voidaan suojata yksilöllisesti ja tässä tapauksessa olisi suotavaa saada käyttöön joustavan suojausjärjestelmän tarjoamat edut esimerkiksi eri laatikoiden sisältämien run-5 säiden varojen tuhoutumisen välttämiseksi silloin, kun vain yhtä laatikkoa on korjattava tai vain siihen on kohdistettu hyökkäys.
Lisäksi yhden laatikon ja sen sisältämien varojen tuhoutuessa edellä selostetut suojajärjestelmät eivät anna 10 mahdollisuutta todentaa tämän tuhoutumisen aiheuttamasta hyökkäyksestä vastuussa olevia henkilöitä, vaan itse asiassa laatikon tuhoutuessa on suotavaa ja jopa välttämätöntä, että eivät vain varat tule tuhotuiksi tai merkityiksi, vaan että myös kaikki laatikon oikeaa toimintaa 15 varten tarvittava luottamuksellinen tietoaineisto poistetaan: laatikon fyysisten tilojen valvonta-algoritmit, laatikon ulkopuolelle vaihdettujen sanomien koodaus- ja dekoodausalgoritmit, näiden sanomien luonne ja sisältö, kuten salaiset koodit sekä siirrettyjen varojen määränpäät 20 ja osoitteet.
Kaiken tämän tietoaineiston tuhoutuminen tekee mahdottomaksi tunnistaa minkäänlaisella varmuudella tuhoutunutta laatikkoa viimeksi käsitellyttä henkilöä, joka voi olla järjestelmän ulkopuolelta tullut tunkeilija, näiden 25 pienten laatikoiden käsittelystä tai siirtämisestä vas tuussa oleva toimihenkilö, joka haluaa varastaa varat, tai jokin erilaisten syiden perusteella valtuutettu henkilö pienten laatikon käsittelyä tai niiden avaamista varten lopullisessa määräpaikassa.
30 Eräänä toisena FR-patenttijulkaisussa A-2 550 364 selostetun järjestelmän haittana on paradoksaalisesti pienen laatikon "historiaa" sen siirron aikana hallitsevan prosessin jyrkkä välttämättömyys. Itse asiassa laatikko pitää mitä tahansa odottamatonta tapahtumaa hyökkäyksenä 35 ja siten tuhoutuu, eikä siis ole mahdollista säätää laatikon reaktiota odottamattoman tapauksen sattuessa. Esi- 4 fc 077/:1 y -) / ui merkiksi liikenteen juuttuessa paikoilleen ajoväylällä myös laatikoita kuljettava panssaroitu ajoneuvo pysähtyy.
Tämä liikenneruuhkan aiheuttama viivästys johtaa väistämättä laatikoiden tuhoutumiseen, mikä on kallis virhe ja 5 saa asiakkaan, jonka varoja kuljetetaan, epäilemään järjestelmän luotettavuutta.
Tällä hetkellä ei ole mahdollista antaa välitöntä ratkaisua tähän ongelmaan, koska tämän patentin yhteydessä selostetun kuljetuksen tiettyjen vaiheiden välttämättömyys 10 on pakollinen turvallisuustekijä.
Edellä olevan perusteella on helppoa ymmärtää, että yhden ainoan päätöskeskuksen, pienen laatikon, käyttäminen koko suojeltavien varojen turvajärjestelmän hallitsemiseen ja itse kuljetuksen turvaamiseen johtaa väistämättä umpi-15 kuj aan.
Esillä olevan patentin hakijan nimissä oleva hakemus FR-patenttia A-2 594 14 varten muodostaa tässä suhteessa parannuksen FR-patenttiin A-2 550 364 verrattuna, sillä siinä pienet laatikot ajatellaan asetetuiksi kiin-20 teään ajoneuvoon ja niitä käytetään siten pankkiosastoina.
Ne suojellaan aina kollektiivisesti edellä mainittujen ongelmien esiintyessä. Kuitenkin pääsyä kassaholviin, johon pienet laatikot on varastoitu, valvotaan ulkopuolelta käsin tietokoneen avulla, joka voi tulla kosketukseen sano-• 25 tun kassaholvin valvontaa varten tarkoitetun elektronisen laatikon kanssa ja joka myös käy vuoropuhelua salaisella ja jatkuvalla tavalla kaikkien pienten laatikoiden kanssa.
Kunkin pienen laatikon yhteys ulkopuoliseen tietokoneeseen tulee mahdolliseksi, jolloin tietokone kykenee muodosta-30 maan välttämättömän prosessin laatikon "historiaa" varten . ja valvomaan käyttöönottoa, joka suoritetaan erilaisten tarkistusten jälkeen, mukaan lukien ne salaiset koodit, jotka pääsyoikeuden laatikoihin omaavat henkilöt (so. pankkivirkailija ja asiakas) tuntevat.
35 Tässä viimeksi mainitussa patenttiasiakirjassa se lostettu järjestelmä sisältää vielä huomattavia haittoja
II
5 93761 erityisesti siksi, että on mahdollista valmistaa "rosvo-tietokone", jota kutsutaan seuraavassa klooniksi ja joka suorittaa samat toiminnot kuin alkuperäinen tietokone. Laatikoissa olevien varojen turvallisuutta ei ole siten 5 täysin varmistettu, koska ei ole olemassa mitään keinoa, jonka avulla laatikot kykenisivät tunnistamaan valvovan tietokoneen ja päinvastoin millään varmuudella.
Edellä mainittua patenttihakemusta luettaessa voidaan myös havaita, että tietolähde, joka antaa prosessi-10 tiedot järjestelmän erilaisille elektronisille elementti- osille, ei ole välttämättä ainoa laatuaan, mikä merkitsee vaaratekijää näiden tietojen luottamuksellisuutta ajatellen. Näiden tietojen liiallisuus, jota ei esiinny FR-pa-tentin A-2 550 364 yhteydessä, tulee tällöin liian tär-15 keäksi tekijäksi.
Keksinnön tarkoituksena on parantaa ratkaisevalla tavalla erilaisia tunnettuja järjestelmiä tarjoamalla käyttöön suojajärjestelmä asiakirjoja tai arvokkaita kohteita, erityisesti maksuvälineitä, kuten seteleitä, shek-20 kejä ja pankkikortteja varten, jotka on asetettu ainakin yhteen fyysisesti varkaudelta suojattuun säiliöön, jota kutsutaan pieneksi laatikoksi ja joka hyökkäyksen tapahtuessa tuhoaa nämä asiakirjat tai arvokkaat kohteet sopivien välineiden avulla, tämän järjestelmän ollessa tunnet-25 tu siitä, että pieni laatikko sisältää sisäiset hallintajärjestelmät, jotka toimivat "käyttötilaltaan rajoitettuna koneena", jonka käyttöjakso sisältää rajoitetun määrän loogisia tiloja, joita kutsutaan käyttötiloiksi, jolloin siirtymisen ensimmäisestä käyttötilasta toiseen aiheuttaa 30 jokin erityinen tapahtuma, jonka luvallisen luonteen varmistaa tai on aikaisemmin varmistanut itsenäinen järjestelmä, joka voidaan saattaa yhteyteen pienen laatikon sisäisten hallintajärjestelmien kanssa, jolloin tätä siirtymistä seuraa aikaisemman käyttötilan muistin katoaminen. 35 Tämän keksinnön eräänä tarkoituksena on siten muo dostaa looginen tila eli käyttötila vastaamaan kutakin t 6 93761 tilannetta, johon pieni laatikko saattaa joutua, jolloin tätä käyttötilaa rajoittaa täsmällisesti kaksi pelkästään käsitteellistä liitäntävaihetta, jotka mahdollistavat tällaisen pienen laatikon sisäisen hallintajärjestelmän käyt-5 töjakson tarkan ja luotettavan organisoinnin; kun taas nykyisin tunnetuissa järjestelmissä on olemassa vain kaksi sisäistä liitäntävaihetta, joko "siirto liikkuvan ja kiinteän laatikon välillä" tai päinvastoin.
Tämä keksintö tarjoaa käyttöön tarvittavan jousta-10 vuuden laatikoiden antaman suojan järkevää hallintaa varten. On siten olennaisen tärkeää, että suojausprosessin kussakin vaiheessa ja kussakin kahden loogisen käyttötilan välisessä liitäntävaiheessa laatikko ei säilytä itsessään mitään jälkiä aikaisemmasta loogisesta käyttötilasta. Tie-15 detään jo, että tällaiset jäljet ovat käyttökelvottomia ja voidaan myös ymmärtää, että ne ovat myös vaarallisia, koska järjestelmän turvallisuutta ajatellen on olennaisen tärkeää, että luottamuksellisia sanomia, kuten koodeja, ei voida lukea, ellei niitä tuhota täydellisesti hyökkäyksen 20 tapahtuessa. Lopuksi voidaan ymmärtää seuraavasta, että tällaisia jälkiä ei voi esiintyä.
Tämä muistin puuttuminen edellisestä käyttötilasta on itse asiassa olennaisen tärkeä asia järjestelmän turvallisuudelle, koska pienen laatikon sisäisen hallintajär-• 25 jestelmän käyttöjakson kaksi äärimmäistä käyttötilaa voi daan liittää: - joko suoraan ensimmäisen tapahtuman ansiosta, joka on suunniteltu tätä tarkoitusta varten ja joka aiheuttaa siirtymän näiden kahden käyttötilan välille, 30 - tai epäsuorasti aikaisempien siirtymien avulla . muissa käyttötiloissa suunniteltujen ja vahvistettujen toisten tapahtumien ansiosta.
Jos laatikko säilyttäisi muistin aikaisemmasta käyttötilastaan, niin olisi mahdollista mitätöidä laatikon 35 sisäisten hallintajärjestelmien aikaisemmin hyväksymä siirtyminen ensimmäisen ja toisen käyttötilan välillä; il 7 93761 tällöin uusi tapahtuma voisi todellakin aiheuttaa siirtymisen ensimmäisestä käyttötilasta kolmanteen käyttötilaan, ilman että siirtymää toisesta käyttötilasta kolmanteen käyttötilaan ei ole vahvistettu; jolloin järjestelmästä 5 tulisi "hallitsematon".
Kun pienen laatikon sisäisten hallintajärjestelmien toimintaa pyritään organisoimaan jaksossa, joka sisältää rajoitetun määrän loogisia tiloja tai käyttötiloja, tämä keksintö tarjoaa käyttöön luotettavan ja varman tavan eri-10 laisten käyttöjaksojen rajoittamiseksi, jotka vastaavat tilanteiden määrää, joita nykyisin tunnetuissa järjestelmissä ei voi esiintyä ja joiden koko "historia" voi sisältyä laatikon sulkemis- ja avaamistoimenpiteiden välille.
Tätä pienen laatikon sisäisten hallintajärjestel-15 mien erityistä toimintatapaa rajoitetussa määrässä esiin tyvien loogisten tilojen välisen siirtymän avulla olisi siten verrattava "käyttötilaltaan rajoitettujen koneiden" toimintaan.
Lipunmyyntiautomaatti, virvoitusjuoma-automaatti 20 tai muut vastaavat koneet muodostavat näiden koneiden myyntimiesten yleisesti tunteman esimerkin, jota kutsutaan myös "peräkkäisloogiseksi koneeksi". Lipunmyyntiautomaatin yhteydessä tiedetään, että jos lippu maksaa viisi frangia, niin automaatti hyväksyy vain yhden, kahden ja viiden fra- • 25 ngin kolikkoja, eikä ole mahdollista saada automaatista • lippua muulla tavoin kuin "saattamalla lipunmyyntiauto-maatti käymään peräkkäisessä järjestyksessä läpi" useita ennalta määrättyjä loogisia käyttötiloja, jotka muodostavat seuraavan yksityiskohtaisen luettelon: "maksa viisi 30 frangia" (tila 5), "maksa neljä frangia" (tila 4), "maksa kolme frangia" (tila 3), "maksa kaksi frangia" (tila 2), "maksa yksi frangi" (tila 1), "lipun antaminen" (tila 0). Vahvistetut jaksot kulkevat tilasta 5 tilaan 0 esimerkiksi seuraavasti: 35 - (tila 5 -» "vastaanotettu viiden frangin kolik ko" -♦ tila 0), 8 077^1 y j / kj \ - (tila 5 -» "vastaanotettu kahden frangin kolikko" -1 tila 3 -1 "vastaanotettu kahden frangin kolikko" -» tila 1 -> "vastaanotettu yhden frangin kolikko" -» tila 0), - (tila 5 -> "vastaanotettu yhden frangin kolikko" 5 -» tila 4 -» "vastaanotettu yhden frangin kolikko" -» tila 3 -» "vastaanotettu yhden frangin kolikko" -» tila 2 -1 vastaanotettu kahden frangin kolikko" -» tila 0), - (tila 5 -» "vastaanotettu yhden frangin kolikko" -» tila 4 -» "vastaanotettu kahden frangin kolikko" -» tila 10 2 -» "vastaanotettu kahden frangin kolikko" -1 tila 0), jne.
Tässä suhteessa tapahtumat "vastaanotettu x frangin kolikko" ovat erikoisia tapahtumia, joiden kestoajan määritys voi olla epäyhtenäinen tai jopa käytännössä mahdoton. On myös selvää, että hetkellä, jolloin "automaatti on 15 toiminnassa" tietyssä tilassa, ei merkitse mitään "muistaako" se tavan, jolla se saavutti tämän tilan. Muisto aikaisemmasta tilasta, vaikka se olisikin mahdollinen, on siten yleensä käyttökelvoton.
On myös otettava huomioon, että myyntiautomaatti 20 sisältää itse asiassa tyypiltään kahdenlaisia virtapiirejä (sähköisiä, elektronisia, mekaanisia, optisia jne.): - paino-, varastointi-, ja jakelupiirejä pääsylippuja (virvoitusjuomia jne.) varten, - edellä selostetun kaltaisten käytössä olevien au- 25 tomaattisten järjestelmien hallintaa varten tarkoitettuja piirejä, näiden hallintapiirien käsittäessä tavallisesti elektronisen liitännän.
Keksinnön mukaisen pienen laatikon vastaavuus automaattisen jakelulaitteen kanssa on sangen tarkka. Pieni 30 laatikko sisältää myös yksityiskohtaisemmin tarkastellen • tyypiltään kahdenlaisia virtapiirejä: - piirejä tai järjestelmiä fyysistä suojelua varten (säiliö, vetolaatikko, laatikko jne.) ja varojen mahdolliseksi tuhoamiseksi hyökkäyksen tapahtuessa (räjähdysaineet 35 ja muut vastaavat välineet),
II
· 9 93761 - piirejä tai välineitä sisäistä hallintaa varten, kuten elektroninen liitäntä, mukaan lukien myös yhteysväline palvelukeskukseen tai -asemaan.
Keksinnön mukaisen suojajärjestelmän tällaisen or-5 ganisoinnin täsmällisyys tarjoaa käyttöön ylimääräisen älykkyystekijän, joka tekee pienet laatikot ja koko järjestelmän jossain määrin "loogisesti varkaudelta suojatuksi".
Tämä looginen varkaussuojaus ilmenee myös siinä, 10 että keksinnön erään toisen ominaispiirteen mukaisesti pienen laatikon kuljetuksen aikana, jota rajoittaa yhtäältä siirto käyttötilasta, jossa tämän pienen laatikon ajatellaan olevan kiinteä, käyttötilaan, jossa sen ajatellaan olevan liikkuva, ja toisaalta siirto käyttötilasta, jossa 15 pienen laatikon ajatellaan olevan liikkuva, käyttötilaan, jossa sen ajatellaan olevan kiinteä, tämän pienen laatikon sisäiset hallintajärjestelmät toimivat täysin itsenäisinä, so. ne ovat yksin vastuussa laatikon sisään asetettujen varojen turvallisuudesta.
20 On siten selvää, että pieni laatikko voi jakaa tä män vastuunalaisuuden järjestelmän muiden osien kanssa väistämättömästi kuljetuksensa ulkopuolella, esimerkiksi itsenäisen välineen kanssa, joka voi tulla kosketukseen pienen laatikon sisäisten hallintajärjestelmien kanssa.
25 Keksinnön mukaisen muut ominaisuudet ja edut ilme nevät havainnollisemmin tämän järjestelmän toimintaa kuvaavasta seuraavasta luonteeltaan rajoittamattomasta selostuksesta oheisiin piirustuksiin viitaten, joissa:
Kuvio 1 esittää synoptista kaaviota keksinnön mu-30 kaisen järjestelmäverkon organisaatiosta;
Kuvio 2 esittää kaaviota laillistamisten siirrettävyydestä;
Kuvio 3 esittää loogista kulkukaaviota mahdollisista siirtymistä järjestelmän käyttötilojen välillä keksin-35 nön erään erityisen sovellutusmuodon mukaisesti.
i g 7 7 < i 10 s -J / ο \
Kuvioon 1 viitaten keksinnön mukaista järjestelmää käytetään varojen suojelemiseksi, jotka pankkivirkailija, jota seuraavassa kutsutaan lähettäjäksi 2, on asettanut pieneen laatikkoon 11. Turvavartijan 3 on kuljetettava 5 laatikko 1 esimerkiksi pankin johonkin haarakonttoriin.
Keksinnön eräässä suositeltavassa sovellutusmuo-dossa välineen yhteydenpitoa varten laatikoiden kanssa muodostaa yksi ainoa tietokone 4.
Tämä tietokone 4 toimii valvontavälineenä ja hal-10 litsee laatikoiden 1 loogista turvallisuutta tarkastaen niiden sisäisten hallintajärjestelmien tietyistä käyttötiloista määrättyihin muihin käyttötiloihin tapahtuvien siirtymien laillisuuden.
Näiden erityisten siirtymien aikana keksinnön mu-15 kaista suojajärjestelmää laajennetaan tai supistetaan ja tällöin voidaan mainita kolme erityisen tärkeää tapausta: a) kuljetuksen aikana varoja suojelee vain se pieni laatikko 1, johon ne on asetettu; tässä tapauksessa järjestelmä sisältää vain laatikon 1; 20 b) kuljetuksen lopussa toimitushetkellä vain laati kon 1 ulkopuolella oleva tietolähde voi häiritä käyttötilaa, johon laatikko oli asetettu kuljetuksen alussa ja joka käsittää pelkästään sen muistin; tämän jälkeen järjestelmää olisi sitten laajennettava ulkopuoliseen tieto-25 lähteeseen, so. tietokoneeseen 4 asti, jolloin laatikon olisi tunnistettava ennen tätä laajennusta tämä tietokone luotettavana ja varmana osapuolena; c) toimituksen jälkeen laatikossa 1 olevat varat ovat yhä täysin suojattuja, koska sen avaaminen vaatii 30 järjestelmän laajentamista toiseen ulkopuoliseen tietoläh-. teeseen - näiden varojen käyttäjään (joka voi olla varojen vastaanottaja, lähettäjä 2 tai turvavartija 3) - jonka laatikon 1 ja tietokoneen 4 olisi puolestaan tunnistettava luotettavaksi ja varmaksi osapuoleksi.
35 On siten olemassa kolme käyttötilatyyppiä pientä laatikkoa 1 ja itse asiassa koko järjestelmää varten, laa- • · · 11 93761 tikon 1 muodostaessa kuitenkin osan suojajärjestelmästä, koska juuri tämä laatikko mahdollistaa kolmansien osapuolten ahneuden hillitsemisen riippuen siitä, katsotaanko sen olevan liikkuva ja suljettu tapauksen a) mukaisesti, tai 5 liikkumaton ja suljettu, kuten kohdassa b); tai lopuksi liikkumaton ja avoin kohdan c) mukaisesti.
Näiden kolmen käyttötilatyypin väliset siirtymät määrittävät varojen suojelemiseen liittyvän vastuun siirtämisen, olivat nämä varat sitten asetettuina laatikkoon 10 1 tai eivät (ennen lähettämistä lähettäjä 2 asettaa nämä varat vapaasti laatikkoon 1 ja ennen vahvistusta niiden siirtymisestä järjestelmän vastuunalaisuuteen lähettäjä 2 on vastuussa niistä).
Laatikon 1 liikkuvuus on siten järjestelmän eräs 15 puhtaasti looginen ominaisuus, joka ylittää sen todellisen fyysisen liikkuvuuden. Tämä järjestelmän tarjoama huomattava etu on eräs sen fyysisesti liikkuvan osan, so. pienen laatikon 1, rajoitetun käyttötilan organisoinnin yllättä-vimmistä seurauksista.
20 Lisäksi järjestelmää valvovan yhden ainoan tietoko neen 4 keksinnön mukaisesti tarjoamana odottamattomana etuna on sen hallintaa, so. laatikoiden mahdollista siirtoa, varten tarkoitettujen tietojen liiallisuuden rajoittaminen. Kahta tietokonetta käytettäessä yksi voitaisiin 25 asettaa esimerkiksi laatikon lähetyskohtaan ja toinen sen saapumiskohtaan, kuten juuri tehdään FR-patenttijulkaisuun A-2 594 169 liittyvässä hakemuksessa selostetussa järjestelmässä, jolloin olisi välttämätöntä liittää tämä toinen tietokone luotettavalla tavalla järjestelmään, jolloin 30 laatikon/ensimmäisen tietokoneen sisältävästä järjestelmästä tulee laatikon/ensimmäisen tietokoneen/toisen tietokoneen sisältävä järjestelmä ja jolloin laatikossa 1 olevien varojen saajan luotettava liittäminen järjestelmään olisi mahdollista tämän toisen tietokoneen avulla. Toisen 35 tietokoneen kautta tapahtuva liitäntävaihe ei ole kuitenkaan välttämätön, koska se ei tee asioita yksinkertaisem- t 12 93761 miksi (vaan juuri päinvastoin) eikä anna lisää turvallisuutta, koska varojen vastaanottaja voidaan liittää järjestelmään ensimmäisen tietokoneen välityksellä.
Lopuksi on huomautettava, että laatikot 1 on ase-5 tettu täysin erilleen toisistaan ja että kutakin laati-kon/tietokoneen/käyttäjän sisältävää järjestelmää olisi pidettävä yksittäisenä verkostona silloinkin, kun valvova tietokone 4 olisi sama kaikkia laatikoita 1 varten. On siten syytä mainita, että laatikoiden 1 välissä ei kierrä 10 jatkuvasti mitään dialogia, mikä on huomattava etu FR-pa-tenttijulkaisussa A-2 550 364 selostettuun järjestelmään verrattuna.
Keksinnön mukaisesti käytössä on vain yksi sarja erityisiä dialogeja. Näiden dialogien aikana vaihdetut 15 sanomat eivät saisi kuitenkaan vaarantaa järjestelmän turvallisuutta ja tästä syystä eri osapuolten väliset liitännät muodostavat olennaisen osan tätä järjestelmää, ja niiden mahdollista katkeamista pidetään hyökkäyksenä.
Näillä liitännöillä voi olla materiaalinen tuki, 20 joka on luonteeltaan helpommin suojeltavissa, esimerkiksi panssarilevyt. Kaikesta tästä huolimatta on seuraavassa selostetun mukaisesti selvää, että luottamuksellisuuson-gelmiin voidaan löytää luotettava ratkaisu käyttämättä tällaisia fyysisiä suojakeinoja.
25 Keksinnön erään lisäominaispiirteen mukaisesti ja kuvioon 1 viitaten edellä mainitut neljä osapuolta: laatikko 1, tietokone 4, lähettäjä 2 ja turvavartija 3, voidaan liittää yhteen ainoaan päätteeseen, jota kutsutaan seuraavassa asemaksi 5, tähtimäisen verkoston muodostami-30 seksi, jonka keskellä tämä asema 5 sijaitsee.
Tällä tavoin ensimmäinen asema 5 on asetettu laatikon 1 lähettämiskohtaan ja toinen asema 5 sen saapumiskoh-taan. Tämä asemien 5 moninkertaisuus ei kuitenkaan vaikuta järjestelmän turvallisuuteen, koska keksinnön erään erit-35 täin tärkeän ominaispiirteen mukaisesti asemat 5 muodostavat siten vain järjestelmän turvallisuutta ajatellen n 13 93761 olennaisen tärkeiden luottamuksellisten tietojen kulku-kohdat. Siten keksinnön mukaisesti yksi asema 5 ei voi koskaan muodostaa välinettä sellaisen tapahtuman laillisen luonteen valvomiseksi, joka saattaa aiheuttaa siirtymän 5 pienen laatikon 1 sisäisten hallintajärjestelmien yhdestä käyttötilasta toiseen käyttötilaan.
Tähtimäisen verkoston käyttö tarjoaa useita yleisesti tunnettuja etuja.
Yksityiskohtaisemmin tarkastellen tähtimäisen ver-10 koston kahden kiinteän osan välillä vaihdettu sanoma ei kulje toisten osien kautta, kuten esimerkiksi renkaassa, joten voidaan puhua tyypiltään tällaisen verkoston rakenteellisesta luottamuksellisuudesta.
Lisäksi dialogin käymistä varten järjestelmän kukin 15 osa on varustettu elektronisella liitännällä, jonka avulla hallitaan toisinaan monimutkaiset vaihdokset. Aseman 5 käyttö, joka kykenee liittämään yhteen kaikki osat keksinnön mukaisella tavalla, mahdollistaa sanottujen liitäntöjen yksinkertaistamisen ja keventämisen odottamattomalla 20 ja edullisella tavalla.
Laatikon 1 mukana ei tarvitse esimerkiksi kuljettaa monimutkaisia yhteysvälineitä, jotka vaativat kömpelön elektronisen järjestelmän käyttöä. Myös käyttäjäliitännän (lähettäjä 2, turvavartija 3) järjestelmän muiden osien 25 kanssa olisi pysyttävä yksinkertaisena.
Asema 5 on varustettu kaikilla raskailla elektronisilla liitännöillä tätä tarkoitusta varten ja käyttäjän on vain hallittava perusliitäntädialogi aseman 5 kanssa.
On otettava huomioon, että tietokone 4 kykenee hal-30 litsemaan monimutkaisemmat vaihdot ja että keksinnön mukaisesti on muutoin edullisempaa tehdä siitä palvelukeskus etäisyyden päähän kaikista asemista 5, kaikista käyttäjistä ja kaikista laatikoista 1, jolloin sitä voidaan samalla suojella tehokkaammin mahdollisia hyökkäyksiä, sekä loogi-35 siä että fyysisiä, vastaan.
t 14 93761
Jos hyväksytään se ajatus, että keksinnön mukainen järjestelmä tarjoaa kaikkine ominaispiirteineen potentiaalisesti luottamuksellisen toiminnallisen rakenteen, olisi tämän luottamuksellisuuden perustuttava varmuuteen siitä, 5 että järjestelmän kiinteät tai siihen integroidut osat ovat niitä, joiden niiden oletetaan olevan.
Siten keksinnön mukaisen järjestelmän erään lisäpiirteen mukaisesti järjestelmän kahden osan väliset yhteydet muodostetaan protokollan mukaisesti, joka mahdol-10 listaa sanoman vastaanottavan osapuolen suorittaman tämän sanoman oletettavasti lähettäneen osapuolen varmistamisen, jolloin tätä varmistamista mahdollisesti seuraa kuitin tunnistamisilmoituksen lähettäminen tälle lähettävälle osapuolelle. Tätä tarkoitusta varten järjestelmän kaikki 15 osapuolet on varustettu tietokoneistetuilla järjestelmillä tähän järjestelmään kiinteästi liittyvältä lähettävältä osapuolelta vastaanotettujen sanomien varmistamista varten, jolloin sanomaa varmistettaessa nämä varmistusjärjestelmät voivat sitten toimia yhdessä lähetysvälineen 20 kanssa kuitin tunnistamisilmoituksen lähettämiseksi kyseiselle lähettäjälle.
Keksinnön mukaisesti tietyt varmistukset suoritetaan kumpaankin suuntaan tarpeen vaatiessa, esimerkiksi laatikkoa 1 varten sen varmistamiseksi, että tietokone 4 . 25 ei ole kloonitietokone, ja vastavuoroisesti tietokoneen 4 on varmistuttava siitä, että tämä laatikko 1 ei ole kloo-nilaatikko. Tätä kutsutaan osapuolten keskinäiseksi varmistukseksi. Samalla tavoin asema 5, johon laatikko 1 on liitetty, varmistetaan, mikä estää klooniasemien olemas-30 saolon.
, On otettava huomioon, että tämän järjestelmän käyt täjän (lähettäjä 2, turvavartija 3) suorittama järjestel-mävarmistus on peitetty; tässä tapauksessa kyseinen käyttäjä tekee vain yhden yksinkertaisen varmistuksen joko 35 laatikon 1, tietokoneen 4 ja ehkä ohituksen yhteydessä aseman 5 avulla, johon tämä laatikko 1 on liitetty (tämä
II
15 93761 asema 5 ei ole varustettu millään välineillä käyttäjän liittämistä varten järjestelmään, vaan kyseessä on pelkästään ylimääräinen turvallisuusväline, jonka tarkoituksena on torjua luvaton käyttäjä heti pois).
5 Käyttötilaltaan rajoitettuihin koneisiin organisoi tujen laatikoiden 1 loogisen rakenteen ja järjestelmän eri osien välisten liitäntöjen fyysisen ja toiminnallisen arkkitehtuurin ansiosta tämä eri osapuolten välinen keskinäinen varmistus voidaan hoitaa täsmällisesti, sen tarjo-10 tessa käyttöön odottamatonta joustavuutta varojen suojelemisessa, oli ne sitten asetettu laatikkoon 1 tai ei.
On itse asiassa käytännössä mahdollista kaikissa olosuhteissa keskeyttää varojen suojeluvaihe ilman tarvetta niiden uudelleentutkimiseen. Nämä keskeytykset, jotka 15 edellyttävät uuden luotettavan osan liittämistä kiinteästi järjestelmään (mikä ilmoittaa esimerkiksi kuljetusvälineen syrjäänjohtamisen aiheuttavat "olosuhteet") ja siten siirtymistä yhdestä käyttötilasta toiseen käyttötilaan, vaativat välttämättä osapuolten keskinäistä varmistusta. Vii-20 västyksiin "normaalissa" kuljetuksessa, liikenneruuhkiin ja konerikkoihin voidaan lopuksi löytää muukin ratkaisu kuin pienen laatikon sisältämien varojen pelkkä ja yksinkertainen tuhoutuminen.
Tavanomaisia välineitä tämän varmistuksen suoritta-25 miseksi on käytössä monia ja ne ovat useimmissa tapauksissa luonteeltaan informatiivisia.
Siten voidaan muodostaa tarkka analogia erilaisten periaatteiden suhteen, jotka tekevät keksinnön mukaisen järjestelmän turvalliseksi käyttämällä yhden muistilevyn 30 turvalliseksi tekeviä periaatteita. Yksityiskohtaisemmin tarkastellen voidaan ajatella, että laatikko 1, joka on loogisesti ja fyysisesti varkaudelta suojattu, muodostaa todellisen muistilevyn.
Toimenpiteet, jotka on suoritettava pienen laatikon 35 1 suojaamiseksi ja niiden toimintojen turvaamiseksi, joi hin se ottaa osaa, ovat siten yleisesti tunnettuja ja nii- k 16
Z) in £ Λ s j / u I
den tarkoituksena on yhtäältä poistaa järjestelmän kahden kiinteän osan, joista esimerkiksi laatikko muodostaa yhden osan, välillä vaihdettujen sanomien luottamuksellisuuteen kohdistuvat uhat ja toisaalta näiden sanomien koskematto-5 muuteen kohdistuvat uhat (niiden sisällön tahallinen tai tahaton muuttaminen).
Ensimmäinen toimenpide, joka eliminoi luottamuksellisuuteen kohdistuvat uhat, käsittää vaihdettujen sanomien koodauksen ja sitä varten on olemassa useita tunnettuja 10 salakirjoitusmenetelmiä.
Keksinnön mukaisesti on valittu käyttöön tyypiltään symmetrinen koodausalgoritmi nimeltään DES (English Data Encryption Standard), jonka ominaisuudet on standardoitu ja josta on saatavissa tietoja esimerkiksi julkaisussa 15 FIPS PUB 46 (Federal Information Processing Standards Publication 46). Tässä algortimissa (esimerkiksi) osaparille laatikko 1/tietokone 4 on annettu avain K. Tämä avain K on asetettu laatikon 1 muistiin, jossa se on fyysisesti suojattu, kun taas tietokone 4 muistaa keksinnön suositelta-20 van sovellutusmuodon mukaisesti kaikkien muiden laatikoi den kanssa jaetut avaimet 1.
Tämä sovellutus, joka vaatii sangen paljon muistitilaa tietokoneelta 4, on suositeltava sen johdosta, että sen yhteydessä käytetään vain yhtä avainta kaikkia laati-25 koita 1 varten, sillä saattaa tapahtua, että hyökkäyksen kohteeksi joutunut laatikko 1 ei tuhoa täydellisesti siihen talletettua avainta sallien sen käyttöönoton ja muiden laatikoiden 1 sisällön laillisen varkauden kloonitietoko-neen avulla. Huolimatta siitä, että algoritmi DES on ylei-30 nen algortimi, vain avaimen K tunteminen mahdollistaa tä-män avaimen avulla koodatun sanoman lukemisen. Siten itse sanoman varmistamista voidaan pitää riittävänä toimenpiteenä järjestelmän käyttöä varten. Häiriötä yhteyslinjalla olevassa sanomassa ei kuitenkaan ilmaista, joten on suota-35 vaa varmistaa itse sanoma ennen sen dekoodausta.
17 93761
Toimenpiteenä sanomien koskemattomuuteen kohdistuvien uhkien torjumiseksi on näiden sanomien allekirjoittaminen. Allekirjoitus lähetetään samaan aikaan kuin itse sanoma ja sanoman vastaanottajan suorittamaa todennusta 5 käytetään varmistamaan tämä sanoma ja sen lähettäjä.
On otettava huomioon, että tällä allekirjoituksella ei ole mitään tekemistä "poletin" kanssa, joka toimii keksinnön mukaisesti laatikossa 1 mahdollisesti olevien varojen suojaukseen liittyvän siirtovelvollisuuden symbolina. 10 Tämä "poletti" käsittää muiden sanomien kaltaisen sanoman eikä sitä välttämättä lähetetä varmistuksen aikana (sitä ei esimerkiksi koskaan lähetetä asemalle 5, jonka eri osapuolten olisi kuitenkin varmistettava joko välittömästi tai välillisesti). Allekirjoitus toimii todisteena ja sa-15 nomien ottaminen huomioon on mahdollista vain tämän todisteen todennuksen jälkeen.
Keksinnön erään lisäpiirteen mukaisesti tämä allekirjoitus tai todiste lasketaan toimenpideparametrien, so. sanomien sisällön, perusteella DES-koodausalgoritmin kal-20 täisen algoritmin mukaisesti, mikä tarjoaa käyttöön huomattavan edun yksinkertaistamalla järjestelmän eri osien välillä vaihdettujen sanomien käsittelyä. Koodaus- ja var-mistusavaimet ovat erilaisia, mikä lisää salakirjoituksen antamaa suojaa.
25 Lisäksi on edullista liittää samaan elektroniseen piiriin, jota kutsutaan "DES-lastuksi", sanomien koodaus-ja varmistusalgoritmi ja kyetä asettamaan tämä elektroninen piiri kunkin laatikon 1 sisälle. "DES-lastun" käyttö mahdollistaa erityisesti sen sisältämien kaikkien avainten 30 muistamisen ja niiden helpomman tuhoamisen hyökkäyksen sattuessa. Lisäksi mikroprosessori hoitaa laatikon 1 kaikkien elektronisten järjestelmien hallinnan ja tässä mikroprosessorissa oleva DES-algoritmin ohjelmasovellutus vaatisi aivan liian paljon tilaa muistissa.
35 DES-lastu suorittaa siis samanaikaisesti sanoman koodauksen ja tämän sanoman allekirjoittamisen.
( 18 93761
On kuitenkin otettava huomioon, että koodaus ei ole mikään välttämätön toimenpide, koska kolmannen osapuolen tuntema sanoman sisältö, esimerkiksi ohjeet käyttötilojen muuttamiseksi ja kuljetusparametrit, eivät vaaranna jär-5 jestelmän turvallisuutta, sillä vain näiden sanomien allekirjoitusten varmistamisella on merkitystä, eikä siten olisi mahdollista petkuttaa laatikon elektronista järjestelmää väärällä sanomalla, joka on sinänsä selvä mutta varmistamaton. Koodaus muodostaa varokeinon, joka lähinnä 10 antaa käyttäjille vakuutuksen järjestelmän luottamuksellisuudesta .
Lisäksi tietyt salaiset koodit voivat siirtää tietoja järjestelmän kahden osan välillä, jolloin koodaus on välttämätöntä näiden koodien suojelemiseksi.
15 Asemat 5 on myös varustettu "DES-lastulla", joka on fyysisesti suojattu ja sisältää avaimet sen valvovaan tietokoneeseen 4 lähettämien sanomien koodaamiseksi ja varmistamiseksi . On otettava huomioon, että nämä avaimet ovat erilaisia kuin laatikoissa 1 käytetyt avaimet. Tietokonee-20 seen 4 laatikosta 1 tuleva sanoma on tällä tavoin kaksinkertaisesti koodattu ja varmistettu: laatikossa 1 olevan ensimmäisen avainparin avulla ja asemalla 5 olevan toisen avainparin välityksellä.
Keksinnön erään suositeltavan sovellutusmuodon mu-25 kaisesti on valittu käyttöön symmetrinen koodausalgoritmi, so. algoritmi, jota varten kaksi osapuolta käyttää samaa avainta. Tämä algoritmi on täysin sopiva toimenpiteitä varten, jotka suoritetaan laatikon 1, aseman 5 ja valvovan tietokoneen 4 välillä, koska nämä osapuolet voidaan varus-30 taa elektronisilla piireillä, joita voidaan vaivatta käyt-; tää tätä tarkoitusta varten. Kuten edellä on mainittu, koodausavain on erilainen kuin allekirjoitukseen käytetty koodausavain, algoritmin ollessa taas käytännöllisesti katsoen sama. Tämä merkitsee sitä, että kaikkien muiden 35 osapuolten varmistamiseksi olisi järjestelmän kunkin osan jaettava sen muiden osien kanssa yksi ainoa avainpari.
« · 19 93761
Kunkin laatikon 1 olisi erityisesti kyettävä varmistamaan kukin asema 5, johon se voidaan liittää, jolloin kunkin aseman 5 on varmistettava kukin laatikko 1. Tällöin muistettavien avainten määrä näiden olosuhteiden alaisena tu-5 lee liian suureksi ja se on valittu keksinnön erään suositeltavan sovellutusmuodon mukaisesti suorittamaan varmistukset epäsuorasti, nimittäin laatikoiden 1 ja asemien 5 välillä.
Kuvion 2 mukaisesti epäsuora varmistus on mahdol-10 linen siirrettävyyden avulla, so. kaksi osaa A ja B varmistetaan keskenään, ja jos osa A ja osa C ovat myös keskenään varmistettuja, niin osat B ja C varmistavat toisensa keskenään A:n kautta, koska tämä osa on nyt luotettava osapuoli kaikille muille osille. Siten, että tähän järjes-15 telmään jo liitetyt kaikki osapuolet A, C voisivat varmistaa uuden osapuolen B, on riittävää, jos yhtäältä vain yhden osapuolen A, C varmistusmenetelmät suhteessa tähän uuteen osapuoleen B varmistavat tämän osapuolen B lähettämät sanomat ja toisaalta, jos tämän uuden osapuolen B var-20 mistusmenetelmät varmistavat tai ovat varmistaneet sanotun kiinteän osapuolen A lähettämät sanomat välittömässä suhteessa osapuoleen B.
Keksinnön erään toisen suositeltavan sovellutusmuodon mukaisesti valvova tietokone 4 toimii osana A, pien-25 ten laatikoiden 2 ja käyttäjien edustaessa osia B ja C. Vain tietokone 4 tuntee kaikki avaimet. Muut osapuolet jakavat vain yhden avaimen tämän tietokoneen 4 kanssa.
Tämä huomattava etu sisältää myös vastavaikutuksen, joka voi vaikuttaa hankalalta. Käytännössä nimittäin aina, 30 kun järjestelmän kaksi osapuolta käyvät dialogia keske-. nään, on välttämätöntä, että ·nämä osapuolet muodostavat suoran liitännän tietokoneeseen 4, niin että ne ensin varmistavat keskenään toisensa sanotun tietokoneen avulla ja varmistuvat sitten siitä, että toinen osapuoli on jo var-35 mistettu.
93761 t 20
Tietokone 4 tulee tässä tapauksessa kuitenkin välttämättömäksi välineeksi toimintoja varten ja se voi odottamattomalla tavalla muistaa "historian". Tietokone 4 muodostaa siten järjestelmän yllättävän muistin.
5 Järjestelmän käyttäjien varmistaminen jää keksin nön mukaisesti erityistapaukseksi, joka on otettava huomioon.
Ensimmäisessä sovellutusmuodossa kullakin käyttäjällä on salainen koodi, joka antaa hänelle pääsyn järjes-10 telmään. Tämän koodin tuntee valvontatietokone 4, joka siirtää sen toisinaan laatikkoon 1, tämän laatikon ollessa käyttötilassa, jossa tämä tieto tarvitaan. Asema 5, joka liittää osapuolet yhteen, voi myös tuntea tämän koodin, niin että se ei varmista käyttäjän ja tietokoneen 4 välis-15 tä liitäntää tarkastamatta ensin sitä. On siten ilmeistä, että tämä koodi siirtyy osapuolten välillä. Kuitenkin, että verkostoon luvattomasti liittynyt kolmas osapuoli ei voisi helposti lukea sitä, tämä koodi voidaan koodata sen lähettämisen aikana aseman 5 kautta tämän keksinnön yh-20 teydessä käytettävän suositeltavan algoritmin välityksellä.
Toinen prosessi käsittää toispuolisen funktion f käytön tämän koodin suojaamiseksi. Tällainen toispuolinen funktion f. on funktio, josta on erittäin vaikea laskea 25 käänteisarvo (esimerkiksi voimafunktio). Jos a merkitsee koodia, niin asema 5 tai laatikko 1 tuntee vain yhtälön b = f(a), jolloin tieto b:stä ei anna mahdollisuutta saada selville a:ta, joten koodi a on suojattu. Jos käyttäjä käyttää koodia c, asema 4 tai laatikko 1 laskee yhtälön d 30 = f(c) ja vertaa keskenään d:tä ja b:tä ja jos d = b, niin c on varmasti = a. Keksinnön mukaisesti erityisen edullisena toispuolisena funktiona on f = DES(x,a), jossa x merkitsee kiinteää sanomaan ja a salaista koodia, "DES-las-tun" ollessa taas käytössä.
35 Eräässä toisessa järjestelmän käyttäjän varmistus- muunnelmassa tämä prosessi on muiden osapuolten välillä
II
21 93761 käytettyjen varmistusprosessien mukainen. Käyttäjän käytössä on muistilevy ja kiinteä koodi ja tämän koodin sisäisen tunnistamisen jälkeen levy muodostaa "poletin", joka lähetetään järjestelmään, jolloin tämä "poletti" koo-5 dataan ja allekirjoitetaan samojen algoritmien avulla, kuin mitä käytetään muuallakin - DES-algoritmin ollessa käytössä tätä tarkoitusta varten levymikroprosessorissa. Luottamuksellisuus ja koskemattomuus ovat täydellisiä, koska osapuolten välillä kiertävät tiedot ovat luonteel-10 taan täysin satunnaisia eivätkä anna mahdollisuutta koodin tai koodauksen ja varmistusavainten jäljittämiseen. Järjestelmän sisään tunkeutuminen on siten välttämätöntä sekä levyn että koodin käyttöön saamista varten.
Seuraavassa selostetaan kuvion 3 mukaisesti kek-15 sinnön mukaisen järjestelmän suositeltavaa organisaatiota ja erityisesti erilaisia loogisia tiloja eli käyttötiloja, joita voi esiintyä laatikossa 1. Seuraavassa selostetaan myös siirtoja näiden käyttötilojen välillä seuraamalla laatikon 1 "historiaa" varojen asettamisesta siihen asti, 20 kun vastaanottaja avaa tämän laatikon sen toimittamisen jälkeen.
Kuviossa 3 näitä käyttötiloja edustavat ellipsiloh-kot, jotka sisältävät kutakin käyttötilaa merkitsevät kak-sikirjaimiset koodit. Nämä myöhemmin selostettavat käyttö-25 tilat ovat seuraavat:
- lähtökäyttötila (Depart), jota edustaa koodi DP
- katukäytäväkäyttötila (Trottoir), jota edustaa koodi TR
- perustakäyttötila (Socle), jota edustaa koodi SC
30 - kuorma-autokäyttötila (Camion), jota edustaa koo
di CM
- Depalarm-käyttötila, jota edustaa koodi DA
- liitäntäkäyttötila (Connect), jota edustaa koodi CO
35 - Servouv-käyttötila, jota edustaa koodi VO
- Selfouv-käyttötila, jota edustaa koodi SO
22 93761
- avoin käyttötila (Ouvert), jota edustaa koodi OV
- laatikkokäyttötila (Caisse), jota edustaa koodi CA
- kassakaappikäytötila (Coffre), jota edustaa koodi
5 CF
- maksukäyttötila (Verse), jota edustaa koodi VE
- suljettu käyttötila (Ferme), jota edustaa koodi FE
- lukituskäyttötila (Verrou), jota edustaa koodi VR
10 - kieltokäyttötila (Refus), jota edustaa koodi RF
Samassa kaaviossa muut CS-koodin sisältävät lohkot edustavat liitännän muodostamista laatikon 1 ja valvonta-tietokoneen 4 välillä.
Seuraavassa tarkastellaan varoja, jotka käsittävät 15 pankkikortit, setelit ja shekit, jotka pankin pääkonttori haluaa lähettää johonkin etäisyyden päässä sijaitsevaan haarakonttoriin.
Nämä varat ovat tällöin pääkonttorin johtajan vastuulla. Paikallinen asema 5 kuuluu keksinnön mukaisen suo-20 jajärjestelmän muodostavaan verkostoon. Tähän asemaan 5, jota kutsutaan lähtöasemaksi, on liitetty pieni laatikko 1 (myös useita laatikoita voidaan liittää tähän asemaan), joka ei välttämättä sisällä varoja. Tässä tapauksessa laatikon 1 kolme mahdollista käyttötilaa ovat avoin käyttöti-25 la, laatikkokäyttötila ja kassakaappikäyttötila.
Avoimessa käyttötilassa laatikon 1 ajatellaan olevan avoinna, mutta sen fyysinen avaus tätä tarkoitusta varten käytettävien välineiden avulla ei ole kuitenkaan ehdottoman välttämätöntä. Se voidaan avata ja sulkea yk-30 sinkertaisen vetolaatikon tavoin, sen sisälle asetettujen .; varojen suojelun ollessa siis olematon. Laatikko 1, tieto- • ♦ kone 4 ja lähtöasema eivät ole vastuussa tästä asiasta.
Laatikkokäyttötila on "paikallinen" käyttötila, so. siirto tätä käyttötilaa kohti avoimesta käyttötilasta on 35 mahdollinen ilman tietokoneen 4 käyttöä. Tämän käyttötilan alaisena pankinjohtaja asettaa varat laatikkoon 1. Tämän 0Z7^1 S O / \j I 23 jälkeen laatikko suljetaan ja se voidaan avata vain pankinjohtajan antaman vahvistuksen avulla, so. esimerkiksi salaisen koodin a välityksellä, josta laatikko 1 ja lähtöasema tuntevat ainoastaan muunnetun version toispuolisen 5 funktion, kuten funktion (x,a) muodossa - tässä yhteydessä voidaan huomauttaa, että kiinteä sanoma x on erilainen laatikkoa 1 ja asemaa varten. Vastuu varojen suojelusta on siis jaettu pankinjohtajan ja laatikon 1 välille (on otettava huomioon, että lähtöasema, joka on verkoston yleinen 10 lähetyspääte, ei ole koskaan vastuussa asiasta). On myös otettava huomioon, että siirtyminen avoimesta käyttötilasta laatikkokäyttötilaan ensimmäisen kerran laajentaa järjestelmää, koska tällöin siirrytään järjestelmästä "pankinjohtaja" järjestelmään "pankinjohtaja/laatikko".
15 Kassakaappikäyttötila on "yleiskäyttötila", so.
siirtyminen avoimesta käyttötilasta tähän käyttötilaan on mahdollinen vain etäisyyden päässä sijaitsevan valvonta-tietokoneen antaman valtuutuksen perusteella. Tässä käyttötilassa pankinjohtaja uskoo varat järjestelmän käsiin ja 20 siirtää järjestelmälle koko vastuun niiden suojelemisesta. Asetettuaan varat laatikkoon 1 ja suljettuaan sen hän ilmoittaa sen koodin, jonka lähtöasema varmistaa ja ilmoittaa järjestelmälle, että hän haluaa käyttää laatikkoa 1 kassakaappikäyttötilassa. Lähtöasema muodostaa liitännän 25 tietokoneeseen 4 keskinäisen valtuutusprotokollan mukaisesti. Tämän jälkeen tietokone 4 antaa valtuutuksen pankinjohtajalle. Laatikon, johon hän haluaa asettaa varat, on oltava sopivassa käyttötilassa eikä se saa olla klooni. Sen olisi siten kyettävä valtuuttamaan itsensä keskinäi-30 sesti tietokoneen 4 kanssa lähtöaseman välityksellä, joka on tietokoneen 4 luotettava kumppani, mutta se ei pysty suoraan varmistamaan pientä laatikkoa 1 edellä mainituista syistä johtuen. Kun kaikki nämä varmistukset on toteutettu suoraan tai peitetysti, järjestelmä hyväksyy tieto-35 koneen 4 välityksellä yhtäältä pankinjohtajalta tulevan vastuun siirron ja muuttaa toisaalta laatikon 1 kassakaap- 24 93761 t pikäyttötilaan. Siirtymisen yhteydessä avoimesta käyttötilasta kassakaappikäyttötilaan siirrytään järjestelmästä "pankinjohtaja" järjestelmään "laatikko/tietokone". Siirtyminen tapahtuu asteittain vastuun ollessa pankinjohta-5 jalla tietokoneen 4 antamaan lopulliseen suostumukseen asti, jolloin esiintyy järjestelmän peräkkäisiä laajennuksia ja sen jälkeen tapahtuvia supistuksia.
Siirtyminen kassakaappikäyttötilasta avoimeen käyttötilaan tapahtuu samanlaisella tavalla tietokoneen 4 pi-10 dättäessä itselleen vastuun varojen suojelemisesta kaikilta osapuolilta saatavaan täydelliseen varmistukseen asti.
Tässä tapauksessa siirrytään järjestelmästä "laatikko/tietokone" järjestelmään "laatikko/tietokone/asema" ja sen jälkeen järjestelmään "laatikko/tietokone/asema/pankinjoh-15 taja" ja lopuksi järjestelmään "pankinjohtaja" vastuun siirtyessä avoimessa käyttötilassa.
Siirtymiset avoimesta käyttötilasta laatikko- tai kassakaappikäyttötiloihin voivat myös riippua aikaohjel-moinnista, jonka tietokone 4 siirtää laatikkoon 1 sen saa-20 puessa haarakonttoriin. Tällainen aikaohjelmointi voi olla viikoittainen ja se saattaa estää laatikon 1 avaamisen tiettyjen ennalta määrättyjen tuntien ulkopuolella. Keksinnön erään tässä yhteydessä selostamattoman muunnelman mukaisesti laatikko- ja kassakaappikäyttötilat voidaan ,, 25 yhdistää yhdeksi ainoaksi käyttötilaksi, jota kutsutaan esimerkiksi varastointikäyttötilaksi ja johon voidaan lisätä kaksi avausvaihtoehtoa - laatikko ja kassakaappi -joiden välinen valinta suoritetaan aikaohjelmoinnin avulla, joka siirretään tiettynä aikana laatikosta 1 tietoko-30 neen 4 avulla.
; Aloittaen laatikko- tai · kassakaappikäyttötilasta pankinjohtaja voi pyytää varojen lähettämistä haarakonttoriin. Tätä varten on olemassa maksukäyttötila, joka on analoginen avoimen käyttötilan kanssa, mutta jota ei voi 35 seurata laatikko- tai kassakaappikäyttötila. Maksukäyttö tila määrää laatikossa 1 olevien varojen siirron. Siir- 25 93761 tymiset laatikko- tai kassakaappikäyttötilasta maksukäyt-tötilaan tapahtuvat samalla tavoin kuin siirtymiset näistä käyttötiloista avoimeen käyttötilaan, so. ne suoritetaan pankinjohtajan koodin ennalta annetun varmistuksen väli-5 tyksellä.
Kun laatikko 1 on suljettu maksukäyttötilan alaisena, laatikko palaa automaattisesti suljettuun käyttötilaan, jolloin sitä on mahdotonta avata ottamatta yhteyttä tietokoneeseen 4. Siirtyminen maksukäyttötilasta suljetit) tuun käyttötilaan merkitsee sitä, että järjestelmä "laatikko" on väliaikaisesti hyväksynyt vastuun siirtämisen. Tämä käyttötila on kuitenkin ohimenevä, koska liitäntä muodostetaan välittömästi lähtöaseman kautta tietokoneeseen 4 sen suostumuksen saamiseksi tämän maksun suhteen. 15 Kieltämisen tapahtuessa (joka voi sattua esimerkiksi sil loin, kun tuloasemaa ei ole tai ei enää ole tai jos pieni laatikko ei ole enää sopivassa tilassa) laatikko 1 siirtyy kieltokäyttötilaan ja sitten avoimeen tilaan ja varojen lähetysprosessi peruutetaan. Tietokoneen 4 antaessa suos-20 tumuksensa ja tarvittavien keskinäisten varmistuksien jälkeen tapahtuu siirtyminen suljetusta käyttötilasta lukittuun käyttötilaan, jonka aikana järjestelmä "laatikko/tietokone" on vastuussa varoista.
Lukituskäyttötilassa laatikko 1 olisi välttämättä 25 siirrettävä tuloasemaan avaamista varten (ellei tietokone 4 toisin ilmoita). Tämän jälkeen järjestelmä odottaa, että turvavartija 3 kuljettaa laatikon 1, jonka saapuminen varmistetaan koodin todentamisen avulla, josta järjestelmä tuntee toispuolisen funktion muunnetun muunnelman. Liitän-30 tä perustetaan tietokoneen 4 kanssa, joka yksin tuntee tämän koodin ja vastaavan toispuolisen funktion (laatikon 1 tai aseman ei välttämättä tarvitse tuntea sitä). On otettava huomioon, että lukituskäyttötila voi kestää pitkän aikaa, kun tietokone 4, joka on vastaanottanut kuljetus-35 parametrit asemalta, ei ole vielä siirtänyt niitä laatikkoon 1. Yksi näistä parametreista käsittää erityisesti 26 93761 kuljetuksen suunnitellun kestoajan FR-patenttijulkaisun 2 550 364 mukaisesti, ohjeet siirron ajallisen pituuden rajoittavan ja laatikon 1 tuhoutumiseen johtavan aikarajoituksen mahdollista ylittämistä varten.
5 Turvavartijan 3 suorittaman valtuutuksen jälkeen tietokone 4 antaa valtuutuksen lähtökäyttötilassa olevan laatikon 1 siirtämistä varten. Siirtyminen lukituskäyttö-tilasta tähän käyttötilaan tapahtuu järjestelmävastuun siirtyessä "laatikko/tietokoneesta" "laatikkoon"; so. laa-10 tikko varmistaa kuljetettavien varojen täydellisen suojelun. Tästä syystä kuljetuksen kestoaikaan liittyvät ohjeet annetaan heti kun siirtyminen tähän käyttötilaan tapahtuu, jolloin laatikon 1 ajatellaan siis olevan liikkuva riippumatta siitä, onko se fyysisesti poistettu alustastaan 15 vai ei. Jos toimitusta varten suunniteltu aika ylitetään, laatikko katsoo joutuneeksi hyökkäyksen kohteeksi ja tuhoaa sisältönsä sopivalla tavalla.
Tämän fyysisen poistamisen jälkeen laatikko 1 siirtyy lähtökäyttötilasta katukäytäväkäyttötilaan. Tämä tila 20 vastaa sitä jalankulkuetäisyyttä, jonka turvavartija kulkee kuljettaessaan laatikkoa lähtöaseman tai ajoneuvon tai toisen aseman välillä (jos koko matka kuljetaan jalan).
Tätä käyttötilaa rajoitetaan ajallisesti tätä tarkoitusta varten määrätyn kestoajan välityksellä ja jos tätä kulku-25 matkaa varten määrätty kestoaika ylitetään, laatikko 1 tuhoaa sisältönsä.
Kuljetus pankin pääkonttorista johonkin haarakonttoriin suoritetaan yleensä ajoneuvon välityksellä. Tämän ajoneuvon sisälle on asetettu tietokone, joka hallitsee 30 elektronista järjestelmää, joka mahdollistaa kuljetetta-: vien laatikoiden 1 valvomisen. Katukäytäväkäyttötilassa olevan laatikon 1 fyysinen liitäntä elektroniseen järjestelmään aiheuttaa siirtymisen tästä käyttötilasta perus-takäyttötilaan. Laatikon 1 fyysinen säiliö on sama kuin 35 asemallakin, ja tästä syystä laatikko 1 lähettää tunnis • t 27 93761 tussanoman elektroniselle järjestelmälle seuraavalla tavalla: - jos se tunnistaa aseman, se pyytää välittömästi liitäntää valvontatietokoneeseen 4, liitännän tapahtuessa 5 liitäntäkäyttötilaan; - jos se tunnistaa oikean ajoneuvon elektronisen järjestelmän, siirtyminen tapahtuu kuorma-autokäyttöti- laan; - jos se ei tunnista näitä kumpaakaan, siirtyminen 10 tapahtuu Depalarm-käyttötilaan.
Depalarm-käyttötilassa laatikko 1 on fyysisesti odottamattomassa tilanteessa ja se olisi irrotettava säiliöstään. Ellei näin menetellä, niin määrätyn ajan (esimerkiksi 30 sekunnin) kuluttua jalan suoritettavan kulku-15 matkan kestoajan laskeminen alkaa taas. Laatikko 1 odottaa kuitenkin irrottamistaan ennen kuin se siirtyy loogisella tavalla Depalarm-käyttötilasta katukäytäväkäyttötilaan. Tällä tavoin katukäytäväkäyttötila vastaa aina laatikon 1 fyysistä irrottamista.
20 Kuorma-autokäyttötila vastaa kuljetuksen loogista peräkkäistä järjestystä. Tässä käyttötilassa laatikkoa 1 ei voida irrottaa ilman edeltäpäin annettua ilmoitusta, ja laatikko tuhoaa sisältönsä, kun tietty kestoaika (esimerkiksi 10 sekuntia) on ylitetty, jos sitä ei ole liitetty 25 uudelleen. Kun ajoneuvo saapuu haarakonttoriin, turvavar-tija 3 valtuuttaa itsensä uudelleen laatikkoineen 1 ajoneuvossa olevan tietokoneen välityksellä, jolloin turva-vartijan 3 koodi on tilapäisesti siirretty laatikkoon 1 valvontatietokoneen 4 välityksellä siirtymisen aikana lu-30 kituskäyttötilasta lähtökäyttötilaan. Jos laatikko 1 hy-. väksyy turvavartijan 3 koodin, se siirtyy lähtökäyttöti laan (josta se voi siirtyä perustakäyttötilaan ja lopuksi liitäntäkäyttötilaan).
On tärkeää ottaa huomioon, että käyttötilajärjeste-35 ly tekee väliintulon helpoksi kyseiselle ajoneuvolle tapahtuvan onnettomuuden yhteydessä. Tällöin olisi riittävää 93761 t 28 lähettää onnettomuuspaikalle ajoneuvo, johon on asetettu laatikon 1 tuntema tunnistuskoodi, laatikon 1 irrottamiseksi laillisesti onnettomuuden alaisesta ajoneuvosta yhdessä turvavartijan 3 koodin kanssa ja sen liittämiseksi 5 taas uuteen ajoneuvoon. Tietokone 4 siirtää tätä tarkoitusta varten näiden kahden ajoneuvon rekisterinumerot laatikkoon 1 lukituskäyttötilasta siirryttäessä lähtökäyttö-tilaan. Tällä tavoin on mahdollista siirtyä useaan kertaan perusta-, kuorma-auto- tai lähtökäyttötiloihin kuljetuksen 10 aikana lähtöasemalta tuloasemalle, jolloin on vain otettava huomioon aikaa koskevat ohjeet.
Siirtyminen perustakäyttötilasta liitäntäkäyttöti-laan tapahtuu, jos laatikko 1 tunnistaa liitäntänsä asemaan. Sen jälkeen se pyytää välittömästi valvontatietoko-15 neeseen 4, joka vaatii aseman aikaisemmin annetun varmistuksen sen ja tämän tietokoneen 4 välillä. Jos tämä keskinäinen varmistus on mahdollinen, niin tiedetään jo, että asema ei ole klooni. Tietokone 4 ja laatikko 1 varmistavat tällöin keskenään toisensa. Jos asema, johon laatikko 20 1 on liitetty, ei ole oikea, tapahtuu siirtyminen liitän- täkäyttötilasta Depalarm-käyttötilaan. Jos asemana on suunniteltu tuloasema, tulee järjestelmästä "laatikko" järjestelmä "laatikko/tietokone/tuloasema" ja siirrytään lii-täntäkäyttötilasta Selfouv- tai Servouv-käyttötilaan.
25 Valinnan näiden kahden käyttötilan välillä suorit taa valvontatietokone 4 laatikon 1 ja tietokoneen 4 keskinäisen varmistuksen tapahtumahetkellä. Nämä käyttötilat ovat käsitteellisesti samanlaisia kuin laatikko- ja vastaavasti kassakaappikäyttötila, mutta ne päättyvät aina 30 edellä selostettuun avoimeen käyttötilaan, jossa laatikon 1 ajatellaan olevan avoinna. Selfouv-käyttötilassa vain laatikko 1 varmistaa pankinjohtajan koodin avausta varten. Servouv-käyttötilassa, kun laatikko on varmistanut tämän koodin, laatikko pyytää liitäntää tietokoneeseen 4, joka 35 puolestaan suorittaa vaaditut varmistukset.
29 93761
Avoimessa käyttötilassa laatikko 1 voidaan tyhjentää varoistaan, jolloin sen suojeluvastuu siirtyy pankinjohtajalle.
Pientä laatikkoa 1 voidaan käyttää uudelleen joko 5 laatikkona tai kassakaappina tai muuhun kuljetukseen edellä selostettujen prosessien mukaisesti.
Useita muunnelmia järjestelmän tästä suositeltavasta organisaatiosta voidaan tietenkin ajatella käytettäväksi keksinnön suojapiiristä poikkeamatta, jolloin voidaan 10 käyttää yhdessä missä tahansa järjestyksessä kolmea mahdollista käyttötilatyyppiä. Ainoana ennakkoehtona on var-mistusprosessien noudattaminen järjestelmän laajentamisten tai rajoittamisten yhteydessä, so. varojen suojeluun liittyvän vastuun siirtämisen aikana.
15 On myös otettava huomioon, että koodausalgoritmien käyttö järjestelmien eri osien kautta siirrettyjä sanomia varten vaatii liitäntätukia, jotka ovat luotettavia ja joissa esiintyy vain vähän virhemahdollisuuksia.
Näin ei asia kuitenkaan välttämättä ole, koska muo-20 dostettava infrastruktuuri olisi ilmeisestikin kallis, erityisesti pankkien ja niiden haarakonttorien yhteydessä, jolloin asemaan 5 liitettäisiin kiinteästi tietoliikenne-välineitä yhdessä valvontatietokoneen 4 kanssa, kalliita modeemeja, erikoisyhteyksiä, joissa esiintyy vain vähän , 25 virhemahdollisuuksia jne. Näiden haarakonttorien käytössä on kuitenkin yleensä vain normaalit puhelinlinjat, joissa esiintyy paljon virhemahdollisuuksia. Yksi väärä binaari-tieto sisältyy keskimääräisesti jokaiseen 10 000 lähetettyyn binääritietoon.
30 Siten muodostetaan protokolla lähetysvirheiden kor- ,, jäämiseksi järjestelmäpäätteen eli aseman 5 ja valvonta- tietokoneen 4 välillä. Tämä protokolla jakaa lähetettävän sanoman lohkoihin, joiden suuruus on muutamista useisiin kymmeniin oktetteihin. Jos lohko lähetetään virheellisenä, 35 vain tämä lohko on lähetettävä uudelleen, jolloin vältetään koko vaihdettavan erittäin pitkän sanoman toistaminen » 93761 t 30 (jonka pituus on yleensä 300 oktettia). Lohkon koskemattomuus tarkistetaan sen sisältöön ja tosikkoon liittyvän allekirjoituksen avulla, tämän otsikon sisältäessä pääasiassa tiedot lohkon pituudesta. Tämän ei-salaisen allekirjoi-5 tuksen laskenta-algoritmia käytetään edullisesti sanomien koodaukseen ja varmistamiseen. Tällä tavoin käytetään taas "DES-lastua" tarvitsematta kirjoittaa ja varastoida uutta algoritmia, erityisesti asemaan.
Lähetyksen yhteydessä lohkotun sanoman uudelleen-10 kokoamisen jälkeen ja tapauksessa, jolloin lähettäjän on valvontatietokone 4, asema 5 varmistaa ja dekoodaa omilla avaimillaan tämän sanoman (aseman sisään asetetun "DES-lastun" ansiosta). Sen jälkeen siirtyy käsittelemään laatikkoa 1, jonka tunnistettava rekisterinumero näkyy nyt 15 selvänä, sanoman osana, joka on tarkoitettu sitä varten, laatikko 1 varmistaa ja dekoodaa tämän sanoman omilla avaimillaan, tätä tarkoitusta varten käytettävän "DES-lastun" avulla. Sen jälkeen se vahvistaa vastaanoton tietokoneeseen 4 ja muodostaa tätä tarkoitusta varten koodi-20 tetun sanoman, joka on varmistettu näiden samojen avainten avulla. Tämä sanoma lähetetään sitten tietokoneeseen 4 täydennettynä laatikon 1 rekisterinumerolla ja kooditettu-na ja varmistettuna aseman 5 avaimilla. Tietokone 4 lähettää sen jälkeen takaisin saman protokollan mukaisesti kui-25 tin laatikkoon 1, joka voi mahdollisesti muuttaa käyttötilaa, mutta vain vastaanottaessaan tämän kuitin.
Edellä selostettu tietoliikenneprotokolla ei ole tietenkään rajoitettu edellä selostettuun suositeltavaan sovellutusmuotoon, vaan voidaan esimerkiksi käyttää toi-30 minnallisia arkkitehtonisia periaatteita, jotka avointen . järjestelmien keskinäisliitäntämalli (kerrosmalli OSI) on tehnyt suosituiksi, tai tämän mallin suoria johdannaisia.
Esillä oleva keksintö on tarkoitettu erityisesti asiakirjojen tai arvokkaiden kohteiden, ja erityisesti 35 setelien, shekkien tai pankkikorttien tai vaarallisten lääkeaineiden (huumeiden) tai arvoltaan huomattavasti li- 31 93761 sättyjen kohteiden suojelemista varten. Tämä suojelu taataan sekä pankissa (tai apteekissa tai muussa vastaavassa paikassa) ja kuljetuksen aikana pankista toiseen haarakonttoriin. Tätä keksintöä eivät rajoita suojattavien 5 asiakirjojen tai arvokkaiden kohteiden koko tai paino, ja alalla toimivan henkilön on helppo tehdä keksintöön muutoksia yrittäessään soveltaa sitä toisenlaisiin kohteisiin tai asiakirjoihin, kuin mitä edellä on luonteeltaan rajoittamattomien sovellutusesimerkkien yhteydessä selos-10 tettu.

Claims (13)

32 93761
1. Suojajärjestelmä asiakirjoja tai arvokkaita kohteita, erityisesti maksuvälineitä, kuten seteleitä, 5 shekkejä ja pankkikortteja, varten, jotka on asetettu ainakin yhteen fyysisesti varkaudelta suojattuun säiliöön, jota kutsutaan pieneksi laatikoksi (1) ja joka hyökkäyksen tapahtuessa tuhoaa nämä asiakirjat tai arvokkaat kohteet sopivien välineiden avulla, tunnettu siitä, että 10 pieni laatikko (1) sisältää sisäiset hallintajärjestelmät, jotka toimivat "käyttötilaltaan rajoitettuna koneena", jonka käyttöjakso sisältää rajoitetun määrän loogisia tiloja, joita kutsutaan käyttötiloiksi, jolloin siirtymisen ensimmäisestä käyttötilasta toiseen aiheuttaa jokin eri-15 tyinen tapahtuma, jonka luvallisen luonteen varmistaa tai on aikaisemmin varmistanut itsenäinen järjestelmä, joka voidaan saattaa yhteyteen pienen laatikon (1) sisäisten hallintajärjestelmien kanssa, jolloin tätä siirtymistä seuraa aikaisemman käyttötilan muistin katoaminen.
2. Patenttivaatimuksen 1 mukainen suojajärjestel mä, tunnettu siitä, että pienen laatikon (1) kuljetuksen aikana, jota rajoittaa yhtäältä siirtyminen käyttötilasta, jossa tämän pienen laatikon (1) ajatellaan olevan kiinteä, käyttötilaan, jossa sen ajatellaan olevan 25 liikkuva, ja toisaalta siirtymisen käyttötilasta, jossa « *· pienen laatikon (1) ajatellaan olevan liikkuva, käyttöti laan, jossa sen ajatellaan olevan kiinteä, tämän laatikon (1) sisäiset hallintajärjestelmät toimivat täysin itsenäisesti .
3. Jonkin edellä olevan patenttivaatimuksen mukai- . nen suojajärjestelmä, tunnettu siitä, että järjes telmä, joka voidaan asettaa yhteyteen pienen laatikon (1) sisäisten hallintajärjestelmien kanssa näiden sisäisten hallintajärjestelmien tiettyjen käyttötilojen välisten 35 siirtymien luvallisen luonteen valvomiseksi, käsittää yhden ainoan tietokoneen (4), joka voi toimia myös etäisyy- 33 93761 den päässä olevana palvelukeskuksena, jonka looginen ja fyysinen suojaus on myös varmistettu.
4. Jonkin edellä olevan patenttivaatimuksen mukainen suojajärjestelmä, tunnettu siitä, että se voi 5 sisältää peräkkäisessä järjestyksessä kokonaan tai osittain seuraavat osaelementit: - asiakirjojen tai arvokkaiden kohteiden käyttäjän, oli se sitten lähettäjä (2), vastaanottaja tai turvavarti-ja (3); 10. pienen laatikon (1); - järjestelmän, joka voidaan asettaa yhteyteen laatikon (1) sisäisten hallintajärjestelmien kanssa sellaisen tapauksen luvallisen luonteen valvomiseksi, joka saattaa aiheuttaa siirtymisen näiden sisäisten hallintajärjestel- 15 mien yhdestä toimintakäyttötilasta toiseen käyttötilaan; - näiden osaelementtien ollessa liitettyinä yhteen yhden ainoan päätteen, jota kutsutaan asemaksi (5), avulla tähtimäisen verkoston muodostamiseksi, jonka keskuksena tämä asema (5) toimii.
5. Patenttivaatimuksen 4 mukainen suojajärjestel mä, tunnettu siitä, että asema (5) ei kykene koskaan muodostamaan välinettä, joka voisi valvoa sellaisen tapahtuman luvallista luonnetta, joka saattaisi aiheuttaa siirtymisen pienen laatikon (1) yhdestä toimintakäyttöti- >25 lasta toiseen käyttötilaan.
6. Jonkin patenttivaatimuksen 4 tai 5 mukainen suojajärjestelmä, tunnettu siitä, että asema (5) on varustettu sopivalla yhteysvälineellä, jonka avulla se voidaan asettaa yhteyteen: 30. pienen laatikon (1) ja välineen kanssa, joka voi daan saattaa yhteyteen pienen laatikon (1) sisäisten hallintajärjestelmien kanssa sellaisen tapahtuman luvallisen luonteen valvomiseksi, joka voi aiheuttaa siirtymän näiden sisäisten hallintajärjestelmien yhdestä toimintakäyttöti- 35 lasta toiseen käyttötilaan; t 34 93761 - pienen laatikon (1) ja sen sisältämien asiakirjojen tai arvokkaiden kohteiden käyttäjän kanssa, oli kyseessä sitten lähettäjä (2), vastaanottaja tai turvavarti-ja (3); 5. pienen laatikon (1) sisältämien asiakirjojen tai arvokkaiden kohteiden käyttäjän, oli kyseessä sitten lähettäjä (2), vastaanottaja tai turvavartija (3) ja välineen kanssa, joka voidaan saattaa yhteyteen pienen laatikon (1) sisäisten hallintajärjestelmien kanssa sellaisen 10 tapahtuman luvallisen luonteen valvomiseksi, joka voi aiheuttaa siirtymän näiden sisäisten hallintajärjestelmien yhdestä toimintakäyttötilasta toiseen käyttötilaan;
7. Jonkin edellä olevan patenttivaatimuksen mukainen suojajärjestelmä, tunnettu siitä, että yh- 15 täältä järjestelmän kaikki osat sisältävät lähettävältä osapuolelta vastaanotettujen sanomien tietokoneistetun varmistusjärjestelmän, joka on liitetty kiinteästi tähän järjestelmään, ja toisaalta että tämän sanoman varmistus-tapahtuman yhteydessä nämä valmistusvälineet pyrkivät toi-20 mimaan yhdessä lähetysjärjestelmien kanssa lähettäen tun-nistusilmoituksen oikeasta kuitista sanotulle lähettävälle osapuolelle.
8. Patenttivaatimuksen 7 mukainen suojajärjestelmä, tunnettu siitä, että sanoman lähettävän osa- 25 puolen varmistaminen käsittää itse sanoman varmistamisen tarkistamalla tämän sanoman sisältöön laskettu tietokone-allekirjoitus avainalgoritmin välityksellä, jolloin nämä avaimet ovat vain sanoman lähettävän ja sen vastaanottavan osapuolen hallussa.
9. Jonkin patenttivaatimuksen 7 tai 8 mukainen suojajärjestelmä, tunnettu siitä, että uuden osapuolen varmistamiseksi järjestelmään jo kiinteästi liitettyjen kaikkien muiden osapuolien toimesta on riittävää yhtäältä, että vain yhden tällaisen osapuolen varmistusvä-35 line, joka on suorassa yhteydessä uuteen osapuoleen, varmistaa tämän uuden osapuolen lähettämät sanomat, ja että 35 93761 toisaalta tämän uuden osapuolen varmistusväline varmistaa tai on varmistanut sanotun kiinteästi liitetyn osapuolen lähettämät sanomat suorassa yhteydessä tähän osapuoleen.
10. Patenttivaatimuksen 9 mukainen suojajärjestel-5 mä, tunnettu siitä, että pienen laatikon (1) ja aseman (5), johon se on liitetty, välinen keskinäinen varmistus on aina peitetty ja vaatii yhtäältä aikaisemman keskinäisen varmistuksen tämän aseman (5) ja välineen välillä, joka kykenee olemaan yhteydessä laatikon (1) si-10 säisten hallintajärjestelmien kanssa sellaisen tapahtuman luvallisen luonteen valvomiseksi, joka voi aiheuttaa siirtymän näiden sisäisten hallintajärjestelmien yhdestä toi-mintakäyttötilasta toiseen käyttötilaan, ja toisaalta pienen laatikon (1) ja näiden järjestelmien välisen aikaisem-15 man keskinäisen varmistuksen, jolloin nämä järjestelmät kykenevät edullisesti muistamaan kaikki osapuolten väliset toimenpiteet, järjestelmän tällaisen rakenteen salliessa myös tässä asemassa (5) ja pienessä laatikossa (1) olevien muistettavien varmistusavainten lukumäärän rajoit-20 tamisen.
11. Patenttivaatimuksen 7 mukainen suojajärjestelmä, tunnettu siitä, että pienen laatikon (1) sisältämien asiakirjojen tai arvokkaiden kohteiden käyttäjä, oli kyseessä sitten lähettäjä (2), vastaanottaja tai tur- : 25 vavartija (3), varmistetaan salaisen koodin avulla, josta tämän käyttäjän varmistava osapuoli tuntee vain muunnetun version toispuolisen funktion avulla.
12. Patenttivaatimuksen 7 mukainen suojajärjestelmä, tunnettu siitä, että pienen laatikon (1) si- 30 sältämien asiakirjojen tai arvokkaiden kohteiden käyttäjä, oli kyseessä sitten lähettäjä (2), vastaanottaja tai tur-vavartija (3), varmistetaan koodatun ja varmistetun sanoman avulla, jonka on muodostanut muistilevy, jonka käyttöä varten asiakirjojen tai arvokkaiden kohteiden käyttäjän on 35 tunnettava kyseinen koodi. t 36 93761
13. Jonkin edellä olevan patenttivaatimuksen mukainen suojajärjestelmä, tunnettu siitä, että järjestelmän kahden osapuolen välillä vaihdetut sanomat koodataan avainkoodausalgoritmin avulla, joka on vain näiden 5 kahden osapuolen hallussa, jolloin tämä algoritmi voi edullisesti käsittää esimerkiksi tällaisen sanoman varmis-tusallekirjoituksen muodostamista varten käytetyn algoritmin muunnoksen. 37 93761
FI920187A 1989-07-17 1992-01-16 Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi FI93761C (fi)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FR8909579A FR2649748B1 (fr) 1989-07-17 1989-07-17 Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint
FR8909579 1989-07-17
PCT/FR1990/000538 WO1991001428A1 (fr) 1989-07-17 1990-07-17 Systeme de protection de documents ou d'objets enfermes dans un contenant inviolable
FR9000538 1990-07-17

Publications (3)

Publication Number Publication Date
FI920187A0 FI920187A0 (fi) 1992-01-16
FI93761B FI93761B (fi) 1995-02-15
FI93761C true FI93761C (fi) 1995-05-26

Family

ID=9383836

Family Applications (1)

Application Number Title Priority Date Filing Date
FI920187A FI93761C (fi) 1989-07-17 1992-01-16 Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi

Country Status (20)

Country Link
US (1) US5315656A (fi)
EP (1) EP0409725B1 (fi)
JP (1) JPH05506700A (fi)
AT (1) ATE105367T1 (fi)
AU (1) AU648510B2 (fi)
CA (1) CA2064204C (fi)
DD (1) DD296732A5 (fi)
DE (1) DE69008634T2 (fi)
DK (1) DK0409725T3 (fi)
ES (1) ES2056406T3 (fi)
FI (1) FI93761C (fi)
FR (1) FR2649748B1 (fi)
HU (1) HU217539B (fi)
MA (1) MA21906A1 (fi)
NO (1) NO302259B1 (fi)
OA (1) OA09531A (fi)
RO (1) RO108889B1 (fi)
RU (1) RU2078894C1 (fi)
WO (1) WO1991001428A1 (fi)
ZA (1) ZA905546B (fi)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2706058B1 (fr) * 1993-06-02 1995-08-11 Schlumberger Ind Sa Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte.
DE69704684T2 (de) * 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
FR2751111B1 (fr) 1996-07-10 1998-10-09 Axytrans Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable
JP3541607B2 (ja) * 1997-03-11 2004-07-14 株式会社日立製作所 電子マネー取引装置
JP2000113085A (ja) * 1998-10-08 2000-04-21 Sony Corp 電子現金システム
US6275151B1 (en) * 2000-01-11 2001-08-14 Lucent Technologies Inc. Cognitive intelligence carrying case
US20010054025A1 (en) * 2000-06-19 2001-12-20 Adams William M. Method of securely delivering a package
AU2001291636A1 (en) * 2000-09-26 2002-04-08 Sagem Denmark A/S A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box
DE10123383A1 (de) 2001-05-14 2003-01-16 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zum Öffnen und Schließen einer Kassette
US20050155876A1 (en) * 2003-12-15 2005-07-21 Tamar Shay Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member
KR100527169B1 (ko) * 2003-12-31 2005-11-09 엘지엔시스(주) 매체자동지급기의 매체카세트 개폐장치
FR2869939B1 (fr) * 2004-05-06 2006-06-23 Axytrans Sa Systeme securise pour le transport ou la conservation de valeurs telles que des billets de banque
US7757301B2 (en) * 2004-12-21 2010-07-13 Seagate Technology Llc Security hardened disc drive
EP1843000B1 (de) * 2006-04-03 2018-10-31 Peter Villiger Sicherheitssystem mit ad-hoc Vernetzung einzelner Komponenten
DE102007022460A1 (de) 2007-05-09 2008-11-13 Horatio Gmbh Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen
DE102008045607A1 (de) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein
US8836509B2 (en) * 2009-04-09 2014-09-16 Direct Payment Solutions Limited Security device
WO2016137573A1 (en) 2015-02-25 2016-09-01 Private Machines Inc. Anti-tamper system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
SE417023B (sv) * 1979-11-29 1981-02-16 Leif Lundblad Anleggning for seker och ekonomiskt optimal hantering av verdedokument inom en penninginrettning
FR2550364B1 (fr) * 1983-08-05 1986-03-21 Kompex Systeme de securite de transport de fonds ou d'effets bancaires
DE3400526A1 (de) * 1984-01-10 1985-10-24 Peter 7212 Deißlingen Pfeffer Einrichtung zum ueberwachen von geldscheinbuendeln
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
FR2574845B1 (fr) * 1984-12-14 1987-07-31 Axytel Sarl Procede de marquage et/ou de destruction notamment de documents de valeur et dispositif de mise en oeuvre
GB2182467B (en) * 1985-10-30 1989-10-18 Ncr Co Security device for stored sensitive data
FR2594169B1 (fr) * 1986-02-11 1990-02-23 Axytel Sa Systeme de protection de produits de valeur notamment de fonds et/ou de produits bancaires.
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
NL8700165A (nl) * 1987-01-23 1988-08-16 Seculock B V I O Cheques- en creditcards-opberginrichting met ingebouwd vernietigingssysteem.
FR2615987B1 (fr) * 1987-05-27 1994-04-01 Axytel Dispositif de controle de l'integrite d'une paroi quelconque, metallique ou non, destine a declencher automatiquement une intervention en cas d'agression commise a l'encontre de cette paroi
SE455653B (sv) * 1987-08-11 1988-07-25 Inter Innovation Ab Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning
JP2609473B2 (ja) * 1989-10-23 1997-05-14 シャープ株式会社 通信装置
EP0527725A1 (en) * 1990-05-11 1993-02-24 Gte Sylvania N.V. Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof

Also Published As

Publication number Publication date
EP0409725B1 (fr) 1994-05-04
RO108889B1 (ro) 1994-09-30
FI93761B (fi) 1995-02-15
ZA905546B (en) 1991-04-24
DK0409725T3 (da) 1994-09-19
NO920194D0 (no) 1992-01-15
FR2649748A1 (fr) 1991-01-18
AU6052990A (en) 1991-02-22
WO1991001428A1 (fr) 1991-02-07
HUT62063A (en) 1993-03-29
DD296732A5 (de) 1991-12-12
FI920187A0 (fi) 1992-01-16
HU9200168D0 (en) 1992-09-28
NO920194L (no) 1992-03-10
NO302259B1 (no) 1998-02-09
HU217539B (hu) 2000-02-28
EP0409725A1 (fr) 1991-01-23
OA09531A (fr) 1992-11-15
CA2064204A1 (fr) 1991-01-18
JPH05506700A (ja) 1993-09-30
US5315656A (en) 1994-05-24
DE69008634D1 (de) 1994-06-09
RU2078894C1 (ru) 1997-05-10
ATE105367T1 (de) 1994-05-15
CA2064204C (fr) 2001-04-10
FR2649748B1 (fr) 1991-10-11
AU648510B2 (en) 1994-04-28
ES2056406T3 (es) 1994-10-01
DE69008634T2 (de) 1994-12-01
MA21906A1 (fr) 1991-04-01

Similar Documents

Publication Publication Date Title
FI93761C (fi) Järjestelmä säiliöön sijoitettujen asiakirjojen tai esineiden suojaamiseksi
RU2637746C2 (ru) Способ и система для уменьшения риска грабежа/кражи банкнот
EP1460826A1 (en) Wireless authentication system
WO2016027178A1 (en) An electronic locking system
US20070063019A1 (en) Method and apparatuses for opening and closing a cassette
CA2405967C (en) Method for closing and opening a container
JP2006350682A (ja) 書類管理システム
EP1096450B1 (en) Automated teller machine and method therof
US6430689B1 (en) System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable
EP1926058A2 (en) Cash dispensing system
JP2007084273A (ja) Icカード対応ロッカーによる宅配サービス提供方法
GB2362188A (en) Security system for lockable enclosures
WO2007035970A2 (en) Cryptographic key management system
JP2005150925A (ja) セキュリティシステム
EP4172962B1 (en) Secure container for storing or transporting value documents, and system for securing storage and transportation of value documents
EP0635091A1 (en) A method for transporting valuables
CN111882782A (zh) 一种高安全性能智能钞箱及管控方法
KR20040068822A (ko) 비밀번호 조합에 의한 유사시 경보 시스템
CN1435787A (zh) 一种多密码安全支付方法
JP2006214247A (ja) インテリジェンスビル地下における光ケーブルを使った貸金庫システム
JPH0495189A (ja) 現金自動取引方法
JP2004180906A (ja) 宅配用ロッカー
CA2501789A1 (en) Automated tamper-resistant container pool

Legal Events

Date Code Title Description
BB Publication of examined application