WO1998001833A1 - Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable - Google Patents

Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable Download PDF

Info

Publication number
WO1998001833A1
WO1998001833A1 PCT/FR1997/001254 FR9701254W WO9801833A1 WO 1998001833 A1 WO1998001833 A1 WO 1998001833A1 FR 9701254 W FR9701254 W FR 9701254W WO 9801833 A1 WO9801833 A1 WO 9801833A1
Authority
WO
WIPO (PCT)
Prior art keywords
container
station
recipient
terminal
mode
Prior art date
Application number
PCT/FR1997/001254
Other languages
English (en)
Inventor
Jean-Marc Lacombe
Marc Geoffroy
Original Assignee
Axytrans
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axytrans filed Critical Axytrans
Priority to DE69711091T priority Critical patent/DE69711091T2/de
Priority to AT97932877T priority patent/ATE214502T1/de
Priority to AU36257/97A priority patent/AU3625797A/en
Priority to US09/214,608 priority patent/US6430689B1/en
Priority to EP97932877A priority patent/EP0960406B1/fr
Priority to DK97932877T priority patent/DK0960406T3/da
Priority to BR9712967-4A priority patent/BR9712967A/pt
Priority to CA002259285A priority patent/CA2259285C/fr
Publication of WO1998001833A1 publication Critical patent/WO1998001833A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/70Operating mechanism
    • Y10T70/7051Using a powered device [e.g., motor]
    • Y10T70/7062Electrical type [e.g., solenoid]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/80Parts, attachments, accessories and adjuncts
    • Y10T70/8027Condition indicators
    • Y10T70/8054With recorder
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T70/00Locks
    • Y10T70/80Parts, attachments, accessories and adjuncts
    • Y10T70/8027Condition indicators
    • Y10T70/8054With recorder
    • Y10T70/8081Electric

Definitions

  • the present invention relates to a system for protecting documents or valuables, such as means of payment, banknotes, checks or bank cards, enclosed in a physically inviolable container, called throughout the container, passing through a succession of logical states identified in limited number, and which, in the event of aggression, causes their degradation by appropriate means.
  • Such a protection system is fully described in European patent EP-0.409.725, and it is characterized in that the container is provided with internal management means functioning in the manner of a machine with "limited modes” whose cycle of operation has a limited number of logical states called “modes", the transition from a first mode to a second mode being the consequence of a one-off event the legality of which is, or has been previously verified, by an autonomous means capable of get in touch with said internal management means of the container, said transition being accompanied by memory loss of the previous mode.
  • modes logical states
  • the system can be used for the protection of funds placed in a container, for example by the manager of a bank branch appointed sender in order to be transported by a conveyor, for example to a branch of this bank branch; the succession of the logical states and, consequently, the transfer of responsibility is entrusted to a single computer playing in fact the role of supervisor to manage the logical security of the containers, that is to say to check the legality of the transitions of certain modes of operation of their internal management means towards certain other modes; in this regard, we can cite three particularly significant examples of transition: a) during transport, the protection of funds can only be ensured by the container: the system then includes only the container, b) at the end of a transport at the time of delivery, only a source of information outside the container can cause the mode in which it was placed at the start of its transport to be interrupted and which constitutes its only memory: the system must then be extended to the external source of information, i.e.
  • the computer which must be recognized as a reliable and secure partner by the container before this extension, c) after delivery, the protection of the funds enclosed in the container is still total, because its opening requires the extension of the system to a second external source of information, the user of these funds (i.e. the recipient, the sender or the conveyor), who must in turn be recognized as a reliable and secure partner by the container and the computer r supervisor.
  • the transitions between these three types of mode in fact decide the transfer of responsibility attached to the protection of funds, whether or not they are locked in the container.
  • the container, the computer, the sender or the recipient and the conveyor are connected respectively to the departure and the arrival at a single terminal called "station" to constitute the point of departure and the end point a star network, of which said station is the center.
  • a first station is therefore provided at the place of departure of a container, and at least one other station at its place of arrival.
  • Such a protection system is particularly effective for all established funds transfers, of a habitual and above all repetitive nature, such as, for example, transfers between a bank and its various agencies; it is therefore entirely suitable to install, both at departure and at arrival, permanent reception terminals, otherwise called in the previous document already cited, "resident stations", serving as interfaces between the containers physically ensuring the transfer of funds, the human being - that is, the sender, the conveyor and later the recipient -, and the server center, otherwise known as a computer / supervisor.
  • a secure transport system for valuables in particular means of payment, banknotes, checks, or bank cards from a central departure site to a destination site, enclosed in a container, which, in the event of aggression, causes their degradation by appropriate means, and which is provided with internal management means operating in the manner of a "machine with limited modes" whose operating cycle includes a number restricted from logical states, called modes, the transition from a first mode to a second mode resulting from a one-off event the legality of which is, or has been previously verified by an autonomous means which can be put in contact with said means of internal management, said transition then being accompanied by the loss of memory of the prior mode, said system being able to comprise successively, totally, or only partially, the elements of a set consisting of:
  • a single server center located remotely that can get in touch with the internal management means of said container, at least when it is at the starting point, to check the legality of an event causing a transition from a mode to another mode, said elements being interconnected by means of a single terminal, called a station, so as to constitute a star network of which said station is the center, characterized in that the station of at least one recipient is not a resident station, but a mobile and transportable station.
  • FIG. 1 is a block diagram of the network organization of the system according to the prior art described in European patent EP-0,409,725,
  • FIG. 2 is a block diagram of an organization with a mobile station in accordance with
  • the prior art system is used in particular for the protection of funds which have been placed in a container 1, for example by the manager of a central bank branch, hereinafter called sender 2.
  • a container 1 for example by the manager of a central bank branch, hereinafter called sender 2.
  • the container 1 must be transported by a conveyor 3 to an occasional recipient, for example a small trader.
  • the general system according to the invention in accordance with FIG. 1 is constituted in a star network, connecting to a single terminal the container 1, the supervisor computer 4, the sender 2 and the conveyor 3; this single terminal, subsequently called station 5, constitutes the center of the star network.
  • a first station 5 is naturally located at the place of departure of the container 1 and, in accordance with the invention and with reference to FIG. 2, the arrival station no longer has a resident character, but on the contrary it is mobile and transportable , for all the reasons largely developed in the preamble of these presents, namely that the carrier can deliver these funds in a very occasional way to a recipient who moreover can be located in any place without beforehand the same carrier is required to set up an arrival station there with heavy and therefore expensive equipment.
  • the mobile station 6 comprises a terminal 7 with keyboard and screen 8 provided with a microprocessor and a memory card reader 9 capable of receiving from the correct recipient 10 a personalized and especially authenticated microprocessor card 11 by a confidential code 12 transmitted to the recipient 10 separately and beforehand by the carrier under the security conditions which will be indicated below.
  • the mobile station 6 in accordance with an essential characteristic of the invention, is, during the transfer, completely disconnected from the supervisor computer 4, that is to say that no means of communication exists between the latter and the terminal when the funds are remitted.
  • the mobile station 6 is put in contact with the container 1 by means of a communication interface 13 comprising, according to a secondary and advantageous characteristic of the invention, an autonomous source of power 14 of the container 1 and of its electromagnetic locking devices.
  • the end user 10 Prior to the envisaged transport of funds, the end user 10 is given a microprocessor card 11 which is completely analogous in its form and in its operation to a conventional bank card; this card 11 is previously loaded with the cryptographic data which will subsequently be necessary not only for the exchange of messages between the stakeholders on the arrival site, but also for the initialization and the smooth running of all the steps intended to authorize the opening of the container and thereby the recovery of the funds which it contains by the legitimate recipient 10 while correctly programming the return of said container to the central departure site.
  • all of the encryption data is before departure generated by the computer 4 operating here in the server center. In this way, the computer 4 no longer intervenes directly in the delivery stages; this is the reason why the exchanges between the latter, the station 6 via the card 11 and the container 1 at destination, have been shown in thin dashed lines in FIG. 2.
  • the authentication of the part of the system which sends a message in fact consists in authenticating said message itself by verifying a computer signature calculated on the content of said message by means of a key algorithm, naturally only held by the only parties exchanging said message.
  • an algorithm of the symmetrical type for example the DES algorithm (from the English Data Encryption Standard) whose characteristics are standardized; remember that in this algorithm, the container 1 / memory card 11 couple has a key K this key K is placed in a memory of container 1 while the card 11 which has the same key K, of course remains under the sole protection of the end user 11.
  • the electronic signature intended to authenticate the message and its author will itself be calculated on the content of the messages according to an algorithm advantageously similar to the DES encryption algorithm which has just to be called back.
  • the operation of the container 1 is completely identical to the operation of the containers widely described in the European patent EP-0.409.725 already cited, that is to say that the container 1 also functions here as a "machine”. limited modes ".
  • it is therefore agreed to issue funds from a central agency to be delivered to an occasional user 10 not equipped with a resident station 5.
  • the user 10 prior to the envisaged operation, receives on the one hand its microprocessor card 11 duly encrypted, and separately it receives in the manner of bank cards a secret code 12 corresponding to the card 11.
  • the supervisor 4 In parallel, the supervisor 4 generates one or more encryption keys of the DES type which he will implement at the start of the transport of funds in the container 1 after having been previously inserted in the microprocessor of the card allowing the authentication of the recipient at the time of delivery of the container 1.
  • the container or containers 1 intended for the mobile station 6 will be informed of this situation by an additional operation carried out by the manager of the central agency; in the example, the container 1 will be programmed for a destination on a mobile station 6 and not on a resident station 5.
  • the conveyor 3 presents the terminal 7 to the alleged user 10 who must then introduce the encrypted microprocessor card 11 which he holds and at the same time type his confidential code 12 on the keyboard of said terminal 7.
  • the conveyor 3 retrieves the terminal to connect it via the communication interface 13 to container 1 which, after successful confrontation of the authentication codes of the carrier and therefore of the destination, immediately transits in opening mode allowing the authorized user 10 to recover the funds which were normally intended for him.
  • the container 1 is closed, reprogrammed and put in departure mode towards the original site, all this according to chained stages since independent of the supervisor 4 which cannot at this moment intervene.
  • the conveyor 3 disconnects the container 1 from its interface 13, the user 10 resumes his microprocessor card 11; the conveyor 3 returns to the transport vehicle with the mobile terminal and the container 1 for a return to the departure site, that is to say to the central agency.
  • microprocessor equipping the terminal 7 will advantageously be used to store all information from containers and concerning the traceability of daily operations, to sites not equipped with fixed stations 5.

Abstract

L'invention concerne un système sécurisé de transport de valeurs enfermées dans un conteneur (1), qui, en cas d'agression, provoque leur dégradation, et qui est pourvue de moyens de gestion internes fonctionnant à la manière d'une 'machine à modes limités' pouvant comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par: un utilisateur des valeurs, que ce soit un expéditeur, un destinataire (10) ou un convoyeur (3), un conteneur (1), un centre serveur (4) unique et situé à distance pouvant se mettre en relation avec les moyens de gestion internes dudit conteneur (1), au moins lorsqu'il est au départ, lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique formant une station (5, 6) en réseau étoilé dont ladite station est le centre, caractérisé en ce que la station (6) d'au moins un destinataire (10) n'est pas une borne résidente, mais une station mobile et transportable.

Description

SYSTE.ME DE TRANSPORT SECURISE D'OBJETS EN CONTENEUR
INVIOLABLE DONT AU MOINS UNE STATION DESTINATAIRE EST
MOBILE ET TRANSPORTABLE
La présente invention concerne un système de protection de documents ou d'objets de valeur, tels que moyens de paiement, billets de banque, chèques ou cartes bancaires, enfermés dans un contenant inviolable physiquement, appelé dans toute la suite conteneur, passant par une succession d'états logiques identifiés en nombre restreint, et qui, en cas d'agression, provoque leur dégradation par des moyens appropriés .
Un tel système de protection est entièrement décrit dans le brevet européen EP-0.409.725, et il se caractérise en ce que le conteneur est pourvu de moyens de gestion internes fonctionnant à la manière d'une machine à "modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques appelés "modes", la transition d ' un premier mode à un second mode étant la conséquence d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes du conteneur, ladite transition s ' accompagnant alors de la perte de mémoire du mode antérieur.
Selon le brevet antérieur, le système est utilisable pour la protection de fonds placés dans un conteneur, par exemple par le responsable d'une agence bancaire nommé expéditeur afin d'être transporté par un convoyeur, par exemple vers une succursale de cette agence bancaire ; la succession des états logiques et, par conséquent, le transfert de la responsabilité est confié à un ordinateur unique jouant en fait le rôle de superviseur pour gérer la sécurité logique des conteneurs, c'est-à-dire pour vérifier la licéité des transitions de certains modes de fonctionnement de leurs moyens de gestion internes vers certains autres modes ; on peut, à cet égard, citer trois exemples de transition particulièrement significatifs : a) lors d'un transport, la protection des fonds ne peut être assurée que par le conteneur : le système comprend alors uniquement le conteneur, b) à la fin d'un transport au moment de la livraison, seule une source d ' information extérieure au conteneur peut provoquer 1 ' interruption du mode dans lequel il a été placé au début de son transport et qui constitue sa seule mémoire : le système doit alors être étendu à la source d'information extérieure c'est-à-dire l'ordinateur, qui doit préalablement à cette extension être reconnu comme un partenaire fiable et sûr par le conteneur, c) après la livraison, la protection des fonds enfermés dans le conteneur est encore totale, car son ouverture nécessite l'extension du système à une deuxième source d'information extérieure, l'utilisateur de ces fonds (c'est-à-dire le destinataire, l'expéditeur ou le convoyeur ) , qui doit à son tour être reconnu comme un partenaire fiable et sûr par le conteneur et l'ordinateur superviseur. Les transitions entre ces trois types de mode décident en fait du transfert de responsabilité attaché à la protection des fonds, qu'ils soient ou non enfermés dans le conteneur.
Selon une caractéristique fondamentale du document antérieur, le conteneur, l'ordinateur, l'expéditeur ou le destinataire et le convoyeur sont reliés respectivement au départ et à l'arrivée à une borne unique appelée "station" pour constituer au point de départ et au point d'arrivée un réseau en étoile, dont ladite station est le centre. Il est donc prévu une première station au lieu du départ d'un conteneur, et au moins une autre station à son lieu d'arrivée. Le recours à une telle station reliant de manière étoilée toutes les parties prenantes, permet avantageusement d'alléger les interfaces permettant auxdites parties de dialoguer ensemble. Les stations regroupent à cet effet les interfaces électroniques lourdes et, conteneurs et utilisateur se contentent de gérer un dialogue élémentaire de connexion avec les mêmes stations ; bien entendu, l'ordinateur superviseur gère quant à lui des échanges plus complexes et il constitue d'ailleurs un centre serveur situé à distance de toutes les stations, de tous les utilisateurs, et de tous les conteneurs, ce qui lui assure une protection efficace contre d'éventuelles agressions tant logiques que physiques.
Enfin, ajoutant à la confidentialité structurelle des stations, il est prévu que toutes les communications entre deux parties au système soient effectuées selon un protocole permettant la partie recevant un message d'authentifier celle qui est censée l'avoir émis, cette authentification pouvant en outre faire l'objet d'un accusé de réception.
Un tel système de protection est particulièrement efficace pour tous les transferts de fonds institués, à caractère habituel et surtout répétitif, tel que par exemple, les transferts entre une banque et ses diverses agences ; il est alors tout à fait adapté d'installer tant au départ qu'à l'arrivée, des bornes d'accueil à demeure, autrement appelées dans le document antérieur déjà cité, "stations résidentes", servant d'interfaces entre le ou les conteneurs assurant physiquement le transfert des fonds, l'être humain - c'est-à-dire l'expéditeur, le convoyeur et plus tard le destinataire -, et le centre serveur, autrement appelé ordinateur/superviseur.
Toutefois, en de nombreuses circonstances, il est nécessaire de transférer ou collecter des fonds de manière occasionnelle ou provisoire vers des lieux pouvant être très divers d'une période à une autre ; il s'agit notamment d'apporter un service de transfert de fonds sécurisé, à toute catégorie de petit commerce, dont la fréquence de desserte est a priori très variable.
On comprend bien que dans tous ces cas, il ne soit pas raisonnable économiquement d'installer un matériel lourd résident et c'est la raison pour laquelle il est proposé conformément à la présente invention de remplacer au point de destination, les stations résidentes par des stations portatives ou mobiles ; on imagine dès lors assez bien que pour le transporteur, une telle solution procure une grande souplesse d'utilisation dans la mesure où, elle ne nécessite aucune installation préalable de matériel et suppose pour le client, des délais de mise en place du service extrêmement courts, ce qui procure encore au transporteur un atout commercial décisif ; c'est notamment le cas à l'occasion d'événements tels que foires, marchés, expositions, ou encore pour approvisionner ou porter des fonds auprès de commerces de détail. On peut aussi remarquer que même dans le transport de fonds interbancaire, de nombreux cas se résument à de simples livraisons avec remise immédiate des fonds, pour lesquels il n'est requis aucun stockage sécurisé ; ici encore, une station mobile conviend tout à fait à ce type de service, et à l'inverse, l'installation d'une station résidente eût été inconcevable, rendant inutilisable le système de protection tel que décrit dans le brevet antérieur déjà cité.
A cet effet, et conformément à la présente invention, il est proposé un système de transport sécurisé de valeurs notamment de moyens de paiement, billets de banque, chèques, ou cartes bancaires depuis un site central de départ jusqu'à un site destinataire, enfermées dans un conteneur, qui, en cas d'agression, provoque leur dégradation par des moyens appropriés, et qui est pourvu de moyens de gestion internes fonctionnant à la manière d ' une "machine à modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques, appelés modes, la transition d'un premier mode à un second mode résultant d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes, ladite transition s ' accompagnant alors de la perte de mémoire du mode antérieur, ledit système pouvant comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par :
- un utilisateur des valeurs, qu'il s'agisse d'un expéditeur, d'un destinataire ou d'un convoyeur, - un conteneur,
- un centre serveur unique et situé à distance pouvant se mettre en relation avec les moyens de gestion internes dudit conteneur, au moins lorsqu'il est au point de départ, pour contrôler la licéité d'un événement provoquant une transition d'un mode vers un autre mode, lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique, appelée station, de manière à constituer un réseau en étoile dont ladite station est le centre, caractérisé en ce que la station d'au moins un destinataire n'est pas une station résidente, mais une station mobile et transportable.
D'autres caractéristiques et avantages du système selon l'invention ressortiront mieux de la description qui va être donnée d'une réalisation particulière mettant en jeu un cas simple de transport de fonds entre un site central et un seul destinataire entrant par exemple dans la catégorie des petits commerçants, un tel cas n'étant donné qu'à titre d'illustration non limitative du système selon l'invention, en référence au dessin annexé sur lequel :
- la figure 1 est un schéma synoptique de l'organisation en réseau du système selon l'antériorité décrite dans le brevet européen EP-0.409.725,
- la figure 2 est un schéma synoptique d'une organisation avec une station mobile conforme à
1 ' invention.
En référence à la figure 1, le système selon l'antériorité est notamment utilisé pour la protection de fonds qui ont été placés dans un conteneur 1 , par exemple par le responsable d'une agence bancaire centrale, appelé par la suite expéditeur 2. Selon l'exemple, le conteneur 1 doit être transporté par un convoyeur 3 vers un destinataire occasionnel, par exemple un petit commerçant.
Tous les événements précédant le transport de fonds et occasionnant un nombre de transitions d'un mode à un autre, conformément aux enseignements de l'antériorité sont largement détaillés dans le brevet EP-0.409.725 et on rappellera seulement ici que tous les transferts de responsabilité en relation avec les divers états logiques que peut prendre le conteneur 1 sont contrôlés par un ordinateur superviseur unique 4 , gérant la sécurité logique du conteneur 1, c'est-à-dire vérifiant la licéité des transitions de certains modes de fonctionnement des moyens de gestion internes dudit conteneur vers d'autres modes de fonctionnement. On se reportera ici à la description donnée dans l'antériorité pour le détail des transitions possibles entre les divers modes de fonctionnement depuis 1 ' instant où les fonds sont disposés à 1 ' intérieur du conteneur 1 jusqu'à leur arrivée sur le site de destination où le destinataire doit prendre en charge les fonds qu'il attend.
Comme dans l'antériorité, le système général selon 1 ' invention conformément à la figure 1 est constitué en un réseau en étoile, reliant à une borne unique le conteneur 1 , 1 ' ordinateur superviseur 4 , 1 ' expéditeur 2 et le convoyeur 3 ; cette borne unique appelée par la suite station 5, constitue le centre du réseau étoile.
Une première station 5 est naturellement implantée au lieu du départ du conteneur 1 et, conformément à l'invention et en référence à la figure 2, la station d'arrivée n'a plus un caractère résident, mais au contraire elle est mobile et transportable, pour toutes les raisons largement développées en préambule des présentes, à savoir que le transporteur peut délivrer ces fonds de manière très occasionnelle à un destinataire qui par ailleurs peut être situé en n'importe quel lieu sans que préalablement le même transporteur soit tenu d ' y implanter une station d ' arrivée dotée d'équipements lourds et par conséquent coûteux. En référence à la figure 2 la station mobile 6 comprend un terminal 7 à clavier et écran 8 pourvu d'un microprocesseur et d'un lecteur de carte à mémoire 9 apte à recevoir du bon destinataire 10 une carte à microprocesseur 11 personnalisée et surtout authentifiée par un code confidentiel 12 transmis au destinataire 10 séparément et préalablement par le transporteur dans les conditions de sécurité qui seront indiquées plus loin. La station mobile 6 conformément à une caractéristique essentielle de l'invention, est, pendant le transfert, totalement déconnectée de l'ordinateur superviseur 4 c ' est-à-dire qu ' aucun moyen de communication n'existe entre ce dernier et le terminal au moment où la remise des fonds s'effectue.
D'un autre côté la station mobile 6 est mise en relation avec le conteneur 1 au moyen d'une interface de communication 13 comportant selon une caractéristique secondaire et avantageuse de l'invention, une source autonome d'alimentation 14 du conteneur 1 et de ses dispositifs électromagnétiques de verrouillage.
Préalablement au transport de fonds envisagé, il est remis à l'utilisateur final 10 une carte à microprocesseur 11 tout à fait analogue dans sa forme et dans son fonctionnement à une classique carte bancaire ; cette carte 11 est préalablement chargée des données cryptographiques qui seront ultérieurement nécessaires non seulement aux échanges de messages entre les parties prenantes sur le site d'arrivée, mais encore pour l'initialisation et le bon déroulement de toutes les étapes destinées à autoriser l'ouverture du conteneur et par là la récupération des fonds qu ' il contient par le légitime destinataire 10 tout en programmant correctement le retour dudit conteneur vers le site central de départ. Bien entendu, l'ensemble des données de cryptage sont avant le départ générées par 1 ' ordinateur 4 fonctionnant ici en centre serveur. De cette façon, l'ordinateur 4 n'intervient plus directement dans les étapes de livraison ; c ' est la raison pour laquelle les échanges entre celui-ci, la station 6 via la carte 11 et le conteneur 1 à destination, ont été représentés en traits mixtes fins sur la figure 2.
Il peut être ici rappelé, que à l'instar de ce qui est décrit dans le brevet antérieur, 1 ' authentification de la partie du système qui émet un message consiste en fait à authentifier ledit message lui-même par vérification d'une signature informatique calculée sur le contenu dudit message au moyen d'un algorithme à clefs, naturellement uniquement détenues par les seules parties échangeant ledit message.
A cet effet, il sera avantageusement utilisé comme algorithme de chiffrement, un algorithme du type symétrique, par exemple l'algorithme DES (de l'anglais Data Encryption Standard) dont les caractéristiques sont normalisées ; rappelons que dans cet algorithme, le couple conteneur 1 / carte à mémoire 11 possède une clef K cette clef K est placée dans une mémoire du conteneur 1 tandis que la carte 11 qui possède la même clef K, reste bien sûr sous l'unique protection de l'utilisateur final 11. On notera qu'avantageusement, la signature électronique destinée à authentifier le message et son auteur sera elle- même calculée sur le contenu des messages selon un algorithme avantageusement semblable à 1 ' algorithme DES de chiffrement qui vient d'être rappelé.
On peut également différencier les clefs de chiffrement et d' authentification afin d'augmenter encore la sécurité cryptographique. II convient enfin de noter que le fonctionnement du conteneur 1 est totalement identique au fonctionnement des conteneurs largement décrit dans le brevet européen EP- 0.409.725 déjà cité, c'est-à-dire que le conteneur 1 fonctionne ici aussi en "machine à modes limités". Conformément à l'exemple simplifié retenu pour illustrer l'invention, il est donc convenu de délivrer des fonds partant d'une agence centrale pour être délivrés à un utilisateur occasionnel 10 non équipé d'une station résidente 5. L'utilisateur 10 préalablement à l'opération envisagée, reçoit d'un côté sa carte à microprocesseur 11 dûment cryptée, et séparément il reçoit à la manière des cartes bancaires un code secret 12 correspondant à la carte 11.
Parallèlement, le superviseur 4 génère une ou plusieurs clefs de cryptage du type DES qu'il implémentera au départ du transport de fonds dans le conteneur 1 après avoir été préalablement insérées dans le microprocesseur de la carte permettant 1 ' authentification du destinataire au moment de la livraison du conteneur 1.
De même, avant le départ de l'agence centrale, le ou les conteneurs 1 destinés à la station mobile 6 seront informés de cette situation par une opération supplémentaire menée par le responsable de 1 ' agence centrale ; dans l'exemple, le conteneur 1 sera programmé pour une destination sur station mobile 6 et non pas sur une station résidente 5. A la livraison du ou des conteneurs 1 , le convoyeur 3 présente le terminal 7 à l'utilisateur présumé 10 lequel devra alors introduire la carte à microprocesseur cryptée 11 qu'il détient et parallèlement taper son code confidentiel 12 sur le clavier dudit terminal 7. Lorsque l'utilisateur est correctement identifié, le convoyeur 3 récupère le terminal pour le connecter via 1 ' interface de communication 13 au conteneur 1 qui, après confrontation réussie des codes d' authentification du porteur et donc de la destination, transite immédiatement en mode ouverture permettant à l'utilisateur autorisé 10 de récupérer les fonds qui lui étaient normalement destinés.
Par la suite, le conteneur 1 est refermé, reprogrammé et mis en mode départ vers le site d'origine, tout ceci selon des étapes enchaînées puisque indépendantes du superviseur 4 qui ne peut à cet instant intervenir.
Après l'autorisation d'enlèvement, le convoyeur 3 déconnecte le conteneur 1 de son interface 13, l'utilisateur 10 reprend sa carte à microprocesseur 11 ; le convoyeur 3 retourne au véhicule de transport avec le terminal mobile et le conteneur 1 pour un retour au site de départ, c'est-à-dire à l'agence centrale.
Selon une caractéristique particulière de l'invention, il est prévu d'adjoindre au terminal 7 une imprimante autonome 15 permettant de délivrer au destinataire des fonds 10, un ticket 16, constituant un bon de prise en charge des fonds.
Naturellement, le microprocesseur équipant le terminal 7 sera avantageusement utilisé pour stocker toutes informations provenant des conteneurs et concernant la traçabilité des opérations quotidiennement effectuées, vers des sites non équipés de stations fixes 5.

Claims

-REVENDICATIONS
1 - Système sécurisé depuis un site de départ jusqu'à un site destinataire pour le transport de valeurs notamment de moyens de paiement, billets de banque, chèques, ou cartes bancaires, enfermées dans un conteneur (1), qui, en cas d'agression, provoque leur dégradation par des moyens appropriés, et qui est pourvu de moyens de gestion internes fonctionnant à la manière d'une "machine à modes limités" dont le cycle de fonctionnement comporte un nombre restreint d'états logiques, appelés modes, la transition d'un premier mode à un second mode résultant d'un événement ponctuel dont la licéité est, ou a été préalablement, vérifiée par un moyen autonome pouvant se mettre en relation avec lesdits moyens de gestion internes, ladite transition s ' accompagnant alors de la perte de mémoire du mode antérieur, ledit système pouvant comporter successivement, totalement, ou en partie seulement, les éléments d'un ensemble constitué par :
- un utilisateur des valeurs, qu'il s'agisse d'un expéditeur, d'un destinataire (10) ou d'un convoyeur (3), - un conteneur ( 1 ) ,
- un centre serveur (4) unique et situé à distance, pouvant se mettre en relation avec les moyens de gestion internes dudit conteneur (1) au moins lorsqu'il est sur le site de départ, pour contrôler la licéité d'un événement provoquant une transition d'un mode vers un autre mode, lesdits éléments étant reliés entre eux par l'intermédiaire d'une borne unique, appelée station (5,6), de manière à constituer un réseau en étoile dont ladite station (5,6) est le centre, caractérisé en ce que la station (6) d'au moins un destinataire (10) est une station mobile et transportable, comprenant un terminal (7) à clavier et écran (8) pourvu d'un microprocesseur et d'un lecteur de carte à mémoire (9), entièrement autonome c'est- à-dire non relié au centre serveur (4) et apte à être relié par un interface de communication (13) avec le conteneur (1) ledit interface (13) possédant avantageusement la source d'énergie (14) permettant d'alimenter le terminal (7) et le conteneur (1) et notamment son verrou électromagnétique.
2 - Système de protection selon la revendication précédente caractérisé en ce que les événements pouvant survenir au lieu de destination où se trouve une station mobile (6) à savoir les opérations d'ouverture, de fermeture du conteneur (1), de reprogrammation vers le site central et de départ, sont programmées dès l'origine, avant le départ du site central, dans les moyens de gestion internes du conteneur (1), les transitions d'un mode à 1 ' autre résultant de tels événements se faisant alors de manière non séquentielle, c'est-à-dire enchaînée.
3 - Système de protection selon l'une quelconque des revendications précédentes caractérisé en ce que le destinataire (10) associé à une station mobile (6) détient une carte à microprocesseur (11) personnalisée par un code confidentiel (12) remis préalablement et séparément audit destinataire (10) lui permettant au moment de la livraison du conteneur ( 1 ) grâce à son interface de communication (13) couplée au terminal (7), d'une part de s'identifier par introduction de la carte (11) dans le lecteur (9) validée par l'entrée du code confidentiel (12) et, d'autre part d'enchaîner les événements ouverture- reprogrammation-départ. 4 - Système de protection selon la revendication précédente caractérisé en ce que le micro processeur d'un conteneur (1) et la carte personnalisée (11) du destinataire (10) comportent des moyens d' authentification informatique des messages qu'ils échangent ensemble, via le terminal (7) et l'interface (13).
5 - Système de protection selon la revendication précédente caractérisé en ce que 1" authentification de la partie émettrice d'un message consiste à authentifier le message lui-même par vérification d'une signature informatique calculée sur le contenu dudit message au moyen d'un algorithme à clefs (DES) uniquement détenues par les parties à l'échange. 6 - Système de protection selon l'une quelconque des revendications précédentes, caractérisé en ce que les messages échangés entre deux parties du système sont chiffrés au moyen d'un algorithme de chiffrement à clefs (DES) qui sont détenues uniquement par ces deux parties, ledit algorithme (DES) pouvant avantageusement être, par exemple, une variante de l'algorithme servant à élaborer une signature d' authentification dudit message.
7 - Système de protection selon l'une quelconque des revendications précédentes caractérisé en ce que le terminal (7) est équipé d'une imprimante autonome (15) destinée à délivrer au destinataire (10) un bon (16) de prise en charge des valeurs.
8 - Système de protection selon l'une quelconque des revendications précédentes caractérisé en ce que le terminal ( 7 ) enregistre toutes informations provenant du ou des conteneurs ( 1 ) et concernant la traçabilité des événements survenus quotidiennement, vers des sites équipés de stations mobiles (6).
PCT/FR1997/001254 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable WO1998001833A1 (fr)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE69711091T DE69711091T2 (de) 1996-07-10 1997-07-10 System zum sicheren transport von gegenständen in einem sicheren behälter mit mindestens einer transportfähigen bestimmungsstelle
AT97932877T ATE214502T1 (de) 1996-07-10 1997-07-10 System zum sicheren transport von gegenständen in einem sicheren behälter mit mindestens einer transportfähigen bestimmungsstelle
AU36257/97A AU3625797A (en) 1996-07-10 1997-07-10 System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable
US09/214,608 US6430689B1 (en) 1996-07-10 1997-07-10 System for securely transporting objects in a tamper-proof container, wherein at least one recipient station is mobile and portable
EP97932877A EP0960406B1 (fr) 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable
DK97932877T DK0960406T3 (da) 1996-07-10 1997-07-10 System til sikker transport af genstande i en pille-sikker beholder, hvor mindst en modtagestation er bevægelig og transporterbar
BR9712967-4A BR9712967A (pt) 1996-07-10 1997-07-10 Sistema de transporte seguro de objetos em container com pelo menos uma estação destinatária móvel e transportável
CA002259285A CA2259285C (fr) 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9608605A FR2751111B1 (fr) 1996-07-10 1996-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable
FR96/08605 1996-07-10

Publications (1)

Publication Number Publication Date
WO1998001833A1 true WO1998001833A1 (fr) 1998-01-15

Family

ID=9493899

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR1997/001254 WO1998001833A1 (fr) 1996-07-10 1997-07-10 Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable

Country Status (12)

Country Link
US (1) US6430689B1 (fr)
EP (1) EP0960406B1 (fr)
AT (1) ATE214502T1 (fr)
AU (1) AU3625797A (fr)
BR (1) BR9712967A (fr)
CA (1) CA2259285C (fr)
DE (1) DE69711091T2 (fr)
DK (1) DK0960406T3 (fr)
ES (1) ES2174268T3 (fr)
FR (1) FR2751111B1 (fr)
PT (1) PT960406E (fr)
WO (1) WO1998001833A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2808912A1 (fr) * 2000-05-11 2001-11-16 Andre Nouvon Dispositif de controle d'authenticite des billets de banque et protection par dissuasion des transports de fonds

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2804994B1 (fr) * 2000-02-16 2003-06-27 Cpr Billets Dispositif et procede de transport securise d'un objet
JP2003058928A (ja) * 2001-08-13 2003-02-28 Toshiba Corp 銀行券鑑査機及び銀行券鑑査結果データ処理方法
EP1446773A1 (fr) * 2001-11-23 2004-08-18 De La Rue International Limited Appareil et procede de verification
SE520944C2 (sv) * 2002-01-22 2003-09-16 Sqs Ab Förfarande vid öppning av en transporterbar behållare samt anordning för genomförandet av förfarandet
DE102008045607A1 (de) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein
US10657488B2 (en) * 2009-07-14 2020-05-19 Carefusion 303, Inc. Portable inventory tracking system
DE102010061070A1 (de) * 2010-12-07 2012-06-14 Wincor Nixdorf International Gmbh Verfahren zur Inbetriebnahme und Verfahren zum Betreiben einer Geldkassette
EP2953100A1 (fr) * 2014-06-03 2015-12-09 Deutsche Postbank AG Système logistique d'argent en espèces et procédé de manipulation de processus logistiques d'argent en espèces

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0307375A2 (fr) * 1987-08-11 1989-03-15 Inter Innovation AB Système pour transférer rapidement et de manière fiable au moins la valeur de documents à un institut monétaire central
EP0409725A1 (fr) * 1989-07-17 1991-01-23 Axyval Système de protection de documents ou d'objets enfermés dans un contenant inviolable
WO1992002903A1 (fr) * 1990-08-03 1992-02-20 Timetill Security Limited Dispositif de manipulation de papier monnaie
EP0546701A2 (fr) * 1991-12-09 1993-06-16 Brink's Incorporated Dispositif et méthode pour accès contrôlé à un emplacement sécurisé
WO1993012510A1 (fr) * 1991-12-17 1993-06-24 Gemplus Card International Procede d'intervention sur une borne de delivrance d'un bien ou d'un service

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
US4929880A (en) * 1985-12-30 1990-05-29 Supra Products, Inc. Electronic lock system with battery conservation features
US5191611A (en) * 1989-04-03 1993-03-02 Lang Gerald S Method and apparatus for protecting material on storage media and for transferring material on storage media to various recipients

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0307375A2 (fr) * 1987-08-11 1989-03-15 Inter Innovation AB Système pour transférer rapidement et de manière fiable au moins la valeur de documents à un institut monétaire central
EP0409725A1 (fr) * 1989-07-17 1991-01-23 Axyval Système de protection de documents ou d'objets enfermés dans un contenant inviolable
WO1992002903A1 (fr) * 1990-08-03 1992-02-20 Timetill Security Limited Dispositif de manipulation de papier monnaie
EP0546701A2 (fr) * 1991-12-09 1993-06-16 Brink's Incorporated Dispositif et méthode pour accès contrôlé à un emplacement sécurisé
WO1993012510A1 (fr) * 1991-12-17 1993-06-24 Gemplus Card International Procede d'intervention sur une borne de delivrance d'un bien ou d'un service

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2808912A1 (fr) * 2000-05-11 2001-11-16 Andre Nouvon Dispositif de controle d'authenticite des billets de banque et protection par dissuasion des transports de fonds

Also Published As

Publication number Publication date
EP0960406A1 (fr) 1999-12-01
ES2174268T3 (es) 2002-11-01
CA2259285C (fr) 2003-07-08
FR2751111A1 (fr) 1998-01-16
DK0960406T3 (da) 2002-07-08
BR9712967A (pt) 2000-03-14
US6430689B1 (en) 2002-08-06
EP0960406B1 (fr) 2002-03-13
AU3625797A (en) 1998-02-02
PT960406E (pt) 2002-08-30
DE69711091T2 (de) 2003-03-27
ATE214502T1 (de) 2002-03-15
DE69711091D1 (de) 2002-04-18
CA2259285A1 (fr) 1998-01-15
FR2751111B1 (fr) 1998-10-09

Similar Documents

Publication Publication Date Title
EP1008257B1 (fr) Procede et systeme pour securiser les centres de gestion d'appels telephoniques
EP0973318A1 (fr) Procédé pour payer à distance, au moyen d'un radiotéléphone mobile, l'acquisition d'un bien et/ou d'un service, et système et radiotéléphone mobile correspondants
EP0409725B1 (fr) Système de protection de documents ou d'objets enfermés dans un contenant inviolable
EP0317400B1 (fr) Dispositif et procédé de sécurisation d'échange de données entre un terminal vidéotex et un serveur
WO1998013971A1 (fr) Procede et systeme pour securiser les prestations de service a distance des organismes financiers
WO1998028878A1 (fr) Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
EP0950307B1 (fr) Procede et systeme pour securiser les prestations de service d'operateurs de telecommunication
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
EP0960406B1 (fr) Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinataire est mobile et transportable
FR2697929A1 (fr) Protocole sécurisé d'échange de données entre un dispositif de transfert et un objet portatif.
FR2907948A1 (fr) Procede de lutte contre le vol de billets,billet,dispositif d'inactivation et dispositif d'activation correspondants.
FR2769446A1 (fr) Systeme d'identification et d'authentification
FR2776454A1 (fr) Systeme de telephonie mobile avec carte de prepaiement
EP2053553B1 (fr) Procédé et dispositif pour l'échange de valeurs entre entités électroniques portables personnelles
CA2500691A1 (fr) Procede de consultation securisee de recepisses de livraison d'objets
CA1243738A (fr) Procede et systeme pour chiffrer et dechiffrer des informations transmises entre un dispositif emetteur et un dispositif recepteur
FR2932296A1 (fr) Procedes et dispositif pour entites electroniques pour l'echange et l'utilisation de droits
EP2016700A1 (fr) Procede d'activation d'un terminal
FR2773405A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires
FR2789203A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires, les ressources accedante et accedee etant depourvues d'horloge temps reel
WO2022117789A1 (fr) Procédé de transmission de données, dispositif et programme correspondant
EP1962239A1 (fr) Procédé de vérificatiion d'un code identifiant un porteur, carte à puce et terminal respectivement prévus pour la mise en ceuvre dudit procédé
EP1054366A1 (fr) Procédé pour réaliser lors d'une première opération autorisée par une première carte au moins une seconde opération
FR2779895A1 (fr) Procede et systeme pour payer a distance au moyen d'un radiotelephone mobile l'acquisition d'un bien et/ou d'un service

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AL AM AT AU AZ BA BB BG BR BY CA CH CN CU CZ DE DK EE ES FI GB GE GH HU IL IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MD MG MK MN MW MX NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT UA UG US UZ VN YU ZW AM AZ BY KG KZ MD RU TJ TM

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH KE LS MW SD SZ UG ZW AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
ENP Entry into the national phase

Ref document number: 2259285

Country of ref document: CA

Ref country code: CA

Ref document number: 2259285

Kind code of ref document: A

Format of ref document f/p: F

WWE Wipo information: entry into national phase

Ref document number: 09214608

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 1997932877

Country of ref document: EP

REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

NENP Non-entry into the national phase

Ref country code: JP

Ref document number: 1998504884

Format of ref document f/p: F

WWP Wipo information: published in national office

Ref document number: 1997932877

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 1997932877

Country of ref document: EP