WO1993007595A1 - Systeme de memorisation de donnees informatisees sur un support d'enregistrement - Google Patents

Systeme de memorisation de donnees informatisees sur un support d'enregistrement Download PDF

Info

Publication number
WO1993007595A1
WO1993007595A1 PCT/EP1992/002277 EP9202277W WO9307595A1 WO 1993007595 A1 WO1993007595 A1 WO 1993007595A1 EP 9202277 W EP9202277 W EP 9202277W WO 9307595 A1 WO9307595 A1 WO 9307595A1
Authority
WO
WIPO (PCT)
Prior art keywords
module
mas
data
terminal
document
Prior art date
Application number
PCT/EP1992/002277
Other languages
English (en)
Inventor
Michel Jean François Marie WIDMER
Original Assignee
Widmer Michel J F M
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Widmer Michel J F M filed Critical Widmer Michel J F M
Publication of WO1993007595A1 publication Critical patent/WO1993007595A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/346Cards serving only as information carrier of service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Definitions

  • the invention relates to a system for storing computerized data on a recording medium, of the type comprising a terminal adapted to perform data recording and a module for recording recorded data capable of being introduced into the terminal for recording. data and to be removed from this terminal after registration, a method of putting the support module in the state of use as well as a method of transmitting documents involving the use of said support module.
  • the present invention aims to provide a data recording device and methods of the type indicated above, which provides perfect protection of the stored data against unauthorized copies and subsequent modifications.
  • the invention ensures the authenticity and integrity of the data recorded so that these data can serve as incontestable proof even from a legal point of view.
  • the registration system of computerized data is characterized in that the module is produced in the form of a security archiving module and comprises a computer device provided with a memory containing an unalterable and non-modifiable storage program, the computer device comprising registers for storing identification data of the module and
  • the system comprises a control center comprising a central file of all the security archiving modules produced and of the users authorized to use the modules.
  • each security archiving module comprises a selective energy controller, suitable for supplying electrical energy only to the memory element which has been selectively addressed.
  • This characteristic has the advantage that the energy consumed by the module and the thermal losses in it are greatly limited.
  • the process for bringing the security archiving module into use according to the invention is characterized in that after the manufacture of a module, it is identified by writing its original number and identification data - of the addressee of the module in identification registers provided in the module, and in that the contents of these registers are recorded in a file of the control center.
  • the method of document transmission by a transmission line of electrical signals of a station sender to a destination station, involving the use of a security archiving module according to the invention is characterized in that the sender station sends with the document a label message comprising in addition identification data of the sender, the identification data contained in the document, that the receiving station sends to the sending station an acknowledgment message including the identification data of the recipient and the content of the document received by the latter and that the data relating to the document are stored on the module according to the invention, with the label and acknowledgment data.
  • Figure 1 is a perspective view of the equipment of a document sending station of a document transmission system, used in the context of the present invention.
  • FIG. 2 shows in the form of a block diagram the structure of the sending station according to FIG. 1.
  • FIG. 3 is a block diagram of the removable computer module MOA of FIG. 2.
  • FIG. 4 shows the flowchart illustrating the operation of the sending station according to FIG. 1.
  • FIG. 5 is a perspective view similar to FIG. 1, of an improved embodiment of the equipment of a document sending station of a document transmission system according to the present invention.
  • FIG. 6 is a schematic perspective view of the security archiving module MAS indicated in FIG. 5.
  • FIG. 7 illustrates, in the form of a block diagram, the structure of the security archiving module according to FIG. 6, in the state electrically connected to. TE terminal according to figure 5.
  • FIG. 8 is a block diagram in particular of the selective energy controller CSE of FIG. 7-
  • FIG. 9 illustrates in the form of a flowchart the process for controlling and identifying a MAS security-archiving module according to the invention.
  • FIG. 10 illustrates in the form of a functional flowchart the process of using a security archiving module MAS according to the invention.
  • FIG. 11 is a schematic representation of the initialization operation of a security archiving module MAS according to the invention at a local distributor.
  • FIG. 1 shows a computerized data exchange terminal TE and a command or work module MT associated with the terminal, which constitute the essential equipment of a sending station of a document transmission system by transmission line of electrical signals, used in the context 'of the present invention.
  • the TE terminal essentially comprises a computer assembly consisting of a removable computer module MOA, of a microprocessor device MPA, a library disk module MDB comprising recorder-reader means of data stored on a removable library disk DB, a disk module MDA archive provided with data recorder-reader means stored on an DA archive disc and a PCI printed circuit board carrying the electronic control and command circuits of the various devices and modules of the terminal.
  • the two MDB and MDA modules are removably mounted in a generally parallelepipedic housing.
  • the MOA module is also produced in the form of a removable autonomous element as is clearly illustrated in FIG. 1.
  • the outdoor work module MT of a type known per se comprising a display screen and a control keyboard is capable of '' be connected to the TE terminal by a CAB cable.
  • Figure 2 shows, in fo rm u of a block diagram, more in detail the structure of the terminal TE and the interconnection of the various devices and modules which compose. Apart from the MOA, MDA and MDB removable modules, these are mounted on the PCI printed circuit board.
  • the MOA is connected by an appropriate interface, advantageously of the optoelectric type IF1 to a serial bus b1 connected to the MPA module.
  • the MPA computer module communicates with external information processing systems, such as the MT work module via a b2 serial bus connected to an IF2 interface for connection to the CAB cable.
  • the modules of d isque MDB library and MDA archive are managed by a MG management module which communicates for this purpose with these two modules by specialized links dd, J 2.
  • the MG module also controls the two electronic locks V1, V2 by specialized links i .3. 14. These locks allow movement and access to the DB and DA disks. These locks are not described in more detail because they are of the type known per se and used for example for moving digital disks in a HI FI chain.
  • the MG management module is suitable for managing the recording and reading of digitized data on DA and DB disks.
  • the MG -and MPA modules communicate with each other via a MET buffer memory by means of a bidirectional bus line b3 which controls access to the MET buffer memory.
  • the MG and MPA memories access the MET buffer memory respectively by the b4 and b5 buses.
  • the MG and MPA modules exchange information and data from or intended to be recorded on the DB and BA disks via the buffer memory.
  • the two modules are also directly connected by a specialized bus b6 for controlling and commanding the MG module by the MPA module.
  • a common oscillator OS directly supplies the MPA module by a line JL6 and the MG module by a line (l. Inverter IV in line 17 shifts the basic cycle transmitted to the MG module by half a period .
  • the TE terminal also includes a MODEM which makes it possible to directly connect the terminal to the telephone network which could be a switched, specialized, public or private network.
  • MODEM manages the encrypted and unencrypted transmission and reception of computer data.
  • Each TE terminal is adapted so that only people can access the terminal who are authorized to do so and able to prove that they hold such an authorization.
  • This particular characteristic of the invention is ensured by the particular structure of the MOA and MPA modules.
  • each person authorized to use the TE terminal is assigned a MOA module which is produced in the form of a removable element which can be inserted into the terminal housing for use of the terminal and removed from the housing after use of the terminal.
  • the MPA module is permanently mounted on the PCI printed circuit board.
  • This module includes in memory the information defining all the authorized users and the limits of their ' right of access to the terminal which can be different from one person to another, while the MOA module has in memory the code d identification of the person to whom it has been assigned and the limits of the right of access which has been given to it.
  • the MOA module is in the form of an element of parallelepipedal shape, which essentially carries a display device DA, a keyboard for example alpha-numeric CL (only the area of the keyboard indicated) and CO connector means at the IF1 interface.
  • a display device DA a keyboard for example alpha-numeric CL (only the area of the keyboard indicated)
  • CO connector means at the IF1 interface.
  • An MOA module of this type is described in French patent application No. 91 03903 which was filed on March 29, 1991 by the applicant for this patent application.
  • the block diagram according to Figure 3 shows the structure of the module.
  • the MPA module has the same structure as the MOA module, but is not equipped with a display device and a keyboard because it is located inside the terminal box.
  • the MOA module comprises a first microprocessor M1 which.
  • microprocessor M2 includes in particular internal registers R to R, a "matrix" memory Mm, a memory of encryption and decryption algorithms Ma, a second microprocessor M2 with which are associated, as interface devices, the display device DA, the control keyboard CL and the connector means CO, a program memory Mp containing the program executed by the microprocessor M2 and a data memory Md.
  • the microprocessor M2 is connected by buses b ⁇ and b9 to the connector device CO and to the memory Md data.
  • the microcomputer device also comprises a memory library for storing subroutines or microprograms comprising the elements which constitute the menu of the microcomputer device and the parameters of which are found in the matrix memory Mm.
  • the microcomputer device further comprises a selector S1 produced in the form of a bidirectional three-state multiplexer which switches the data and address bus b9 of the microprocessor M2 to the bus b10 of the program memory Mp or to the bus b11 of the memory of the firmware library or Mb routines.
  • a second selector S2 forming the office of a switch formed by a " bistable " flip-flop is provided to control the power supply to the microprocessor M2.
  • the device also includes a specific register B3 which connects the microprocessor M1 to the connector device CO.
  • the internal registers Ra to Rx are suitable for storing the key identification codes of the persons who are authorized to have access to the terminal and of the extent or limits of this right of access.
  • the registers of the MPA module thus contain the key identification codes of all authorized users and, associated with each identification key code, the definition of the right of access of the corresponding authorized user.
  • the right of access is generally defined by indication of the standard documents contained in the library memory DB to which an authorized user can have access to request viewing thereof on the screen of the working module MT for the dispatch of this document. after completing it appropriately.
  • the registers of the MOA module contain the key code "identifying the user holder of the module and registers define the access rights conferred on this person, for example by stating the documents accessible to the holder of the MOA module.
  • MOA also includes self-locking and unlock or reactivation key registers.
  • the microprocessor M1 of the MOA and MPA modules is programmed to generate when the comparison of a request for access to the TE terminal with authorization data stored in the registers, does not succeed, a signal to put at rest of the selector switch S1, which leads to the interruption of the electric power supply circuit of the microprocessor M2, and for the MOA also of the display DA and the CL keyboard.
  • the microprocessor M2 is isolated by setting the "high impedance" state of the registers B1 and B2 and of the selector switch S1. The corresponding module and with it the entire terminal are thus put into "sleep".
  • the input / output register B1 is an asynchronous serializer which allows, under the control of the microprocessor M1, the microprocessor M2 to communicate with the outside by means of the connector device which can be of the galvanic or opto-electronic type.
  • the register B2 is a buffer register of the "three state" type which, controlled by the microprocessor M1, controls the access of the microprocessor M2 to the data memory Md.
  • the register B3 is a "series / parallel" register comprising a programmable comparator, which, placed at the interface between the connector CO and the microprocessor M1 is only active during the period when the microprocessor M1 is in the "sleep" state following a negative result during checks or verifications of the identity of the user, the terminal or a request for a document access to which this user is not allowed, as will be described further.
  • the device reactivation key is transferred from the corresponding register of the microprocessor M1, in an auxiliary memory of the comparator register programmable B3. This last one is programmed to compare the content of this auxiliary memory to the messages applied to the CO connector.
  • the observation by the register of a concordance between the compared data conditions the "awakening" of the microprocessor M1 and the initiation of the device reactivation procedure.
  • the MOA module can be reactivated by applying reactivation data to the CO connector when it leaves the terminal or in the inserted state via the MPA module programmed, for example, to apply this data to the MOA, in response to a specific intervention. from outside.
  • the MPA itself can be reactivated by sending reactivation data, for example by the outside network.
  • the document sender station also includes means adapted to ensure that the data to be transmitted are formatted and organized to be transmitted for example according to the telescopic transmission technique.
  • These means could be included in the MPA module.
  • This module is also programmed to perform a data processing allowing to send with the document data a label message containing the identification data of the origin of the document, such as for example those of the editor and identification data. the content of the document.
  • the processing for establishing the content identification data can be of any suitable known type.
  • the treatment technique known under the name LRCR will be used.
  • the binary values of the characters contained in each line of the document are added, the sums of value of the different lines are added and transmitted in the label message the binary sum of each line and the total sum of the binary sums of the different lines. Since the SPPA treatment is known per se, the description of the application of this principle in the invention is 5 sufficient to enable one skilled in the art to implement the establishment of document content identification data .
  • the MPA module is further adapted to establish whether the document content identification data which were sent to the recipient 0 with the label message corresponding to the document content and / or are identical to the document content data included in the acknowledgment message ' returned by the receiving station.
  • the AF module must be adapted to perform the operation decryption.
  • the encryption algorithm performed in the receiving station could consist in adding to the binary value of each line of the document established according to LRCR processing a number that the MPA module could establish from a key which is known to it. For the recognition of the key, any suitable known technique could be used.
  • the MPA microprocessor module is programmed to coordinate the general operation of the TE terminal. It manages the programs for acquiring a document request from the external system via the IF2 interface, checking the validity of access keys and authorization parameters for a requester with regard to the document sought, the encryption and decryption of a document to be sent and its content, generation of serial numbers and document numbers, exchange of data and information with external systems, control and command of the MG microprocessor module. The MPA module also checks the integrity of the content of the messages transmitted or received before entrusting the archiving to the MG module. It should also be noted that the buffer memory MT is of sufficient capacity to contain the software for the specific telecommunication and link protocols with the external systems.
  • its receiving device includes computer equipment making it possible to carry out operations for processing the content of the document received according to the LRCR technique, from comparing the content of the document to the content identification data included in label message received and decryption, according to the specific algorithm of the document content data for the establishment of the acknowledgment message to the sending station of the received document.
  • the TE terminal will be equipped with the means which have just been described as being part of the destination station.
  • the latter could then be equipped with equipment identical to that of the sending station which has been described above in detail with reference to the figures.
  • the document could be an invoice.
  • the employee has an MOA module containing the identification data and the limits of its right of access to the terminal. It should be noted that the programming of the registers Ret to RX of the MPA module was for example done
  • the employee called operator who wishes to send a document from the TE terminal to a destination station introduces the MOA module assigned to her in the T2 terminal and sends, from the keyboard of the MT working module, her number ⁇ d ' identification at the TE terminal.
  • the MPA module first establishes whether this identification number corresponds to one of those stored in the registers of its microprocessor M1. If so, under the control of the MPA module, the MOA module compares the identification number received with that contained in the appropriate register of its microprocessor M1. If the correspondence is established between the number sent and the identification number stored, the terminal TE transmits to the workstation MT the menu of documents stored and referenced in the library memory, that is to say the disk DB. This menu will be displayed on the work module screen.
  • the TE terminal transmits to the work module MT an UNAUTHORIZED access attempt message and self-locks.
  • the locking is carried out in one or the other module. In both cases, unlocking can only be carried out by specific intervention from outside the MOA or MPA module.
  • the operator selects from the keyboard of his working module the document or segment of document which he covets and which he validates.
  • the request is analyzed by the terminal, under the control of the MPA module, having regard to the parameters contained in the registers of the microprocessors M1 of the MPA and MOA modules, that is to say data which define the scope and the limits of the right of access to the terminal, granted to the operator. If the result is correct, the document, accompanied by a provisional serial number of the company, is transmitted and displayed at the MT workstation. Otherwise, the. terminal issues an UNAUTHORIZED access attempt message and self-locks. Following the display of the document on the screen of the MT workstation, the operator processes and completes the document and, at the end of processing, validates it.
  • the document is transmitted to the MPA module so that it calculates the document content identification data which will be integrated into the label message attached to the document.
  • the company identification code, the serial number of the document in the company, the identification data of the document editor and the date and time of issue will also be included in the label message. of the document.
  • the label message displayed on the MT working module is validated by the operator using the keyboard and the MOA module. It is therefore a separate voluntary and considered operation by the operator. If the label message is not validated, the TE terminal transmits a rejection message to the work module which displays the cancellation of the document and the operator must then indicate whether he wishes to return to the selection operation of a new document or stop the procedure.
  • the label sign is validated, the document reference, its content and the label completed with the storage time are recorded on the DA archive disc.
  • the emission label thus completed is transmitted to the MT work module and displayed on the screen thereof.
  • the operator can then, using his keyboard, order the dispatch of the document and the label message associated with its recipient.
  • the document and the label message can be encrypted in any suitable known manner before sending.
  • the receiving device of the receiving station in general the terminal TE thereof, decrypts upon receipt of the document and the label message the document content identification data and compares them to the content of the document. If there is no identity, the recipient's terminal sends a "transmission error" message which will in particular have the effect of requesting the redirection of the document and the cancellation of the previous shipment in the sending station. If the recipient's terminal finds agreement on the result of the comparison, its receiving device, advantageously according to an algorithm different from that which led to the establishment of the label message, processes the content of the document received to obtain identification data. of the content of this document received and prepare an acknowledgment message which will be sent to the sending station.
  • This acknowledgment message contains in particular the order and origin number of the document received, the recipient identification number, the identification number of the receiving operator at the recipient station, the identification data of contents of the document received and the date and time of receipt of the document.
  • the receiving station device also stores the received document and acknowledgment label messages.
  • the terminal of the sending station receives the acknowledgment message, the operator visualizes it on its work module MT and validates it, which causes the transfer of the acknowledgment of receipt to the terminal which will in turn decrypt the data document content identification and compare them to the original content of the document being dispatched. In case of discrepancy, the terminal issue a message AUTHENTICATION NO document, which causes the terminal to be confirm the acknowledgment prior to the cancellation "of the document. In the event of a comparison, the terminal stores the acknowledgment of receipt following the label message on the DA archive disk and will send a compliance message for the exchange of computer data, which ends the sequence of operations. .
  • FIG. 5 an improvement to the TE terminal according to Figure 1 and the structure and operation of which have just been described with reference to Figures 1 to 4.
  • the particularity of this improvement lies in replacing the MDA archive disk module in FIG. 1 with a MAS security archiving module which can be removably mounted on the TE terminal, as shown in FIG. 5.
  • This MAS module is controlled by the removable computer module MOA via an optical connector COP connected to the printed circuit located on the PCI plate which groups together the electronic circuits and links essential for the operation of the terminal, as described above.
  • the connection device from the MAS module to the TE terminal also includes a galvanic CGA connector which supplies the module with power from the main power supply of the TE terminal.
  • FIG. 6 shows the principle of the internal architecture of the MAS security archiving module.
  • This essentially comprises a specific MCA microcircuit corresponding in its structure and operation to the removable computer module MOA according to FIG. 3 and a variable number of high capacity static memories MS of a known type, such as for example memories of the EPROM type and EEPROM, OTP (memories programmable once •), which are controlled by the microcircuit MCA through appropriate circuits designated hereby.
  • the MAS module further comprises a selective energy controller CSE, an optoelectronic transmitter / receiver device ERO adapted to cooperate with the optical connector COP forming part of the terminal TE, and a contact device CA intended to cooperate with the galvanic connector CGA of the TE terminal.
  • the AC contacts capture the electrical energy coming from the CGA connector and distribute it by the circuits below to the memories MS and to the microcircuit MCA through the selective energy controller CSE.
  • FIG. 6 illustrates that all the components MCA, MS, CSE and the connection circuits ci are supported by an appropriate substrate SSI such as for example a combined silicon-ceramic allowing the "stacking" of several layers of memories MS.
  • the assembly is molded in one piece in a BM box preventing any untimely opening of the MAS module.
  • the BM box of parallelepiped shape will advantageously be composed of synthetic resins with very high mechanical and thermal resistance, the composition of which has been established for lead to the physical destruction of the components in the event of an attempt to dissolve the housing, by an acid solution or any other mechanical, thermal and / or vibratory means.
  • FIG. 7 shows in more detail the structure of the MAS module and its connection to the other modules of the TE terminal, in particular the MOA module via the MPA module and the ERO / COP opto-electronic links and the IF1 interface connecting the modules MOA and MPA, as shown in Figure 2.
  • Figure 7 confirms the resemblance between the structures of the MOA module and the MCA microcircuit.
  • microprocessor M1- provided with internal registers now called RGa to RGx adapted to the specific needs of the MAS module, the microprocessor M2, the library memory Mb adapted to receive a specific security program specific to the microprocessor M2, the register of communication B1 and especially the specific register B3 as well as the selector S2, which perform the function described above of locking and unlocking of the module in the event of an abnormality, in connection with the MOA module.
  • the microprocessor M2 is adapted ' to manage ' and access the memories MS by the address bus ba and the data bus bd grouped together in FIG. 6 under the designation Ci.
  • the circuit MCA furthermore comprises a sequential counter for archiving CSA which will be incremented each time a document is archived in the MAS module.
  • This counter is associated with an outgoing archiving register RGad of the microprocessor M1.
  • the counter is controlled by the microprocessor MA.
  • the selective energy controller CSE which is controlled by the M2 microprocessor makes it possible to selectively supply only the memory module addressed by the M2 microprocessor. This arrangement allows minimize the energy requirement of the module and limit the effects of heat dissipation inside the module. It is also thanks to the CSE controller that the MAS module can be implemented as a portable, low-volume module, for example of a rectangular shape.
  • FIG. 8 illustrates an embodiment " of a selective energy controller CSE.
  • This circuit is a specific ASIC circuit controlled by a three-state output buffer memory BL provided in the module MCA.
  • the selective controller CSE comprises a demultiplexer 4 x 16 (decoder) DM0 serving as selector (CHIP SELECT CS) to 16 demultiplexers also of the 4 x 16 type DM1 to DM 16 each of whose outputs controls a transistor TR of the PNP type making it possible to supply a memory module MS as long as the corresponding output of the DM1 demultiplexer is selected.
  • demultiplexer 4 x 16 (decoder) DM0 serving as selector (CHIP SELECT CS) to 16 demultiplexers also of the 4 x 16 type DM1 to DM 16 each of whose outputs controls a transistor TR of the PNP type making it possible to supply a memory module MS as long as the corresponding output of the DM1 demultiplexer is selected.
  • the 4 least significant bits (b -b ,,) of the output buffer memory BL are multiplexed at the inputs of the demultiplexers DM1 to DM16.
  • the 4 most significant bits (b -b-,) of the buffer memory BL are connected to the input of the demultiplexer DM0.
  • a loading instruction of the type L0AD BL XX is sufficient (XX being the hexadecimal value of the number of the box selected MS to select and supply power to a box MS among the 256s. actually power consumption and limit heat dissipation, as noted above.
  • the MAS module actually constitutes an electronic device of " unalterable security, not modifiable, for the archiving and protection of computerized data, such as scanned text or images, coded or non-coded, and makes it possible to provide even non-repudiable probative force, even from a legal point of view, 5 of authenticity and the integrity of a document produced by a computer system such as that shown in Figures 1 and 4.
  • FIG. 9 illustrates the algorithm for marking and identifying MAS modules after their manufacture.
  • the marking and identification process begins with a technical control operation (indicated in 10)
  • the original number of the MAS module considered. This original number consists of the last two digits of the current year, followed by the date indicating the day of initialization by the automaton, by the alphabetical code of the automaton which
  • the automaton characterizes this and by the serial number of the MAS module initialized by the PLC.
  • the automaton is equipped with a counter which is incremented by one step each time a module is manufactured. This serial number counter is reset to zero 5 every day.
  • This numbering system which is simple and safe, allows infinite numbering without risk double identification of a MAS module.
  • the following operation (14) determines whether the MAS module is assigned directly to an end user or whether it is shipped to an intermediate distributor. In the case of direct assignment of the module, the automaton initializes the destination register RGd with a value indicating that the module has been initialized by the control center and transmitted directly to the end user (at 15).
  • the automaton also initializes the register identifying the user RGu (at 16), with the internal identification number of the user. This number identifies the user in the central file of the control center. Finally, the automaton initialized (17) the register RGs of the date of availability of the MAS module to its recipient. This date will be equal to or earlier than the date of commissioning by the user. The automaton also memorizes (in 18) the data resulting from the operations of initialization of the registers RGd, RGu and RGs in the central file on an unalterable support 19 and the program returns (in 20) at the beginning of the cycle, to the operation 10 control to execute the same operation sequence with a new MAS module.
  • FIG. 5 gives the functional flow diagram of the process of using a MAS module and of preserving in the control center the data and characteristics which identify the module used.
  • This figure also illustrates the option offered to the user to duplicate a completed or partially used MAS module, the duplicate being produced identically and automatically kept in the control center.
  • This figure also shows the safety aspect provided by the MAS module according to the invention.
  • the user In an operation prior to the use of a MAS module, the user must submit to the identification and control operations which have been described above and which are specific to the TE terminal according to the invention. Following this operation the control reproduction of user eg the display of the MT document to be issued by the terminal and wishes to register in the SAM module before shipment to the recipient.
  • the document appearing on the screen can be taken out of the terminal's library memory, which implies the carrying out of all the identification and authorization control operations described above, or could have been written using the keyboard. of the MV substation, respecting the verification measures which are provided for this purpose.
  • the use process begins with a verification operation (26) if the MAS module still has sufficient storage capacity to carry out the desired registration operation. This verification is carried out by comparing the volume of information to be transmitted, calculated at the level of operation 25, with the remaining storage capacity. available in the module. The purpose of this control is to avoid fragmentation of the document when archiving on two different MAS modules. If the storage capacity is sufficient, the security program orders the acquisition of the document data and asks the user (at 27) to indicate the coordinates of the recipient of the document. The user executes the request and validates the operation (28). In the event of rejection, the user is returned to operation 25.
  • a verification operation (26) if the MAS module still has sufficient storage capacity to carry out the desired registration operation. This verification is carried out by comparing the volume of information to be transmitted, calculated at the level of operation 25, with the remaining storage capacity. available in the module. The purpose of this control is to avoid fragmentation of the document when archiving on two different MAS modules. If the storage capacity is sufficient, the security program orders the acquisition of the
  • the program will then automatically and successively execute the operations of assigning (30) a chronological number from the archive inside the MAS module, to carry out the archiving (31) of the document in the MAS module, displaying (32) the document and its archived number on the screen, transmitting the document (33) in the manner previously described to its recipient, processing ( 34) the acknowledgment message from the recipient depending on the nature and type of the transmission made, archive (35) the acknowledgment message on the MAS following the document data, request (36) the release of the sequence of operations from the user, complete the archiving (37) of the document data in the MAS module and return (38) to the main program.
  • the program internally integrated security module checks the MCA (40) that the MOA module in place in the TE terminal empowers the user to change the MAS module. In the event of a negative result (41) the program is stopped and an operator authorized to make a change of MAS is called, who of course must prove this authorization by introducing his MOA module in the terminal.
  • the terminal under program control, automatically establishes (42) a telecommunications link with the control center to which it will transmit the contents of the registers of the full module still in place, such as registers RGo, RGd, RGs, RGu, so that this center performs a control of the origin and identity of the module. It will record in the general file the contents of the RGad register containing the serial number of the first archived document, the position of the sequential counter for archiving CSA designating the total number of archived documents and also the current date. These data will be archived (43) in the central file or they will supplement the data already entered previously relating to the full MAS module.
  • the control center will send back (44) an authorization message to change the MAS module.
  • the internal program in the MCA module will automatically transmit (46) the contents of the registers RGo, RGd, RGs, RGu of the new MAS module for- a security check.
  • the control center after the control operation (47) completes the central file 19 with the current date and initialized the starting archiving register RGad with the value of the sequential archiving counter CSA incremented by 1 of the previous MAS module . Then it transmits these values to the calling TE terminal.
  • the internal program of the MCA module in turn initializes the registers RGa (date of commissioning on the terminal) and the register RGad of microprocessor 1 with the values received from the control center (at 48) and will initialize the sequential archiving counter CSA with the value entered in their RGad register.
  • the internal program then sends a commissioning request message (49).
  • the user validates the request and the internal program closes the initialization sequence of the new MAS module and returns ( 50) to the main program in operation 25.
  • the new module is in service, ready to archive the desired computerized document.
  • FIG 11 shows schematically the operations performed by an intermediate distributor to initialize a module
  • the distributor validates his request on his MOA module and the TE terminal automatically transmits the content of the registers RGo and RGs to the control center for control (54) by comparison with the central file of the pending MAS modules (55). After this operation, the control center sends back (56) a message asking the distributor to identify (57) the user.
  • the distributor removes his personal MOA module (58) and introduces (59) the user's MOA module into the TE terminal, which transmits the user's identification details to the control center, i.e. data from registers RGo, RGu etc.
  • control center addresses (61) to the terminal TE a validation message for the local initialization.
  • the MCA module of the TE terminal will transfer the elements of identification of use noted on the module
  • the terminal transmits the data (RGs, RGu) to the control center which updates the file (63) of the MAS modules assigned to user clients. Then it returns (64) a closing authorization message to the terminal TE of the local distributor which will extract (65) the MOA module from the user client, reintroduce (66) its personal MOA module and validate the closure of the initiation of the module MAS, then extract (67) the initialized and identified MAS module to give it to the user client.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un système d'inscription de données informatisées, telles les données d'un document, sur un support d'enregistrement. Ce système est du type comprenant un terminal (TE) adapté pour effectuer l'enregistrement des données et un module de support (MAS) des données enregistrées susceptibles d'être introduites dans le terminal pour l'inscription des données et retirées de celui-ci après cette inscription. Le système est caractérisé en ce que le module (MAS) est réalisé sous forme d'un module d'archivage de sécurité et comprend un dispositif ordinateur pourvu d'une mémoire contenant un programme de mémorisation inaltérable et non modifiable, le dispositif ordinateur comprenant des registres de stockage de données d'identification du module et des inscriptions de données. L'invention est utilisable pour l'archivage de documents.

Description

SYSTEME DE MEMORISATION DE DONNEES :ENFORMATISEES SUR UN SUPPORT D ΈNREGISTREMHOT
L'invention concerne un système de mémorisation de données informatisées sur un support d'enregistrement, du type comprenant un terminal adapté pour effectuer l'enregistrement des données et un module support des données enregistrés susceptible d'être introduit dans le terminal pour l'inscription des données et d'être retiré de ce terminal après l'enregistrement, un procédé de mise à l'état d'utilisation du module support ainsi qu'un procédé de transmission de documents impliquant l'utilisation dudit module support.
Des dispositifs d'enregistrement et des procédés des types indiqués plus haut sont déjà connus. Mais tous les dispositifs support présentent l'inconvénient majeur que les données enregistrées peuvent être recopiées et' modifiées ultérieurement.
La présente invention a pour but de proposer un dispositif d'enregistrement de données et des procédés du type indiqué plus haut, qui assure une protection parfaite des données mémorisées contre des copies- non autorisées et des modifications ultérieures. En d'autres termes, l'invention assure l'authenticité et l'intégrité des données enregistrées de façon que ces données peuvent servir de preuve incontestable même du point de vue juridique.
Pour atteindre ce but, le système d'inscription de données informatisées selon l'invention est caractérisé en ce que le module est réalisé sous forme d'un module d'archivage de sécurité et comprend un dispositif ordinateur pourvu d'une mémoire contenant un programme de mémorisation inaltérable et non modifiable, le dispositif ordinateur comprenant des registres de stockage de données d'identification du module et des
• inscriptions de données.
Selon une caractéristique de l'invention, le système comprend un centre de contrôle comportant un fichier central de tous les modules d'archivage de sécurité fabriqués et des utilisateurs habilités à utiliser les modules.
Selon encore une caractéristique de l'invention, chaque module d'archivage de sécurité comprend un contrôleur sélectif d'énergie, adapté pour assurer l'alimentation en énergie électrique seulement de l'élément de mémoire qui a été adressé sélectivement. Cette caractéristique présente l'avantage que l'énergie consommée par le module et les pertes thermiques dans celui-ci sont fortement limitées.
Le procédé de mise à l'état d'utilisation de module d'archivage de sécurité selon l'invention est caractérisé en ce qu'après la fabrication d'un module, celui-ci est identifié par inscription de son numéro d'origine et des données d'identification - du destinataire du module dans des registres d'identification prévus dans le module, et en ce que les contenus de ces registres sont inscrits dans un fichier du centre de contrôle.
Le procédé de transmission de document par une ligne de transmission de signaux électriques d'un poste expéditeur à un poste destinataire, impliquant l'utilisation d'un module d'archivage de sécurité selon l'invention est caractérisé en ce que le poste expéditeur envoie avec le document un message de label comprenant en plus des données d'identifications de l'expéditeur, les données d'identification contenues du document, que le poste destinataire envoie au poste expéditeur un message d'accusé de réception comprenant les données d'identification du destinataire et du contenu du document reçu par ce dernier et que les données relatives au document sont mémorisées sur le module selon l'invention, avec les données de label et d'accusé de réception.
L'invention sera mieux comprise, et d'autres buts, caractéristiques, détails et avantages de celle-ci apparaîtront plus clairement au cours de la description explicative qui va suivre faite en référence aux dessins schématiques annexés donnés uniquement à titre d'exemple illustrant un mode de réalisation de l'invention, et dans lesquels :
La figure 1 est une vue en perspective de l'équipement d'un poste expéditeur de documents d'un système de transmission de documents, utilisé dans le cadre de la présente invention.
La figure 2 montre sous forme d'un schéma bloc la structure du poste expéditeur selon la figure 1.
La figure 3 est un schéma bloc du module d'ordinateur amovible MOA de la figure 2.
La figure 4 montre l'organigramme illustrant le fonctionnement du poste expéditeur selon la figure 1. La figure 5 est une vue en perspective similaire à la figure 1, d'un mode de réalisation perfectionné de l'équipement d'un poste expéditeur de documents d'un système de transmission de documents selon la présente invention.
La figure 6 est une vue schématique en perspective du module d'archivage de sécurité MAS indiqué sur la figure 5.
La figure 7 illustre, sous forme d'un schéma bloc, la structure du module d'archivage de sécurité selon la figure 6, à l'état électriquement connecté au . terminal TE selon la figure 5.
La figure 8 est un schéma bloc notamment du contrôleur sélectif d'énergie CSE de la figure 7-
La figure 9 illustre sous forme d'un organigramme le processus de contrôle et d'identification d'un module d'archivage de -sécurité MAS selon l'invention.
La figure 10 illustre sous forme d'un organigramme fonctionnel le processus d'utilisation d'un module d'archivage de sécurité MAS selon l'invention.
La figure 11 est une représentation schématique -de l'opération d'initialisation d'un module d'archivage de sécurité MAS selon l'invention chez un distributeur local.
La figure 1 montre un terminal d'échange de données informatisées TE et un module de commande ou de travail MT associé au terminal, qui constituent l'équipement essentiel d'un poste expéditeur d'un système de transmission de documents par ligne de transmission de signaux électriques, utilisé dans le cadre' de la présente invention.
Le terminal TE comprend essentiellement un ensemble ordinateur se composant d'un module ordinateur amovible MOA, d'un dispositif à microprocesseur MPA, un module disque bibliothèque MDB comportant des moyens enregistreurs-lecteurs de données mémorisées sur un disque bibliothèque amovible DB, un module disque archive MDA pourvu de moyens enregistreurs-lecteurs de données mémorisées sur un disque archive DA et une plaque de circuits imprimés PCI portant les circuits électroniques de contrôle et de commande des différents dispositifs et modules du terminal. Les deux modules MDB et MDA sont montés de façon amovible dans un boîtier de forme générale parallélépipédique . Le module MOA est également réalisé sous forme d'un élément autonome amovible comme cela est clairement illustré à la figure 1. Le module de travail extérieur MT d'un type connu en soi comprenant un écran de visualisation et un clavier de commande est susceptible d'être relié au terminal TE par un câble CAB.
La figure 2 montre, sous fourme d'un schéma bloc, plus en détail la structure du terminal TE et l'interconnexion des différents dispositifs et modules qui le compose. A part les modules amovibles MOA, MDA et MDB, ceux-ci sont montés sur la plaque de circuits imprimés PCI.
On constate que le MOA est relié par une interface appropriée, avantageusement du type opto-électrique IF1 à un bus série b1 relié au module MPA. Le module ordinateur MPA communique avec les systèmes de traitement de l'information extérieurs, tels que le module de travail MT par un bus série b2 relié à une interface IF2 de connexion au câble CAB. Les modules de disque bibliothèque MDB et archive MDA sont gérés par un module de gestion MG qui comunique à cette fin avec ces deux modules par des liaisons spécialisées jj , J 2. Le module MG commande également les deux verrous électroniques V1 , V2 par des liaisons spécialisées i.3. 14. Ces verrous permettent les déplacements et l'accès aux disques DB et DA. Ces verrous ne sont pas décrits plus en détail car ils sont du type connu en soi et utilisés par exemple pour le déplacement de disques numériques dans une chaîne HI FI. Le module de gestion MG est adapté pour gérer l'enregistrement et la lecture de données numérisées sur les disques DA et DB.
Les modules MG -et MPA communiquent entre eux par l'intermédiaire d'une mémoire tampon MET au moyen d'un bus bidirectionnel de ligne b3 qui contrôle l'accès à la mémoire tampon MET. Les mémoires MG et MPA accèdent à la mémoire tampon MET respectivement par les bus b4 et b5. Les modules MG et MPA s'échangent les informations et données issues ou destinées à être enregistrées sur les disque DB et BA par l'intermédiaire de la mémoire tampon. Les deux modules sont aussi reliés directement par un bus spécialisé b6 de contrôle et de commande du module MG par le module MPA.
Selon un principe également connu un oscillateur commun OS alimente directement le module MPA par une ligne JL6 et le module MG par une ligne ( l . On inverseur IV dans la ligne 17 décale d'une demi-période le cycle de base transmis au module MG.
Le terminal TE comprend encore un MODEM qui permet de relier directement le terminal au réseau téléphonique qui pourrait être un réseau commuté, spécialisé, publique ou privé. Le MODEM gère l'émission et la réception cryptées ou non des données informatiques. Chaque terminal TE est adapté pour que seulement des personnes puissent avoir accès au terminal qui sont habilités à le faire et en mesure de prouver d'être titulaire d'une telle autorisation. Cette caractéristique particulière de l'invention est assurée par la structure particulière des modules MOA et MPA. A cette fin, on attribue à chaque personne autorisée à utiliser le terminal TE un module MOA qui est réalisé sous forme d'un élément amovible qui peut être inserré dans le boîtier du terminal en vue d'une utilisation du terminal et enlevé du boîtier après l'utilisation du terminal. Le module MPA est monté à demeure sur la plaque de circuits imprimés PCI. Ce module comprend en mémoire les informations définissant l'ensemble des utilisateurs autorisés et les limites de leur ' droit d'accès au terminal qui peut être différent d'une personne à l'autre, tandis que le module MOA a en mémoire le code d'identification de la personne à laquelle il a été attribué et les limites du droit d'accès qui lui a été donné.
Pour pouvoir accomplir la fonction qui vient d'être décrite, le module MOA se présente sous forme d'un élément de forme parallélépipédique , qui porte essentiellement un dispositif d'affichage DA, un clavier par exemple alpha-numérique CL (seulement la zone du clavier indiquée) et des moyens connecteurs CO à l'interface IF1. Un module MOA de ce type est décrit dans la demande de brevet français n° 91 03903 qui a été déposée le 29 Mars 1991 par le déposant de la présente demande de brevet. Le schéma bloc selon la figure 3 montre la structure du module. Le module MPA présente la même structure que le module MOA, mais n'est pas équipé d'un dispositif d'affichage et d'un clavier du fait qu'il est situé à l'intérieur du boîtier de terminal. Comme le montre la figure 3, le module MOA comprend un premier microprocesseur M1 qui. comporte notamment des registres internes R à R , une mémoire "matricielle" Mm, une mémoire d'algorithmes de cryptage et de décryptage Ma, un deuxième microprocesseur M2 auquel sont associés, comme dispositifs d'interface, le dispositif d'affichage DA, le clavier de commande CL et les moyens connecteurs CO, une mémoire de programme Mp contenant le programme qu'exécute le microprocesseur M2 et une mémoire de données Md. Le microprocesseur M2 est relié par des bus bδ et b9 au dispositif connecteur CO et à la mémoire de données Md.
Le dispositif micro-ordinateur comprend encore une mémoire bibliothèque de stockage de sous-programmes ou microprogrammes comportant les éléments qui constituent le menu du dispositif micro-ordinateur et dont les paramètres se trouvent dans la mémoire matricielle Mm. Le dispositif micro-ordinateur comprend en outre un sélecteur S1 réalisé sous forme d'un multiplexeur bidirectionnel à trois états qui commute le bus de données et d'adresses b9 du microprocesseur M2 vers le bus b10 de la mémoire de programme Mp ou vers le bus b11 de la mémoire de bibliothèque de microprogrammes ou sous-programmes Mb. On constate en outre la présence de registres de communication B1 et B2 dans les bus b8 et b9, par l'intermédiaire desquels le microprocesseur M2 peut communiquer avec le dispositif connecteur CO et la mémoire de données Md. Un deuxième sélecteur S2 formant office d'un interrupteur et formé par une bascule "bistable est prévu pour contrôler l'alimentation en énergie du microprocesseur M2. Le dispositif comprend encore un registre spécifique B3 qui relie le microprocesseur M1 au dispositif connecteur CO.
Sur la figure 3. des lignes simples montrent des circuits de commande et de contrôle. On constate que les registres B1, B2 et B3 ainsi que les sélecteurs S1 et S2 sont commandés par le microprocesseur M1.
Les reg °istres internes Ra à Rx sont adaptés pour stocker les codes clés d'identification des personnes qui sont autorisés à avoir accès au terminal et de l'étendue ou des limites de ce droit d'accès. Les registres du module MPA contiennent ainsi les codes clés d'identification de tous les utilisateurs autorisés et, associée à chaque code clé d'identification, la définition du droit d'accès de l'utilisateur autorisé correspondant. Le droit d'accès est défini en général par indication des documents standard contenus dans la mémoire bibliothèque DB auquel un utilisateur autorisé peut avoir accès pour en demander la visualisation sur l'écran du module de travail MT en vue de l'expédition de ce document après l'avoir complété de façon appropriée. On pourrait également réserver un registre à des données d'auto-blocage ou auto-verrouillage et de clé de déverrouillage, c'est-à-dire de réactivation du module, comme cela sera décrit plus loin. Un tel déverrouillage pourrait être commandé à distance via le réseau de transmission de données. Les registres du module MOA contiennent le code clé" d'identification de l'utilisateur titulaire du module et des registres définissent les droits d'accès conférés à cette personne, par exemple par 1'énonciation des documents accessibles au titulaire du module MOA. Le MOA comprend également des registres d'auto-verrouillage et de clé de déverrouillage ou de réactivation.
Pour produire l'effet de l'auto-verrouillage, le microprocesseur M1 des modules MOA et MPA est programmé pour engendrer lorsque la comparaison d'une demande d'accès au terminal TE aux données d'autorisation stockées dans les registres, n'aboutit pas, un signal de mise au repos du sélecteur interrupteur S1, ce qui entraîne la coupure du circuit d'alimentation en énergie électrique du microprocesseur M2, et pour le MOA aussi de l'afficheur DA et du clavier CL. Le microprocessuer M2 est isolé par la mise à l'état "haute impédance" des registres B1 et B2 et du sélecteur commutateur S1. Le module correspondant et avec lui le terminal entier sont ainsi mis en "sommeil".
Le registre d'entrée/sortie B1 est un sérialisateur asynchrone qui permet, sous le contrôle du microprocesseur M1 , au microprocesseur M2 de communiquer avec l'extérieur au moyen du dispositif connecteur pouvant être du type galvanique ou opto-électronique.
Le registre B2 est un registre tampon du type "trois états" qui, commandé par le microprocesseur M1 , contrôle l'accès du microprocesseur M2 à la mémoire de données Md.
Le registre B3 est un registre "série/parallèle" comportant un comparateur programmable, qui, placé en interface entre le connecteur CO et le microprocesseur M1 n'est actif que pendant la période où le microprocesseur M1 est à l'état de "sommeil" à la suite d'un résultat négatif lors des contrôles ou vérifications de l'identité de l'utilisateur, du terminal ou d'une demande d'un document l'accès auquel n'est pas permis à cet utilisateur, comme il sera décrit plus loin. En réponse à la constatation d'une anomalie comme celle qui vient d'être invoquée, entraînant la mise en sommeil du module, la clé de réactivation de l'appareil est transférée du registre correspondant du microprocesseur M1 , dans une mémoire auxiliaire du registre comparateur programmable B3. Ce dernier est programmé pour comparer le contenu de cette mémoire auxiliaire aux messages appliqués au connecteur CO. La constatation par le registre d'une concordance entre les données comparées conditionne le "réveil" du microprocesseur M1 et l'enclenchement de la procédure de réactivation de l'appareil.
Le module MOA est réactivable par application des données de réactivation au connecteur CO lorsqu'il est sorti du terminal ou à l'état inserré par l'intermédiaire du module MPA programmé par exemple pour appliquer ces données aux MOA, en réponse à une intervention spécifique provenance de l'extérieur. Le MPA lui-même peut être réactivé par l'envoi des données de réactivation par exemple par le réseau extérieur.
Pour compléter la description du poste expéditeur de documents, il comprend également des moyens adaptés pour assurer que les données à transmettre soient mises eh forme et organisées pour être transmises par exemple selon la technique de transmission par télescopie. Ces moyens pourraient être inclus dans le module MPA. Ce module est également programmé pour effectuer un traitement des données permettant d'émettre avec les données de document un message de label contenant les données d'identification de l'origine du document, telles que celles par exemple du rédacteur et des données d'identification du contenu du document. Le traitement pour établir les données d'identification du contenu peut être de tout type connu approprié. Avantageusement on utilisera la technique de traitement connue sous la dénomination LRCR. Dans l'application de cette technique à l'invention, on additionne les valeurs binaires des caractères contenus dans chaque ligne du document, additionne les sommes de valeur des différentes lignes et transmet dans le message de label la somme binaire de chaque ligne et la somme totale des sommes binaires des différentes lignes. Etant donné que le traitement LRCR est connu en soi, la description de l'application de ce principe à l'invention est 5 suffisante pour permettre à un homme de métier de mettre en oeuvre l'établissement des données d'identification du contenu du document. Le module MPA est en outre adapté pour' établir si les données d'identi- fication du contenu du document qui étaient envoyées au destinataire 0 avec le message de label correspondant au contenu du document et/ou sont identiques aux données de contenu de documents comprises dans le message d'accusé de réception' renvoyé par le poste destinataire. Si, comme cela sera avantageusement le cas, l'algorithme de J cryptage des données de contenu de document est différent de celui qui a été utilisé pour l'établissement du message de label, le module MPA doit être adapté pour effectuer l'opération de décryptage. L'algorithme de cryptage effectué dans le poste récepteur pourrait consister à ajouter à la valeur binaire de chaque ligne du document établie selon le traitement LRCR un nombre que le module MPA pourrait établir à partir d'une clé qui lui est connue. Pour la reconnaissance de la clé, toute technique connue appropriée pourrait être utilisée.
Le module à microprocesseur MPA est programmé pour coordonner le fonctionnement général du terminal TE. Il gère les programmes d'acquisation de demande d'un document venant du système extérieur par l'interface IF2, le contrôle de la validité des clés d'accès et des paramètres d'habilitation d'un demandeur eu égard du document recherché, le cryptage et le décryptage d'un document à émettre et de son contenu, la génération des numéros d'ordre et numéros de documents, l'échange des données et informations avec les systèmes extérieurs, le contrôle et la commande du module à microprocesseur MG. Le module MPA vérifie en outre l'intégrité du contenu des messages transmis ou reçus avant d'en confier l'archivage au module MG. Il est encore à noter que la mémoire tampon MT est d'une capacité suffisante pour contenir les logiciels des protocoles de télécommunication et de liaison spécifiques avec les systèmes extérieurs.
Concernant le poste destinataire (non représenté) son dispositif récepteur comprend un équipement informatique permettant d'effectuer les opérations de traitement du contenu du document reçu selon la technique LRCR, de la comparaison du contenu du document aux données d'identification de contenu comprises dans le message de label reçu et décryptage, selon l'algorithme spécifique des données de contenu de documents pour l'établissement du message d'accusé de réception à destination du poste expéditeur du document reçu.
Bien entendu pour assurer une transmission de données bidirectionnelle, selon la présente invention, le terminal TE sera équipé des moyens qui viennent d'être décrits comme faisant partie du poste destinataire. Ce dernier pourrait alors' être équipé d'un équipement identique à celui du poste expéditeur qui a été décrit plus haut de façon détaillée en se référant aux figures.
On décrira ci-après en se référant à la figure .. les étapes essentielles du procédé selon l'invention pour la transmission d'un document.
Il pourrait s'agir d'une personne employée d'une entreprise qui souhaite transmettre un document stocké sous une forme standard dans la mémoire de bibliothèque
DB. Le document pourrait être une facture. L'employé possède un module MOA contenant les données d'identi¬ fication et des limites de son droit d'accès au terminal. Il est à noter que la- programmation des registres Ret à RX du module MPA a par exemple été fait
5 par le chef de l'entreprise. C'est bien lui aussi qui peut être seul habilité à déverrouiller un MOA verrouillé. Le déverrouillage du module MPA pourrait être réservé à encore une autre personne. On obtient ainsi un système avec plusieurs seuils de sécurité.
L'employée appelée opérateur qui souhaite envoyer un document à partir du terminal TE à un poste destinataire, introduit le module MOA qui lui est attribué dans le terminal T2 et envoie, à partir du clavier du module de travail MT, son numéro ^ d'identification au terminal TE. Le module MPA établit tout d'abord si ce numéro d'identification correspond à l'un de ceux qui sont stockés dans les registres de son microprocesseur M1. Dans l'affirmative, sous la commande du module MPA, le module MOA compare le numéro d'identification reçu à celui contenu dans le registre approprié de son microprocesseur M1. Si la concordance est établie entre le numéro envoyé et le numéro d'identification stocké, le terminal TE transmet au poste de travail MT le menu des documents stockés et référencés dans la mémoire bibliothèque, c'est-à-dire le disque DB. Ce menu sera affiché sur l'écran du module de travail. S'il n'y a pas de concordance, le terminal TE transmet au module de travail MT un message de tentative d'accès NON AUTORISE et s'autoverrouille. Selon que l'anomalie constatée est localisée au niveau du microprocesseur M1 du module MPA ou du module MOA, le verrouillage s'effectue dans l'un ou l'autre module. Dans les deux cas, le déverrouillage ne peut être effectué que 'par intervention spécifique de l'extérieur au module MOA ou MPA. Après reconnaissance de la concordance et l'affichage du menu au module de travail MT, l'opérateur sélectionne à partir du clavier de son module de travail le document ou segment de document qu'il convoite et qu'il valide. La demande est analysée par le terminal, sous la commande du module MPA, eu égard des paramètres contenus dans les registres des microprocesseurs M1 des modules MPA et MOA, c'est-à-dire des données qui définissent l'étendue et les limites du droit d'accès au terminal, accordé à l'opérateur. Si le résultat e.st correct, le document, accompagné d'un numéro d'ordre provisoire de l'entreprise est transmis et affiché au poste de travail MT. Dans le cas contraire, le. terminal émet un message de tentative d'accès NON AUTORISE et s'autoverrouille. A la suite de l'affichage du document sur l'écran du poste de travail MT, l'opérateur exploite et complète le document et, en fin de traitement, valide celui-ci. Le document est transmis au module MPA pour que celui-ci calcule les données d'identification de contenu du document qui seront intégrées au message de label attaché au document. On intégrera également dans le message de label le code d'identification de l'entreprise, le numéro d'ordre du document dans l'entreprise, les données d'identification du rédacteur du document et la date et T'heure de l'émission du document. Le message de label visualisé au module de travail MT est validé par l'opérateur au clavier et du module MOA. Il s'agit donc d'une opération distincte volontaire et réfléchie de l'opérateur. Si le message de label n'est pas validé, le terminal TE transmet un message de rejet au module de travail qui affiche l'annulation du document et l'opérateur doit alors indiquer s'il souhaite retourner à l'opération de sélection d'un nouveau document ou arrêter la procédure.
Le signe de label est validé, la référence du document, son contenu et le label complété de l'heure de mémorisation sont enregistrés sur le disque archive DA.
Le label d'émission ainsi complété est transmis au module de travail MT et affiché à l'écran de celui-ci. L'opérateur peut alors, à l'aide de son clavier, commander l'expédition du document et du message de label associés à son destinataire. Le document et le message de label peuvent être cryptés de toute façon appropriée connue, avant l'envoi.
Le dispositif récepteur du poste destinataire, en général le terminal TE de celui-ci, décrypte à la réception du document et du message de label les données d'identification de contenu de document et les compare au contenu du document. S'il n'y a pas d'identité, le terminal du destinataire émet un message "erreur de transmission" qui aura notamment pour effet de demander la réexpédition du document et l'annulation de l'envoi précédant dans le poste expéditeur. Si le terminal du destinateur constate la concordance sur le résultat de la comparaison, son dispositif récepteur, avantageusement selon un algorithme différent de celui ayant abouti à l'établissement du message de label, traite le contenu du document reçu pour obtenir des données d'identification de contenu de ce document reçu et confectionne un message d'accusé de réception qui sera transmis au poste expéditeur. Ce message d'accusé de réception contient notamment le numéro d'ordre et d'origine du document reçu, le numéro d'identification du destinataire, le numéro d'identification de l'opérateur réceptionnaire au poste destinataire, les données d'identification de contenu du document reçu et la date et l'heure de réception du document. Le dispositif du poste destinataire mémorise aussi le document reçu et les messages de label d'accusé de réception. Le terminal du poste expéditeur reçoit le message d'accusé de réception, l'opérateur le visualise à son module de travail MT et le valide, ce qui provoque le transfert de l'accusé de réception au terminal qui va à son tour décrypter les données d'identification de contenu de document et les comparer au contenu initial du document expédié. En cas de discordance, le terminal émettra un message de NON AUTHENTIFICATION du document, ce qui amène le terminal à se faire confirmer l'accusé de réception avant de procéder à l'annulation' du document. En cas de concordance de la comparaison, le terminal mémorise l'accusé de réception à la suite du message de label sur le disque archive DA et enverra un message de conformité de l'échange de données informatiques, ce qui termine la séquence d'opérations.
Ainsi le système selon l'invention, qui vient d'être décrit, implique l'établissement des éléments de preuves formelles et irréfutables du contenu, de l'origine et de la réception du document expédié.
En se reportant aux figures 5 à 11 on décrira ci-après un perfectionnement au terminal TE selon la figure 1 et dont la structure et le fonctionnement viennent d'être décrits en se reportant aux figures 1 à 4. La particularité de ce perfectionnement réside dans le remplacement du module disque archive MDA de la figure 1 par un module d'archivage de sécurité MAS qui est susceptible d'être monté amoviblement sur le terminal TE, comme le montre la figure 5. Ce module MAS est contrôlé par le module ordinateur amovible MOA par l'intermédiaire d'un connecteur optique COP relié au circuit imprimé se trouvant sur la plaque PCI qui regroupe les circuits et liaisons électroniques indispensables au fonctionnement du terminal, comme cela a été décrit plus haut. Le dispositif de connexion électrique du module MAS au terminal TE comprend également un connecteur galvanique CGA qui assure l'alimentation en énergie du module à partir du bloc d'alimentation principal du terminal TE.
La figure 6 montre le principe de l'architecture interne du module d'archivage de sécurité MAS. Celui-ci comprend essentiellement un microcircuit spécifique MCA correspondant dans sa structure et son fonctionnement au module ordinateur amovible MOA selon la figure 3 et un nombre variable de mémoires statiques MS de grande capacité d'un type connu, comme par exemple des mémoires du type EPROM et EEPROM, OTP (mémoires programmables une •fois), qui sont -commandées par le microcircuit MCA au travers des circuits appropriés désignés par ci. Le module MAS comprend en outre un contrôleur sélectif d'énergie CSE, un dispositif émetteur/récepteur opto-électronique ERO adapté pour coopérer avec le connecteur optique COP faisant partie du terminal TE, et un dispositif de contact CA destinés à coopérer avec le connecteur galvanique CGA du terminal TE. Les contacts CA captent l'énergie électrique provenant du connecteur CGA et la distribuent par les circuits ci aux mémoires MS et au microcircuit MCA au travers du contrôleur sélectif d'énergie CSE.
La figure 6 illustre que tous les composants MCA, MS, CSE et les circuits de liaison ci sont supportés par un substrat approprié SSI tel que par exemple un combiné de silicium-céramique permettant "l'empilage" de plusieurs couches de mémoires MS. L'ensemble est moulé en une seule pièce dans un boîtier BM interdisant toute ouverture intempestive du module MAS. Le boîtier BM de forme parallélépipèdique sera composé avantageusement de résines de synthèse à très haute résistance mécanique et thermique dont la composition a été établie pour entraîner la destruction physique des composants en cas d'une tentative de dissolution du boîtier, par une solution acide ou tout autre moyen mécanique, thermique et/ou vibratoire.
La figure 7 montre plus en détail la structure du module MAS et sa connexion aux autres modules du terminal TE, notamment le module MOA par l'intermédiaire du module MPA et les liaisons opto-électroniques ERO/COP et l'interface IF1 reliant les modules MOA et MPA, comme le montre la figure 2. La figure 7 confirme la ressemblance entre les structures du module MOA et du microcircuit MCA. Dans ce dernier on retrouve le microprocesseur M1- pourvu de registres internes maintenant dénommés RGa à RGx adaptés aux besoins spécifiques du module MAS, le microprocesseur M2, la mémoire bibliothèque Mb adaptée pour recevoir un programme de sécurité particulier spécifique au microprocesseur M2, le registre de communication B1 et surtout le registre spécifique B3 ainsi- que le sélecteur S2 , qui accomplissent la fonction décrite plus haut du verrouillage et déverrouillage du module en cas d'une anormalité, en rapport avec le module MOA. Le microprocesseur M2 est adapté 'pour gérer' et accéder aux mémoires MS par le bus d'adresse ba et le bus de données bd regroupés sur la figure 6 sous la désignation Ci. Le circuit MCA comprend en outre un compteur séquentielle d'archivage CSA qui sera incrémenté à chaque archivage d'un document dans le module MAS. A ce compteur est associé un registre d'archivage départ RGad du microprocesseur M1. Le compteur est commandé par le microprocesseur MA.
Le contrôleur sélectif d'énergie CSE qui est piloté par le microprocesseur M2 permet d'alimenter, de manière sélective, uniquement le module de mémoire adressée- par le microprocesseur M2. Cette disposition permet de réduire au minimum le besoin d'énergie du module et limite les effets de dissipation thermique à l'intérieur du module. C'est aussi grâce au contrôleur CSE que le module MAS est réalisable comme module portable de faible volume, d'une forme par exemple parallélépipèdique.
La figure 8 illustre un mode de réalisation "d'un contrôleur sélectif d'énergie CSE. Ce circuit est un circuit ASIC spécifique commandé par une mémoire tampon de sortie trois états BL prévu dans le module MCA. Le contrôleur sélectif CSE comprend un démultiplexeur 4 x 16 (décodeur) DM0 servant de sélecteur (CHIP SELECT CS) à 16 démultiplexeurs également du type 4 x 16 DM1 à DM 16 dont chacune des sorties commande un transistor TR du type PNP permettant d'alimenter un module mémoire MS aussi longtemps que la sortie correspondante du démultiplexeur DM1 est sélectée.
Selon le schéma de la figure 8, les 4 bits de poids faible (b -b,,) de la mémoire tampon de sortie BL sont multiplexes aux entrées des démultiplexeurs DM1 à DM16. Les 4 bits de poids forts (b -b-,) de la mémoire tampon BL sont reliés à l'entrée du démultiplexeur DM0. Ainsi, selon ce schéma il suffit d'une instruction de chargement du type L0AD BL XX (XX étant la valeur hexadécimale du numéro du boîtier choisi MS pour sélectionner et alimenter en énergie un boîtier MS parmi les 256. Le contrôleur CSE permet donc de réduire effectivement la consommation d'énergie et de limiter la dissipation thermique, comme cela a été indiqué plus haut.
En se référant aux figures 9 à 11, on démontrera ci-après que- le module MAS constitue réellement un dispositif électronique de" sécurité inaltérable, non modifiable, pour l'archivage et la protection de données informatisées, telles que des textex images numérisés, codés ou non codés, et permet d'apporter même la force probante non répudiable, même du point de vue juridique, 5 de l'authenticité et de l'intégrité d'un document produit par un système informatique tel que celui qui est représenté aux figures 1 et 4.
Il est à noter que tous les modules MAS qui sont 10 fabriqués sont inscrits dans un fichier central se trouvent dans un centre de contrôle. Toutes les données qui caractérisent un module MAS et sont énoncées ci-après sont mémorisées dans ce fichier central d'une façon inaltérable, non répudiable.
15
La figure 9 illustre l'algorithme de marquage et d'identification des modules MAS après leur fabrication. Le processus de marquage et d'identification commence par une opération de contrôle technique (indiquée en 10)
20 qui est suivie d'une opération de sélection (11) au cours de laquelle les modules MAS qui se sont avérés défectueux sont immédiatement détruits (en 12) alors que les modules qualifiés sont initialisés (en 25) par l'automate. Cet automate enregistre dans le registre RG
25 du microprocesseur M1 le numéro- d'origine du module MAS considéré. Ce numéro d'origine est constitué par les deux derniers chiffres .de l'année en cours, suivis du quantième indiquant le jour de l'initialisation par l'automate, par le code alphabétique de l'automate qui
30 caractérise celui-ci et par le numéro d'ordre du module MAS initialisé par l'automate. Pour la détermination du numéro d'ordre, l'automate est équipé d'un compteur qui est incrémenté d'un pas à chaque fabrication d'un module. Ce compteur de numéro d'ordre est remis à zéro 5 chaque jour. Ce système de numérotation, qui est simple et sur, permet une numérotation infinie sans risque d'une double identification d'un module MAS. L'opération suivante (14) détermine si le module MAS est affecté directement à un utilisateur final ou s'il est expédié à un distributeur intermédiaire. Dans le cas de l'affectation directe du module, l'automate initialisé le registre de destination RGd avec une valeur indiquant que le module a été initialisé par le centre de contrôle et transmis directement à l'utilisateur final (en 15). L'automate initialisé aussi le registre identifiant l'utilisateur RGu (en 16), avec le numéro d'identification interne de l'utilisateur. Ce numéro identifie l'utilisateur dans le fichier central du centre de contrôle. Enfin l'automate initialisé (17) le registre RGs de la date de la mise à disposition du module MAS à son destinataire. Cette date sera égale ou antérieure à la date de mise en service chez l'utilisateur. L'automate mémorise également (en 18) les données issues des opérations d'initialisation des registres RGd, RGu et RGs dans le fichier central sur un support 19 inaltérable et le programme retourne (en 20) au début du cycle, à l'opération 10 de contrôle pour exécuter la même séquence d'opération avec un nouveau module MAS.
Dans le cas d'une affectation non directe du module MAS après l'initialisation de son registre RGo (en 13), c'est-à-dire à un intermédiaire tel qu'un distributeur, l'automate initialisé le registre RGd (en 21) avec une valeur identifiant le distributeur auquel le module est confié. Il mémorise ensuite (en 22) la valeur des registres RGo et RGd dans un fichier d'attente 23 de mise en service ultérieure. Le programme retourne au départ du cycle (en 24). L'automate pourrait alors exécuter le processus d'identification selon la figure 9 pour un nouveau module MAS» La figure 5 donne l'organigramme fonctionnel du processus d'utilisation d'un module MAS et de conservation dans le centre de contrôle des données et caractéristiques qui identifient le module utilisé. Cette figure illustre également la faculté offerte à l'utilisateur de dupliquer un module MAS rempli ou partiellement utilisé, le duplicata étant réalisé à l'identique et automatiquement est conservé dans le centre de contrôle. Cette figure fait également apparaître l'aspect de sécurité procuré par le module MAS selon l'invention.
Dans une opération préalable à l'utilisation d'un module MAS, l'utilisateur doit se soumettre aux opérations d'identification et de contrôle qui ont été décrites plus haut et sont spécifiques du terminal TE selon l'invention. A la suite de cette opération l'utilisateur commande la reproduction sur par exemple l'écran de visualisation MT du document qui doit être émis par le ' terminal et qu'il souhaite inscrire dans le module MAS avant l'expédition à son destinataire. Le document apparaissant sur l'écran peut être sorti de la mémoire bibliothèque du terminal ce qui implique le déroulement de l'ensemble des opérations de contrôle d'identification et d'autorisation précédemment décrits, ou a pu être inscrit à l'aide du clavier du poste MT, en respectant les mesures de vérification qui sont prévues à cette fin.
Le processus d'utilisation commence par une opération de vérification (26) si le module MAS dispose encore d'une capacité de stockage suffisante pour effectuer l'opération d'inscription souhaitée. Cette vérification est effectuée par la comparaison du volume d'informations à transmettre, calculé au niveau de l'opération 25, a la capacité de stockage restant disponible dans le module. Ce contrôle a pour objet d'éviter une fragmentation du document lors de l'archivage sur deux modules MAS différents. Si la capacité de stockage est suffisante, le programme de sécurité ordonne l'acquisition des données de document et demande à l'utilisateur (en 27) de lui indiquer les coordonnées du destinataire du document. L'utilisateur exécute la demande et valide l'opération (28). En cas de rejet, l'utilisateur est renvoyé à l'opération 25. Le programme fera ensuite exécuter automatiquement et successivement les opérations d'attribuer (30) un numéro chronologique d'archivé à l'intérieur du module MAS, de procéder à l'archivage (31) du document dans le module MAS, d'afficher (32) le document et son numéro d'archivé sur l'écran, de transmettre le document (33) de la manière précédemment décrite à son destinataire, de traiter (34) le message de l'accusé de réception en provenance du destinaire selon la nature et le type de la transmission effectuée, d'archiver (35) le message d'accusé de réception sur le MAS à la suite des données de document, de demander (36) la libération de la séquence d'opérations à l'utilisateur, de clôturer l'archivage (37) des données de documents dans le module MAS et de revenir (38) au programme principal.
S'il s'avère que le volume de stockage encore disponible dans le module MAS en place dans le terminal TE est insuffisant pour l'inscription complète des données de document, le programme ' interne de sécurité intégré au module MCA vérifie (40) que le module MOA en place dans le terminal TE habilite bien l'utilisateur à procéder au changement de module MAS. En cas de résultat négatif (41) le programme est arrêté et un opérateur habilité pour effectuer un changement de MAS est appelé qui bien entendu doit prouver cette habilitation en introduisant son module MOA dans le terminal. S'il s'avère qu'à travers la vérification du MOA, que l'utilisateur est habilité à remplacer le module MAS plein par un nouveau module, le terminal, sous la commande du programme, établit automatiquement (42) une liaison de télécommunication avec le centre de contrôle auquel il transmettra les contenus des registres du module plein encore en place, tels que des registres RGo, RGd, RGs, RGu, pour que ce centre effectue un contrôle de l'origine et de l'identité du module. Il inscrira dans le fichier général le contenu du registre RGad contenant le numéro d'ordre du premier document archivé, la position du compteur séquentiel d'archivage CSA désignant le nombre total des documents archivés et aussi la date du jour courant. Ces données seront archivées (43) dans le fichier central ou ils compléteront les données déjà inscrites auparavant relatives au module MAS plein.
Le centre de contrôle renverra (44) un message d'autorisation de changement de module MAS. Le nouveau module mis en place (45) , le programme interne au module MCA transmettra automatiquement (46) les contenus des registres RGo, RGd, RGs, RGu du nouveau module MAS pour- un contrôle de sécurité. Le central de contrôle, après l'opération de contrôle (47) complète le fichier central 19 avec la date du jour et initialisé le registre d'archivage départ RGad avec la valeur du compteur séquentiel d'archivage CSA incrémenté de 1 du module MAS précédent. Puis il transmet ces valeurs au terminal TE appelant.
Le programme interne du module MCA initialisé à son tour les registres RGa (date de mise en service sur le terminal) et le registre RGad du microprocesseur 1 avec les valeurs reçues du centre de contrôle (en 48) et initialisera le compteur séquentiel d'archivage CSA avec la valeur inscrite dans leur registre RGad.
Le programme interne adresse alors un message de demande de mise en service (49). L'utilisateur valide la demande et le programme interne clôture la séquence d'initialisation du nouveau module MAS et retourne (50) au programme principal à l'opération 25. Le nouveau module est en service, prêt à archiver le document informatisé souhaité.
La figure 11 schématise les opérations effectuées par un distributeur intermédiaire pour initialiser un module
MAS destiné à un utilisateur. Le distributeur introduit
(52) son module ordinateur amovible MOA personnel et le module MAS (53) qu'il désire faire initialiser dans le terminal TE. Le distributeur valide sa demande sur son module MOA et le terminal TE transmet automatiquement au centre de contrôle le contenu des registres RGo et RGs pour contrôle (54) par comparaison au fichier central des modules MAS en attente (55). Après cette opération, le centre de contrôle renvoie (56) un message demandant au distributeur d'identifier (57) l'utilisateur.
Le distributeur retire son module MOA personnel (58) et introduit (59) le module MOA de l'utilisateur dans le terminal TE qui transmet les coordonnées d'identification de l'utilisateur au centre de contrôle, c'est-à-dire les données des registres RGo, RGu etc.
Après contrôle (60) à l'aide du fichier central 31,. le centre de contrôle adresse (61) au terminal TE un message de validation pour l'initialisation locale. Le module MCA du terminal TE transférera les éléments d'identification de l'utilisation relevés sur le module
MOA de celui-ci dans le module MAS. Une fois l'opération terminée, le- terminal transmet les données (RGs, RGu), au centre de contrôle qui met à jour le fichier (63) des modules MAS affectés à des clients utilisateurs. Puis il renvoie (64) un message d'autorisation de clôture au terminal TE du distributeur local qui va extraire (65) le module MOA du client utilisateur, reintroduire (66) son module MOA personnel et valider la clôture de 1'initilisation du module MAS, puis extraire (67) le module MAS initialisé et identifié pour le donner au client utilisateur.
II ressort de la description qui vient d'être faite du mode de réalisation d'un terminal TE utilisant un module d'archivage de sécurité MAS que grâce à ce module, l'archivage et la transmission des données informatisées répondent pleinement aux exigences juridiques . d'authenticité, d'inaltérabilité et d'archivage chronologique intégral sans interruption dans la numérotation des documents archivés. L'invention propose ainsi un système sûr, fiable, peu encombrant et très économique à l'usage.

Claims

Revendications
1» Système d'inscription de données informatisées, telles les données d'un document, sur un support d'enregistrement, du type comprenant un terminal adapté pour effectuer l'enregistrement des données et un module de support des données enregistrées susceptibles d'être introduites dans le terminal pour l'inscription des données et retirées de celui-ci après cette inscription, caractérisé en ce que le module (MAS) est réalisé sous forme d'un module d'archivage de sécurité et comprend un dispositif ordinateur (MCA) pourvu d'une mémoire (Mb) contenant un programme de mémorisation inaltérable et non modifiable, le dispositif ordinateur (MCA) comprenant des registres de stockage de données d'identification du module et des inscriptions de données.
2. Système selon la revendication 1, caractérisé en ce qu'il comprend un centre de contrôle comportant un fichier central (19) de tous les modules (MAS) fabriqués et des utilisateurs habilités à utiliser des modules.
3. Système selon l'une des revendications 1 ou 2, caractérisé en ce que le module (MAS)' comprend un contrôleur sélectif d'énergie (CSE), adapté pour assurer l'alimentation en énergie électrique seulement d'un élément de mémoire. (MS1 à MS256) qui a été adressé sélectivement.
4. Système selon l'une des revendications précédentes, caractérisé en ce que le module (MAS) est réalisé sous forme d'un boîtier avantageusement parallélépipèdique comportant un substrat dans lequel les composants du module sont noyés, qui est réalisé en un matériau de haute résistance mécanique et thermique tel que des résines de synthèse appropriée.
5. Système selon l'une des revendications précédentes, caractérisé en ce que le module (MAS) comprend des moyens assurant son autoverrouillage "dans le cas d'une anomalie constatée.
6. Système selon la revendication 5, caractérisé en ce que le module (MAS) comprend des moyens de déverrouillage par utilisation d'une clé spécifique de déverroui11âge.
7. Procédé de mise à l'état d'utilisation d'un module (MAS) selon l'une des revendications 1 à 6, caractérisé en ce qu'après la fabrication du module, celui-ci est identifié par inscription de son numéro d'origine, des données d'identification du destinataire du module (MAS) dans des registres d'identification (RGo, RGd) prévus dans le module, et en ce que les contenus de ces registres sont inscrits dans un fichier (19, 22) du centre de contrôle.
8. Procédé selon la revendication 7, caractérisé en ce que, lorsque le destinataire est l'utilisateur du module (MAS), les données d'identification de l'utilisateur sont inscrites dans le registre (RGd) et les contenus des registres (RGo et RGd) sont inscrits dans le fichier central (19) du centre de contrôle.
9. Procédé selon la revendication 7, caractérisé, en ce que, lorsque le destinataire est un distributeur intermédiaire, les données d'identification du module (MAS) sont inscrites dans un fichier (22) des modules en attente et sont inscrites dans le fichier central lors de l'attribution du (MAS) par le distributeur à un utilisateur.
10. Procédé selon la revendication 9, caractérisé en ce que pour l'attribution d'un module (MAS) par le distributeur à un utilisateur, le distributeur introduit dans le terminal (TE) le module (MAS) à attribuer et un élément "(MOA) l'identifiant comme personne habilitée à procéder à une telle attribution, le terminal (TE) transmet au centre de contrôle les données d'identification du module (MAS) à attribuer pour contrôle dans le fichier des modules en attente (22) , puis le terminal est amené à envoyer les données .d'identification de l'utilisateur au centre de contrôle pour vérification dans le fichier central des utilisateurs habilités de modules (MAS) et procède à l'initialisation du (MAS) après la réception d'un message de validation pour l'utilisateur, de la part de centre de contrôle.
11. Procédé selon l'une des revendications 7 à 10, caractérisé en ce qu'avant une mémorisation des données d'un document dans un module (MAS), on vérifie si la capacité de stockage encore disponible du module est suffisante pour le stockage de toutes les données de document et, dans l'affirmatif, le programme ordonne l'exécution de l'enregistrement et l'attribution à l'enregistrement d'un numéro d'archivé.
12, Procédé selon la revendication 9, caractérisé, en ce que, lorsque la capacité de stockage est insuffisante, on vérifie si l utilisateur est habilité de procéder à un changement de module (MAS) , le programme de sécurité provoque l'établissement d'une liaison de télécommunication 'entre le terminal (TE) et le centre de contrôle, amène le terminal à transmettre au centre de contrôle les données inscrites dans les registres du module (MAS) à changer, que l'on amène le centre de contrôle à envoyer un message d'autorisation du changement de module (MAS) et transmet au centre de contrôle les données d'identification du nouveau module pour un contrôle de sécurité dans le fichier central (19), procède à l'inscription des nouvelles données dans le fichier central (19) et initialisé le module (MAS) après réception d'un message de validation pour l'utilisateur.
13- Système selon l'une des revendications 1 à 6, caractérisé en ce qu'il est adapté pour équiper un poste de transmission de documents par une ligne de transmission de documents par une ligne de transmission de signaux électriques, d'un poste expéditeur à un poste destinataire, et en ce que le module d'archivage de sécurité (MAS) forme le moyen de stockage des messages transmis et/ou reçus.
PCT/EP1992/002277 1991-10-01 1992-10-01 Systeme de memorisation de donnees informatisees sur un support d'enregistrement WO1993007595A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9112059A FR2681964A1 (fr) 1991-10-01 1991-10-01 Systeme de memorisation de donnees informatisees sur un support d'enregistrement et procede de transmission de donnees utilisant un tel support d'enregistrement.
FR91/12059 1991-10-01

Publications (1)

Publication Number Publication Date
WO1993007595A1 true WO1993007595A1 (fr) 1993-04-15

Family

ID=9417467

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1992/002277 WO1993007595A1 (fr) 1991-10-01 1992-10-01 Systeme de memorisation de donnees informatisees sur un support d'enregistrement

Country Status (3)

Country Link
AU (1) AU2592192A (fr)
FR (1) FR2681964A1 (fr)
WO (1) WO1993007595A1 (fr)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0117907A2 (fr) * 1983-02-07 1984-09-12 GABE Geldausgabeautomaten-Service Gesellschaft m.b.H Méthode et module pour l'examen de données électroniques
FR2613856A1 (fr) * 1987-04-09 1988-10-14 Mitsubishi Electric Corp Systeme d'enregistrement d'informations
EP0337185A2 (fr) * 1988-04-11 1989-10-18 SPA Syspatronic AG Support de données portatif
EP0397512A2 (fr) * 1989-05-11 1990-11-14 Material Engineering Technology Laboratory, Inc. Méthode pour empêcher l'utilisation non autorisée/illégale d'un support d'informations du type carte
EP0422757A2 (fr) * 1989-10-13 1991-04-17 Addison M. Fischer Installation de certification notarielle de la date et de l'heure utilisant une clé publique
US5022080A (en) * 1990-04-16 1991-06-04 Durst Robert T Electronic notary
US5027395A (en) * 1990-06-20 1991-06-25 Metropolitan Life Insurance Company Data-locking system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0117907A2 (fr) * 1983-02-07 1984-09-12 GABE Geldausgabeautomaten-Service Gesellschaft m.b.H Méthode et module pour l'examen de données électroniques
FR2613856A1 (fr) * 1987-04-09 1988-10-14 Mitsubishi Electric Corp Systeme d'enregistrement d'informations
EP0337185A2 (fr) * 1988-04-11 1989-10-18 SPA Syspatronic AG Support de données portatif
EP0397512A2 (fr) * 1989-05-11 1990-11-14 Material Engineering Technology Laboratory, Inc. Méthode pour empêcher l'utilisation non autorisée/illégale d'un support d'informations du type carte
EP0422757A2 (fr) * 1989-10-13 1991-04-17 Addison M. Fischer Installation de certification notarielle de la date et de l'heure utilisant une clé publique
US5022080A (en) * 1990-04-16 1991-06-04 Durst Robert T Electronic notary
US5027395A (en) * 1990-06-20 1991-06-25 Metropolitan Life Insurance Company Data-locking system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PROC. ADVANCES IN CRYPTOLOGY - CRYPTO '90 11-15 AOUT 1990 SANTA BARBARA, USA EDITIONS SPRINGER VERLAG, BERLIN, RFA pages 437 - 455 S. HABER ET AL. 'How to time-stamp a digital document' *

Also Published As

Publication number Publication date
AU2592192A (en) 1993-05-03
FR2681964A1 (fr) 1993-04-02

Similar Documents

Publication Publication Date Title
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
CA1060582A (fr) Systeme pour tranferer des donnees au moyen d'un objet portatif independant et d'un dispositif d'enregistrement autonome
FR2492135A1 (fr) Appareil de distribution d'objets et d'acquisition de services
WO2005055161A1 (fr) Procede et systeme de location automatique de bicyclettes
FR2685510A1 (fr) Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en óoeuvre.
FR2514593A1 (fr) Procede et dispositif pour authentifier la signature d'un message signe
FR2661762A1 (fr) Procede et dispositif de transaction entre un premier et au moins un deuxieme supports de donnees et support a cette fin.
EP0616714B1 (fr) Systeme de traitement d'informations utilisant un ensemble de cartes a memoire
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
EP2826005A1 (fr) Securisation d'une transmission de donnees
WO2002035464A2 (fr) Systeme d'identification electronique sans contact
FR2841714A1 (fr) Protocole d'adaptation du degre d'interactivite entre equipements informatiques interlocuteurs soumis a un dialogue interactif
WO2002052389A2 (fr) Methode anti-clonage d'un module de securite
EP3262553B1 (fr) Procede de transaction sans support physique d'un identifiant de securite et sans jeton, securise par le decouplage structurel des identifiants personnels et de services
FR2758197A1 (fr) Procede et installation pour realiser un titre d'usager personnalise infalsifiable
CA2694335C (fr) Gestion et partage de coffres-forts dematerialises
WO1993007595A1 (fr) Systeme de memorisation de donnees informatisees sur un support d'enregistrement
FR2788154A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiements et telepaiements
EP0239503B1 (fr) Procédé et installation de surveillance de communications, notamment téléphoniques
FR2678124A1 (fr) Procede de transmission de documents par une ligne de transmission de signaux electriques et systeme pour la mise en óoeuvre de ce procede.
EP0119886A1 (fr) Procédé de protection d'un logiciel enregistré par un fournisseur sur un support magnétique portatif
EP0817144B1 (fr) Procédé de contrôle de l'utilisation d'un messageur, messageur fonctionnant selon ce procédé et carte à puce pour l'accès conditionné à un messageur
FR2790854A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiement et telepaiements
FR2796742A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiements et telepaiements
EP0831434A1 (fr) Procédé de fermeture, notamment de mise en opposition, d'une pluralité de services, et serveur de fermeture, terminal d'acceptation et dispositifs portatifs associés

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU BB BG BR CA CS FI HU JP KP KR LK MG MN NO PL RO RU US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL SE BF BJ CF CG CI CM GA GN ML MR SN TD TG

NENP Non-entry into the national phase

Ref country code: CA

122 Ep: pct application non-entry in european phase