HU217539B - Elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy tárgyak védelmére - Google Patents

Elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy tárgyak védelmére Download PDF

Info

Publication number
HU217539B
HU217539B HU9200168A HU16892A HU217539B HU 217539 B HU217539 B HU 217539B HU 9200168 A HU9200168 A HU 9200168A HU 16892 A HU16892 A HU 16892A HU 217539 B HU217539 B HU 217539B
Authority
HU
Hungary
Prior art keywords
mode
safe box
safe
valuables
box
Prior art date
Application number
HU9200168A
Other languages
English (en)
Other versions
HUT62063A (en
HU9200168D0 (en
Inventor
Franklin Devaux
Christophe Genevois
Marc Geoffroy
Original Assignee
Axyval S.A.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axyval S.A. filed Critical Axyval S.A.
Publication of HU9200168D0 publication Critical patent/HU9200168D0/hu
Publication of HUT62063A publication Critical patent/HUT62063A/hu
Publication of HU217539B publication Critical patent/HU217539B/hu

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/14Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/005Portable strong boxes, e.g. which may be fixed to a wall or the like

Landscapes

  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Packages (AREA)
  • Details Of Rigid Or Semi-Rigid Containers (AREA)
  • Storage Device Security (AREA)
  • Cartons (AREA)
  • Burglar Alarm Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
  • Sorting Of Articles (AREA)
  • Facsimile Transmission Control (AREA)
  • Tires In General (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Credit Cards Or The Like (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

A találmány tárgya elrendezés legalább egy fizikai védelemmel ellátőttés széfdőbőznak (1) nevezett tartályba zárt dőkűmentűmők vagyértéktárgyak, különösen őlyan tárgyak, mint bankjegyek, csekkek vagybanki kártyák védelmére, amely széfdőbőz (1) támadás esetén azértéktárgyakat megfelelő eszközök felhasználásával megsemmisíti. Atalálmány szerinti rendszerre jellemző, hőgy a széfdőbőz (1) működésiciklűsa egy őlyan belső irányítórendszerrel (6) van ellátva, amely„kőrlátőzőtt módú gépö jelleggel működik, és amelynek működési ciklűsakőrlátőzőtt számú és módőknak nevezett lőgikai állapőtőt tartalmaz. Azegyik módból egy másik módba való átmenet egy meghatárőzőtt eseménykövetkezménye, amelynek megengedett jellegét egyidejűleg vagy kőrábbanmegfelelő aűtőnóm számítógéppel (4) meg kell állapítani, amelykapcsőlatban van a széfdőbőz (1) belső irányítási rendszerével. Ez azátmenet egyidejűleg az előző mód elfelejtését is magával vőnja. ŕ

Description

A leírás terjedelme 16 oldal (ezen belül 2 lap ábra)
HU 217 539 Β
A találmány tárgya elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy értéktárgyak, különösen fizetőeszközök, például bankjegyek, csekkek vagy bankkártyák védelmére, amely tartály korlátozott számú érvényesített logikai állapoton megy át.
A dokumentumok vagy értéktárgyak, például fizetőeszközök védésére szolgáló hagyományos elrendezések széles körben ismertek és nagyrészt páncélozott falú széf elvére épülnek, amelyhez a hozzáférés anyagi vagy nem anyagi hordozóval társított kulcs (például kód) kizárólagos tulajdonosának van fenntartva, és amely széf ellenőrzött, és például páncéllemezzel biztosított környezetben van elhelyezve.
Ezen hagyományos és gyakran nehéz és körülményes eszközökkel szemben alternatív megoldásokat ismertetnek a jelen bejelentés bejelentőjének más francia szabadalmai. így például az FR A 2 550 364 szabadalmi leírás szerinti megoldás esetében a védendő dokumentumok vagy értéktárgyak, a továbbiakban értéktárgyak, egy széfdobozba vannak bezárva, amelynek fizikai állapotát érzékelők ellenőrzik, amely érzékelők folyamatosan jeleket bocsátanak ki, és ezen jeleknek meg kell felelniük egy kötelező és elkerülhetetlen folyamatból származó jelnek, és ennek elmaradása esetén a széfdoboz és az értéktárgyak megsemmisülnek vagy megjelölődnek.
Az erre a célra használatos megsemmisülő vagy destruktív eszközként használható például a bejelentő FR-A-2 574 845 szabadalmának leírásában ismertetett eszköz lehet.
Abban az esetben, ha értéktárgyakat, például veszélyes hatóanyagokat (narkotikumokat vagy mérgeket), vagy jelentős hozzáadott értékkel bíró tárgyakat kell szállítani, ez a destruktív eszköz igen eltérő lehet. A szakember számára azonban nyilvánvaló, hogy az illető szakterületen milyen eszköz alkalmazható.
A fent említett szabadalmazott megoldásokkal elérendő cél abban van, hogy egy támadás esetén a széfdobozban levő értéktárgyak használhatatlanná váljanak vagy megsemmisüljenek, amely értéktárgyak lényeges fiduciális értéke sokkal kisebb, mint valóságos értékük (mint bankjegyek, kártyák és csekkek esetében), és így az ezen értékek megszerzése értelmetlenné válik, mivel elérésük előtt megsemmisülnek.
Az ilyen elrendezésekhez társított érzékelők és különösen azok, amelyek lehetővé teszik a széfdobozra gyakorolt fizikai behatás kimutatását, igen könnyű szerkezetűek, szemben a hagyományos páncélzattal. A burkolat épségét kimutató érzékelőt ismertet például az FR A 2 615 987, amely jelen bejelentő tulajdona.
A hivatkozott szabadalmi leírásokban ismertetett elrendezések által nyújtott szolgáltatásokkal kapcsolatos kényelmetlenségek azonban nincsenek kiküszöbölve, és a szándékolt tökéletes védelem megbízhatóságát veszélyeztetik. Mind abban az esetben, ha a védendő értéktárgyakat tartalmazó széfdoboz hordozható, mind akkor, ha helyhez kötött, és különösen olyan műveletek során, amelyek szükségszerűen a széfdoboz állapotának megváltozásával járnak, mint például annak eltávolítása, szállítása, nyitása vagy lezárása.
A valóságban az FR A 2 550 364 szerinti megoldás esetében a széfdoboz védelme szorosan össze van kapcsolva azon páncélozott jármű által szállított többi széfdoboz védelmével, amelyben el van helyezve, és ilyen esetben a széfdobozok együttes védelemben részesülnek, különösen annak köszönhetően, hogy egy titkos és állandó párbeszéd van közöttük, amelynek bármely váratlan megszakadása a védendő értéktárgyak károsodását vonhatja magával. Ez az eszköz azt a nehezen megoldható problémát vonja magával, hogy ezt a párbeszédet irányítani kell, és az ezzel járó bonyolultság költséges, lassú és kevéssé megbízható megoldásokat eredményez.
Ezen túlmenően úgy tűnik, hogy az egyes széfdobozok önálló védelme megvalósítható, és ebben az esetben kívánatos, mert ezáltal egy olyan rugalmas védelmi elrendezés alakítható ki, amely lehetővé teszi annak elkerülését, hogy például különböző széfdobozokban tárolt nagy mennyiségű értéktárgy semmisüljön meg, ha közülük csupán egyetlen meghibásodik, vagy csupán egyet ér támadás.
Egy széfdoboz és a benne tárolt értéktárgyak megsemmisülése esetében járulékosan az ismertetett védelmi elrendezés nem teszi lehetővé annak megállapítását, hogy mely személyek felelősek a megsemmisítést kiváltó támadásért, és abban az esetben, ha a megsemmisítés már megtörtént, akkor előnyös vagy éppenséggel szükséges, hogy az értéktárgyak ne csak megjelölődjenek vagy megsemmisüljenek, hanem kitörlődjék valamennyi információ, amely bizalmas jellegű, és amelyre a megfelelő működéshez szükség van: a fizikai állapotok felügyelő algoritmusai, a külvilággal folytatott üzenetváltás kódoló és dekódoló algoritmusai, ezen üzenetek jellege és tartalma, mint például titkos kódok, az értéktárgyak szállítási címe és címzettje.
Ezen információk megsemmisítése lehetetlenné teszi bármiféle megbízhatósággal annak megállapítását, hogy ki kezelte utoljára a megsemmisített széfdobozt, aki éppenséggel az elrendezésen kívülről származó támadó is lehet, vagy pedig a széfdobozokat szállító és kezelő felelős alkalmazott, aki esetleg el akarja tulajdonítani az értéktárgyakat, vagy más olyan személy, aki a széfdobozokat különböző okokból történt felhatalmazás alapján a végcélnál megközelítheti vagy kinyithatja.
Az FR-A-2 550 364 leírásban ismertetett elrendezés egy másik lényeges hiányossága paradox módon az a szigorú következetesség, amely jellemzi a széfdoboz szállítása során annak „sorsát”. A valóságban a széfdoboz bármilyen váratlan eseményt támadásként értékel, amely annak megsemmisítéséhez vezet, és ennélfogva nincs mód arra, hogy váratlan események bekövetkezte esetén a széfdoboz különböző fokozatú válaszlépéseket hajtson végre. Ilyen eseményre példa egy olyan forgalmi akadály, amely a széfdobozokat szállító páncélozott jármű kitűzött útvonalán képződik. A szállításban a forgalmi dugó által okozott késleltetés elkerülhetetlenül a széfdobozok megsemmisítéséhez vezet, ami nagy költséggel járó hibának tekintendő és az értéktárgyak szállítására megbízást adó ügyfelet arra indíthatja, hogy megkérdőjelezze az elrendezés megbízhatóságát.
HU 217 539 Β
Jelenleg nincs olyan megoldás, amely azonnali választ adna erre a problémára, mivel a hivatkozott szabadalmi leírásban ismertetett szállítás egyes fázisai kötelező jelleggel vannak előírva a biztonsági szempontok miatt.
A fentiekből könnyen megérthető, hogy egyetlenegy döntéshozó központ, nevezetesen a széfdoboz, alkalmazása arra a célra, hogy irányítsa a védendő értéktárgyak biztonsági rendszerét és saját maga szállításának biztosítását, elkerülhetetlenül zsákutcába vezet.
Az FR-A-7 594 169 jelű szabadalmi leírás az FR-A-2 550 364 jelű leírás szerinti megoldás továbbfejlesztését jelenti, ahol is a széfdobozokat úgy tekintik, hogy egy helyhez kötött járműben vannak elhelyezve, és ezért úgy használják azokat, mint egy széf rekeszeit. Védelmük mindig kollektív, ami a fent említett problémákkal jár, de a széfdobozok tárolási helyét képező védett helyiségbe való bejutást kívülről egy számítógép vezérli, amely kapcsolatba léphet egy olyan elektronikus egységgel, amely arra szolgál, hogy ellenőrizze a megerősített helyiséget és titkos és folyamatos párbeszédet folytasson valamennyi széfdobozzal. Lehetővé válik, hogy minden egyes széfdoboz kapcsolatba lépjen a külső számítógéppel, és így ez a számítógép alkalmas arra, hogy előállítsa az előírt folyamatot, ami meghatározza a széfdoboz „sorsát” és vezérli a különböző ellenőrzések után végrehajtott műveleteket, beleértve a titkos kódok ellenőrzését, amelyet olyan személyek ismernek, akiknek joga van a széfdobozokhoz való hozzáférésre (például banki alkalmazott vagy ügyfél).
Az utóbb említett leírásban ismertetett elrendezés továbbra is számos jelentős hiányossággal rendelkezik, nevezetesen például azzal, hogy lehetőség van egy olyan kalózszámítógép vagy klón kialakítására, amely ugyanazokat a funkciókat látja el, mint az eredeti számítógép, és emiatt a széfdobozokba zárt értéktárgyak nincsenek teljes biztonságban, mivel nincs megoldás, amely lehetővé tenné a széfdobozok számára, hogy valamilyen bizonyossággal felismerjék az ellenőrző számítógépet és viszont.
A fent említett szabadalmi dokumentum tanulmányozása alapján felismerhető, hogy az elrendezés különböző elektronikus elemeihez a folyamat adatait megadó információ forrása nem szükségszerűen az egyetlen, és ez az adatok titkosságát veszélyeztető tényező, és így az FR-A-2 550 364 leírásban ismertetett megoldásból hiányzó információredundancia túl fontossá válik itt.
A találmánnyal célunk az ismert elrendezések döntő módon való továbbfejlesztése, vagyis védelemmel ellátott tartályba zárt dokumentumok vagy értéktárgyak, különösen fizetőeszközök, például bankjegyek, csekkek és banki kártyák védelmére kialakított, támadás hatására az értéktárgyakat megfelelő eszközök segítségével megsemmisítő széfdoboz felhasználásával egy továbbfejlesztett elrendezés kialakítása. A továbbfejlesztés értelmében a széfdoboz korlátozott számú, módnak nevezett logikai állapotot tartalmazó működési ciklusba hozható, „korlátozott módú gép” jellegűen működő, meghatározott esemény hatására első módból egy második módba átmenő, és az átmenettel egyidejűleg a megelőző módra vonatkozó memória információt elvesztő belső irányítórendszert tartalmaz, amelyhez kommunikációs kapcsolaton át a meghatározott esemény megengedett jellegét egyidejűleg vagy megelőzőleg igazoló autonóm számítógép kapcsolódik.
A találmánnyal megoldandó egyik feladat tehát a széfdoboz valamennyi állapotához egy-egy módnak nevezett logikai állapot hozzárendelése, amely módot két, tisztán elvi határ korlátoz kimondottan, amely lehetővé teszi a széfdobozban levő belső irányítórendszer működési ciklusának szigorú és megbízható szervezését, és az ismert elrendezések csupán két implicit határt ismernek vagy „a mobil széfdoboz és az álló helyzetű széfdoboz közötti átmenetet” és fordítva.
A találmány szerinti megoldás a széfdobozok által nyújtott védelem irányításának intelligensebbé tételéhez szükséges rugalmasságot ad. Ennélfogva azonban lényeges, hogy a védelmi folyamat minden egyes lépcsője és a két logikai állapot közötti minden egyes átmenetnél a széfdoboz ne tartsa vissza semmiféle nyomát az előző logikai állapotnak, és amint azt tudjuk, ez a nyom haszontalan, és úgy is érthetjük, hogy ez a nyom veszélyes, mivel az elrendezés biztonsága szempontjából lényeges, hogy a bizalmas üzenetek, például kódok, olvashatatlanok legyenek, ha egy támadás esetében nem semmisülnek meg teljes egészében. Végül úgy is érthető a következők alapján, hogy ez a nyom nem is létezhet.
Valójában az előző kód megőrzésének hiánya lényeges kérdés az elrendezés biztonsága szempontjából, mivel a széfdobozban belül levő irányítórendszer működési ciklusának két extrém módja kapcsolható:
- vagy közvetlenül egy olyan tervezett eseménynek köszönhetően, amely erre a célra van számba véve, és amely a két mód közötti átmenetet okozza,
- vagy közvetett módon, más módok közötti megelőző átmenet által egyéb események miatt, amelyek tervezettek és engedélyezettek.
Amennyiben a széfdoboz emlékezne az előző módra, akkor lehetségessé válna a széfdoboz belül levő irányítórendszere által előzőleg elfogadott átmenet érvénytelenítése egy első, egy második mód között és egy újabb esemény valóságosan átmenetet válthatna ki egy első módból egy harmadik módba anélkül, hogy az előre tervezett lenne, vagy engedélyezné az átmenetet a második állapotból ebbe a harmadik módba. Következésképpen a rendszer „irányíthatatlanná” válna.
A találmány szerinti megoldás lehetővé teszi a széfdoboz belső irányítórendszerének olyan ciklusban való működtetését, amely korlátozott számú logikai állapotot vagy módot tartalmaz, és ezek a rendszerek csupán saját üzemmódjukra emlékeznek, és ezáltal a találmány szerinti megoldás megbízható és biztos módot ad a különböző működési ciklusok meghatározására, amely megfelel a helyzetek olyan számának, amely az ismert irányítórendszerek számára hozzáférhetetlen, amelyek számára az egyetlen „előélet” csupán a széfdoboz zárását vagy nyitását jellemzi.
Egy széfdobozban belül levő irányítórendszer ezen különleges működése azáltal valósul meg, hogy korlátozott számú logikai állapotok közötti átmenetet valósít
HU 217 539 Β meg, és ezért „korlátozott módú gépek” működéséhez hasonlítható.
Egy készpénzkiadó automata, italadagoló gép vagy a szakember számára jól ismert egyéb formájú gép elnevezése szokásosan „szekvenciális logikai gép”. Egy kiadóautomata vagy gép esetében ismert dolog, hogy öt frank árú jegy esetében és ha csupán egy, kettő és öt frank értékű érméket fogad el a gép, akkor nincs más mód egy jegy kivételére, csupán oly módon, hogy „az automatát lépésenként át kell vezetni” néhány előre meghatározott logikai működési módon, amely a következő kimerítő lista részét képezik: „fizess öt frankot” (5. állapot), „fizess négy frankot” (4. állapot), „fizess három frankot” (3. állapot), „fizess két frankot” (2. állapot), „fizess egy frankot” (1. állapot), Jegy kiadása” (0. állapot). Az 5. állapotból a 0. állapotba való átmenet engedélyezett ciklusai például a következők:
- (5. Állapot „ötfrankos érme bevételezve” —> 0. állapot),
- (5. állapot —> „kétfrankos érme bevételezve” —> 3. állapot —> „kétfrankos érme bevételezve” —> 1. állapot —> „egyfrankos érme bevételezve” -> 0. állapot),
- (5. állapot -> „egyfrankos érme bevételezve” -> 4. állapot -> „egyfrankos érme bevételezve” -> 3. Állapot —»—> „egyfrankos érme bevételezve”—> 2. állapot -> „kétfrankos érme bevételezve” -» 0. állapot),
- (5. állapot —» „egyfrankos érme bevételezve” —> 4. állapot —> „kétfrankos érme bevételezve” —> 2. állapot —> „kétfrankos érme bevételezve” —> 0. állapot) stb.
Ebből a szempontból vizsgálva az az esemény, hogy „x frankos érme bevételezve” olyan meghatározott esemény, amely időtartamának megemlítését értelmetlennek vagy abszurdumnak tekinthetjük. Úgy is értelmezhetjük, hogy az a pillanat, amikor az adagoló egy adott „állapotban van”, akkor nem számít, hogy „emlékszik-e” arra a folyamatra, amelyen át ezt az állapotot elérte. így tehát az előző állapot emlékének megőrzése
- még ha egyébként lehetséges is - általában véve haszontalan.
Megjegyzendő, hogy a kiadott automatáknak tulajdonképpen kétfajta áramköre van (elektromos, elektronikus, mechanikus, optikai stb.):
- nyomtató, tároló és kiadagoló áramkörök, jegyek (italok vagy más egyéb tárgyak) kiadásához,
- az automatikus rendszereket működtető irányító áramkörök, például a fentiek szerint, amely irányító áramkörök általában véve elektronikus interface-ként vannak kialakítva.
A találmány szerinti megoldás széfdoboza és a kiadóautomaták közötti analógia meglehetősen pontos. Különösen abban a tekintetben, hogy a széfdoboznak is kétfajta áramköre van:
- fizikai védelemre szolgáló áramkörök és rendszerek (tartály, fiók, széfdoboz stb.), valamint támadás (robbanóanyaggal vagy más eszközzel) esetében az értékek esetleges megsemmisítésére,
- a belső irányításra szolgáló áramkörök, például elektronikus interface, beleértve egy szolgáltatási központtal vagy állomással folytatott kommunikációra alkalmas eszközöket.
A találmány szerinti védőelrendezés tervezésének szigorú megkötöttsége járulékos intelligenciát von magával, aminek következtében a széfdobozok és az elrendezés, mint egész, némelyest „logikailag védetté” válik.
Ezt a logikai védettséget az is jelzi, hogy a találmány szerinti megoldás egy másik jellemzője értelmében a széfdoboznak egyrészt helyhez kötöttnek tekintett állapotra jellemző módból mobil állapotra jellemző módba való átmenete, másrészt mobil állapotára jellemző módból helyhez kötött állapotára jellemző módba való átmenete által meghatározott szállítása során a széfdoboz belső irányítórendszerei teljesen autonóm jellegűek, vagyis felelősek a beléjük zárt értéktárgyak biztonságáért.
Következésképpen úgy értelmezendő, hogy egy széfdoboz az elrendezés más és szükségképpen a szállításon kívül eső résztvevőivel, például a széfdoboz belső irányítórendszerével érintkezésbe lépni képes autonóm eszközökkel osztozhat ezen a felelősségen.
Az elrendezés előnyösen úgy is kialakítható, hogy a széfdoboz belső irányítórendszere egyrészt helyhez kötöttnek tekinthető állapotából szállíthatónak tekintett állapotába, másrészt szállíthatónak tekintett állapotából helyhez kötött állapotába való átmenete által határolt szállítása közben autonóm működésre van kialakítva.
Az elrendezés előnyösen úgy is kialakítható, hogy a belső irányítórendszerek működési módjai közötti átmenetek megengedett jellegét ellenőrző és a széfdoboz belső irányítórendszerével kommunikációs kapcsolatba hozható egyetlen számítógépet tartalmaz, amely mind logikai, mind fizikai védelemmel ellátott, távolabb elhelyezett szolgáltatóközpontban van.
Az elrendezés előnyösen úgy is kialakítható, hogy egymás után egészben vagy részben a következő elemeket tartalmazza:
- a dokumentumok vagy értéktárgyak használója, akár küldője, címzettje, akár biztonsági őr;
- széfdoboz;
- a széfdoboz belső irányítórendszerével kommunikációs kapcsolatba hozható, és a belső irányítórendszer egyik módból másik működési módba való átmenetét kiváltó esemény megengedett jellegét ellenőrző számítógép;
- az elemeket egymáshoz kapcsoló egyetlen és állomásnak nevezett terminál, amely a többi elemmel együtt sugaras hálózatot képez, amelynek központjában az állomás van.
Az elrendezés előnyösen úgy is kialakítható, hogy az állomás a széfdoboz egyik működési módból egy másik módba való átmenetét kiváltó esemény megengedett jellegének ellenőrzésére alkalmatlan módon van kialakítva.
Az elrendezés előnyösen úgy is kialakítható, hogy az állomás az elrendezés következő elemeivel való kapcsolatba lépésre alkalmas kommunikációs eszközzel van ellátva :
- a széfdobozzal és a széfdoboznak egyik működési módjából másik módba való átmenetét okozó
HU 217 539 Β esemény megengedett jellegét ellenőrző belső irányítórendszerrel,
- egy széfdobozzal és a benne levő dokumentumok vagy értéktárgyak felhasználójával, aki lehet a küldő, egy címzett vagy egy biztonsági őr,
- a széfdobozban levő dokumentumok vagy értéktárgyak felhasználójával, aki akár a küldő, akár címzett vagy egy biztonsági őr és az az eszköz, amely a széfdobozban levő belső irányítórendszer egyik működési módjából egy másik módba való átváltását okozó esemény megengedett jellegét ellenőrző belső irányítórendszerével.
Az elrendezés előnyösen úgy is kialakítható, hogy egyrészt az elrendezés valamennyi eleme bármely más, a rendszerbe integrált kibocsátóelemtől kapott üzenetet elektronikusan hitelesítő eszközt tartalmaz, másrészt a hitelesítőeszköz az üzenet hitelesítésekor a helyes vételt az átviteli rendszerekkel együttműködve a küldő félnek visszaigazoló üzenet küldésére van kialakítva.
Az elrendezés előnyösen úgy is kialakítható, hogy a kapott üzenetet elektronikusan hitelesítő eszköz az üzenetet küldő elemnek magából az üzenet tartalmából, kizárólag az üzenetet küldő egyetlen elem és az üzenetet fogadni kívánt eleme által ismert kulcs felhasználásával működő algoritmussal kiszámított elektronikus aláírás ellenőrzése alapján történő hitelesítésére van kialakítva.
Előnyösen a rendszerbe korábban integrált összes résztvevő által hitelesítendő új résztvevő számára elegendő egyrészt az általa kiadott üzeneteket az új résztvevővel kommunikációs kapcsolatban levő egyik résztvevő hitelesítőeszköze hitelesíti, másrészt az új résztvevő hitelesítőeszköze hitelesítette vagy hitelesíti a vele kommunikációs kapcsolatban levő integrált résztvevő által küldött üzenetet.
Előnyösen egy széfdoboz és azon állomás, amelyhez a széfdoboz kapcsolódik, kölcsönös hitelesítése mindig megtörténik és megköveteli egyrészt a széfdoboz egyik működési állapotából egy másik állapotba való átváltását okozó esemény megengedett jellegét ellenőrző belső irányítórendszerével kommunikációs kapcsolatba lépni képes eszközével való megelőző kölcsönös hitelesítését, másrészt a széfdoboz és a rendszer megelőző kölcsönös hitelesítését, amely rendszer ekkor előnyösen memorizálja a résztvevők közötti összes műveletet, és a rendszer ezen konfigurációja alkalmas az állomáson és a széfdobozon belül memorizálandó hitelesítőkulcsok számának korlátozására.
A széfdobozban tárolt dokumentumok vagy értéktárgyak felhasználójának, akár a küldőnek, egy címzettnek vagy a biztonsági őrnek a hitelesítését előnyösen titkos kód felhasználásával hajtjuk végre, és a felhasználót hitelesítő résztvevő ezen titkos kódnak csak egy egyirányú függvénnyel transzformált változatát ismeri.
A széfdobozban tárolt dokumentumok vagy értéktárgyak felhasználójának, akár a küldőnek, egy címzettnek vagy egy biztonsági őrnek a hitelesítését előnyösen egy memóriakártya által előállított kódolt és hitelesített üzenettel hajtjuk végre, amely memóriakártya használata megköveteli a felhasználótól egy kód ismeretét.
A találmány szerinti elrendezést a mellékelt rajz és a nem korlátozó jellegű példakénti kivitel kapcsán ismertetjük részletesen. A rajzon:
az 1. ábra a találmány szerinti elrendezés hálózatának áttekintő szervezési diagramja, a 2. ábra a hitelesítések átvihetőségének tervét szemléltető diagram, a 3. ábra a találmány szerinti elrendezés különleges kiviteli alakját jellemző működési módok közötti lehetséges átmeneteket bemutató logikai folyamatábra.
Az 1. ábrának megfelelően a találmány szerinti elrendezés egy bank ezzel megbízott személye és a továbbiakban 2 küldőnek nevezett személye által 1 széfdobozba helyezett értéktárgyak őrzésére használható. Az 1 széfdoboz belső 6 irányítórendszerrel van ellátva. Az 1 széfdobozt 3 biztonsági őrnek el kell szállítania például a bank egy másik fiókjához.
A találmány egyik előnyös verziója értelmében az 1 széfdobozokkal kommunikálásra képes eszközt egyetlen 4 számítógép képezi.
Ez a 4 számítógép felügyelőként működik és irányítja az 1 széfdobozok logikai biztonságát, vagyis ellenőrzi azok belső 6 irányítórendszereinek bizonyos működési módokból más módokba való átmeneteinek megengedett jellegét.
Ezen meghatározott átmenetek során a találmány értelmében a védőelrendezés aktív elemeinek köre kiterjed vagy lecsökken az alábbi három meghatározott esetben:
a) szállítás alatt az értéktárgyakat csupán az azokat tároló 1 széfdoboz védi. Ebben az esetben az elrendezés csupán az 1 széfdobozt foglalja magában.
b) A szállítás végén az átadás időpontjában 1 széfdobozon kívül csupán egyetlenegy információforrás képes megszakítani azt a módot, amelybe a szállítás megkezdése előtt beállították és a széfdoboz csupán erre az egy állapotra emlékszik: és ekkor az elrendezést ki kell terjeszteni a külső információforrásra, vagyis a 4 számítógépre, amelyet még ezen kiterjesztés előtt az 1 széfdoboznak fel kell ismernie, mint megbízható és azonosított partnert.
c) Szállítás után az 1 széfdobozban levő értéktárgyak védelme még mindig teljes, mivel kinyitásukhoz az elrendezés aktív elemeinek körét egy második külső információforrásra - az értéktárgyak használójára (széles értelemben véve: a címzett vagy a 2 küldő, vagy a 3 biztonsági őr) - ki kell terjeszteni, akit mind az 1 széfdoboznak, mind a 4 számítógépnek úgy kell felismernie, mint megbízható és azonosított partnert.
Következésképpen háromfajtájú módja van az 1 széfdoboznak - és valóságban az egészében vett elrendezésnek és az 1 széfdoboz egyedül az, amelyik mindig része a védelmi elrendezés aktív elemeit magában foglaló körnek, mivel az 1 széfdoboz az az elem, amely végül is lehetővé teszi harmadik felek szerzési vágyának kikapcsolását attól függően, hogy mobilnak és zártnak tekinthető a fenti a) esettel, vagy helyhez kö5
HU 217 539 Β tött és zárt, mint a fenti b) esetben, vagy végül helyhez kötött és nyitott, mint a fenti c) esetben.
Ezen három mód közötti átmenetek döntik el az értéktárgyak védelmével kapcsolatos felelősség átadását attól függően, hogy be vannak-e zárva az 1 széfdobozba (kiszállítás előtt az értéktárgyakat a 2 küldő szabadon helyezi be az 1 széfdobozba és mindaddig, amíg az elrendezés vissza nem igazolja az átvételt, a 2 küldő viseli a felelősséget értük).
Ezért az 1 széfdoboz mozgathatósága, illetve mobilitása tisztán logikailag járul hozzá az elrendezéshez és ez túlterjed valóságos fizikai mozdíthatóságán. Az elrendezés ezen jelentős előnye jelenti azt a legváratlanabb következményt, ami az elrendezés fizikailag mobilis részének, vagyis az 1 széfdoboznak korlátozott módú gépként való szervezésének köszönhető.
Ezen túlmenően a találmány egyik váratlan gyakorlati hasznát az jelenti, hogy az elrendezést felügyelő egyetlen 4 számítógép korlátozza a biztonságos irányításhoz szükséges információ redundanciáját, vagyis azok lehetséges átvitelét. Ha egy második számítógép is létezne, akkor az egyik elhelyezhető lenne az 1 széfdoboz kiszállításának helyén, egy másik a megérkezés helyén, pontosan ugyanúgy, mint az FR A 2 594 169 leírásban ismertetett elrendezés esetében, és akkor ezt a második számítógépet megbízható módon az elrendezésbe kellene integrálni: és így a széfdoboz/első számítógép olyan elrendezéssé válna, amelynek értelmében az elrendezés: széfdoboz/első számitógép/második számítógép elemeket tartalmazna, és az 1 széfdobozba zárt értéktárgyak címzettjének megbízható integrációja ezen második számítógép által válna lehetővé. Azonban ezen második számítógép révén megvalósított integrációs lépés nem szükséges, mert ez sem nem egyszerűsíti az elrendezést (sőt ellenkezőleg), sem nem növeli a biztonságot, mivel az értéktárgyak címzettje közvetlenül integrálható az első számítógép segítségével.
Végül megjegyzendő, hogy az 1 széfdobozok teljesen függetlenek egymástól és a széfdoboz/számítógép/felhasználó minden egyes elrendezés különálló hálózatnak tekintendő, még akkor is, ha a felügyelő 4 számítógép minden egyes 1 széfdoboz számára egy és ugyanaz. így azt is érdemes megjegyezni, hogy az egyes 1 széfdobozok között nincs folyamatos körkörös dialógus, ami egy lényeges előnyt jelent az FR A 2 550 364 leírásban ismertetett elrendezéssel szemben.
A találmány értelmében csupán egyetlen sorozat meghatározott dialógus lehetséges. Ezen dialógusok alatt azonban a kicserélt üzenetek nem veszélyeztethetik az elrendezés biztonságát, és ezért van az, hogy a résztvevők között létesített kapcsolatok az elrendezés integrális részét képezik, és ezek esetleges meghibásodása az elrendezés elleni támadásnak minősül. Ezen kapcsolatoknak anyagi hordozója is lehet, és természeténél fogva könnyebben védhető, például páncélburkolattal. De mindezek ellenére a későbbiek alapján belátható, hogy a titkossággal kapcsolatos problémákra anélkül is megfelelő válasz adható, hogy ezt a fizikai védelmet alkalmazni kellene.
A találmány szerinti megoldás járulékos jellemzője értelmében és az 1. ábra szerint az elrendezés 1 széfdobozt, annak belső 6 irányítórendszerét, 4 számítógépet, 2 küldőt és 3 biztonsági őrt foglal magában, és ezek egyetlenegy terminálhoz, a továbbiakban 5 állomáshoz kapcsolódnak, és itt sugaras hálózatot alkotnak, amelynek központjában az 5 állomás van.
Ily módon egy első 5 állomás van az 1 széfdoboz elindulási helyén és egy másik 5 állomás van a megérkezés helyén. Az 5 állomások ezen többszörözése azonban nem befolyásolja az elrendezés titkosságát, mivel a találmány szerinti megoldás egyik igen lényeges jellemzője értelmében - az 5 állomások következésképpen csupán az elrendezés titkosságának megőrzése szempontjából eleve lényeges titkos információk továbbítására szolgáló pontot képeznek csupán. így tehát a találmány értelmében egy 5 állomás sohasem képezheti azt az eszközt, amely az 1 széfdobozban belül levő 6 irányítórendszer egyik működési módból egy másik működési módba való átmenetet kiváltó esemény megengedettségét vizsgálja.
A sugaras hálózat révén számos előny érhető el.
Különösen fontos, hogy egy sugaras hálózat két része közötti üzenetátadás nem halad át más részeken, mint például egy gyűrűs hálózat esetében, és ennélfogva állíthatjuk, hogy az ilyen típusú hálózat szerkezeténél fogva titkosságot eredményez.
Ezen túlmenően a párbeszéd lefolytatásának megvalósításához az elrendezés minden egyes elemének elektronikus interface-t kell tartalmaznia, amelyeknek néha bonyolult forgalmat kell irányítaniuk. A találmány értelmében az 5 állomás képes arra, hogy egymással összekapcsolja az elrendezés részeit, és ezáltal lehetővé teszi az interface-ek váratlan és gazdaságos egyszerűsítését és könnyítését.
így például az 1 széfdobozzal együtt nem szükséges pontos elektronikus rendszert megkövetelő bonyolult kommunikációs rendszernek az 1 széfdobozzal együttesen történő szállítására. Egyszerűnek kell maradnia továbbá egy felhasználónak (2 küldőnek vagy 3 biztonsági őrnek) az elrendezés egyéb részeivel való hozzákapcsolásának.
Az 5 állomás el van látva az erre a célra szolgáló összes bonyolult elektronikus interface-szel és a felhasználónak csupán elemi kapcsolatfelépítő dialógust kell lefolytatnia az 5 állomással.
Megjegyzendő a 4 számítógéppel kapcsolatban, hogy ez alkalmas több és bonyolult kapcsolat kezelésére és a találmány értelmében előnyös, hogyha egy olyan szolgáltatóközpontként van kiépítve, amely valamennyi 5 állomástól, valamennyi felhasználótól és valamennyi 1 széfdoboztól távolabb helyezkedik el, és ez lehetővé teszi egyidejűleg hatékony védelmüket lehetséges támadásokkal szemben, legyenek azok logikai vagy fizikai természetűek.
így a találmány szerinti elrendezés egyik járulékos jellemzője értelmében az elrendezés két része közötti kommunikációt egy olyan protokoll szerint kell megvalósítani, ami lehetővé teszi az üzenetet vevő résztvevő számára annak a résztvevőnek az azonosítását, illetve
HU 217 539 Β hitelesítését, aki ezt feltehetően küldte, és ez a hitelesítés esetlegesen társítható egy olyan üzenet küldésével, amely a vételt visszaigazolja a küldő fél felé. Ebből a célból az elrendezés valamennyi résztvevőjének a rendszerbe integrált és üzenetet kiadó résztvevőtől vett üzenetek hitelesítésére szolgáló számítógépes rendszere van, és egy üzenet hitelesítése esetében ezek a hitelesítőrendszerek felelősek az adóval való együttműködésért annak érdekében, hogy a vétel visszaigazolását megküldjék a küldő fél részére.
A találmány értelmében egyes hitelesítések szükség szerint mindkét irányban végrehajtandók, így például az 1 széfdoboznak meg kell győződnie arról, hogy a 4 számítógép nem egy klón, és kölcsönösen a 4 számítógépnek meg kell győződnie arról, hogy az 1 széfdoboz nem egy klón széfdoboz. Ezt a műveletet kölcsönös hitelesítésnek nevezzük. Hasonló módon az 1 széfdobozhoz kapcsolt 5 állomást is hitelesíteni kell, ami megakadályozza klónállomások létesítését.
Megjegyzendő, hogy ez benne foglalja az elrendezésnek a felhasználó (2 küldő vagy 3 biztonsági őr) általi hitelesítését, és ebben az esetben a felhasználónak csupán egyszerű hitelesítésére van szükség, amelyet vagy az 1 széfdoboz, a 4 számítógép és esetleges menet közben az 5 állomás végez el, amelyhez az 1 széfdoboz hozzá van kapcsolva (ez az 5 állomás semmi olyan eszközt nem tartalmaz, amely a felhasználót a rendszerbe integrálná). Ez csupán egy lehetőség és egy külön biztonsági intézkedés annak érdekében, hogy valamilyen illetéktelen felhasználó elutasítható legyen.
Az 1 széfdobozok korlátozott módú gépként való szervezéséből fakadó logikai szerkezete és az elrendezés különböző részei közötti kapcsolatok funkcionális és Fizikai architektúrája lehetővé teszi a résztvevők szigorúan irányított kölcsönös hitelesítését, és váratlan módon rugalmassá teszi az értéktárgyak védelmének kezelését akár az 1 széfdobozba vannak zárva, akár nem.
A gyakorlatban bármilyen körülmények között lehetőség van az értéktárgyak védelmi fázisának megszakítására anélkül, hogy újra kellene vizsgálni. Ezen megszakításhoz egy új, megbízható résztvevőt kell integrálni az elrendezésbe (aki információt ad a „körülményekről”, például a szállítmány útvonalának megváltoztatásáról), aki az egyik módról egy másik módra kapcsol, ami feltételezi a résztvevők kölcsönös hitelesítését, a „rendes” szállításban mutatkozó késedelmek, forgalmi dugók, meghibásodások esetéhez végül is található egy másik megoldás, szemben az 1 széfdobozban levő értéktárgyak tiszta és egyszerű megsemmisítésével.
Ezen hitelesítésre alkalmas hagyományos eszközök sokfélék és túlnyomórészt számítógépes jellegűek.
A találmány szerinti elrendezést biztonságossá tevő különböző elvekkel pontos analógiaként nevezhetők meg azok az elvek, amelyekkel memóriakártyák tehetők biztonságossá. A valóságban úgy tekinthetjük, hogy az 1 széfdoboz - amely mind logikailag, mind fizikailag védelemmel van ellátva - egy valóságos memóriakártya.
A kis 1 széfdoboz biztonságáért és a megvalósított műveletek biztonsága érdekében foganatosított intézkedések ennélfogva jól ismertek, és egyrészt arra irányulnak, hogy kiküszöböljék az elrendezés két integrális része, például egy széfdoboz és még egy másik elem között váltott üzenetek titkosságát, másrészt ezen üzenetek teljességét (tartalmuk szándékos vagy szándékolatlan megváltoztatásával) fenyegető veszélyt.
A titkosságot fenyegető veszély elhárítását eredményező első intézkedés tulajdonképpen az üzenetváltás kódolását jelenti, és erre a célra számos ismert rejtjelező művelet ismeretes.
A találmány szerinti megoldáshoz szimmetrikus típusú DES kódolási algoritmust használtunk (angol rövidítésből Data Encryption Standard), amelynek jellemzői szabványosítottak, és amelyekre vonatkozó részletes tudnivalókat például az FIPS PUB 46 (Federal Information Processing Standards Publication 46) tartalmaz. Ezen algoritmus esetében egy pár: 1 széfdoboz/4 számítógép : (például) egy K kulcsot birtokol. Ez a K kulcs az 1 széfdoboz memóriájában el van helyezve, és itt fizikai védelemmel van ellátva. Eközben a 4 számítógép a találmány előnyös kiviteli alakja értelmében megjegyzi az összes 1 széfdobozzal közös K kulcsokat.
Ez a változat 4 számítógépre nézve meglehetősen memóriaigényes és előnyös abból a szempontból, hogy valamennyi 1 széfdobozhoz csupán egyetlenegy kulcs tartozik, mivel előfordulhat, hogy támadás esetén a megtámadott 1 széfdoboz nem semmisíti meg teljes egészében a benne feljegyzett kulcsot, és ezáltal lehetővé teszi annak helyreállítását, és egy klón megvalósításával engedélyezetté válik a többi 1 széfdoboz tartalmának eltulajdonítása. Annak ellenére azonban, hogy a DES-algoritmus ismert, kizárólag a K kulcs ismerete teszi lehetővé ezen kulccsal kódolt üzenetek olvasását, és így a hitelesítés magában az üzenetben van benne, ami úgy tekinthető, hogy elegendő az elrendezés működtetéséhez. Mindazonáltal a közvetítővonal által az üzenet közben okozott interferencia nem mutatható ki, ezért ajánlatos kódolás előtt az üzenet hitelesítése.
Az üzenetek helyességét fenyegető veszélyek elhárítására szolgáló intézkedések lényege az üzenetek aláírásában van, és az aláírás az üzenettel egyidejűleg elküldésre kerül. Ennek a címzett általi azonosítása alkalmazható az üzenet és szerzőjének hitelesítésére. Megjegyzendő, hogy a találmány értelmében ezen aláírásnak semmi köze sincs e szimbolikus „jelhez”, az 1 széfdobozba zárt vagy be nem zárt értéktárgyak védelméhez társított felelősség átadása ez a „jelzés”, ugyanolyan üzenet, mint a többi, és átvitele nem szükségszerűen történik a hitelesítés során (például sosem kerül az 5 állomásra, amelyet azonban partnereinek vagy közvetlenül, vagy közvetetten hitelesíteniük kell). Az aláírás egy bizonyíték, és az üzenetek figyelembevétele csupán ezen bizonyíték azonosítása után lehetséges.
A találmány további járulékos jellemzője értelmében ez az aláírás vagy bizonyíték a művelet paraméterei alapján számítható ki, vagyis az üzenet tartalmából egy DES kódoló algoritmushoz hasonló algoritmus segítségével, ami azzal a jelentős előnnyel jár, hogy egyszerűsí7
HU 217 539 Β ti az elrendezés különböző részei között váltott üzenetek kidolgozását. A kódoló- és hitelesítőkulcsok egymástól eltérőek, és ez megnöveli a titkosítás biztonságát.
Ezen túlmenően ugyanezen elektronikus áramkörbe előnyösen integrálható egy DES-morzsa, az üzenetek kódolásának és hitelesítésének algoritmusa, és az a lehetőség, hogy az ilyen elektronikus áramkör minden egyes 1 széfdoboz belsejébe helyezhető. A DES-morzsa alkalmazása lehetővé teszi különösen valamennyi kulcsban való memorizálását, és támadás esetén egyszerű megsemmisítésüket. Járulékosan az 1 széfdoboz belső elektronikus 6 irányítórendszerét teljes egészében mikroprocesszor irányítja, és a DES-algoritmusnak a mikroprocesszor programozása útján való megvalósítása túl sok helyet foglalna el a memóriából.
Ezért a DES-morzsa egyszerre végzi az üzenet kódolását és az üzenet aláírásának kivitelezését.
Mindazonáltal meg kell jegyezni, hogy a kódolás nem egy elengedhetetlen művelet, mivel az üzenet tartalmának egy harmadik személy általi ismerete - ami például a szállítás módjainak és paramétereinek megváltoztatását foglalja magában - nem veszélyezteti az elrendezés biztonságát; csupán az üzenetek aláírása által adott hitelesítés és ezért a széfdoboz elektronikus 6 irányítórendszere nem játszható ki egy világos, de nem hitelesített, hamis üzenet segítségével. A kódolás csupán egy olyan elővigyázatossági intézkedés, amelynek célja, hogy meggyőzze a felhasználókat az elrendezés titkosságáról.
Ezenkívül azonban az elrendezés két része között titkos kódok is továbbíthatók, és ezért a kódolás szükségessé válik ezen kódok védelme érdekében.
Az 5 állomások ugyancsak DES-morzsával vannak ellátva, amelyek fizikai védelemmel rendelkeznek, és alkalmasak a 4 számítógéphez továbbított üzenetek kódolására és hitelesítésére. Megjegyzendő, hogy ezek a kulcsok eltérnek az 1 széfdobozok által használt kulcsoktól. Az 1 széfdobozból a 4 számítógéphez továbbított üzenet így tehát kétszeresen van kódolva és hitelesítve egyrészt az első széfdoboz első pár kulcsa által, másrészt az 5 állomás második pár kulcsa által.
A találmány előnyös kiviteli alakja értelmében szimmetrikus kódolóalgoritmust választunk, vagyis olyan algoritmust, amelyhez két fél ugyanazt a kulcsot használja. Ez az algoritmus tökéletesen alkalmas az 1 széfdoboz, az 5 állomás és a felügyelő 4 számítógép közötti műveletekhez, mivel minden nehézség nélkül elláthatók az erre a célra használható és kiképzett elektronikus áramkörökkel. Amint már említettük, a kódoláshoz használt kulcs eltérő az aláíráshoz alkalmazott kulcstól, de gyakorlatilag ugyanazon algoritmus szerint van megválasztva. Ez azt jelenti, hogy az összes többi fél hitelesítéséhez az elrendezés minden egyes részének osztoznia kell a többiekkel egyetlen pár kulcson. így különösen az 1 széfdoboznak alkalmasnak kell lennie azon 5 állomások mindegyikének hitelesítéséhez, amelyhez hozzákapcsolható, és minden egyes 5 állomásnak hitelesítenie kell tudnia minden egyes 1 széfdobozt, és ilyen körülmények között a megjegyzendő kulcsok száma igen nagy lesz, azonban a találmány előnyös kiviteli alakja esetében a hitelesítés indirekt módját választottuk, nevezetesen az 1 széfdobozok és az 5 állomások közötti hitelesítést.
A 2. ábrának megfelelően az indirekt hitelesítés átvitel útján lehetséges, vagyis ha két, A és B résztvevők egymást kölcsönösen hitelesítették, és ha az A résztvevő és C résztvevő egymást ugyancsak kölcsönösen hitelesítették, akkor a B és C résztvevők A résztvevőn keresztül egymást kölcsönösen hitelesítik, amely ezután a többi résztvevő számára egy megbízható felet képvisel, így tehát annak érdekében, hogy egy új B résztvevő a többi A és C résztvevő számára - akik már az elrendezés aktív elemeinek körébe vannak integrálva - hitelesítetté váljék, elegendő egyrészt az új B résztvevőnek az A és C résztvevők közül akár egynek megfelelő módszerrel való hitelesítése és a B résztvevő által kiadott üzenetek hitelesítése, másrészt ha az új B résztvevő a saját hitelesítő módszerével hitelesíti vagy hitelesítette a vele közvetlen kapcsolatban levő és az elrendezés aktív elemeinek körébe már beintegrált A résztvevő által kiadott üzenetet.
A találmány előnyös kiviteli alakja értelmében a felügyelő 4 számítógép játssza az A résztvevő szerepét, míg a B és C résztvevők szerepét az 1 széfdobozok, az 5 állomások és a használók játsszák. Csupán a 4 számítógép ismeri az összes kulcsot. Az összes többi résztvevőnek a 4 számítógéppel csupán egyetlen közös kulcsa van.
Ez a jelentős előny látszólagosan ellentétben van egy másik, nehéznek látszó problémával. A valóságban ahányszor az elrendezés két résztvevője egymással dialógust folytat, szükségessé válik ezen két résztvevő számára, hogy közvetlen kapcsolatot létesítsen a 4 számítógéppel oly módon, hogy először mindegyiküknek kölcsönösen hitelesíteniük kell egymást a 4 számítógéppel, és meg kell bizonyosodniuk arról, hogy a másik fél hitelesítése már megtörtént.
A 4 számítógép ebben az esetben szükségképpen a művelet közvetítőjévé válik, és váratlan módon képes arra, hogy feljegyezze az előtörténetet. Következésképpen a 4 számítógép az elrendezés gyanúsíthatatlan memóriájaként működik.
A találmány értelmében az elrendezés használóinak hitelesítése egy megjegyzendő önálló esetet képez.
Egy első változat esetében minden használónak van egy titkos kódja, ami lehetővé teszi a számukra, hogy hozzáféljenek az elrendezéshez. Ezt a kódot a felügyelő 4 számítógép ismeri, és időnként továbbítja ahhoz az 1 széfdobozhoz, amikor az olyan üzemmódban van, amikor ennek ismerete szükséges. Ez a kód az 5 állomás tudomására is hozható annak érdekében, hogy előzetes vizsgálat nélkül ne tegye hitelessé a kapcsolatot a felhasználó és a 4 számítógép között. Ennélfogva nyilvánvaló, hogy ez a kód a résztvevők között mozog. Mindazonáltal annak érdekében, hogy a hálózatra jogtalanul kapcsolódó harmadik személy ne tudja könnyen elolvasni, ez a kód is kódolható az 5 állomáson való áthaladás közben, amely kódolásra a találmány értelmében előnyösen alkalmazott algoritmus használható.
Egy másik módszer abban áll, hogy a kód védelmére egyoldalú f függvényt alkalmazunk. Az egyoldalú f függvény egy olyan függvény, amelynek az inverzét
HU 217 539 Β nehéz kiszámítani (például egy hatványfüggvény). Amennyiben a a kód, akkor csupán a b=f(a) függvényt egyedül csak az 5 állomás vagy az 1 széfdoboz ismeri. b ismerete nem elégséges a kiszámításához, és így az a kód védve van. Amennyiben a felhasználó beadja a c kódot, akkor az 5 állomás vagy az 1 széfdoboz kiszámítja a d = f(c) függvényt és összehasonlítja a d és b értékeket. Ha í/=ó, akkor c biztosan megegyezik a értékével. A találmány értelmében előnyösen alkalmazható egyoldalú függvényként az /=DES(x,ű), ahol x egy rögzített üzenet, és a jelenti a titkos kódot, miközben a „DES-morzsát” használjuk fel ismételten.
Az elrendezés használója egy másik változatban is hitelesíthető, és ez az eljárás igazodik a más résztvevők közötti hitelesítési módszerhez. A felhasználónak van egy memóriakártyája és egy rögzített kódja. A kód belső felismerése után a kártya egy Jelzést” állít elő, amely az elrendezésre kerül. Ezt a „jelzést” az egyébként másutt használt algoritmus kódolja és írja alá - az erre a célra alkalmazott DES-algoritmust a kártya mikroprocesszora valósítja meg. A titkosság és a teljesség tökéletes, mivel az egyes felek között keringő információ teljesen véletlenszerű és nem teszi lehetővé a kód vagy a hitelesítési kulcs kódolásának felismerését. így tehát az elrendezésbe való belépéshez elengedhetetlen mind a kártya, mind a kód birtoklása.
A továbbiakban a találmány szerinti elrendezés előnyös szervezését a 3. ábra kapcsán ismertetjük, különös tekintettel azokra a különböző logikai állapotokra vagy módokra, amelyek az 1 széfdobozt jellemezhetik. Ismertetjük továbbá ezen módok közötti átmeneteket attól a ponttól kezdve az 1 széfdoboz „történetét”, amikor az értéktárgyakat belehelyezik, attól kezdve, amikor a szállítást követően a címzett felnyitja.
A 3. ábrán a módokat kétbetűs kódokat tartalmazó ellipszis jellegű idomok jelzik, ahol is a két betű a mód nevét jelzi. Ezek a későbbiek során részletesen körülírt módok a következők:
- indulás (départ) kódja DP
- járda (trottoir) üzemmód, kódja: TR
- alap (socle) mód, kódja: SC
- Szállítójármű (camion) üzemmód, kódja: CM
- Depalarm mód, amelynek kódja: DA
- kapcsolási mód, kódja: CO
- Servouv mód, kódja: VO
- Selfouv mód, kódja: SO
- nyitás (Ouvert) mód, kódja: OV
- széfdoboz (Caisse) mód, kódja: CA
- széf (cofffe) mód, kódja: CF
- kifizetés (verse) mód, kódja: VE
- zárás (ferme) mód, kódja: FE
- bereteszelt (verrou) mód, kódja: VR
- elutasítás (refus) mód, kódja: RF.
Ugyanezen az ábrán a CS kódot tartalmazó idomok az 1 széfdoboz és a felügyelő 4 számítógép közötti kapcsolat létesítését jelentik.
Induljunk ki egy olyan esetből, mikor egy központi bankintézmény valamilyen távolságra levő bankfiókokhoz banki kártyákból, bankjegyekből és csekkekből álló értéktárgyakat kíván elküldeni.
Ekkor az értéktárgyak a központi bankfiók igazgatójának felelőssége alatt állnak. Itt helyi 5 állomás van elrendezve, amely a találmány szerinti védőelrendezés hálózatába tartozik. Ezen indulásinak tekintett 5 állomáshoz egy kis 1 széfdoboz (vagy több) van hozzákapcsolva, és amely nem szükségszerűen tartalmaz értéktárgyakat. Ebben a helyzetben az 1 széfdoboz számára három lehetséges mód van, nevezetesen a nyitott mód, a széfdoboz mód és a széf mód.
A nyitott módban az 1 széfdoboz nyitottnak tekintendő, de fizikai kinyitása az erre a célra szolgáló eszközöknek köszönhetően nem feltétlenül szükséges. Nyitható és csukható, mint egy egyszerű fiók, és a belehelyezett értéktárgyak védelme nem létezik. Sem az 1 széfdoboz, sem a 4 számítógép, sem az indulási 5 állomás ezért nem tartozik semmiféle felelősséggel.
A széfdoboz mód egy „helyi” mód, vagyis a nyitott módból ebbe a módba való átmenet a 4 számítógép bármiféle közbelépése nélkül is lehetséges. Ebben a módban a bank igazgatója az értékpapírokat az 1 széfdobozba helyezi. Az 1 széfdobozt ezután becsukják, és ezután már csak a bank igazgatójának hitelesítése alapján lehetséges, vagyis például egy titkos a kód alkalmazásával, amelynek az 1 széfdoboz és az indulási állomás csupán egy egyoldalú függvénnyel, például a DES (χ a) függvénnyel transzformált változatát ismeri, és megjegyzendő, hogy a rögzített x üzenet az 1 széfdoboz és az állomás számára különböző. Ez azt jelenti, hogy az értéktárgyak védelmének felelőssége a széfdoboz üzemmódban ezért megoszlik a bank vezetője és az 1 széfdoboz között (megjegyzendő az indulási állomás, amely a hálózat közönséges továbbítási pontja sohasem visel felelősséget). Megjegyzendő továbbá, hogy a nyitott módból a széfdoboz üzemmódba terjeszti ki első alkalommal az elrendezést: a korábban a bankigazgatót tartalmazó elrendezés olyan elrendezéssé változik, amely a bankigazgató/doboz elemeket tartalmazza.
A széf mód egy „általános” mód, vagyis a nyitott módból ebbe a módba való átmenet csupán távolabb elhelyezett felügyelő 4 számítógép hitelesítése alapján lehetséges. Ebben a módban a bankigazgató rábízza az elrendezésre az értéktárgyakat, és ezzel áthárítja azok védelmének teljes felelősségét. Az értéktárgyaknak az 1 széfdobozba való behelyezése és lezárása után kiadja az indulási állomás által hitelesített saját kódját, és informálja az elrendezést arról, hogy az 1 széf dobozt széf üzemmódban kívánja használni. Az indulási állomás kapcsolatot létesít a 4 számítógéppel egy kölcsönös hitelesítési protokoll alapján. A 4 számítógép ekkor hitelesíti az igazgatót. Annak az 1 széfdoboznak, amelybe bele kívánja helyezni az értéktárgyakat, megfelelő állapotban kell lennie, és nem lehet egy klón széfdoboz. Ezért annak önmagában véve képesnek kell lennie a 4 számítógéppel való kölcsönös hitelesítésre az indulási állomás közvetítésével, amely a 4 számítógép megbízható partnere, de közvetlenül nem alkalmas az 1 széfdoboz hitelesítésére a fenti okok miatt. Valamennyi hitelesítés kivitelezhető közvetlen vagy közvetett módon, és az elrendezés a 4 számítógépen át egyrészt elfogadja a bankigazgató által átruházott felelősséget, másrészt az
HU 217 539 Β széfdobozt széf üzemmódba váltja át. A nyitott módból a széf módba való átmenet során az elrendezés először a bankigazgatót foglalta magában, és az átmenet után az elrendezés elemei a széfdoboz/számítógép. Ez az átmenet lépésenként történik, a bankigazgatóra háruló felelősség a 4 számítógép végső jóváhagyása után miközben egymás után kiterjed és beszűkül az elrendezés.
A széf módból a nyitott módba való átmenet hasonló módon történik, vagyis a 4 számítógép felelőssége mindaddig fennmarad az értéktárgyak védelme vonatkozásában, amíg valamennyi résztvevő teljes egészében nincs hitelesítve. Ebben az esetben az elrendezés aktív elemeinek köre széfdoboz/számítógép, amely átváltozik box/számítógép/állomás összetételre, majd ezután az elrendezés aktív elemeinek köre széfdoboz/számítógép/állomás/bankigazgató elemeket tartalmazza, és végül úgy változik, hogy az elrendezés aktív elemeinek köre a bankigazgatót tartalmazza, miközben a felelősség a nyitott módhoz tartozó módon változik.
A nyitott módból a széfdoboz vagy széf módba való átmenet időprogramtól is függhet, amelyet a 4 számítógép továbbít az 1 széfdobozra a bankfiókhoz való megérkezéskor. Egy ilyen időprogramozás történhet hetenként, és névlegesen megelőzi az 1 széfdoboz kinyitását bizonyos, előre rögzített időszakokon kívül. A találmány egy be nem mutatott változata értelmében a széfdoboz mód és a széf mód egyetlen móddá vonható össze, amely például tárolási módnak nevezhető, és amelyhez két nyitási lehetőség - széfdoboz vagy széf - társítható, és ezen lehetőségek közötti választás egy olyan időprogrammal valósítható meg, amelyet a 4 számítógép egy megadott időben továbbít az 1 széfdobozhoz.
A széfdoboz vagy széf módból kiindulva a bankigazgató kérheti értéktárgyak beküldését a bankhoz. Ennek megvalósítására szolgál a fizetés mód, amely hasonló a nyitott módhoz, de amelyet nem követhet sem széfdoboz, sem széf mód. A fizetés mód megköveteli az 1 széfdobozba helyezett értéktárgyak szállítását. A széfdoboz módból vagy a széf módból a fizetés módba való átmenet hasonló módon valósítható meg, mint ezen módoknak a nyitott módba való átmenete, vagyis a bankigazgató kódjának előzetes hitelesítése után kezdeményezhetők.
Fizetés módban az 1 széfdoboz bezárása után a széfdoboz automatikusan zárt módba kerül, amelyben a 4 számítógéphez való csatlakoztatás nélkül nem nyithatók ki. A fizetés módból a zárt módba való átmenet azt jelenti, hogy a széfdoboz képviseli az elrendezés aktív elemeinek körét, és átmenetileg elfogadja a felelősség átruházását. Ez a mód azonban átmeneti, mivel egy kapcsolat azonnal létrejön az indulási állomáson át a 4 számítógéppel, annak érdekében, hogy hozzájáruljon a fizetéshez. Elutasítás esetében (ami akkor történhet például, ha az érkezési állomás már nem létezik vagy továbbá nem létezik, vagy ha az 1 széfdoboz a továbbiakban nincs alkalmas állapotban) és az 1 széfdoboz visszautasítás módba kerül és ezután a nyitott módba, és az értéktárgyak elküldési folyamata törlődik. Ha a számítógép hozzájárul és elfogadja, a kölcsönös és elengedhetetlen hitelesítés után zárt módból reteszelt módba kerül a széfdoboz/számítógép rendszer, és ez a rendszer felelős az értéktárgyakért.
A reteszelt módban az 1 széfdoboz kötelezően az érkezési állomásra szállítandó annak érdekében, hogy ki lehessen nyitni (hacsak a 4 számítógép más utasítást nem ad). Az elrendezés ezután vár az 1 széfdobozt szállító 3 biztonsági őrre, akit megérkezéskor az azonosítási kódja hitelesít, és amely kódnak egyirányú függvénnyel transzformált változatát ismeri az elrendezés. Létrejön a kapcsolat a 4 számítógéppel és egyedül a 4 számítógép ismeri ezt a kódot, valamint a hozzá tartozó egyirányú függvényt (nincs szükség arra, hogy az 1 széfdoboz vagy az állomás ismerje ezt a függvényt). Megjegyzendő, hogy a reteszelt állapot hosszú ideig állhat fenn. A 4 számítógép az állomástól megkapott szállítási paramétereket még nem továbbította az 1 széfdobozhoz. Ezen paraméterek egyike, különösen a szállítás tervezett időtartama - megfelelően az FR 2 550 364 szabadalmi leírásban ismertetett megoldásnak - és az utazás időtartamát időben korlátozó utasítás ahhoz vezet, hogy ezen időtartam meghaladása esetén az 1 széfdoboz megsemmisül.
A 3 biztonsági őr hitelesítése után a 4 számítógép felhatalmazást ad az 1 széfdoboz felemelésére, amely ezután indulás módba kerül. A reteszelt módból az ebbe a módba való átmenet a széfdoboz/számítógép elrendezés felelősségének átadását jelenti a széfdobozt magában foglaló elrendezésnek, vagyis az 1 széfdoboz valósítja meg a szállítandó értéktárgyak teljes védelmét. Ezért kell kiadni a szállítási időtartamra vonatkozó utasítást azonnal, amint ebbe a módba kerül, ami után az 1 széfdoboz szállíthatónak tekintendő, függetlenül attól, hogy elmozdították-e alapjáról vagy sem. Abban az esetben, ha a szállítás tervezett időtartama eltelt, a széfdoboz önmagát megtámadottnak tekinti, és a megfelelő eszközökkel megsemmisíti tartalmát.
A fizikai eltávolítás után az 1 széfdoboz kilép az indulás módból, és járda módra vált. Ez megfelel annak a távolságnak, amelyet a biztonsági őr gyalog tesz meg az 1 széfdoboz szállításakor az indulási állomás és a jármű vagy egy másik állomás között (abban az esetben, hogyha a szállítás teljes egészében gyalog történik). Ezt a módot az erre a célra szánt időtartam korlátozza, aminek célja, hogy csökkentse a mozgás útvonalának eltérítéséből származó kockázatot, és ha az útvonal tervezett időtartama eltelik, az 1 széfdoboz megsemmisíti saját tartalmát.
A bank vezető fiókjából egy másik fiókba irányuló szállítást általában véve egy jármű bonyolítja le. Ezen jármű belsejében egy fedélzeti számítógép van elrendezve, amely a szállítandó 1 széfdobozok irányítását lehetővé tevő elektronikus 6 irányítórendszert irányítja. Egy járda módban levő 1 széfdoboz fizikai csatlakoztatása ehhez az elektronikus 6 irányítórendszerhez ezen módból alap módba való átmenetet von magával. Az 1 széfdoboz fizikai befogadására alkalmas foglalat ugyanolyan kialakítású, mint az állomáson, és ezért az 1 széfdoboz azonosítóüzenetet küld az elektronikus 6 irányítórendszernek:
HU 217 539 Β
- ha állomást ismer fel, akkor azonnal kapcsolatfelépítést kér a felügyelő 4 számítógép irányába, vagyis kapcsolás módba megy át,
- ha megfelelő jármű elektronikus rendszerét ismeri fel, akkor jármű üzemmódba kapcsol át,
- ha sem egyiket, sem másikat nem ismeri fel, akkor Depalarm módba megy át.
Depalarm módban az 1 széfdoboz váratlan fizikai helyzetbe kerül, és ki kell venni a foglalatból. Ha nem, akkor egy előírt időtartam után (például 30 másodperc elteltével) a gyalogos út időtartamának számítása elölről kezdődik. Mindazonáltal a Depalarm módból a járda módba való logikai átmenet előtt várja a csatlakoztatás bontását, és ily módon a járda üzemmód mindig megegyezik az 1 széfdoboz fizikai bontásával, vagyis kiemelésével.
A jármű mód megegyezik a szállítás logikai követési sorrendjével. Ebben a módban az 1 széfdoboz nem bontható előzetes információ adása nélkül, és tartalmát egy bizonyos időtartam (például 10 másodperc) eltelte után megsemmisíti, ha nem csatlakoztatják ismét. Ha a jármű megérkezik a bankfiókhoz, akkor a 3 biztonsági őr ismételten hitelesítteti magát az 1 széfdobozzal a felületi számítógépen át - a 3 biztonsági őr kódját előzőleg provizórikusán a felügyelő 4 számítógép továbbítja az 1 széfdobozhoz a reteszelt módból az indulás módba való átmenet során. Ha az 1 széfdoboz elfogadja a 3 biztonsági őr kódját, akkor átmegy indulás módba (ahonnét alap módba és végül kapcsolás módba térhet át).
Fontos megjegyezni, hogy a módok szervezése lehetővé teszi az induló jármű balesete esetében a közbeavatkozást. Ilyen esetben elegendő egy olyan járművet küldeni a baleset helyszínére, amely az 1 széfdoboz által ismert felismerési kódot hordozza, és ezzel jogosítottá válik az 1 széfdoboznak a balesetet szenvedett járműről való eltávolítására a 3 biztonsági őr kódjával együttesen, és az új járműhöz csatlakoztatható az 1 széfdoboz, amihez a 4 számítógép a reteszelt módból az indulás módba való átmenet során elküldi a két jármű regisztrálási számait. Ily módon lehetővé válik az indulástól kezdve a célállomásra való megérkezésig néhányszor az alap a jármű és az indulás módok közötti átkapcsolásra, és csupán az időre vonatkozó utasításokat kell betartani.
Az alap módból a kapcsolás módba való átmenet akkor történik meg, amikor az 1 széfdoboz felismeri, hogy egy állomáshoz csatlakoztatták. Ekkor azonnal kapcsolást kér a felügyelő 4 számítógép felé, amely megköveteli az állomásnak és ennek a 4 számítógépnek a kölcsönös hitelesítését. Ha ez a kölcsönös hitelesítés lehetséges, akkor ebből megtudhatjuk, hogy ez az állomás nem klón. A 4 számítógép és az 5 állomás ekkor egymást kölcsönösen hitelesíti. Amennyiben az 1 széfdoboz nem a megfelelő állomáshoz kapcsolódik, akkor a kapcsolás módból áttér a Depalarm módba. Ha az állomás megegyezik a tervezett célállomással, akkor az elrendezés széfdobozt magában foglaló aktív elemeinek köre átalakul egy széfdobozt/számítógépet/érkezési állomást tartalmazó körré, és a kapcsolás módból átkapcsolhat Selfouv vagy Servouv módba.
Ezen két mód között a felügyelő 4 számítógép választ akkor, amikor kölcsönösen hitelesítik egymást az 1 széfdobozzal. Ezek a módok elvileg hasonlóak a széfdoboz módhoz és a széf módhoz, de mindig a korábban ismertetett nyitott módban végződnek, amelynek során az 1 széfdoboz kinyitottnak tekintendő. Selfouv módban csupán az 1 széfdoboz hitelesíti a fiók igazgatójának kódját a nyitáshoz. Servouv módban ezen kódnak az 1 széfdoboz általi hitelesítése után a széfdoboz kapcsolatfelépítést kér a 4 számítógép felé, amely válaszképpen végrehajtja a megkövetelt hitelesítéseket.
Nyitott módban az értéktárgyak kiüríthetők az 1 széfdobozból, és védelmük felelőssége a továbbiakban átszáll a bankfiók vezetőjére.
Ezután az 1 széfdoboz ismételten felhasználható vagy széfdobozként, vagy széfként, vagy a fentiekben ismertetett folyamatoknak megfelelő másik szállításra.
Az elrendezés ezen előnyös szervezésére számos változat dolgozható ki a találmány keretén belül, és tetszőleges sorrendben háromféle lehetséges mód kombinálható. Az egyetlenegy, figyelembe veendő feltétel ennek végrehajtásához abban jelölhető meg, hogy figyelemmel kell kísérni az elrendezés aktív elemeit magába foglaló kör kiterjesztésekor vagy leszűkítésekor végrehajtott hitelesítési folyamatokat, vagyis az értéktárgyak védelméhez rendelt felelősség átruházása során.
Az is megjegyzendő továbbá, hogy mind az elrendezés különböző részei között váltott üzenetek kódolására használt algoritmus alkalmazása megköveteli megbízható és kis hibaarányú kapcsolási megoldások megvalósítását.
Ez nem feltétlenül valósul meg, mivel a felépítendő infrastruktúra nyilvánvalóan költséges lenne, különös tekintettel olyan bankok és bankfiókok esetében, ahol az 5 állomásba integrálva a felügyelő 4 számítógéphez kapcsolódó telekommunikációs eszközök vannak, nevezetesen költséges modemek, alacsony hibaarányú speciális összeköttetések stb. Ezzel szemben ezek a fiókok általában véve csak rendes telefonvonalakkal rendelkeznek, amelyeknek nagy a hibaaránya. Átlagban minden tízezer leadott bináris információból egy hamis.
Következésképpen a protokoll úgy van összeállítva, hogy kijavítsa az elrendezés terminálja vagy 5 állomása és a felügyelő 4 számítógép közötti átvitel hibáit. Ez a protokoll a küldendő üzeneteket blokkokra bontja, amelyek néhánytól néhány tíz bite-ot foglalnak magukba. Ha egy blokk továbbítása hibás, akkor csupán ezt a blokkot kell újból leadni, ami által elkerülhető az igen hosszú (tipikusan mintegy háromszáz bité hosszúságú) üzenet teljes egészének megismétlése. A blokk integritását a blokk tartalma alapján kialakított aláírás és lényegében a blokk hosszúságára vonatkozó információt tartalmazó fejléc ellenőrzi. Ezen nem titkos aláírás számítási algoritmusa előnyösen ugyanaz, mint amit az üzenetek hitelesítésére és kódolására használunk. Ily módon ismételten felhasználható a „DES-morzsa” és ezáltal nem kell beírni és tárolni különösen az állomásban egy új algoritmust.
HU 217 539 Β
A küldés során feldarabolt üzenet helyreállítása után és abban az esetben, ha a küldő a felügyelő 4 számítógép, akkor az 5 állomás hitelesíti és saját kulcsával dekódolja (az állomásban elhelyezett „DES-morzsa” felhasználásával) ezt az üzenetet. Ezt utána továbbítja az 1 széfdoboznak, amelynek a regisztrációs száma használható annak azonosítására, és amely világosan megjelenik a neki küldött üzenet részeként. Az 1 széfdoboz az erre a célra beépített „DES-morzsa” felhasználásával és saját kulcsával hitelesíti és dekódolja ezt az üzenetet. Ezután a vételt visszaigazolja a 4 számítógépnek, amely célra egy kódolt üzenetet állít össze, amelyet ugyanezen kulcsokkal hitelesít, és ezt az üzenetet az 1 széfdoboz regisztrációs számával kiegészítve továbbítja a 4 számítógéphez, amelyet továbbá az 5 állomás saját kulcsaival kódol és hitelesít. A 4 számítógép ugyanezen protokoll szerint visszaigazolást küld az 1 széfdoboznak, amely esetlegesen módot válthat, de kizárólag csak ezen visszaigazolás vétele után.
Ez az ismertetett telekommunikációs protokoll természetesen nem csupán a fent ismertetett előnyös megvalósításra korlátozódik, és például funkcionális architektúrájú elvet is alkalmazhatunk, amely jól ismeretes nyitott rendszerek összekapcsolási modelljei esetében (OSI réteg modell), vagy ezen modell közvetlen származékai esetében.
A találmány szerinti megoldás különösen dokumentumok vagy értékes tárgyak, különösen olyan tárgyak, mint bankjegyek, csekkek vagy banki kártyák vagy veszélyes drogok (narkotikumok), vagy tekintélyes hozzáadott értékű értéktárgyak védelmére alkalmas. Ez a védelem megvalósul mind a bankon (gyógyszertáron vagy más létesítményen) belül, valamint a bank és egy másik fiók közötti szállítás során. A találmány alkalmazását nem korlátozza sem a védendő dokumentumok vagy értéktárgyak mérete, sem súlya és a megadott nem korlátozó jellegű példa alapján a szakember a mindenkori kívánalmaknak megfelelő változatot ki tudja dolgozni.

Claims (9)

  1. SZABADALMI IGÉNYPONTOK
    1. Elrendezés dokumentumok vagy értéktárgyak, különösen bankjegyek, csekkek és banki kártyák védelmére, amelynek a dokumentumok vagy értéktárgyak befogadására kiképzett, fizikai védelemmel ellátott és széfdoboznak nevezett zárható tartálya van, amely támadás esetén az értéktárgyakat megsemmisítő megfelelő eszközzel van ellátva, azzal jellemezve, hogy a széfdoboz (1) korlátozott számú, módnak nevezett logikai állapotot tartalmazó működési ciklusba hozható, „korlátozott módú gép” jellegűen működő, meghatározott esemény hatására első módból egy második módba átmenő, és az átmenettel egyidejűleg a megelőző módra vonatkozó memóriainformációt elvesztő belső irányítórendszert (6) tartalmaz, amelyhez kommunikációs kapcsolaton át a meghatározott esemény megengedett jellegét egyidejűleg vagy megelőzőleg igazoló autonóm számítógép (4) kapcsolódik.
  2. 2. Az 1. igénypont szerinti elrendezés, azzal jellemezve, hogy a széfdoboz (1) belső irányítórendszere (6) egyrészt helyhez kötöttnek tekinthető állapotából szállíthatónak tekintett állapotába, másrészt szállíthatónak tekintett állapotából helyhez kötött állapotába való átmenete által határolt szállítása közben autonóm működésre van kialakítva.
  3. 3. Az 1. vagy 2. igénypont szerinti elrendezés, azzal jellemezve, hogy a belső irányítórendszerek (6) működési módjai közötti átmenetek megengedett jellegét ellenőrző és a széfdoboz (1) belső irányítórendszerével (6) kommunikációs kapcsolatba hozható egyetlen számítógépet (4) tartalmaz, amely mind logikai, mind fizikai védelemmel ellátott, távolabb elhelyezett szolgáltatóközpontban van.
  4. 4. Az 1-3. igénypontok bármelyike szerinti elrendezés, azzal jellemezve, hogy egymás után egészben vagy részben a következő elemeket tartalmazza:
    - a dokumentumok vagy értéktárgyak használója, akár küldője (2), címzettje, akár biztonsági őr (3);
    - széfdoboz (1);
    - a széfdoboz (1) belső irányítórendszerével (6) kommunikációs kapcsolatba hozható, és a belső irányítórendszer (6) egyik módból másik működési módba való átmenetét kiváltó esemény megengedett jellegét ellenőrző számítógép (4);
    - az elemeket egymáshoz kapcsoló egyetlen és állomásnak (5) nevezett terminál, amely a többi elemmel együtt sugaras hálózatot képez, amelynek központjában az állomás (5) van.
  5. 5. A 4. igénypont szerinti elrendezés, azzal jellemezve, hogy az állomás (5) a széfdoboz (1) egyik működési módból egy másik módba való átmenetét kiváltó esemény megengedett jellegének ellenőrzésére alkalmatlan módon van kialakítva.
  6. 6. A 4. vagy 5. igénypont szerinti elrendezés, azzal jellemezve, hogy az állomás (5) az elrendezés következő elemeivel való kapcsolatba lépésre alkalmas kommunikációs eszközzel van ellátva:
    - a széfdobozzal (1) és a széfdoboznak (1) egyik működési módjából másik módba való átmenetét okozó esemény megengedett jellegét ellenőrző belső irányítórendszerrel (6),
    - egy széfdobozzal (1) és a benne levő dokumentumok vagy értéktárgyak felhasználójával, aki lehet a küldő (2), egy címzett vagy egy biztonsági őr (3),
    - a széfdobozban (1) lévő dokumentumok vagy értéktárgyak felhasználójával, aki akár a küldő (2), akár címzett vagy egy biztonsági őr (3) és az az eszköz, amely a széfdobozban (1) levő belső irányítórendszer (6) egyik működési módjából egy másik módba való átváltását okozó esemény megengedett jellegét ellenőrző belső irányítórendszerével (6).
  7. 7. Az 1-6. igénypontok bármelyike szerinti elrendezés, azzal jellemezve, hogy egyrészt az elrendezés valamennyi eleme bármely más, a rendszerbe integrált kibocsátóelemtől kapott üzenetet elektronikusan hitele12
    HU 217 539 Β sítő eszközt tartalmaz, másrészt a hitelesítőeszköz az üzenet hitelesítésekor a helyes vételt az átviteli rendszerekkel együttműködve a küldő félnek visszaigazoló üzenet küldésére van kialakítva.
  8. 8. A 7. igénypont szerinti elrendezés, azzal jellemezve, hogy a kapott üzenetet elektronikusan hitelesítő eszköz az üzenetet küldő elemnek magából az üzenet tartalmából, kizárólag az üzenetet küldő egyetlen elem és az üzenetet fogadni kívánt eleme által ismert kulcs felhasználásával működő algoritmussal kiszámított elektronikus aláírás ellenőrzése alapján történő hitelesítésére van kialakítva.
  9. 9. A 8. igénypont szerinti elrendezés, azzal jellegi mezve, hogy az elrendezés bármely két eleme között kizárólag e két elem által ismert kulccsal működő algoritmussal kódolt kapcsolat van, és az algoritmus az üzenet hitelesítésére alkalmas aláírást létrehozó algoritmus változata.
HU9200168A 1989-07-17 1990-07-17 Elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy tárgyak védelmére HU217539B (hu)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8909579A FR2649748B1 (fr) 1989-07-17 1989-07-17 Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint

Publications (3)

Publication Number Publication Date
HU9200168D0 HU9200168D0 (en) 1992-09-28
HUT62063A HUT62063A (en) 1993-03-29
HU217539B true HU217539B (hu) 2000-02-28

Family

ID=9383836

Family Applications (1)

Application Number Title Priority Date Filing Date
HU9200168A HU217539B (hu) 1989-07-17 1990-07-17 Elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy tárgyak védelmére

Country Status (20)

Country Link
US (1) US5315656A (hu)
EP (1) EP0409725B1 (hu)
JP (1) JPH05506700A (hu)
AT (1) ATE105367T1 (hu)
AU (1) AU648510B2 (hu)
CA (1) CA2064204C (hu)
DD (1) DD296732A5 (hu)
DE (1) DE69008634T2 (hu)
DK (1) DK0409725T3 (hu)
ES (1) ES2056406T3 (hu)
FI (1) FI93761C (hu)
FR (1) FR2649748B1 (hu)
HU (1) HU217539B (hu)
MA (1) MA21906A1 (hu)
NO (1) NO302259B1 (hu)
OA (1) OA09531A (hu)
RO (1) RO108889B1 (hu)
RU (1) RU2078894C1 (hu)
WO (1) WO1991001428A1 (hu)
ZA (1) ZA905546B (hu)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2706058B1 (fr) * 1993-06-02 1995-08-11 Schlumberger Ind Sa Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte.
EP0792044B1 (en) * 1996-02-23 2001-05-02 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources according to the Challenge-Response principle
FR2751111B1 (fr) * 1996-07-10 1998-10-09 Axytrans Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable
JP3541607B2 (ja) * 1997-03-11 2004-07-14 株式会社日立製作所 電子マネー取引装置
JP2000113085A (ja) * 1998-10-08 2000-04-21 Sony Corp 電子現金システム
US6275151B1 (en) * 2000-01-11 2001-08-14 Lucent Technologies Inc. Cognitive intelligence carrying case
US20010054025A1 (en) * 2000-06-19 2001-12-20 Adams William M. Method of securely delivering a package
EP1325674A1 (en) * 2000-09-26 2003-07-09 SAGEM Denmark A/S A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box
DE10123383A1 (de) 2001-05-14 2003-01-16 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zum Öffnen und Schließen einer Kassette
US20050155876A1 (en) * 2003-12-15 2005-07-21 Tamar Shay Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member
KR100527169B1 (ko) * 2003-12-31 2005-11-09 엘지엔시스(주) 매체자동지급기의 매체카세트 개폐장치
FR2869939B1 (fr) * 2004-05-06 2006-06-23 Axytrans Sa Systeme securise pour le transport ou la conservation de valeurs telles que des billets de banque
US7757301B2 (en) * 2004-12-21 2010-07-13 Seagate Technology Llc Security hardened disc drive
EP1843000B1 (de) * 2006-04-03 2018-10-31 Peter Villiger Sicherheitssystem mit ad-hoc Vernetzung einzelner Komponenten
DE102007022460A1 (de) 2007-05-09 2008-11-13 Horatio Gmbh Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen
DE102008045607A1 (de) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein
US8836509B2 (en) * 2009-04-09 2014-09-16 Direct Payment Solutions Limited Security device
US10007811B2 (en) 2015-02-25 2018-06-26 Private Machines Inc. Anti-tamper system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
SE417023B (sv) * 1979-11-29 1981-02-16 Leif Lundblad Anleggning for seker och ekonomiskt optimal hantering av verdedokument inom en penninginrettning
FR2550364B1 (fr) * 1983-08-05 1986-03-21 Kompex Systeme de securite de transport de fonds ou d'effets bancaires
DE3400526A1 (de) * 1984-01-10 1985-10-24 Peter 7212 Deißlingen Pfeffer Einrichtung zum ueberwachen von geldscheinbuendeln
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
FR2574845B1 (fr) * 1984-12-14 1987-07-31 Axytel Sarl Procede de marquage et/ou de destruction notamment de documents de valeur et dispositif de mise en oeuvre
GB2182467B (en) * 1985-10-30 1989-10-18 Ncr Co Security device for stored sensitive data
FR2594169B1 (fr) * 1986-02-11 1990-02-23 Axytel Sa Systeme de protection de produits de valeur notamment de fonds et/ou de produits bancaires.
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
NL8700165A (nl) * 1987-01-23 1988-08-16 Seculock B V I O Cheques- en creditcards-opberginrichting met ingebouwd vernietigingssysteem.
FR2615987B1 (fr) * 1987-05-27 1994-04-01 Axytel Dispositif de controle de l'integrite d'une paroi quelconque, metallique ou non, destine a declencher automatiquement une intervention en cas d'agression commise a l'encontre de cette paroi
SE455653B (sv) * 1987-08-11 1988-07-25 Inter Innovation Ab Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning
JP2609473B2 (ja) * 1989-10-23 1997-05-14 シャープ株式会社 通信装置
EP0527725A1 (en) * 1990-05-11 1993-02-24 Gte Sylvania N.V. Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof

Also Published As

Publication number Publication date
NO920194D0 (no) 1992-01-15
ZA905546B (en) 1991-04-24
ES2056406T3 (es) 1994-10-01
CA2064204A1 (fr) 1991-01-18
HUT62063A (en) 1993-03-29
WO1991001428A1 (fr) 1991-02-07
DD296732A5 (de) 1991-12-12
OA09531A (fr) 1992-11-15
ATE105367T1 (de) 1994-05-15
AU648510B2 (en) 1994-04-28
HU9200168D0 (en) 1992-09-28
EP0409725B1 (fr) 1994-05-04
EP0409725A1 (fr) 1991-01-23
JPH05506700A (ja) 1993-09-30
FI93761B (fi) 1995-02-15
DK0409725T3 (da) 1994-09-19
RU2078894C1 (ru) 1997-05-10
NO920194L (no) 1992-03-10
CA2064204C (fr) 2001-04-10
FR2649748A1 (fr) 1991-01-18
DE69008634D1 (de) 1994-06-09
US5315656A (en) 1994-05-24
FI93761C (fi) 1995-05-26
MA21906A1 (fr) 1991-04-01
FR2649748B1 (fr) 1991-10-11
DE69008634T2 (de) 1994-12-01
NO302259B1 (no) 1998-02-09
RO108889B1 (ro) 1994-09-30
AU6052990A (en) 1991-02-22
FI920187A0 (fi) 1992-01-16

Similar Documents

Publication Publication Date Title
HU217539B (hu) Elrendezés védelemmel ellátott tartályba zárt dokumentumok vagy tárgyak védelmére
AU2006307977B2 (en) Method for controlling the locking of a lock, and lock
CN1611060B (zh) 无线鉴别系统
US6523745B1 (en) Electronic transaction system including a fingerprint identification encoding
CA2023872C (en) Databaseless security system
EP0924657B1 (en) Remote idendity verification technique using a personal identification device
US5907286A (en) Transport container and transport container managing system
US8308820B2 (en) Container security
CA2405967C (en) Method for closing and opening a container
CN101147124A (zh) 主标签
JP2010534286A (ja) ユビキタスに配設されたインテリジェントなロックの管理システム
JP4426847B2 (ja) 警報装置の付いた容器を輸送する方法
JP4104171B2 (ja) 遠隔通信オペレータによって提供されるサービスのセキュリティシステムおよび方法
CN107769926A (zh) 一种基于cpk智能开关设备的安全控制方法及系统
US6430689B1 (en) System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable
CA3098729A1 (en) Secure access control
GB2446178A (en) An electronic seal
US20030014645A1 (en) Recognition system
GB2362188A (en) Security system for lockable enclosures
WO1993016261A1 (en) A method for transporting valuables
Samuel RFID security in door locks
WO2003038734A1 (en) Package identifying system
JP2010009110A (ja) 出入管理システムにおける登録認証情報の受渡し手段

Legal Events

Date Code Title Description
HPC4 Succession in title of patentee

Owner name: AXYTRANS S.A., FR

MM4A Lapse of definitive patent protection due to non-payment of fees