NO302259B1 - System for beskyttelse av dokumenter eller objekter plassert i en fiklesikker beholder - Google Patents
System for beskyttelse av dokumenter eller objekter plassert i en fiklesikker beholder Download PDFInfo
- Publication number
- NO302259B1 NO302259B1 NO920194A NO920194A NO302259B1 NO 302259 B1 NO302259 B1 NO 302259B1 NO 920194 A NO920194 A NO 920194A NO 920194 A NO920194 A NO 920194A NO 302259 B1 NO302259 B1 NO 302259B1
- Authority
- NO
- Norway
- Prior art keywords
- mode
- box
- small box
- verification
- transition
- Prior art date
Links
- 230000007704 transition Effects 0.000 claims abstract description 49
- 230000004224 protection Effects 0.000 claims abstract description 47
- 208000000044 Amnesia Diseases 0.000 claims abstract description 3
- 231100000863 loss of memory Toxicity 0.000 claims abstract description 3
- 238000012795 verification Methods 0.000 claims description 56
- 238000004422 calculation algorithm Methods 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000013461 design Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 14
- 229940079593 drug Drugs 0.000 abstract description 4
- 239000003814 drug Substances 0.000 abstract description 4
- 238000013478 data encryption standard Methods 0.000 description 16
- 238000012546 transfer Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 8
- 230000006378 damage Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000008520 organization Effects 0.000 description 5
- 230000001681 protective effect Effects 0.000 description 4
- 230000001066 destructive effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 235000013361 beverage Nutrition 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000004081 narcotic agent Substances 0.000 description 2
- 241000208199 Buxus sempervirens Species 0.000 description 1
- 206010012186 Delayed delivery Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 244000144972 livestock Species 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002747 voluntary effect Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- E—FIXED CONSTRUCTIONS
- E05—LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
- E05G—SAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
- E05G1/00—Safes or strong-rooms for valuables
- E05G1/14—Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07D—HANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
- G07D11/00—Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
- G07D11/10—Mechanical details
- G07D11/12—Containers for valuable papers
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F9/00—Details other than those peculiar to special kinds or types of apparatus
- G07F9/06—Coin boxes
-
- E—FIXED CONSTRUCTIONS
- E05—LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
- E05G—SAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
- E05G1/00—Safes or strong-rooms for valuables
- E05G1/005—Portable strong boxes, e.g. which may be fixed to a wall or the like
Landscapes
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Packages (AREA)
- Details Of Rigid Or Semi-Rigid Containers (AREA)
- Storage Device Security (AREA)
- Cartons (AREA)
- Burglar Alarm Systems (AREA)
- Lock And Its Accessories (AREA)
- Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
- Sorting Of Articles (AREA)
- Facsimile Transmission Control (AREA)
- Tires In General (AREA)
- Auxiliary Devices For And Details Of Packaging Control (AREA)
- Credit Cards Or The Like (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
Foreliggende oppfinnelse vedrører et system for beskyttelse av dokumenter eller verdisaker og spesielt betalingsmidler som for eksempel pengesedler, sjekker eller bankkort som er innelukket i en fysisk fiklesikker beholder som også gjennomgår en serie logiske tilstander, autentifisert i små antall.
Konvensjonelle systemer for beskyttelse av dokumenter eller verdisaker som for eksempel betalingsmidler, er vel kjent nå for tiden og de fleste av dem er basert på prinsippet med en safe med armerte platevegger, hvor tilgangen er begrenset til nøkkeleieren med en materiell eller immatriell støtte (for eksempel en kode), hvor safen også er plassert i kontrollerte omgivelser sikret for eksempel ved hjelp av flere armerte plater.
Et alternative til disse konvensjonelle anordningene som ofte er tunge og uhåndterlige, er gitt i flere franske patenter i søkerens navn. I fransk patent FR-A-2 550 364, er dokumentene eller verdisakene som skal beskyttes, heretter kalt verdisakene, innelukket i en liten boks, hvis fysiske tilstand kontrolleres ved hjelp av sensorer som gir ut signaler kontinuerlig og som vil gi signaler som følge av en tvangsmessig eller ufrivillig handling, slik at det vil skje en ødeleggelse eller markering av boksen og verdisakene.
Den destruktive anordningen som kan anvendes kan for eksempel være den som er beskrevet i fransk patent nr. FR-A-2 574 845 i søkerens navn.
Med transport av verdisaker, for eksempel farlige legemidler (narkotika, gifter) eller med betydelige verdier, er den destruktive anordningen svært forskjellig, hvor fagmannen er kjent med de' spesielle anordningene Innen dette feltet.
Hensikten til de tidligere nevnte patentene går ut på å gjøre innholdet i boksen ubrukelig eller ødeleggende i tilfelle angrep, hvis gyldighet er mye mindre enn deres reelle verdi (noe som er tilfelle for pengesedler, kort og sjekker), hvor anvendeligheten av disse verdisakene dermed blir meget liten, siden de ødelegges før de kan tas.
Sensorene som anvendes i slike systemer og som spesielt er istand til å detektere fysiske angrep på boksen, kan ha en meget lett utforming, i motsetning til tradisjonelle armeringsplater, og en lignende veggintegritetsensor er for eksempel beskrevet i fransk patent FR-A-2 625 987 i søkerens navn.
Beskyttelsessystemene i henhold til disse patentene har imidlertid en rekke uløste problemer som setter pålite-ligheten til en beskyttelse som er ment å være perfekt i fare, både når boksen som inneholder midlene som skal beskyttes er mobil og når den er stasjonær, og spesielt under transaksjoner forbundet med endringer av boksens tilstand, for eksempel fjerning, plassering, åpning og lukking.
I henhold til patent FR-A-2 550 364 er beskyttelse av en boks i seg selv forbundet med beskyttelse av andre små bokser som transporteres av et armert kjøretøy som de er plassert i, og i et slikt tilfelle er boksene beskyttet som et hele på grunn av en hemmelig og permanent forbindelse mellom dem, slik at de beskyttes mot enhver uventet hendelse som kan medføre ødeleggelse av midlene. En slik anordning medfører et vanskelig løsbart problem med å håndtere denne dialogen og kompleksiteten som dette medfører vil føre til kostbare, trege og lite pålitelige løsninger.
Det synes videre som om en individuell beskyttelse av de små boksene kan oppnås, og dette vil være foretrukket siden man vil ha fordelene med et fleksibelt beskyttelsessystem som gjør det mulig å unngå for eksempel ødeleggelse av store mengder midler som er oppbevart i forskjellige bokser når kun en av dem må repareres eller angripes.
Dersom en liten boks og innholdet i den ødelegges, vil de beskrevne beskyttelsessystemene ikke gjøre det mulig å bestemme hvilke personer som er ansvarlig for angrepet som medførte ødeleggelsen og når den ødelegges, er det foretrukket og nødvendig at boksen markerer eller ødelegger ikke bare innholdet, men også enhver informasjon som kan være konfidensiell og som er nødvendig for boksens drift; algoritmer for boksens fysiske tilstand, koding- og de-kodingsalgoritmer til budskap som sendes og mottas fra utsiden, type og innhold av disse budskapene som for eksempel hemmelige koder, destinasjoner og mottakere av det tran-sporterte innholdet.
Ødeleggelsen av all denne informasjonen gjør det umulig å identifisere med en viss grad av sikkerhet den siste personen som har håndtert den ødelagte boksen, som også kan være en angriper fra systemets utside, en arbeidstaker ansvarlig for håndtering og transportering av boksene og som ønsker å stjele verdisakene, eller annet personell som av forskjellige årsaker er autorisert for å håndtere boksene eller åpne dem ved bestemmelsesstedet.
En annen stor ulempe med systemet beskrevet i patent FR-A-2
550 364, ligger paradoksalt nok i den ubønnhørlige prosessen som styrer "historien" til boksen under transport. Enhver uventet hendelse oppfattes som et angrep på boksen og fører til ødeleggelse av den, og det er derfor ingen mulighet for å gradere responsen som boksen gir når en uventet hendelse opptrer. For eksempel, dersom trafikken stanser opp langs den ruten som det armerte kjøretøyet som transporterer boksen følger. En forsinket levering forårsaket av denne trafikk-stansen vil ubønnhørlig føre til ødeleggelse av boksene, noe som kan være en kostbar feil og føre til at eieren av
verdisakene som transporteres vil stille spørsmål ved systemets pålitelighet.
Det er på dette tidspunkt ikke mulig å gi et umiddelbart svar på dette problemet, siden visse faser av transporten beskrevet i dette patentet er nødvendig med hensyn til sikkerheten.
Av beskrivelsen over er det lett å innse at anvendelsen av et enkelt avgjørelsessenter for å håndtere hele sikkerhets-systemet til verdisakene som skal beskyttes og sikkerheten til selve transporten, uunngåelig vil føre inn i blindgater.
Det franske patent FR-A-2 594 14 i søkerens navn, er med hensyn til dette en forbedring av fransk patent FR-A-2 550 364; hvor de små boksene antas å være i et stasjonært kjøretøy og brukes derfor som bankbokser. Beskyttelsen av disse boksene er alltid kollektiv, og vil være beheftet med de ovennevnte problemer, men tilgang til hvelvet hvor de små boksene lagres, kontrolleres fra utsiden av en datamaskin som kan komme i kontakt med en elektronisk anordning som overvåker hvelvet og også føre en dialog på en hemmelig og kontinuerlig måte med alle de små boksene. Kommunikasjonen mellom hver av de små boksene med den ytre datamaskinen, blir dermed mulig og datamaskinen er deretter istand til å frembringe en ubønnhørlig prosess som innstiller "historien" til en boks og til å kontrollere initieringen som utføres etter forskjellige kontroller, inkludert hemmelige koder som er kjent for personer som har lovlig tilgang til boksene (for eksempel en bankansatt eller en klient).
Systemet beskrevet i det sistnevnte patentskriftet er beheftet med en merkbar ulempe, fordi det nemlig er mulig å frembringe en pirat-datamaskin, heretter kalt klone, til å utføre de samme funksjonene som den opprinnelige datamaskinen. Sikkerheten til verdisakene i boksene er derfor ikke fullstendig sikret, siden det ikke er noen anordninger som gjør boksene istand til å kjenne igjen datamaskinen og vise versa med en viss sikkerhet.
Ved å lese denne nevnte patentsøknaden, vil man også legge merke til at informasjonskilden som gir prosessdata til de forskjellige elektroniske elementene i systemet, ikke nødvendigvis er kun en, noe som er en risikofaktor for dataenes konfidensialitet; overfloden av informasjon som ikke er tilstede i FR-A-2 550 364, blir meget viktig her.
Foreliggende oppfinnelse har som hensikt å forbedre de forskjellige kjente systemene ved å frembringe et beskyttelsessystem for dokumenter eller verdisaker og spesielt betalingsmidler som for eksempel pengesedler, sjekker eller bankkort som er innelukket i minst en sabotasjesikker beholder, kalt en liten boks, som i tilfelle angrep ødelegges ved anvendelse av passende innretninger, dette systemet er kjennetegnet ved at de små boksene inkluderer et indre håndteringssystem som opererer som en "limited mode machine" hvis driftssyklus inkluderer et begrenset antall logiske tilstander, kalt modi, overgang fra et første til et andre modus som konsekvens av en bestemt hendelse hvis lovlige tilstand er, eller tidligere har vært, konstatert av en autonom metode som kan settes i kontakt med det indre håndteringssystemet til den lille boksen, hvilken overgang utføres ved tap av minne om det tidligere modus.
En hensikt med foreliggende oppfinnelse er derfor å frembringe en korresponderende logisk tilstand, kalt modus, til enhver situasjon den lille boksen kan befinne seg i, og dette modus er begrenset til to klare begrepsterminaler som gjør det mulig å organisere driftssyklusen til det indre håndteringssystem til den lille boksen på en bestemt og pålitelig måte. De kjente systemene kjenner kun to implisitte terminaler, enten "overgangen mellom den mobile boksen og den stasjonære boksen" eller omvendt.
Denne oppfinnelsen frembringer den nødvendige fleksibiliteten for en mer intelligent håndtering av beskyttelsen som gis av boksene. Men det er derfor viktig at hvert trinn av beskyttelsesprosessen og ved hver overgang mellom to logiske tilstander, at boksen ikke inneholder spor av sin foregående logiske tilstand. Vi vet allerede at dette sporet ikke kan brukes og vi kan også forstå at dette sporet er farlig, siden det er vitalt for systemets sikkerhet at konfidensielle budskap som for eksempel koder, ikke kan leses dersom de ikke blir fullstendig ødelagt i tilfelle angrep. Fra det etterfølgende kan vi innse at dette sporet ikke kan være tilstede.
Dette fraværet av minne om tidligere modus er viktig for systemets sikkerhet, siden to ekstreme moduser av drifts-sykler til det indre håndteringssystemet til en liten boks kan tilkobles: - enten direkte på grunn av et første tilfelle planlagt for dette og som medfører en overgang mellom disse to modi, - eller indirekte, ved foregående overganger i andre modi, på grunn av andre hendelser som er planlagt og autorisert.
Dersom en boks inneholder minne om sin tidligere modus, vil det dermed være mulig å ugyldiggjøre en overgang som tidligere er akseptert av boksens indre håndteringssystem mellom dette første og et andre modus, en ny hendelse kan medføre en overgang fra det første moduset til et tredje modus, uten at det må ha vært planlagt å autorisere en overgang fra det andre moduset til dette tredje moduset. Systemet vil deretter bli "uhåndterbart".
Ved å kunne organisere driften av det indre håndteringssystemet til et liten boks i en syklus som inkluderer et begrenset antall logiske tilstander eller modi, vil disse systemene som eneste minne ha sitt eget modus, og foreliggende oppfinnelse frembringer en pålitelig og sikker måte å definere forskjellige driftssykluser på som korresponderer med et antall situasjoner som er tilgjengelige for kjente systemer, for hvilke en enkelt "historie" kan eksistere mellom lukkingen og åpningen av en hoks.
Denne spesielle driften av det indre håndteringssystemet til en liten boks ved overgang mellom logiske tilstander som eksisterer i et begrenset antall, bør derfor sammenlignes med driften av maskiner kjent som "limited mode machines".
Veksleautomater, drikkevareautomater og andre lignende maskiner utgjør kjente eksempler på slike maskiner, også kalt "sequential logical machine". I en utleveringsmaskin er det kjent at dersom en billett koster 5 francs, og dersom kun 1, 2 og 5 francs mynter godtas, er det ikke mulig å frembringe en billett på annen måte enn ved å la automaten suksessivt gå gjennom flere logiske fordefinerte driftsmodi som er en del av den følgende listen: "betal 5 francs" (tilstand 5), "betal 4 francs" (tilstand 4), "betal 3 francs" (tilstand 3), "betal 2 francs" (tilstand 2), "betal 1 franc" (tilstand 1), "utlevering av billett"
(tilstand 0). Autoriserte sykler for å gå fra tilstand 5 til tilstand 0 er for eksempel:
- (tilstand 5 -> "mottatt 5 franc mynt" -> 0),
- (tilstand 5 -> "mottatt 2 franc mynt" -> tilstand 3 -> "mottatt 2 franc mynt" -> tilstand 1 -> "mottatt 1 franc mynt" -> tilstand 0), - (tilstand 5 -> "mottatt 1 franc mynt" -> tilstand 4 -> "mottatt 1 franc mynt" -> tilstand 3 -> "mottatt 1 franc mynt" -> tilstand 2 -> "mottatt 2 franc mynt" -> tilstand 0), - (tilstand 5 -> "mottatt 1 franc mynt" -> tilstand 4 -> "mottatt 2 franc mynt" -> tilstand 2 -> "mottatt 2 franc mynt" -> tilstand 0), og så videre.
Med hensyn til dette, vil hendelsen "mottatt x franc mynt" være spesifikke hendelser som vi vil innse at det vil være feil og til og med absurd å nevne varigheten av. Vi innser også at i det øyeblikket utleveringsanordningen er i en gitt tilstand, spiller det ikke noen rolle hvorvidt den husker måten den nådde denne tilstanden på. Minnet om tidligere tilstander er vanligvis ubrukelig, selv om det var mulig.
Det bør også legges merke til at utleveringsanordningen har to typer kretser (elektrisk, elektronisk, mekanisk, optisk etc. ): - printing, lagring og utleveringskretser for billetter (drikkevarer eller annet), - kretser for å håndtere automatiske driftssystemer som for eksempel beskrevet over, og disse håndteringskretsene består vanligvis av et elektronisk grensesnitt.
Analogien mellom en liten boks i henhold til oppfinnelsen med en automatisk utleveringsanordning er ganske riktig. Spesielt har en liten boks også to typer kretser: - kretser eller systemer for fysisk beskyttelse (beholder, skuff, boks, etc....) og den mulige ødeleggelsen av verdisaker i tilfelle angrep (eksplosiver eller andre lignende anordninger), - kretser eller anordninger for indre håndtering som for eksempel et elektronisk grensesnitt, som også omfatter anordninger for kommunikasjon med et servicesenter eller en stasjon.
Nøyaktigheten til en slik organisering av et beskyttelsessystem i overensstemmelse med oppfinnelsen innbefatter en ekstra intelligens som gjør de små boksene og systemet som et hele "logisk klusse-sikkert".
Denne logiske klusse-sikkerheten uttrykkes også. ved at i henhold til et annet trekk ved oppfinnelsen, under transport av en liten boks, som er begrenset til en og ved overgang fra et modus hvor den lille boksen anses å være festet til et modus hvor den anses å være mobil og også ved overgang fra et modus hvor denne lille boksen anses å være mobil til et modus hvor den anses å være festet, er det interne håndteringssystemet til den lille boksen fullstendig autonomt, d.v.s. alene ansvarlig for sikkerheten til verdisakene i boksen.
Vi innser derfor at en liten boks kan dele dette ansvaret med andre deler av systemet, om nødvendig, utover transport, for eksempel med en autonom anordning som kan oppnå kontakt med de indre håndteringssystemene til en liten boks.
Andre kjennetegn og fordeler med systemet i henhold til oppfinnelsen vil fremgå av den etterfølgende beskrivelse av et ikke begrensende utførelseseksempel med henvisning til de medfølgende tegninger. Figur 1 viser et diagram av systemet i henhold til oppfinnelsen, organisert i et nettverk. Figur 2 er et diagram som viser utformingen av verifiserings-transitiviteten. Figur 3 er et logisk diagram av mulige overganger mellom systemets driftsmodi i henhold til en spesiell utførel-sesform av oppfinnelsen.
I figur 1 er det vist et system i henhold til oppfinnelsen som brukes for beskyttelse av verdisaker som er plassert i en liten boks 1 av en personlig ansvarlig i en bank, heretter kalt senderen 2. Boksen 1 bør transporteres av enn sikkerhetsvakt 3 for eksempel til en av bankens andre filialer.
I en foretrukket utførelsesform av oppfinnelsen, utgjøres anordningen som er istand til å kommunisere med boksene av en enkelt datamaskin 4.
Denne datamaskinen 4 virker som en rådgiver og håndterer den logiske sikkerheten til fcoksene 1, d.v.s. kontrollerer lovligheten til overganger til visse driftsmodi i det indre håndteringssystemet til visse andre modi.
Under disse spesielle overgangene skjer det en utvidelse eller reduksjon av det beskyttende systemet og det kan nevnes tre meget spesielle tilfeller: a) under transport er verdisakene kun beskyttet av den lille boksen 1 som de er plassert i og i dette tilfellet vil
systemet kun omfatte boksen 1.
b) ved slutten av transporten, ved leveringstidspunktet, kan kun en informasjonskilde utenfor boksen 1, avbryte
moduset som boksen var i ved begynnelsen av transporten, og som er dens eneste minne, systemet bør derfor utvides til den ytre informasjonskilden, d.v.s. datamaskinen 4 bør før denne utvidelsen, anerkjennes av boksen som en sikker og pålitelig partner.
c) etterlevering er beskyttelsen av verdisakene i boksen 1 fremdeles total, siden åpning av boksen krever en utvidelse
av systemet til en ytterligere ytre informasjonskilde-brukeren av disse verdisakene (i videste forstand: mottakeren, senderen 2, sikkerhetsvakten 3) - som i sin tur, anerkjennes som en pålitelig og sikker partner av boksen 1 og datamaskinen 4.
Det er altså tre modi for en liten boks 1 - faktisk for systemet som et hele, men den enkelte boksen 1 er en del av det beskyttende systemet, siden det er akkurat denne boksen som til slutt gjør det mulig å motstå inngrep fra en tredje part, avhengig av hvorvidt den anses mobil eller lukket i henhold til tilfelle a), eller immobil og lukket, som i tilfelle b) eller hvorvidt den er immobil og åpen, som i tilfelle c).
Overgangen mellom disse tre typene modi avgjør ansvars-overføringen forbundet med beskyttelse av verdisakene hvorvidt de er innelukket i en boks 1 eller ikke (før transport blir disse verdisakene fritt plassert av senderen 2 i boksen 1 og inntil bekreftelse på at de er tatt vare på av systemet, er senderen 2 ansvarlig for dem).
Mobiliteten til boksen 1 er derfor en rent logisk attributt ved systemet, som går utover dets egentlige fysiske mobi-litet. Denne betydelige fordelen ved systemet er en av de mest uventede konsekvensene av organiseringen i begrensede modusmaskiner av den fysisk mobile delen av systemet, d.v.s. den lille boksen 1.
En ytterligere uventet fordel ved anvendelse i overensstemmelse med maskinen av en enkelt datamaskin 4 som overvåker systemet, er å begrense mengden av informasjon som er nødvendig for sikker håndtering, d.v.s. deres mulige overføring. Dersom en annen datamaskin var tilstede, kan for eksempel en plasseres ved avgangsstedet til en boks og den andre ved ankomststedet, noe som er tilfelle i et system beskrevet i fransk patentsøknad nr. FR-A-2 594 169, og det ville være nødvendig å integrere den andre datamaskinen på en pålitelig måte i systemet: boks/første datamaskin: slik at det blir et system: boks/første datamaskin/andre datamaskin; pålitelig integrasjon av mottakeren av verdisakene i boks 1 vil dermed bli mulig ved hjelp av denne andre datamaskinen. Imidlertid er anvendelse av denne andre maskinen ikke nødvendig, da den hverken forenkler (heller kompliserer) eller gir ytterligere sikkerhet, siden mottakeren av verdisakene direkte kan integreres av den første datamaskinen .
Det bør endelig legges merke til at boksene 1 er totalt adskilt fra hverandre og at hvert system boks/datamaskin/ bruker bør betraktes som et individuelt nettverk, selv om håndteringsdatamaskinen 4 er den samme for alle bdksene 1. Det er derfor verdt å nevne at det ikke sirkulerer noen kontinuerlig dialog mellom boksene 1, noe som er en betydelig fordel, sammenlignet med systemet beskrevet i FR-A-2 550 364. I henhold til oppfinnelsen er det kun en serie av spesifikke dialoger. Under disse dialogene må ikke de overførte budskapene på noen måte sette systemets sikkerhet i fare og dette er hvorfor leddene etablert mellom partene er en integrert del av dette systemet, deres mulige feil anses som et angrep.
Disse leddene kan ha en materiell støtte som kan beskyttes lettere, for eksempel ved armerte plater. Men på tross av alt dette, vil vi senere gi forståelse av at det er mulig å gi en hensiktsmessig løsning på konfidensialitetsproblemene, uten å måtte bruke denne typen fysiske beskyttelser.
I henhold til et ytterligere trekk ved oppfinnelsen, vist i figur 1, danner fire deler: boks 1, datamaskin 4, sender 2 og sikkerhetsvakt 3, som kan tilkobles en enkelt terminal, heretter kalt stasjon 5, et stjernenettverk hvor stasjon 5 er midtpunktet.
På denne måten er det en første stasjon 5 ved senderstedet til en boks 1 og en annen stasjon 5 ved mottakerstedet. Denne anvendelsen av flere stasjoner 5 påvirker imidlertid ikke systemets sikkerhet, siden stasjonene 5 i henhold til et meget viktig trekk ved oppfinnelsen, kun vil utgjøre punkter for føring av konfidensiell informasjon som er vital for systemets sikkerhet. I henhold til oppfinnelsen kan en stasjon 5 aldri utgjøre en anordning for å kontrollere legitimiteten til en hendelse som kan medføre en overgang fra et operasjonsmodus i det indre håndteringssystemet til en liten 1 til et annet modus.
Anvendelsen av et stjernenettverk sikrer flere kjente fordeler.
Spesielt vil et budskap som utveksles mellom to integrerte deler av et st jernenettverk ikke gå gjennom de andre delene som for eksempel 1 en ring. Man kan derfor snakke om den strukturelle konfidensialiteten til denne typen nettverk.
For å muliggjøre en dialog, har hver av delene i systemet et elektronisk grensesnitt som kan håndtere utvekslinger som enkelte ganger er komplekse. Anvendelsen av en stasjon 5 som kan koble alle delene sammen i henhold til oppfinnelsen, gjør det mulig å forenkle grensesnittene på en uventet og fordelaktig måte.
For eksempel er det ikke nødvendig å transportere sammen med boksen 1 sofistikert utstyr for kommunikasjon som krever et viktig elektronisk system. Også sammenkoblingen av en bruker (sender 2, sikkerhetsvakt 3) med andre deler av systemet, forblir enkelt.
Stasjon 5 er utstyrt med alle de tunge elektroniske grensesnittene som er nødvendig og boksen 1 og brukeren må kun håndtere en elementær tilkoblingsdialog med stasjonen 5.
Det bør legges merke til at datamaskinen 4 kan håndtere mere komplekse utvekslinger og at det er mer fordelaktig i henhold til oppfinnelsen å anordne den som et servicesenter, anordnet i en avstand fra alle stasjonene 5 fra alle brukerne og fra alle boksene 1, slik at den kan beskyttes effektivt fra mulige angrep, både logiske og fysiske.
Dersom det så langt aksepteres at systemet i henhold til oppfinnelsen med alle sine trekk tilbyr en potensiell konfidensiell funksjonell struktur, kan denne konfidensialiteten baseres på vissheten om at de integrerte delene av systemet eller som er integrert inn i systemet, er de de er forutsett å være.
I henhold til et ytterligere trekk ved systemet, frembringes kommunikasjonene mellom to deler av systemet i henhold til en protokoll som muliggjør at den parten som mottar budskapet verifiserer den parten som har sendt det og denne verifiseringen etterfølges muligens ved å sende en mottakskvittering til den sendende parten. Med dette for øyet, har alle partene i systemet datoriserte systemer for verifikasjon av mottatte budskap fra en sendende part integrert i systemet. I tilfelle verifisering av et budskap er veri-fiseringssytemene istand til å samvirke med overføringsan-ordningene for å sende en mottakskvittering til senderen.
I henhold til oppfinnelsen utføres disse verifiseringer om nødvendig i begge retninger, for eksempel for at en boks 1 skal være sikker på at datamaskinen 4 ikke er en klonedata-maskin og at den gjensidige datamaskinen 4 kan være sikker på at boksen 1 ikke er en kloneboks, kalles dette partenes felles verifisering. På samme måte verifiseres en stasjon 5 til hvilken det er sammenkoblet en boks 1, noe som forhindrer nærværet av klonestasjoner.
Det bør legges merke til at verifiseringen av systemet av en bruker av systemet (sender 2, sikkerhetsvakt 3) er implisitt, og i dette tilfellet vil kun en enkel verifisering av denne brukeren utføres, enten av boksen 1, datamaskinen 4 og muligens ved å føre den til stasjonen 5 som boksen 1 er tilkoblet (denne stasjonen 5 vil ikke ha ytterligere anordninger for å integrere brukeren til systemet, dette er kun en fasilitet og en ekstra aikkerhet som er ment å avvise en illegal bruker med en gang).
På grunn av den logiske strukturen til boksene 1 som er organisert i begrensede modusmaskiner og den fysiske og funksjonelle arkitekturen til forbindelsene som er tilstede mellom forskjellige deler av systemet, kan denne felles verifiseringen av partene håndteres strengt og gir en uventet flesibilitet ved håndteringen av beskyttelsen av verdisaker, enten de er innelukket i boksen 1 eller ikke.
Det er imidlertid praktisk mulig under enhver omstendighet å avbryte en beskyttende fase av verdisakene uten å måtte undersøke dem igjen. Disse avbruddene som krever at en ny pålitelig part integreres i systemet (som informerer om "tilfeller" som for eksempel fører til omdirigering av transportmidlene) og derfor overgang fra en type modus til en annen type modus, vil nødvendigvis føre til en felles verifisering av partene. Forsinkelser i "normal" transport, køer, motorstopp, kan endelig finne en løsning som ikke medfører at verdisakene i den lille boksen 1 ganske enkelt ødelegges.
Konvensjonelle anordninger for slik verifisering er mange og består for det meste av datamaskinanordninger.
Det kan etableres en eksakt analogi av de forskjellige prinsippene som gjør systemet i henhold til oppfinnelsen sikkert ved å anvende prinsippet med å sikre et minnekort (memoryboard), spesielt kan man anse boksen 1 som er logisk og fysisk klussesikker, som et virkelig minnekort.
Foranstaltningene som må gjøres for å sikre boksen 1 og for å sikre transaksjonene som den deltar i, er derfor velkjente, og har som mål på den ene siden å eliminere trusler mot konfidensialiteten til budskapene som utveksles mellom to integrerte deler av systemet, hvorav boksen er den ene og på den andre siden, truslen mot disse budskapenes integritet (frivillig eller ufrivillig endring av deres innhold).
En første foranstlatning for å eliminere truslene mot konfidensialiteten omfatter koding av de utvekslede budskapene, og for å gjøre dette, er det et antall kjente kryptografiske prosesser.
I henhold til oppfinnelsen, ble det valgt å anvende den symmetriske typen av kodealgoritme kalt DES (English Data Encryption Standard), som har standardiserte kjennetegn og som kan finnes i publikasjonen kalt FIPS PUB 46 (Federal Information Processing Standards Publication 46). I denne algoritmen, har etpar: boks l/datamaskin 4: (for eksempel) en nøkkel K. Denne nøkkelen K plasseres i et minne i boksen 1, hvor den er fysisk beskyttet, mens datamaskinen 4 husker, i henhold til en foretrukket utførelsesform av oppfinnelsen, nøklene K som deles med alle boksene 1.
Denne versjonen som er forholdsvis minnekrevende for datamaskinen 4, foretrekkes fremfor å ha kun en nøkkel for alle boksene 1, siden det kan skje at en angrepet boks 1 ikke fullstendig ødelegger nøkkelen som er lagret i boksen og som vil medføre gjenvinning og tyveri av innholdet i de andre boksene 1 ved hjelp av en klone. På tross av det faktum at algoritmen DES er en offentlig algoritme, vil kun kjennskap til nøkkelen K gjøre det mulig å lese et budskap kodet med denne nøkkelen. Det er derfor en verifisering i seg selv i buskapet som anses å være tilstrekkelig for driften av systemet. Imidlertid oppfanges ikke eventuelle forstyrrelser av budskapet i kommunikasjonslinjen og det er derfor foretrukket å verifisere budskapet før det dekodes.
En foranstaltning for å eliminere truslene mot budskapenes integritet, er å signere disse budskapene. En signatur sendes samtidig som budskapet og verifiseres av mottakeren, slik at budskapet og senderen verifiseres.
Det bør legges merke til at denne signaturen ikke har noe å gjøre med tegnsymbolisering, og i henhold til oppfinnelsen med overføring av ansvar forbundet med beskyttelse av verdisakene innelukket eller ikke i en boks 1, er dette "tegnet" et budskap som ethvert annet, og blir nødvendigvis ikke sendt under en verifisering (for eksempel blir det aldri overført til en stasjon 5 som imidlertid bør verifiseres av sine partnere, enten direkte eller indirekte). Denne signaturen er et bevis og budskapet blir ikke lagt merke til før verifisering av dette beviset.
I henhold til et ytterligere trekk ved oppfinnelsen, blir denne signaturen eller beviset beregnet ut fra transaksjons-parametrene, d.v.s. innholdet av budskapene i henhold til en algoritme tilsvarende DES kodealgoritmen som gir en betydelig fordel ved forenkling av tolkning av budskapene som utveksles mellom forskjellige deler av systemet. Ved at kodingen og verifiseringsnøklene er forskjellige, vil den kryptografiske sikkerheten øke.
Videre er det fordelaktig å integrere kodings-og verifi-ser ingsalgoritmen i den samme elektroniske kretsen kalt "DES chip", og plassere en slik elektronisk krets inne i hver av boksene 1. Anvendelsen av en "DES chip" gjør at alle nøklene kan lagres i denne, og ødelegge de lettere i tilfelle angrep. I tillegg håndterer en mikroprosessor alle de elektroniske systemene til boksen 1 og en implementering av DES algoritmen i denne mikroprosessoren vil oppta mye mindre plass i minnet.
DES brikken utfører derfor samtidig kodingen av budskapet og frembringer budskapets signatur.
Det bør imidlertid legges merke til at kodingen ikke er en tvunget operasjon, siden kjennskapet til budskapets innhold av en tredje part, for eksempel instruksjonene for å endre modus og transportparametrene, ikke setter systemets sikkerhet i fare. Verifiseringen som gis av signaturen til disse budskapene teller og det vil derfor ikke være mulig å lure det elektroniske systemet til en boks med et falskt budskap i klartekst som ikke er verifisert. Kodingen er en foranstaltning som hovedsaklig har til hensikt å forsikre brukerne om systemets konfidensialitetskapasitet.
Videre kan visse hemmelige koder bli overført mellom to parter i systemet og kodingen er derfor nødvendig for å beskytte disse kodene.
Stasjonene 5 har også en "DES brikke" som er fysisk beskyttet og som inneholder nøklene for koding og verifisering av budskapet som den overfører til håndteringsdatamaskinen 4. Det bør legges merke til at disse nøklene er forskjellig fra nøklene som brukes av boksene 1. Et budskap til datamaskinen 4 som kommer fra en boks 1, er på denne måten dobbeltkodet og verifisert. Av boksen 1 med det første nøkkelparet og av stasjonen 5 med det andre nøkkelparet.
I henhold til en foretrukket utførelsesform av oppfinnelsen, er det valgt en symmetrisk kodealgoritme, d.v.s. en algoritme hvor den samme nøkkelen brukes av to parter. Denne algoritmen er fullstendig tilfredsstillende for transaksjoner som etableres mellom en boks 1, en stasjon 5 og datamaskinen 4, siden de kan utstyres med elektroniske kretser som anvendes for dette, uten noen form for problemer. Som tidligere nevnt, er kodenøkkelen forskjellig fra den nøkkelen som brukes for signaturen med praktisk talt den samme algoritmen. Dette betyr at for å verifisere alle de andre partene, må hver part i systemet dele et enkelt nøkkelpar med de andre. Spesielt bør hver boks 1 være istand til å verifisere hver av stasjonene 5 som den kan tilkobles, hver stasjon 5 må kunne verifisere hver boks 1 og antall nøkler som må huskes under slike betingelser, blir fort ganske mange og i henhold til en foretrukket utførelsesform av oppfinnelsen er det valgt å utføre verifiseringene indirekte, nemlig mellom boksene 1 og stasjonene 5.
I henhold til figur 2, er indirekte verifisering mulig ved transisivitet, d.v.s. dersom to parter A og B er felles verifisert, og dersom parten A og en part C også er felles verifisert, vil partene B og C verifisere hverandre felles via A, siden den nå er en pålitelig partner til alle partene. For at en ny part B skal verifiseres av alle partene A, C som allerede er integrert i systemet, er det tilstrekkelig dersom på den ene siden verifiseringsmetodene til kun en av partene A, Ci direkte forhold til den nye parten B, verifiserer budskapene som kommer fra sistnevnte og på den andre side, dersom verifiseringsmetodene til den nye part B verifiserer eller har verifisert budskapene som kommer fra den integrerte part A i direkte forbindelse med den.
I henhold til en foretrukket utførelsesform av oppfinnelsen, spiller datamaskinen 4 rollen som en part A, den lille boksen 1, stasjonene 4 og brukerne spiller rollen til partene B og C. Kun datamaskinen 4 kjenner alle nøklene. De andre partene deler kun en enkelt nøkkel med denne datamaskinen 4.
Denne betydelige fordelen har en motpart som kan virke vanskelig. Hver gang to parter i systemet har en dialog, er det nødvendig at disse to partene etablerer en direkte forbindelse med datamaskinen 4, slik at de først verifiserer hverandre med datamaskinen og deretter forsikrer seg om at den andre parten allerede er verifisert.
Datamaskinen 4 vil i dette tilfellet bli det nødvendige mellomledd i disse transaksjonene og kan uventet huske historien. Datamaskinen 4 er derfor det uventede minne til systemet. Verifiseringen av systemets brukere er i henhold til oppfinnelsen et spesielt tilfelle som bør anmerkes.
I en første versjon har hver bruker en hemmelig kode som gir ham tilgang til systemet. Denne koden er kjent av datamaskinen 4 som enkelte ganger overfører den til en boks 1 når denne boksen er i et modus hvor denne kunnskapen er nød-vendig. Stasjon 5 som sammenkobler partene, kan også kjenne denne koden, slik at den ikke verifiserer en sammenkobling mellom brukeren og datamaskinen 4, uten en foregående kontroll. Det er derfor innlysende at denne koden føres mellom partene. For å unngå en lett avlesning av en tredje part som ulovlig er tilkoblet nettverket, kan denne koden kodes under overføringen via stasjon 5, nemlig ved hjelp av algoritmen som fortrinnsvis anvendes i oppfinnelsen.
En annen fremgangsmåte består i å bruke en flersidig funksjon f for å beskytte denne koden. En flersidig funksjon f er en funksjon som det imidlertid er meget vanskelig å beregne (for eksempel kraftfunksjon). Dersom a er en kode, og kun b = £(a) er kjent for stasjonen 5 eller boksen 1, vil kjennskap til b ikke gjøre det mulig å finne a, koden a er beskyttet. Dersom brukeren angir kode c, vil stasjon 4 eller boks 1, beregne d=f(c) og sammenligne d og b; dersom d=b, er c=a. I henhold til oppfinnelsen er en spesielt fordelaktig flersidig funksjon lik f=DES(x,a) hvor x er et fast budskap og a er den hemmelige koden: "DES koden" brukes nok en gang.
I en annen versjon av verifiseringen av en systembruker, er prosedyren i overensstemmelse med verifiseringsprosessen som brukes mellom de andre partene. Brukeren har et minnekort og en fast kode. Etter indre anerkjennelse av koden, genererer kortet et "tegn" som sendes til systemet. Dette "tegnet" er kodet og signert med de samme algoritmene som brukes eller-DES algoritmen er av denne årsak implementert i mikropro-sessorkortet. Konfidensialiteten og integriteten er perfekt, siden informasjonen som sirkulerer mellom partene er av en fullstendig tilfeldig type og gjør det ikke mulig å etter-spore koden eller kodingen og verifiseringsnøklene. For å trenge inn i systemet, er det derfor nødvendig å ha både kortet og koden.
I henhold til figur 3, vil vi nå beskrive den foretrukne organiseringen av systemet i henhold til oppfinnelsen, og spesielt de forskjellige logiske tilstandene eller moduser som kan kjennetegne en boks 1. Vi vil også beskrive overgangene mellom disse modi ved å følge "historien" til en boks 1 fra deponering av verdisaker til den åpnes av mottakeren etter levering.
I figur 3 er modusene representert av ellipser som inneholder en to-bokstavs kode som hver representerer et navn og en modus. Disse modusene som defineres senere, er henholdsvis
avgangsmodus representert ved koden DP
fortaumodus representert ved koden TR
basismodus representert ved koden SC
kjøretøymodus representert ved koden CM depalarmmodus representert ved koden DA tilkoblingsmodus representert ved koden CO
servouv modus representert ved koden VO
selfouv modus representert ved koden SO
åpen modus representert ved koden OV
boksmodus representert ved koden CA
sikkermodus representert ved koden CF
betalmodus representert ved koden VE
lukkemodus representert ved koden FE
låsmodus representert ved koden VR
forkastningsmodus representert ved koden RF
I den samme figuren representerer de andre blokkene som inneholder CS koden etablering av en forbindelse mellom boksen 1 og datamaskinen 4.
Lå oss så anta at verdisaker bestående av bankkort, pengesedler og sjekker skal sendes fra hovedkontoret til en bank til en annen filial lenger borte.
Verdisakene er da under ansvar av hovedkontorets leder. Det er en lokal stasjon 5 som tilhører nettverket som utgjør det beskyttende systemet i henhold til oppfinnelsen. Til denne stasjonen 5, kalt avgangsstasjonen, er det tilkoblet en liten boks 1 (det kan tilkobles flere) som ikke nødvendigvis inneholder verdisaker. I denne situasjonen er det tre mulige modi for boksen 1, åpen modus, boks modus og s ikr ingsmodus.
I åpen modus anses boksen 1 å være åpen, men fysisk åpning er ikke absolutt nødvendig på grunn av anordningene tilveiebragt for dette, den kan åpnes og lukkes på samme måte som en skuff og beskyttelsen av verdisakene plassert inni er ikke tilstede. Hverken boksen 1, datamaskinen 4 eller, avgangsstasjonen er ansvarlig for dette.
Boksmodus er et lokalmodus, d.v.s. overgangen til dette modus fra åpen modus er mulig uten inngrep fra datamaskinen 4. I dette moduset plasserer filialsjefen verdisakene i boksen 1. Boksen blir deretter lukket og kan kun åpnes igjen ved hjelp av en verifisering av filialbestyreren for eksempel ved hjelp av en hemmelig hode a som boksen. 1 og avgangsstasjonen kun kjenner den transformerte versjonen av en flersidig funksjon som for eksempel DES funksjonen (x, a), det kan legges merke til at det faste budskapet x er forskjellig for boks 1 og stasjonen. Ansvaret for beskyttelsen av verdisakene er derfor delt i dette boksmoduset mellom filialsjefen og boksen 1 (det bør legges merke til at avgangs stasjonen som er den felles overføringsterminalen til nettverket, aldri er ansvarlig). Det bør også legges merke til at overgangen fra åpen modus til boksmodus første gang forlenger systemet: vi har gått fra systemet: filialsjef til systemet: filialsjef/ boks.
Sikkermoduset er et "globalt" modus, d.v.s. overgang fra åpen modus til dette moduset er kun mulig ved verifisering av datamaskinen 4, plassert et stykke unna. I dette moduset overlater filialsjefen verdisakene til systemet og overfører hele ansvaret for beskyttelsen. Etter å ha plassert verdisakene i en boks 1 og lukket den, gir han en kode som verifiseres av avgangsstasjonen og informerer systemet om at han ønsker å bruke boks 1 i sikkermodus. Avgangsstasjonen etablerer en forbindelse med datamaskinen 4 i overensstemmelse med en felles verifiseringsprotokoll. Datamaskinen 4 verifiserer deretter filialsjefen. Boksen 1 som han ønsker å plassere verdisakene i, bør være i en passende tilstand og ikke være en klone, den bør derfor være istand til å verifisere seg selv med datamaskinen 4 via avgangsstasjonen som er en pålitelig partner til datamaskinen 4, men som ikke direkte kan verifisere den lille boksen 1 av de tidligere nevnte årsaker. Alle disse verifiseringene utføres direkte eller implisitt og systemet via datamaskinen 4 aksepterer på den ene siden overføringen av ansvaret fra filialsjefen og på den andre side, setter boksen 1 i sikker modus. I overgangen fra åpen modus til sikker modus, har vi gått fra systemet: filialsjef: til systemet: boks/datamaskin:. Denne overgangen skjer gradvis, og ansvaret tilhører filialsjefen inntil endelig godtagelse fra datamaskinen 4 - og det var suksessive utvidelser og deretter innsmalning av systemet.
Overgangen fra sikker modus til åpen modus utføes på en identisk måte, datamaskinen 4 holder tilbake ansvaret for beskyttelsen av verdisakene, inntil alle partene er verifisert; i dette tilfellet fører fra systemet: boks/datamaskin: til systemet boks/datamaskin/stasjon: og deretter til systemet: boks/datamaskin/stasjon/filialsjef: og endelig til systemet: filialsjef: med overføring av ansvaret i åpen modus.
Overgangen fra åpen modus til boks eller sikker modus, kan også avhenge av en tidsprogrammering som oversendes av datamaskinen 4 til boksen 1 når den ankommer filialen. En slik tidsprogrammering kan skje ukentlig og vil kunne forhindre åpning av boksen 1 utenfor visse bestemte tidspunkt. I henhold til en variant av oppfinnelsen som ikke er vist, kan modusene boks og sikker grupperes i et enkelt modus, for eksempel kalt 1 agringsmodus, hvor det kan tilføres to åpningsmuligheter - boks eller sikker - hvor valget mellom disse mulighetene skjer ved tidsprogrammering overført ved et gitt tidspunkt til boksen 1 fra datamaskinen 4.
Ved å starte fra boksmodus eller sikkermodus, kan filialsjefen be om å sende midler til filialen. For å gjøre dette, er det et betal ingsmodus analogt tii åpen modus, men som ikke kan etterfølges av boks modus eller sikker modus. Betalingsmodus angir at verdisakene plassert i en boks 1 blir transportert. Overgangene fra boksmodus eller sikkermodus til betalingsmodus, skjer på samme måte som overgangene fra disse modi til åpen modus, d.v.s. de initieres ved foregående verifisering av filialsjefens kode.
Etter lukking av boksen 1 i betalingsmodus, vil boksen automatisk gå til lukket modus hvor det er umulig å åpne den uten å koble den til en datamaskin 4. Overgangen fra betalingsmodus til lukket modus betyr at systemet: boks: midlertidig har akseptert ansvarsoverføringen. Dette moduset er imidlertid midlertidig, siden en forbindelse umiddelbart etableres via avgangsstasjonen med datamaskinen 4, for å oppnå dennes godkjennelse. I tilfelle av avslag (noe som kan opptre for eksempel dersom mottaksstasjonen ikke lenger eksisterer eller den lille boksen 1 ikke lenger er i en passende tilstand), vil boksen 1 gå over til avslagsmodus og deretter til åpen modus og prosedyren for å sende verdisaker kanselleres. Dersom datamaskinen 4 gir godkjennelse og etter den nødvendige felles verifiseringen, skjer det en overgang fra lukket modus til låst modus hvor systemet: boks/datamaskin: er ansvarlig for verdisakene.
I låst modus må boksen 1 nødvendigvis transporteres til mottaksstasjonen for å kunne åpnes (dersom ikke noe annet indikeres av datamaskinen 4). Systemet venter deretter på at sikkerhetsvakten 3 transporterer boksen 1 som verifiseres ved ankomst ved verifikasjon av en kode, hvor versjonen som er transformert av en flersidig funksjon er kjent av systemet og en sammenkobling etableres med datamaskinen 4 som kun kjenner denne koden og den tilsvarende flersidige funksjonen (det er ikke nødvendig at boksen 1 eller stasjonen kjenner den). Det bør anmerkes at låst modus kan vare i lang tid: maskinen 4, som har mottatt transportparametrene fra stasjonen, har enda ikke overført dem til boksen 1. En av disse parametrene er spesielt den planlagte varigheten av transporten. I overensstemmelse med fransk patent FR-2 550 364, bør instruksjoner vedrørende tidsbegrensning av reisetiden og som fører til destruksjon av boksen 1, i dette tilfellet overskrides.
Etter verifisering av sikkerhetsvakten 3, gir datamaskinen 4 verifisering for å ta opp boksen 1, som deretter er i avgangsmodus. Overgangen fra låst modus til dette modus med overføring av ansvar fra systemet: boks/datamaskin: til systemet: boks, d.v.s. boksen 1 sikrer total beskyttelse av verdisakene som transporteres. Dette er årsaken til at instruksjonene vedrørende varigheten av transporten initieres så snart boksen går gjennom dette modus: boksen 1 anses deretter å være modil, uansett om den blir fysisk fjernet eller ikke. Dersom mottakstidspunktet overskrides, vil boksen anse seg selv å være angrepet og ødelegger innholdet ved hjelp av passende midler.
Etter fysisk fjerning av boksen 1, vil den gå over fra avgangsmodus til fortausmodus. Dette tilsvarer gangavstanden som sikkerhetsvakten følger når han transporterer boksen 1 mellom avgangsstasjonen og et kjøretøy eller en annen stasjon (dersom hele transporten utføres til fots). Dette modus er tidsbegrenset, slik at for å redusere risikoen for omveier under transporten, og dersom den planlagte reisetiden overskrides, vil boksen 1 ødelegge innholdet.
Transporten fra bankens hovedkontor til en annen filial utføres generelt ved hjelp av et kjøretøy. I kjøretøyet er det en datamaskin som håndterer et elektronisk system som gjør det mulig å kontrollere boksene 1 som transporteres. Den fysiske tilkoblingen til en boks 1 i fortausmodus til dette elektroniske systemet, medfører overgang fra dette modus til basismodus. Den fysiske mottakeren av en boks 1 er den samme som er plassert i en stasjon og derfor vil boksen 1 sende et identifikasjonsbudskap til det elektroniske systemet: dersom den anerkjenner en stasjon, vil den umid delbart be om sammenkobling til håndteringsdatamaskinen 4 og det skjer en overgang til sammenkoblingsmodus.
dersom den anerkjenner det elektroniske systemet til det rette kjøretøyet, skjer det en overgang til kjøretøy-modus.
dersom den ikke anerkjenner stasjonen eller kjøre-tøyet, skjer det en overgang til depalarmmodus.
I depalarmmodus er boksen 1 fysisk i en uventet situasjon og bør derfor frakobles mottakeren. Dersom den ikke frakobles etter en forutbestemt tid (for eksempel 30 sekunder), vil beregningen av varigheten av transport til fots, starte igjen. Imidlertid vil boksen 1 vente på å bli frakoblet før den igjen går fra depalarmmodus til fortausmodus: på denne måten vil fortausmodus alltid tilsvare den fysiske fra-koblingen av boksen 1.
Kjøretøymodus tilsvarer den logisk etterfølgende transport-sekvensen. I dette moduset, kan boksen 1 ikke frakobles uten å ha blitt informert på forhånd og den vil ødelegge innholdet etter et visst tidsforløp (for eksempel 10 sekunder) dersom den ikke er blitt frakoblet. Når kjøretøyet kommer til filialen, vil sikkerhetsvakten 3 verifisere seg igjen med boksen 1 via kjøretøyets datamaskin - koden til sikkerhetsvakten 3 har på forhånd blitt sendt til boksen 1 av håndteringsdatamaskinen 4 under 15 overgangen fra låst modus til avgangsmodus. Dersom boksen 1 mottar koden til sikkerhetsvakten 3, vil den gå over til avgangsmodus (hvorfra den kan gå til basismodus og til slutt til sammenkoblingsmodus).
Det er viktig å legge merke til at organiseringen av modi gjør oppfinnelsen fordelaktig i tilfelle et uhell med kjøretøyet. Det vil da være tilstrekkelig å sende et kjøretøy med en gjenkjenningskode kjent av boksen 1, til ulykkesstedet for å frakoble boksen 1 fra det skadede kjøretøyet med koden til sikkerhetsvakten 3 og igjen tilkoble den til det nye kjøretøyet - datamaskinen 4 overfører da registreringsnummerne til de to kjøretøyene til boksen 1 under overgang fra låst modus til avgangsmodus. På denne måten er det mulig å være i basis kjøretøy eller avgangsmodus flere ganger under transporten fra avgangsstasjonen til mottaksstasjonen; kun instruksjonene vedrørende tid bør observeres.
Overgangen fra basismodus til sammenkoblingsmodus vil skje dersom boksen 1 gjenkjenner at den er tilkoblet en stasjon. Den vil da umiddelbart be om å bli tilkoblet håndteringsdatamaskinen 4, som krever den tidligere nevnte felles verifiseringen av stasjonen og denne datamaskinen 4. Dersom denne felles verifiseringen er mulig, vet vi allerede at stasjonen ikke er en klone. Datamaskinen 4 og boksen 1 vil deretter verifisere hverandre. Dersom stasjonen som boksen 1 er tilkoblet ikke er den riktige, vil det skje en overgang fra tilkoblingsmodus til depalarmmodus. Dersom stasjonen er den planlagte mottaksstasjonen, vil systemet: boks: bli systemet: boks/datamaskin/mottaksstasjon: og den går fra tilkoblingsmodus til selfouv modus eller servouvmodus.
Valget mellom disse to modi, gjøres av håndteringsdatamaskinen 4 med den felles verifiseringen av boksen l/datamas-kinen 4. Disse modi er hovedsaklig lik boksmodus og sikkermodus, men ender alltid i åpen modus som allerede beskrevet, hvor boksen 1 anses å være åpnet. I selfouvmodus verifiserer kun boksen 1 filialsjefens kode, slik at den kan åpnes. I selfouvmodus, etter verifisering av denne koden av boksen 1, vil boksen be om å bli tilkoblet datamaskinen 4, som igjen vil utføre de nødvendige verifiseringer.
I åpen modus kan verdisakene i boksen 1 tas ut og ansvaret for deres beskyttelse overføres til filialsjefen.
Den lille boksen 1 kan igjen brukes enten som en boks eller en safe eller for en annen transport i henhold til prosessen beskrevet over.
Det kan selvfølgelig forefinnes mange versjoner av den foretrukne organiseringen av systemet, uten å avvike fra oppfinnelsens beskyttelsesomfang og slike versjoner kan omfatte tre typer mulige modi. Den eneste betingelser som må vurderes i slike tilfeller, er verifiseringsprosedyrene under utvidelse eller begrensninger av systemet, d.v.s. under overføring av ansvar forbundet med beskyttelsen av verdisakene .
Det bør også legges merke til at anvendelsen av kodealgo-ritmer for budskapene som utveksles mellom forskjellige deler av systemet, krever sammenkoblingsanordninger som er pålitelige og med lav feilprosent.
Dette er ikke nødvendig tilfellet, siden infrastrukturen som settes opp opplagt vil være kostbart, spesielt i forbindelse med banker og deres filialer, hvor det integrert i stasjonen 5 er anordninger for telekommunikasjoner med håndteringsdatamaskinen 4: kostbare modemer, spesialiserte overføringer med lav feilprosent etc. : Men disse filialene har spesielt kun vanlige telefonlinjer med en høy feilprosent. I gjennomsnitt 1 feil binær informasjon for hver 10 000 sendte.
Det blir derfor satt opp en protokoll for korrigering av overføringsfell mellom en systemterminal eller stasjon 5 og håndteringsdatamaskinen 4. Denne protokollen fraksjonerer budskapet som skal oversendes i blokker og mellom noen få til flere titalls oktetter. Dersom en blokk overføres med feil, blir kun denne blokken sendt igjen, og slik unngår man å måtte gjenta hele det lange budskapet som utveksles (typisk en lengde på 300 oktetter). Integriteten til en blokk kontrolleres ved hjelp av en signatur utarbeidet i forbindelse med innholdet av blokken og med dens innledning, hvor sistnevnte hovedsaklig inkluderer informasjoner om lengden av blokken. Beregningsalgoritmen til denne ikke hemmelige signaturen, vil fortrinnsvis være den som brukes for koding og for verifisering av budskapet. På denne måten bruker vi igjen "DES brikken", uten å måtte skrive og lagre en ny algoritme, spesielt i stasjonen.
Etter rekonstruksjon av budskapet som var fraksjonert når det ble sendt, og i tilfelle hvor senderen er håndteringsdatamaskinen 4, vil stasjonen 5 verifisere og dekode budskapet med sine egne nøkler (på grunn av "DES brikken" plassert i stasjonen). Deretter oversender den til boksen 1 hvis registreringsnummer som ble brukt for identifisering, nå er i klartekst, delen av budskapet som er ment for denne. Boksen verifiserer og dekoder dette budskapet med sine egne nøkler ved hjelp av "DES" brikken anordnet med denne hensikt. Den vil deretter bekrefte mottakelsen til datamaskinen 4 og vil med dette for øyet, frembringe et kodet budskap verifisert med de samme nøklene. Dette budskapet overføres til datamaskinen 4, komplettert med registreringsnummeret til boksen 1, kodet og verifisert med nøklene til stasjon 5. Datamaskinen 4 sender deretter tilbake i henhold til samme protokoll en kvittering til boksen 1 som muligens vil endre modus, men kun ved mottak av denne kvitteringen.
Den beskrevne telekommunikasjonsprotokollen er selvfølgelig ikke begrenset til den foretrukne utførelsesformen beskrevet og vi kan for eksempel anvende funksjonelle arkitektur-prinsipper som er gjort populære ved sammenkoblingsmodeller for åpne systemer (layer model OSI) eller direkte avledninger av denne delen.
Foreliggende oppfinnelse er spesielt ment for beskyttelse av dokumenter eller verdifulle objekter og spesielt artikler som for eksempel pengesedler, sjekker eller bankkort eller for farlige legemidler (narkotika) eller for gjenstander med betydelig verdi. Denne beskyttelsen sikres både i en bank (eller apotek eller lignende) og under transport fra denne banken til en annen filial. Oppfinnelsen er hverken begrenset av størrelse eller vekten av dokumentene eller verdisakene som skal beskyttes og det er lett for fagmannen å utføre endringer ved å forsøke å tilpasse oppfinnelsen til gjenstander eller dokumenter i tillegg til det som er angitt i de ikke begrensende eksemplene.
Claims (13)
1.
System for beskyttelse av dokumenter eller verdisaker og spesielt gjenstander som for eksempel pengesedler, sjekker eller bankkort, innelukket i minst en fysisk klussesikker beholder kalt liten boks (1) som i tilfelle av angrep, ødelegger innholdet ved bruk av passende midler, hvilket system erkarakterisert vedat driftssyklusen til en liten boks (1) omfatter et indre håndteringssystem som opererer som en "begrenset modusmaskin", hvor operasjonssyklusen inkluderer et begrenset antall logiske tilstander kalt modi, hvor overgangen fra en første modus til en andre modus er en konsekvens av en spesifikk hendelse hvis legitimitet er eller tidligere er blitt forsikret av en autonom anordning som kan settes i kommunikasjon med de indre håndteringssystemene til den lille boksen (1), hvilken overgang medfølges av tap av minne om den forutgående modus.
2.
Beskyttelsessystem i henhold til krav 1,karakterisert vedat under transport av en liten boks (1) som på den ene siden er begrenset av overgangen fra en modus hvor den lille boksen (1) anses som stasjonær, til en modus hvor den anses som mobil og på den andre side, overgangen fra en modus hvor den lille boksen (1) anses å være mobil til en modus hvor den anses å være stasjonær, er de indre håndteringssystemene til boksen (1) absolutt autonome.
3.
Beskyttelsessystem i henhold til et eller flere av de foregående krav,karakterisert vedat systemet som kan settes i kommunikasjon med de indre håndteringssystemene til en liten boks (1) for å kontrollere legitimiteten til overganger mellom visse operasjonsmoduser i de indre håndteringssystemene, omfattes av en enkelt datamaskin (4) som også kan være et servicesenter anordnet i en avstand hvis logisk og fysiske beskyttelse også er sikret.
4 .
Beskyttelsessystem i henhold til et eller flere av de foregående krav,karakterisert vedat det suksessivt kan omfatte helt eller delvis elementene til et system bestående av: en bruker av dokumentene eller verdisakene enten det er en sender (2), en mottaker eller en sikkerhetsvakt (3), en liten boks (1), et system istand til å settes i kommunikasjon med de indre håndteringssystemene til en liten boks (1), for å kontrollere legitimiteten til en hendelse som kan medføre overgang fra en operasjonsmodus av det indre håndteringssystemet til en andre modus, hvilke elementer er sammenkoblet ved hjelp av en enkelt terminal kalt stasjon (5) og utgjør derved et stjernenett, hvor stasjonen (5) er midtpunktet.
5.
Beskyttelsessystem i henhold til krav 4,karakterisert vedat en stasjon (5) aldri kan utgjøre en anordning for å kontrollere legitimiteten til en hendelse som kan medføre overgang fra et operas jonsmodus i det indre håndteringssystemet til en liten boks (1) til en andre modus.
6.
Beskyttelsessystem i henhold til et eller flere av kravene 4 til 5,karakterisert vedat en stasjon (5) er utstyrt med passende kommunikasjonsanordninger, slik at den kan sette seg i forbindelse med: - en liten boks (1) og anordninger som er istand til å komme i kommunikasjon med de indre håndteringssystemene til en liten boks (1), for å kontrollere legitimiteten til en hendelse som kan medføre overgang fra et operasjonsmodus til en andre modus i det indre håndteringssystemet. - en liten boks (1) og en bruker av dokumenter eller verdisaker i den lille boksen (1), enten det er en sender (2), en mottaker eller en sikkerhetsvakt (3), en bruker av dokumenter eller verdisaker i den lille boksen (1), enten det er en sender (2), en mottaker eller en sikkerhetavakt (3) og anordningene som kan settes i kommunikasjon med de indre håndteringssystemene til en liten boks (1) for å kontrollere legitimiteten til en hendelse som kan medføre en overgang fra en operas jonsmodus til en andre operas jonsmodus i det indre håndteringssystemet.
7.
Beskyttelsessystem i henhold til et eller flere av de foregående krav,karakterisert vedat på den ene side omfatter alle deler av systemet et datamaskin-verifiseringssystem for budskap som mottas fra en sendende part, integrert i systemet og på den andre side, at i tilfelle verifisering av budskapet, vil verifiseringsan-ordningene samvirke med overføringssystemene for å sende en kvittering for korrekt mottakelse til den sendende part.
8.
Beskyttelsessystem i henhold til krav 7,karakterisert vedat verifiseringen av parten som sender et budskap, består i verifisering av selve budskapet ved kontroll av en datamaskinsignatur beregnet på innholdet i budskapet ved hjelp av en nøkkelalgoritme, hvilke nøkler holdes av den enkelte part som sender budskapet og den parten som mottar budskapet.
9.
Beskyttelsessystem i henhold til et eller flere av kravene 7 ti 18,karakterisert vedat for at en ny part skal verifiseres av alle partene som allerede er integrert i systemet, er det på den ene siden tilstrekkelig at verifiseringsanordningen til kun en av partene i direkte kommunikasjon med den nye parten, verifiserer budskapene som sendes av den sistnevnte og at på den andre side, verifi-seringsanordningene til den nye parten verifiserer eller har verifisert budskapene som sendes fra den integrerte parten i direkte kommunikasjon med denne.
10.
Beskyttelsessystem i henhold til krav 9,karakterisert vedat den felles verifiseringen av en liten boks (1) og en stasjon (5) til hvilken den er tilkoblet, alltid er implisitt og krever på den ene siden foregående felles verifisering av stasjonen (5) ved en anordning som er istand til å kommunisere med de indre håndteringssystemene til en boks (1), for å kontrollere legitimiteten av en hendelse som kan medføre en overgang fra et operasjonsmodus til et annet modus av det indre håndteringssystemet og på den andre siden den foregående felles verifiseringen av den lille boksen (1) til systemet som heretter fortrinnsvis kan huske alle transaksjonene mellom partene og denne utformingen av systemet tillater også å begrense antall verifiseringsnøkler som skal huskes i stasjonen (5) og den lille boksen (1).
11.
Beskyttelsessystem i henhold til krav 7,karakterisert vedat verifiseringen av en bruker av dokumentene eller verdisakene i den lille boksen (1), enten det er en sender (2), en mottaker eller en sikkerhetsvakt (3), utføres ved hjelp av en hemmelig kode, hvor kun den transformerte versjonen av en flersidig funksjon er kjent for parten som verifiserer denne brukeren.
12.
Beskyttelsessystem i henhold til krav 7,karakterisert vedat verifiseringen av en bruker av dokumentene eller verdisakene i en liten boks (1), enten det er en sender (2), en mottaker eller en sikkerhetsvakt (3), utføres ved hjelp av et kodet og verifisert budskap, generert av et minnekort hvis anvendelse av brukeren krever kjennskap til en kode.
13.
Beskyttelsessystem 1 henhold til et eller flere av de foregående krav,karakterisert vedat budskapene som utveksles mellom to parter i systemet er kodet ved hjelp av en nøkkelkodingsalgoritme som kun holdes av disse to partene, hvilken algoritme for eksempel er en variant av algoritmen som anvendes for å etablere en verifiseringssignatur til budskapet.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR8909579A FR2649748B1 (fr) | 1989-07-17 | 1989-07-17 | Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint |
| PCT/FR1990/000538 WO1991001428A1 (fr) | 1989-07-17 | 1990-07-17 | Systeme de protection de documents ou d'objets enfermes dans un contenant inviolable |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO920194D0 NO920194D0 (no) | 1992-01-15 |
| NO920194L NO920194L (no) | 1992-03-10 |
| NO302259B1 true NO302259B1 (no) | 1998-02-09 |
Family
ID=9383836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO920194A NO302259B1 (no) | 1989-07-17 | 1992-01-15 | System for beskyttelse av dokumenter eller objekter plassert i en fiklesikker beholder |
Country Status (20)
| Country | Link |
|---|---|
| US (1) | US5315656A (no) |
| EP (1) | EP0409725B1 (no) |
| JP (1) | JPH05506700A (no) |
| AT (1) | ATE105367T1 (no) |
| AU (1) | AU648510B2 (no) |
| CA (1) | CA2064204C (no) |
| DD (1) | DD296732A5 (no) |
| DE (1) | DE69008634T2 (no) |
| DK (1) | DK0409725T3 (no) |
| ES (1) | ES2056406T3 (no) |
| FI (1) | FI93761C (no) |
| FR (1) | FR2649748B1 (no) |
| HU (1) | HU217539B (no) |
| MA (1) | MA21906A1 (no) |
| NO (1) | NO302259B1 (no) |
| OA (1) | OA09531A (no) |
| RO (1) | RO108889B1 (no) |
| RU (1) | RU2078894C1 (no) |
| WO (1) | WO1991001428A1 (no) |
| ZA (1) | ZA905546B (no) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2706058B1 (fr) * | 1993-06-02 | 1995-08-11 | Schlumberger Ind Sa | Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte. |
| EP0792044B1 (en) * | 1996-02-23 | 2001-05-02 | Fuji Xerox Co., Ltd. | Device and method for authenticating user's access rights to resources according to the Challenge-Response principle |
| FR2751111B1 (fr) * | 1996-07-10 | 1998-10-09 | Axytrans | Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable |
| JP3541607B2 (ja) * | 1997-03-11 | 2004-07-14 | 株式会社日立製作所 | 電子マネー取引装置 |
| JP2000113085A (ja) * | 1998-10-08 | 2000-04-21 | Sony Corp | 電子現金システム |
| US6275151B1 (en) * | 2000-01-11 | 2001-08-14 | Lucent Technologies Inc. | Cognitive intelligence carrying case |
| US20010054025A1 (en) * | 2000-06-19 | 2001-12-20 | Adams William M. | Method of securely delivering a package |
| EP1325674A1 (en) * | 2000-09-26 | 2003-07-09 | SAGEM Denmark A/S | A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box |
| DE10123383A1 (de) | 2001-05-14 | 2003-01-16 | Giesecke & Devrient Gmbh | Verfahren und Vorrichtung zum Öffnen und Schließen einer Kassette |
| US20050155876A1 (en) * | 2003-12-15 | 2005-07-21 | Tamar Shay | Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member |
| KR100527169B1 (ko) * | 2003-12-31 | 2005-11-09 | 엘지엔시스(주) | 매체자동지급기의 매체카세트 개폐장치 |
| FR2869939B1 (fr) * | 2004-05-06 | 2006-06-23 | Axytrans Sa | Systeme securise pour le transport ou la conservation de valeurs telles que des billets de banque |
| US7757301B2 (en) * | 2004-12-21 | 2010-07-13 | Seagate Technology Llc | Security hardened disc drive |
| EP1843000B1 (de) * | 2006-04-03 | 2018-10-31 | Peter Villiger | Sicherheitssystem mit ad-hoc Vernetzung einzelner Komponenten |
| DE102007022460A1 (de) | 2007-05-09 | 2008-11-13 | Horatio Gmbh | Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen |
| DE102008045607A1 (de) * | 2008-09-03 | 2010-03-04 | Wincor Nixdorf International Gmbh | Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein |
| US8836509B2 (en) * | 2009-04-09 | 2014-09-16 | Direct Payment Solutions Limited | Security device |
| US10007811B2 (en) | 2015-02-25 | 2018-06-26 | Private Machines Inc. | Anti-tamper system |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4236463A (en) * | 1979-05-14 | 1980-12-02 | Westcott Randy L | Tamper proof case for the protection of sensitive papers |
| SE417023B (sv) * | 1979-11-29 | 1981-02-16 | Leif Lundblad | Anleggning for seker och ekonomiskt optimal hantering av verdedokument inom en penninginrettning |
| FR2550364B1 (fr) * | 1983-08-05 | 1986-03-21 | Kompex | Systeme de securite de transport de fonds ou d'effets bancaires |
| DE3400526A1 (de) * | 1984-01-10 | 1985-10-24 | Peter 7212 Deißlingen Pfeffer | Einrichtung zum ueberwachen von geldscheinbuendeln |
| US4691355A (en) * | 1984-11-09 | 1987-09-01 | Pirmasafe, Inc. | Interactive security control system for computer communications and the like |
| FR2574845B1 (fr) * | 1984-12-14 | 1987-07-31 | Axytel Sarl | Procede de marquage et/ou de destruction notamment de documents de valeur et dispositif de mise en oeuvre |
| GB2182467B (en) * | 1985-10-30 | 1989-10-18 | Ncr Co | Security device for stored sensitive data |
| FR2594169B1 (fr) * | 1986-02-11 | 1990-02-23 | Axytel Sa | Systeme de protection de produits de valeur notamment de fonds et/ou de produits bancaires. |
| US4860351A (en) * | 1986-11-05 | 1989-08-22 | Ibm Corporation | Tamper-resistant packaging for protection of information stored in electronic circuitry |
| NL8700165A (nl) * | 1987-01-23 | 1988-08-16 | Seculock B V I O | Cheques- en creditcards-opberginrichting met ingebouwd vernietigingssysteem. |
| FR2615987B1 (fr) * | 1987-05-27 | 1994-04-01 | Axytel | Dispositif de controle de l'integrite d'une paroi quelconque, metallique ou non, destine a declencher automatiquement une intervention en cas d'agression commise a l'encontre de cette paroi |
| SE455653B (sv) * | 1987-08-11 | 1988-07-25 | Inter Innovation Ab | Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning |
| JP2609473B2 (ja) * | 1989-10-23 | 1997-05-14 | シャープ株式会社 | 通信装置 |
| EP0527725A1 (en) * | 1990-05-11 | 1993-02-24 | Gte Sylvania N.V. | Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof |
-
1989
- 1989-07-17 FR FR8909579A patent/FR2649748B1/fr not_active Expired - Fee Related
-
1990
- 1990-07-16 MA MA22176A patent/MA21906A1/fr unknown
- 1990-07-16 ZA ZA905546A patent/ZA905546B/xx unknown
- 1990-07-17 DK DK90402060.9T patent/DK0409725T3/da active
- 1990-07-17 EP EP90402060A patent/EP0409725B1/fr not_active Expired - Lifetime
- 1990-07-17 CA CA002064204A patent/CA2064204C/fr not_active Expired - Lifetime
- 1990-07-17 JP JP90510518A patent/JPH05506700A/ja active Pending
- 1990-07-17 WO PCT/FR1990/000538 patent/WO1991001428A1/fr active IP Right Grant
- 1990-07-17 AT AT9090402060T patent/ATE105367T1/de not_active IP Right Cessation
- 1990-07-17 DE DE69008634T patent/DE69008634T2/de not_active Expired - Lifetime
- 1990-07-17 RU SU905011184A patent/RU2078894C1/ru active
- 1990-07-17 DD DD90342844A patent/DD296732A5/de not_active IP Right Cessation
- 1990-07-17 HU HU9200168A patent/HU217539B/hu not_active IP Right Cessation
- 1990-07-17 AU AU60529/90A patent/AU648510B2/en not_active Expired
- 1990-07-17 ES ES90402060T patent/ES2056406T3/es not_active Expired - Lifetime
- 1990-07-17 RO RO92-0817A patent/RO108889B1/ro unknown
-
1992
- 1992-01-15 NO NO920194A patent/NO302259B1/no not_active IP Right Cessation
- 1992-01-16 FI FI920187A patent/FI93761C/fi active
- 1992-01-17 OA OA60129A patent/OA09531A/fr unknown
- 1992-03-16 US US07/876,712 patent/US5315656A/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| NO920194D0 (no) | 1992-01-15 |
| ZA905546B (en) | 1991-04-24 |
| ES2056406T3 (es) | 1994-10-01 |
| CA2064204A1 (fr) | 1991-01-18 |
| HUT62063A (en) | 1993-03-29 |
| WO1991001428A1 (fr) | 1991-02-07 |
| DD296732A5 (de) | 1991-12-12 |
| OA09531A (fr) | 1992-11-15 |
| ATE105367T1 (de) | 1994-05-15 |
| AU648510B2 (en) | 1994-04-28 |
| HU9200168D0 (en) | 1992-09-28 |
| EP0409725B1 (fr) | 1994-05-04 |
| EP0409725A1 (fr) | 1991-01-23 |
| JPH05506700A (ja) | 1993-09-30 |
| FI93761B (fi) | 1995-02-15 |
| DK0409725T3 (da) | 1994-09-19 |
| HU217539B (hu) | 2000-02-28 |
| RU2078894C1 (ru) | 1997-05-10 |
| NO920194L (no) | 1992-03-10 |
| CA2064204C (fr) | 2001-04-10 |
| FR2649748A1 (fr) | 1991-01-18 |
| DE69008634D1 (de) | 1994-06-09 |
| US5315656A (en) | 1994-05-24 |
| FI93761C (fi) | 1995-05-26 |
| MA21906A1 (fr) | 1991-04-01 |
| FR2649748B1 (fr) | 1991-10-11 |
| DE69008634T2 (de) | 1994-12-01 |
| RO108889B1 (ro) | 1994-09-30 |
| AU6052990A (en) | 1991-02-22 |
| FI920187A0 (fi) | 1992-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO302259B1 (no) | System for beskyttelse av dokumenter eller objekter plassert i en fiklesikker beholder | |
| US5371796A (en) | Data communication system | |
| EP0402301B1 (en) | A method of transferring data and a system for transferring data | |
| US6157722A (en) | Encryption key management system and method | |
| US6523745B1 (en) | Electronic transaction system including a fingerprint identification encoding | |
| CA1283187C (en) | Key management system for open communication environment | |
| CN104464048B (zh) | 一种电子密码锁开锁方法及装置 | |
| USRE36310E (en) | Method of transferring data, between computer systems using electronic cards | |
| US6430689B1 (en) | System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable | |
| GB2267631A (en) | Data communication system | |
| JPH0480572B2 (no) | ||
| KR101051552B1 (ko) | 이동 통신 단말기를 이용한 문 잠금 장치 및 방법 | |
| WO2007042608A1 (en) | Method, devices and arrangement for authenticating a connection using a portable device | |
| EP1962239A1 (fr) | Procédé de vérificatiion d'un code identifiant un porteur, carte à puce et terminal respectivement prévus pour la mise en ceuvre dudit procédé | |
| JPH0860910A (ja) | 情報処理方法 | |
| JPS60220647A (ja) | デ−タ通信方法 | |
| FR2811794A1 (fr) | Appareil et procede de paiement par carte de debit dans une station de distribution de carburant | |
| JP2006072775A (ja) | Icカード積増機およびその制御方法 | |
| JP2005110169A (ja) | 携帯電話機を用いた取引における利用者確認方法 | |
| Acton | It is impossible to foresee the consequences of being clever.—Christopher Strachey Every thing secret degenerates, even the administration of justice; nothing is safe that does not show how it can bear discussion and publicity. | |
| ITPD20090287A1 (it) | Sistema di sicurezza a codici variabili biunivoco |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MK1K | Patent expired |