DE69008634T2 - Schutzsystem für, in einem Sicherheitsbehälter, eingeschlossene Dokumente oder Sachen. - Google Patents

Schutzsystem für, in einem Sicherheitsbehälter, eingeschlossene Dokumente oder Sachen.

Info

Publication number
DE69008634T2
DE69008634T2 DE69008634T DE69008634T DE69008634T2 DE 69008634 T2 DE69008634 T2 DE 69008634T2 DE 69008634 T DE69008634 T DE 69008634T DE 69008634 T DE69008634 T DE 69008634T DE 69008634 T2 DE69008634 T2 DE 69008634T2
Authority
DE
Germany
Prior art keywords
safe
mode
cassette
internal control
station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69008634T
Other languages
English (en)
Other versions
DE69008634D1 (de
Inventor
Franklin Devaux
Christophe Genevois
Marc Geoffroy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oberthur Cash Protection SA
Original Assignee
AXYVAL SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AXYVAL SA filed Critical AXYVAL SA
Application granted granted Critical
Publication of DE69008634D1 publication Critical patent/DE69008634D1/de
Publication of DE69008634T2 publication Critical patent/DE69008634T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/14Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D11/00Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
    • G07D11/10Mechanical details
    • G07D11/12Containers for valuable papers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/06Coin boxes
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05GSAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
    • E05G1/00Safes or strong-rooms for valuables
    • E05G1/005Portable strong boxes, e.g. which may be fixed to a wall or the like

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Packages (AREA)
  • Details Of Rigid Or Semi-Rigid Containers (AREA)
  • Storage Device Security (AREA)
  • Cartons (AREA)
  • Burglar Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Tires In General (AREA)
  • Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
  • Credit Cards Or The Like (AREA)
  • Sorting Of Articles (AREA)
  • Facsimile Transmission Control (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Lock And Its Accessories (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Schutzsystem für Dokumente oder Wertgegenstände, und insbesondere für Zahlungsmittel wie Banknoten, Schecks oder Kreditkarten, die in einem physisch unzerstörbaren Behälter eingeschlossen sind, dessen Öffnung außerdem eine Reihe von authentifizierten logischen Zuständen in beschränkter Anzahl durchläuft.
  • Herkömmliche Systeme zum Schutz von wertvollen Dokumenten oder Wertgegenständen wie Zahlungsmitteln sind heutzutage wohlbekannt. Die Mehrzahl dieser basiert in großem Umfang auf dem Prinzip eines transportablen Behälters mit verstärkten Wänden mit materieller oder immaterieller Schließung (beispielsweise durch einen Kode), zu dem nur Inhaber eines Schlüssels Zugang haben, wobei sich dieser Behälter im übrigen in einer kontrollierten Umgebung befindet, die beispielsweise mittels verschiedener Panzerungen gesichert ist.
  • Eine Alternative zu diesen herkömmlichen, häufig schweren und sperrigen Vorrichtungen ist in diversen französischen Patentschriften derselben Anmelderin beschrieben. Gemäß der Patentschrift FR-A-2 550 364 sind die zu schützenden Dokumente oder Wertgegenstände, die nachstehend als Wertpapiere bezeichnet sind, in einer Kassette eingeschlossen, deren physischer Zustand mittels Meßfühlern kontrolliert wird, die ständig Signale abgeben, welche Signalen aus einem obligatorischen und unvermeidlichen Prozeß entsprechen müssen, da ansonsten die Kassette und die Wertpapiere vernichtet oder markiert werden.
  • Die zu diesem Zweck verwendete Vernichtungsvorrichtung kann beispielsweise die in der Patentschrift FR-A-2 574 845 der Anmelderin beschriebene sein.
  • Im Fall des Transportes von Wertgegenständen, beispielsweise gefährlicher Medikamente (Drogen, Gifte) oder Gegenständen mit hohem Zusatzwert, ist die Vernichtungsvorrichtung wesentlich andersartig: dem Fachmann sind die zu diesem Zweck zu verwendenden bekannten und spezifischen Vorrichtungen bekannt.
  • Die den oben genannten Patenten zugrundeliegende Aufgabe besteht darin, im Fall eines agressiven Zugriffsversuches in einer Kassette enthaltene Wertpapiere unbrauchbar zu machen bzw. zu zerstören, wobei der hohe treuhänderische Wert dieser Wertpapiere weit unter ihrem reellen Wert liegt (was bei Banknoten, Kreditkarten und Schecks der Fall ist; die Attraktivität dieser Wertpapiere wird somit zunichte gemacht, da diese vor dem Zugriff zerstört werden).
  • Die an diese Systeme angeschlossenen Meßfühler, welche es insbesondere ermöglichen, physische Angriffe auf die Kassette zu erfassen, können im Gegensatz zu herkömmlichen Panzerungen einen sehr leichten Aufbau haben; ein derartiger mit einer unversehrten Wand verbundener Meßfühler ist beispielsweise in der französischen Patentschrift FR-A-2 615 987 der Anmelderin beschrIeben.
  • Den in diesen Patentschriften beschriebenen Schutzsystemen liegen dennoch eine Anzahl von unüberwindbaren Nachteilen zugrunde, welche die Zuverlässigkeit eines möglichst perfekten Schutzes aufs Spiel setzen, sowohl, wenn die die zu schützenden Wertpapiere enthaltende Kassette beweglich ist als auch wenn sie unbeweglich ist, und hauptsächlich bei erforderlichen Transaktionen im Zusammenhang mit Zustandsveränderungen der Kassette, zum Beispiel bei ihrem Ab- und Antransport, ihrem Öffnen und Schließen.
  • Gemäß der Patentschrift R-A-2 550 364 ist nämlich der Schutz einer Kassette integriert mit dem Schutz anderer Kassetten verbunden, die von dem Wagen transportiert werden, in den sie geladen wurden; die Kassetten sind im diesem Fall kollektiv geschützt, insbesondere aufgrund der Existenz eines geheimen und ständigen Signalaustauschs zwischen ihnen, dessen nicht vorgesehene Unterbrechung die Vernichtung der zu schützenden Wertpapiere zur Folge hat. Eine derartige Vorrichtung bringt schwer lösbare Probleme der Einrichtung dieses Signalaustauschs mit sich, und die sich hieraus ergebende Komplexität führt zu kostenintensiven, langsamen oder wenig zuverlässigen Lösungen.
  • Außerdem hat sich herausgestellt, daß ein individueller 3chutz der Kassetten durchführbar ist und im bevorzugten Fall, wenn man also über ein "weiches" Schutzsystem verfügt, das beispielsweise die Vernichtung einer großen Gesamtheit von Wertpapieren, die in verschiedenen Kassetten enthalten sind, verhindert, wenn nur eine dieser Kassetten eine Störung aufweist oder einem illegalen Zugriffsversuch ausgesetzt ist.
  • Überdies ermöglichen im Fall der Zerstörung einer Kassette und der darin enthaltenen Wertpapiere die beschriebenen Schutzsysteme nicht, die für den illegalen Zugriffsversuch verantwortlichen Personen, die diese Zerstörung verursacht haben, festzustellen; es ist nämlich wünschenswert und sogar notwendig, daß die Kassette bei ihrer Zerstörung nicht nur die Wertpapiere markiert oder zerstört, sondern auch jegliche Informationen geheimer Natur löscht, die für ihren zuverlässigen Betrieb Erforderlich sind: Algorithmen zur Überwachung ihrer physischen Zustände, Algorithmen zur Kodierung bzw. Dekodierung von mit dem Äußeren ausgetauschten Nachrichten, Art und Inhalt dieser Nachrichten wie Geheimkodes, Ziele und Empfänger der transportierten Wertpapiere.
  • Die Vernichtung aller dieser Informationen macht die sichere Identifizierung der letzten Person, die eine zerstörte Kassette in der Hand hatte, unmöglich, bei der es sich genausogut um einen illegalen Zugriffnehmer von außen auf das System handeln kann, wie um einen mit der Handhabung bzw. dem Transport der Kassetten beauftragten Vermittler, der die Wertpapiere zu seinem Profit unterschlagen möchte, oder sogar um andere autorisierte Personen, die aus verschiedenen rechtlichen Gründen autorisiert sind, sie "letztlich" doch zu öffnen.
  • Ein weiterer erheblicher Nachteil des in der Patentschrift FR-A-2 550 364 beschriebenen Systems liegt paradoxerweise in der strengen Festlegung des Prozesses, der die "Historie" einer Kassette während ihres Transportes dokumentiert. Jegliches nicht vorgesehenes Ereignis wird nämlich als ein Angriff auf eine Kassette eingestuft und führt zu deren Vernichtung; es besteht somit keine Möglichkeit zur Einstufung der von der Kassette auf ein unvorhergesehenes Ereignis übermittelten Antwort. Zun Beispiel im Fall von Stauungen auf den Verkehrswegen, welche das die Kassetten transportierende Kraftfahrzeug nehmen muß, führt die durch einen derartigen Stau verursachte Verzögerung ihrer Lieferung unabdingbar zu ihrer Zerstörung, was sich als kostspieliger wirtschaftlicher Fehler erweisen kann und einen Kunden, dessen Wertpapiere transportiert wurden, zur Anzweiflung der Zuverlässigkeit des Systems bringen kann.
  • Man kann diesen Nachteil nicht sofort oder direkt beheben, da die strenge Festlegung gewisser Phasen des in dieser Patentschrift beschriebenen Transportprozesses bezüglich der Sicherheit zwingend ist.
  • Aus den voranstehenden Erläuterungen geht deutlich hervor, daß die Verwendung eines einzigen Entscheidungszentrums für die Kassette zur Erzielung der vollständigen Sicherheit der zu beschützenden Wertpapiere und der Sicherheit des Transportes selbst zu unumgänglichen Nachteilen führt.
  • In der französischen Patentschrift FR-A-2 594 169 der Inhaberin ist in dieser Hinsicht eine Verbesserung der Patentschrift FR-A- 2 550 364 vorgeschlagen; es wird davon ausgegangen, daß sich die Kassetten in einem festen Fahrzeug befinden, und somit als Bankschließfächer dienen. Ihr Schutz ist immer kollektiv, was die voranstehend angeführten Nachteile mit sich bringt, der Zugang zum Tresor jedoch, in dem die Kassetten untergebracht sind, wird von außen über einen Rechner gesteuert, der mit einer elektronischen Anschlußbox in Verbindung treten kann, welche zur Überwachung des Tresorraums bestimmt ist, und gleichzeitig geheim und ständig mit der Gesamtheit der Kassetten kommuniziert. Die Kommunikation jeder dieser Kassetten mit dem externen Rechner wird möglich; dieser ist somit in der Lage, den festgelegten Prozess, der die "Historie" einer Kassette regelt, zu erzeugen und dessen Initiierung zu steuern, was nach diversen Überprüfungen erfolgt, bei denen auch Geheimkodes überprüft werden, die diejenigen Personen innehaben, die gültigen Zugang zu den Kassetten haben (wie ein Bankangestellter oder ein Kunde).
  • Das in dieser letztgenannten Schrift beschriebene System bEsitzt noch wesentliche Nachteile, und es ist insbesondere möglich, einen Hackerrechner einzurichten, der nachstehend als geklont bezeichnet wird, und der dieselben Funktionen erfüllt wie der Originalrechner; die Sicherheit der in den Kassetten enthaltenen Wertpapiere ist somit nicht mehr vollständig gewährleistet, da keine Vorrichtung vorgesehen ist, die es den Kassetten ermöglicht, den Überwachungsrechner sicher und wechselseitig zu erkennen.
  • Bei der Lektüre der oben genannten Patentanmeldung stellt man im übrigen fest, daß die Informationsquelle, die die Daten des Prozesses an die diversen elektronischen Elemente der Gesamtheit weiterleitet, nicht unbedingt einzigartig ist, was ein Risiko bezüglich der Geheimhaltung der Daten darstellt; die Redundanz der Informationen, die im Patent FR-A-2 550 364 nicht vorkommt, wird hier sehr wichtig.
  • Die Erfindung zielt darauf ab, in entscheidender Weise die verschiedenen bekannten Systeme zu verbessern, indem sie ein Schutzsystem für wertvolle Dokumente oder Wertgegenstände, und insbesondere für Zahlungsmittel wie Banknoten, Schecks oder Kreditkarten, vorschlägt, welche in mindestens einem physisch unbeschädigbaren Behälter, als Kassette bezeichnet, eingeschlossen sind, welcher im Fall eines Angriffs deren Vernichtung durch geeignete Einrichtungen bewirkt. Dieses System zeichnet sich dadurch aus, daß die Kassette mit internen Steuerungseinrichtungen versehen ist, die auf die Art und Weise einer "Maschine mit einer begrenzten Anzahl von Modi" funktioniert, bei der der Betriebszyklus eine begrenzte Anzahl logischer Zustände umfaßt, die als Modi bezeichnet werden, wobei der Übergang von einem ersten Modus in einen zweiten Modus die Folge eines zeitlich genau erfolgenden Ereignisses ist, dessen Zulässigkeit von einer autonomen Vorrichtung, die sich mit den genannten internen Steuerungseinrichtungen der Kassette in Verbindung setzen kann, überprüft wird bzw. vorher überprüft wurde, wobei bei diesem Übergang gleichzeitig ein Verlust des Speichers des vorherigen Modus auftritt.
  • Eine der der vorliegenden Erfindung zugrundeliegenden Aufgaben besteht somit darin, einen logischen Zustand, der als Modus bezeichnet wird, jeder Situation anzupassen, in der sich eine Kassette befinden kann, wobei dieser Modus explizit durch zwei Grenzen ausschließlich konzeptueller Natur abgegrenzt wird, was es ermöglicht, den Betriebszyklus der internen Steuerungseinrichtungen der Kassette strikt und zuverlässig zu organisieren; bei den heute bekannten Systeme sind nur zwei implizite Grenzen bekannt, nämlich "der Übergang von bewegter Kassette zu festangeordneter Kassette" und umgekehrt.
  • Die vorliegende Erfindung erzielt die zu einer intelligenteren Steuerung des Schutzes der Kassetten erforderliche Einsatzflexibilität. Es ist jedoch auch wesentlich, daß bei jedem Abschnitt des Schutzprozesses, bei jedem Übergang zwischen zwei logischen Zuständen, die Kassette keine Spur ihres vorherigen logischen Zustandes speichert; es ist bereits bekannt, daß diese Spur unnütz ist; man versteht auch, daß diese Spur gefährlich ist, da es für die Sicherheit des Systems unabdingbar ist, daß die geheimen Nachrichten, wie Kodes, nicht gelesen werden können, wenn sie nicht im Fall eines Angriffs vollständig vernichtet werden. Schließlich ergibt sich anhand der nachstehenden Ausführungen, daß diese Spur nicht existieren kann.
  • Das Fehlen einer Speicherung des vorhergehenden Modus ist nämlich für die Sicherheit des Systems von grundlegender Bedeutung, da zwei extreme Modi des Betriebszyklus der internen Steuerungseinrichtungen einer Kassette miteinander verbunden werden können:
  • - entweder direkt über ein erstes Ereignis, das zu diesem Zweck vorgesehen ist und das einen Übergang vom einen in den anderen Modus bewirkt,
  • - oder indirekt, über voraufgehende Übergänge in andere Modi, aufgrund von anderen vorgesehenen und autorisierten Ereignissen.
  • Würde die Kassette ihren vorherigen Modus speichern, d.h. wenn man akzeptierte, daß sie sich dieses bedienen kann, dann wäre es möglich, einen vorher von den internen Steuerungseinrichtungen der Kassette akzeptierten Übergang von einem ersten Modus in einem zweiten Modus ungültig zu machen; ein neues Ereignis könnte nämlich einen Übergang vom ersten Modus in einen dritten Modus bewirken, ohne daß im übrigen vorgesehen wäre, einen Übergang vom zweiten Modus in diesen dritten Modus zu autorisieren; das System würde folglich "unsteuerbar".
  • Durch den Vorschlag, den Betrieb der internen Steuerungseinrichtungen einer Kassette in einem Zyklus mit einer begrenzten Anzahl logischer Zustände oder Modi zu organisieren, wobei diese Vorrichtungen im übrigen als einzige Speicherung ihren eigenen Modus aufwiesen, stellt die vorliegende Erfindung eine zuverlässige und sichere Vorrichtung zur Verfügung, um diverse Betriebszyklen zu definieren, die zahlreichen Fällen entsprechen, die den bis heute bekannten Systemen unzugänglich sind, für die eine einzige "Historie" zwischen dem Schließen und dem Öffnen einer Kassette existieren kann.
  • Dieser bestimmte Betrieb der internen Steuerungseinrichtungen einer Kassette, durch den Übergang von in begrenzter Anzahl vorhandenen logischen Zuständen, ist somit zur Annäherung an einen Betrieb von logischen Vorrichtungen, die unten der Bezeichnung "Maschinen mit begrenzten Modi" bekannt sind, geeignet.
  • Die Geschlossenheit einer derartigen Organisation zeigt sich für das erfindungsgemäße Schutzsystem in einer zusätzlichen Intelligenz, welche auf gewisse Weise die Kassetten und das System in seiner Gesamtheit "logisch unbeschädigbar" macht.
  • Diese logische Unbeschädigbarkeit zeigt sich gleichfalls gemäß einem weiteren Merkmal der Erfindung darin, daß während des Transportes einer Kassette - welcher einesteils durch den Übergang von einem Modus, in dem die Kassette als fest angeordnet eingestuft wird, in einen Modus, in dem sie als beweglich eingestuft wird, und andererseits durch den Übergang von einem Modus, in dem die Kassette als beweglich eingestuft wird, in einen Modus, in dem sie als fest angeordnet eingestuft wird, abgegrenzt ist - die internen Steuerungseinrichtungen der Kassette völlig autonom sind, d.h. als einzige für die Sicherheit der Wertpapiere verantwortlich sind, die in der Kassette eingeschlossen sind.
  • Es versteht sich also, daß eine Kassette korrelativ diese Verantwortung mit anderen Teilen des Systems teilen kann, zwangsweise außerhalb ihres Transportes, wobei beispielsweise die autonome Vorrichtung sich mit den internen Steuerungsvorrichtungen der Kassette in Verbindung setzen kann.
  • Weitere besondere Modi von Ausführungsformen gemäß der Erfindung sind in den Unteransprüchen 3 bis 13 angegeben.
  • Weitere Merkmale und Vorteile des erfindungsgemäßen Systems ergeben sich besser aus der nachstehenden Beschreibung einer besonderen, nicht einschränkenden Ausführungsform, welche zur Veranschaulichung des Systems gegeben ist, unter Bezugnahne auf die beigefügten Zeichnungen, in denen
  • - Figur 1 ein Übersichtsdiagramm über die Organisation im Netz des erfindungsgemäßen Systems darstellt;
  • - Fig. 2 ein Diagramm zeigt, aus dem das Konzept der Transitivität der Authentifizierungen hervorgeht;
  • - Figur 3 einen logischen Ablaufplan der möglichen und vorgesehenen Übergänge zwischen den Betriebsmodi des Systems darstellt, gemäß einer besonderen Variante der Erfindung.
  • Wie in Fig. 1 zu sehen ist, wird das erfindungsgemäße System zum Schutz von Wertpapieren eingesetzt, die von dem verantwortlichen Angestellten einer Geldinstituts, im folgenden als Absender 2 bezeichnet, in eine Kassette 1 gelegt wurden. Die Kassette 1 muß von einem Zusteller 3 beispielsweise zu einer Filiale des Geldinstituts transportiert werden.
  • In einer der bevorzugten Ausführungsformen der Erfindung wird die Vorrichtung, die sich mit den Kassetten in Verbindung setzen kann, um den Übergang der Verantwortung zu vollziehen, durch einen Einzelrechner 4 gebildet.
  • Dieser Rechner 4 hat die Rolle eines Supervisors inne und führt die logische Sicherung der Kassetten 1 durch, d.h. überprüft die Zulässigkeit der Übergänge von gewissen Betriebsmodi der internen Steuerungseinrichtungen in gewisse andere Modi.
  • Bei diesen besonderen Übergängen ergibt sich eine Erstreckung oder eine Begrenzung des erfindungsgemäßen Schutzsystems und drei sehr explizite Fälle können aufgeführt werden:
  • a) bei einem Transportvorgang kann der Schutz der Wertpapiere nur durch die diese enthaltende Kassette 1 gewährleistet werden: das System umfaßt folglich ausschließlich die Kassette 1.
  • b) am Ende eines Transportvorganges, zum Zeitpunkt der Lieferung, kann nur eine außerhalb der Kassette 1 befindliche Informationsquelle die Unterbrechung des Modus bewirken, in den sie am Anfang ihres Transportes versetzt wurde und der ihre einzige Speicherung darstellt: das System muß folglich auf die externe Informationsquelle erstreckt werden, d.h. den Rechner 4 - der vor einer solchen Erstreckung von der Kassette als zuverlässiger und sicherer (Kommunikations-)Partner anerkannt werden muß.
  • c) nach der Lieferung besteht der Schutz der in der Kassette 1 eingeschlossenen Wertpapiere noch vollständig denn ihr Öffnen erfordert die Erstreckung des Systems auf eine zweite externe Informationsquelle - dem Verwender dieser Wertpapiere (im breiteren Sinne: Empfänger, Sender 2, Zusteller 3) - die wiederum von der Kassette 1 und dem Rechner 4 als zuverlässiger und sicherer (Kommunikations-)Partner anerkannt sein muß.
  • Es gibt somit drei Typen von Modi für eine Kassette 1 - in der Tat für das System in seiner Gesamtheit, nur die Kassette 1 nimmt jedoch an der Gesamtheit des Schutzes teil, da sie schließlich ermöglicht, Dritte an ihrem Begehren nach dem Kassetteninhalt zu hindern - je nachdem, ob sie als im beweglichen Zustand und geschlossen, entsprechend Fall a), oder unbeweglich und geschlossen, entsprechend Fall b) und schließlich unbeweglich und offen, gemäß Fall c) eingestuft wird.
  • Die Übergänge zwischen diesen drei Typen von Modi entscheiden über den Übergang der Verantwortung für den Schutz der Wertpapiere, ob sie in einer Kassette 1 eingeschlossen sind oder nicht (vor ihrem Versand werden diese Wertpapiere vom Absender 2 frei in die Kassette 1 gelegt und bis zur Bestätigung ihrer Übernahme durch das System ist dieser Absender 2 für sie verantwortlich).
  • Die Beweglichkeit der Kassette 1 ist folglich ein nur logisches Merkmal des Systems, das über ihre wirkliche physische Mobilität hinausgeht, sie aber wohlverstanden ohne Widerspruch wiedererlangt. Dieser beträchtliche Vorteil des Systems ist eine der überraschendsten Folgen der Tatsache, daß sein physisch mobiler Teil, die Kassette 1, als Vorrichtung mit begrenzten Modi organisiert ist.
  • Man kann in dieser Hinsicht das erfindungsgemäße System mit einem Datennetz vergleichen, bei dem eine Zugriffsberechtigung, die den Besitz der Entscheidungsbefugnis symbolisiert, zwischen den Grenzen des Netzes ausgetauscht werden kann; die Grenze mit der Zugriffsberechtigung kann außerdem wählen, diese zu übertragen, wobei diese Übertragung den Verlust oder die Teilung der Befugnis mit sich bringt. Die im erfindungsgemäßen System übertragene Zugriffsberechtigung besteht, wie sich versteht, aus der Verantwortung für den Schutz der in einer Kassette 1 eingeschlossenen oder nicht eingeschlossenen Wertpapiere.
  • Im übrigen besteht ein unerwarteter Vorteil der erfindungsgemäßen Verwendung eines Einzelrechners 4, der das System überwacht, darin, daß die Redundanz der für die sichere Steuerung des Systems erforderlichen Informationen begrenzt wird, d.h. ihre eventuelle Übertragung. Gäbe es einen zweiten Rechner - es könnte beispielsweise ein Rechner am Ausgangspunkt einer Kassette vorsehen werden - und einen weiteren Rechner an ihrem Ankunftsort, was in der Tat bei dem in der französischen Patentanmeldung FR-A-2 594 169 beschriebenen System der Fall ist - dann wäre es von zwingender Bedeutung, diesen zweiten Rechner auf zuverlässige Art und Weise in das aus Kassette/erster Rechner bestehende System zu integrieren, damit es zu einem aus Kassette/erster Rechner/zweiter Rechner bestehenden System wird; die zuverlässige Integration des Empfängers der in der Kassette 1 eingeschlossenen Wertpapiere wird somit mittels dieses zweiten Rechners möglich. Folglich ist der Integrationsabschnitt des zweiten Rechners nicht erforderlich, da er weder eine Vereinfachung (ganz im Gegenteil) noch eine komplementäre Sicherheit erzielt, und der Empfänger der Wertpapiere kann daher direkt über den ersten Rechner integriert werden.
  • Es ist schließlich zu bemerken, daß die Kassetten 1 völlig voneinander unabhängig sind und daß jedes aus Kassette/Rechner/Benutzer bestehende System als ein bestimmtes Netz zu betrachten ist, wenn auch der Supervisor-Rechner 4 für alle Kassetten 1 derselbe sein kann. Es ist daher gut, sich vor Augen zu halten, daß keine ständige Kommunikation zwischen den Kassetten 1 stattfindet, was einen erheblichen Vorteil gegenüber dem in der Patentschrift FR-A-2 550 364 beschriebenen System darstellt.
  • Gemäß der Erfindung gibt es nur eine Reihe punktueller Dialoge/Kommunikationen. Während dieser Dialoge dürfen die ausgetauschten Nachrichten trotzdem nicht die Sicherheit des Systems aufs Spiel setzen: aus diesem Grunde stellen die zwischen den Teilen aufgestellten Verbindungen einen integralen Teil des Systems dar, wobei ihr mögliches Versagen bzw. Ausfallen als Angriff eingestuft wird.
  • Die Verbindungen können eine materielle Unterstützung aufweisen, deren Natur leichter schützbar ist, beispielsweise durch Verkleidungen bzw. Panzerungen. Wie aus dem nachstehenden hervorgeht, ist trotzdem eine vorteilhafte Überwindung der Geheimhaltungsprobleme möglich, ohne auf diese physischen Panzerungen bzw. Verkleidungen zurückgreifen zu müssen.
  • Gemäß eines komplementären Merkmals der Erfindung, wie es in Fig. 1 zu sehen ist, können die vier Teile Kassette 1, Rechner 4, Absender 2 und Zusteller 3 mit einem einzigen Anschluß, nachstehend als Station 5 bezeichnet, verbunden sein, um ein Sternnetz zu bilden, bei dem die Station 5 den Mittelpunkt bildet.
  • Auf diese Weise entsteht eine erste Station 5 am Ausgangspunkt einer Kassette 1 und eine weitere Station 5 an ihrem Ankunftsort. Diese Mehrzahl von Stationen 5 beeinträchtigt dennoch in keinster Weise die Sicherheit des Systems, da gemäß einem äußerst wichtigen Merkmal der Erfindung die Zugriffsberechtigung, die die Verantwortung hinsichtlich des Schutzes der Wertpapiere darstellt, niemals an die Stationen 5 übertragen wird, welche folglich nur Durchlaufspunkte für Geheiminformationen darstellen, die a priori für die Sicherheit des Systems höchst wichtig sind. Somit kann gemäß der Erfindung eine Station 5 niemals eine zur Kontrolle der Zulässigkeit eines Ereignisses, welches einen Übergang von einem Betriebsmodus der internen Steuerungseinrichtungen einer Kassette 1 in einen anderen Modus bewirken kann, fähige Vorrichtung darstellen.
  • Die Verwendung eines Sternnetzes bringt zahlreiche wohlbekannte Vorteile.
  • Insbesondere verläuft eine zwischen zwei integrierten Teilen eines Sternnetzes ausgetauschte Nachricht nicht über die anderen Teile, wie es beispielsweise bei einem Ring der Fall ist: man kann daher von einer strukturellen Geheimhaltungsfähigkeit dieses Types von Netz sprechen.
  • Außerdem besitzt jeder der Teile des Systems zur Dialogfähigkeit eine elektronische Schnittstelle, welche bisweilen komplexe Austausche steuern muß. Die Verwendung einer Station 5, die erfindungsgemäß alle Teile miteinander verbinden kann, ermöglicht vorteilhaft und auf überraschende Weise eine Vereinfachung und Erleichterung dieser Schnittstellen.
  • Zum Beispiel ist es nicht zweckdienlich, mit der Kassette 1 hochentwickelte Kommunikationsaufbauvorrichtungen zu transportieren, die eine schwere Elektronik erfordern. Ebenso muß die Verbindung eines Benutzers (Absender 2, Zusteller 3) mit den anderen Teilen des Systems einfach bleiben.
  • Die Station 5 besitzt zu diesem Zweck alle schweren elektronischen Schnittstellen, und es bleibt der Kassette 1 und dem Benutzer nur noch ein elementarer Verbindungsdialog mit der Station 5 zu führen.
  • Es ist zu bemerken, daß der Rechner 4 seinerseits komplexere Austausche führen kann und daß es außerdem erfindungsgemäß vorteilhafter ist, ihn zu einem Gastprozessor zu machen, der sich im Abstand zu allen Stationen 5, zu allen Benutzern und zu allen Kassetten 1 befindet, was es ermöglicht, sie bei dieser Gelegenheit wirkungsvoll gegen eventuelle Angriffe, sowohl logischer als auch physischer Natur zu schützen.
  • Auch wenn jetzt feststeht, daß das erfindungsgemäße System in allen seinen Merkmalen einen Funktionsaufbau hat, der möglicherweise geheimhaltungsfähig ist, muß sich diese Geheimhaltungsfähigkeit auf die Gewißheit stützen, daß die integralen Teile des Systems bzw. die dem System integrierten Teile auch so sind, wie sie es zu sein vorgeben.
  • Gemäß einem komplementären Merkmal des erfindungsgemäßen Systems findet der Kommunikationsaustausch zwischen beiden Teilen des Systems gemäß einem Protokoll statt, das es dem Teil, welcher eine Nachricht empfängt, ermöglicht, den Teil zu authentifizieren, der als Absender dieser erfaßt ist, wobei diese Authentifizierung eventuell von einem Absenden einer Nachricht über den guten Empfang an den Absender-Teil begleitet wird. Zu diesem Zweck umfassen alle Teile des Systems Vorrichtungen zur informatischen Authentifizierung von Nachrichten, die von einem im System integrierten Absender-Teil empfangen wurden; im Fall der Authentifizierung einer Nachricht sind diese Authentifizierungsvorrichtungen zur Zusammenarbeit mit den Übertragungsvorrichtungen geeignet, um das Senden einer Nachricht über den guten Empfang an den Absender-Teil zu bewirken.
  • Erfindungsgemäß erfolgen gewisse Authentifizierungen in die beiden Richtungen, da zum Beispiel eine Kassette 1 sicher sein muß, daß der Rechner 4 nicht ein geklonter Rechner ist, und umgekehrt der Rechner 4 sicher sein muß, daß es sich bei der Kassette 1 nicht um eine geklonte Kassette handelt: man spricht daher von einer wechselseitigen Authentifizierung der Teile. Ebenso wird eine Station 5, mit der eine Kassette 1 verbunden ist, authentifiziert, was die Existenz geklonter Stationen ausschließt.
  • Es ist zu bemerken, daß die Authentifizierung des Systems durch einen Benutzer (Absender 2, Zusteller 3) dieses Systems implizit ist; im vorliegenden Fall erfolgt lediglich eine einfache Authentifizierung dieses Benutzers, sei es durch eine Kassette 1, den Rechner 4 und gegebenenfalls bei Verlauf durch die Station 5, an die die Kassette 1 angeschlossen ist (diese Station 5 verfügt auf keinen Fall über irgendeine Vorrichtung zur Integrierung des Benutzers in das System; es handelt sich ausschließlich um eine Erleichterung und eine zusätzliche Sicherung, die darauf abstellt, einen unzulässigen Benutzer von vorneherein abzuweisen).
  • Aufgrund des logischen Aufbaus der Kassetten 1, die als Maschinen mit einer begrenzten Anzahl von Modi organisiert sind, und aufgrund der physischen und funktionellen Architektur der zwischen den diversen Teilen des Systems bestehenden Verbindungen, kann diese wechselseitige Authentifizierung der Teile streng und genau gesteuert erfolgen und erzielt eine unerwartete Flexibilität bei der Steuerung des Schutzes der Wertpapiere, welche in einer Kassette 1 eingeschlossen sind oder nicht.
  • In der Tat kann man unter allen Umständen eine Phase des Schutzes der Wertpapiere unterbrechen, ohne diesen deshalb in Frage zu stellen; diese Unterbrechungen, die die Integration eines zuverlässigen neuen Teils in das System (welcher von dem "Umstand", der zum Beispiel zu einer Umleitung des Transports führt, hingeleitet wurde) und somit den Übergang von einem Typ Modus in einen anderen Typ Modus erforderlich machen, bedingen zwangsweise eine wechselseitige Authentifizierung der Teile. Die "normalen" Verzögerungen beim Transport, wie Staus, Pannen, können schließlich anders gelöst werden als durch die endgültige Vernichtung der in einer Kassette 1 enthaltenen Wertpapiere.
  • Die herkömmlichen Vorrichtungen dieser Authentifizierung sind zahlreich und in ihrer Mehrzahl von informatischer Natur.
  • Man kann auf diese Weise eine genaue Analogie der dieses erfindungsgemäße System sichernden Prinzipien mit den eine Speicherkarte sichernden Prinzipien erzielen; insbesondere kann man die Kassette 1, die physisch sowie logisch unbeschädigbar ist, als eine wahrhaftige Speicherkarte betrachten.
  • Die für die Sicherheit einer Kassette 1 sowie für die Sicherheit von Transaktionen, an denen sie teilnimmt, zu treffenden Maßnahmen sind somit wohlbekannt und zielen darauf ab, einerseits die Gefährdung der Geheimhaltung der zwischen zwei integrales Teilen des Systems, von denen einer beispielsweise die Kassette ist, ausgetauschten Nachrichten und andererseits die Gefährdung der Integrität dieser Nachrichten (freiwillige Änderung deren Inhaltes oder nicht) zu eliminieren.
  • Eine erste Maßnahme, die die Bedrohungen der Geheimhaltung eliminiert, besteht darin, die ausgetauschten Nachrichten zu verschlüsseln, und es sind zahlreiche Verschlüsselungsverfahren zu diesem Zweck bekannt.
  • Erfindungsgemäß wurde ein Verschlüsselungsalgorithmus des symmetrischen Typs zur Verwendung ausgewählt, der unter der Bezeichnung DES (im Englischen: Data Encryption Standard) bekannt ist, dessen Charakteristiken genormt sind, und der zum Beispiel in der als Referenz genannten Veröffentlichung FIPS PUB 46 (Federal Information Processing Standards Publication 46) beschrieben ist. Bei diesem Algorithmus ist einem Paar :Kassette 1/Rechner 4: (zum Beispiel) ein Schlüssel K zugewiesen; dieser Schlüssel K wird in einem Speicher der Kassette 1 abgelegt, wo er physisch geschützt ist, während der Rechner 4 gemäß einer bevorzugten Ausführungsform der Erfindung die mit allen Kassetten 1 geteilten Schlüssel K speichert.
  • Diese Ausführungsform, die für den Rechner 4 wenig sparsam an Speicherplatz ist, ist derjenigen vorzuziehen, welche einen einzigen Schlüssel für alle Kassetten 1 vorsieht, denn es könnte vorkommen, daß eine angegriffene Kassette 1 den in ihr eingeschriebenen Schlüssel nicht vollständig vernichtet, wodurch eine Wiedergewinnung des Schlüssels und somit der "legale" Diebstahl des Inhaltes der anderen Kassetten 1 durch Bildung eines Klons ermöglicht wird. Trotz der Tatsache, daß der Algorithmus DES ein öffentlicher Algorithmus ist, ermöglicht ausschließlich die Kenntnis des Schlüssels K ein Entschlüsse in einer mit diesem verschlüsselten Nachricht; es handelt sich also um eine Authentifizierung der Nachricht an sich, die für den Betrieb des Systems als ausreichend betrachtet werden kann. Dennoch wird eine Störung dieser Nachricht auf der Kommunikationsleitung nicht erfaßt: es erweist sich somit als bevorzugt, die Nachricht vor ihrer Entschlüsselung zu authentifizieren.
  • Eine auf die Eliminierung der Bedrohungen der Integrität der Nachrichten gerichtete Maßnahme besteht darin, diese Nachrichten zu markieren; eine Markierung wird gleichzeitig mit der Nachricht übertragen und ihre Überprüfung durch den Empfängerteil dient zur Authentifizierung der Nachricht und ihres Absenders.
  • Es muß jedoch beachtet werden, daß diese Markierung nichts mit der "Zugriffsberechtigung" zu tun hat, die erfindungsgemäß den Übergang der Verantwortung für den Schutz der in einer Kassette 1 eingeschlossenen oder nicht-eingeschlossenen Wertpapiere darstellt; diese "Zugriffsberechtigung" ist eine Nachricht wie jede andere, und sie wird nicht notwendigerweise im Verlauf einer Authentifizierung übertragen (zum Beispiel wird sie nie an eine Station 5 übertragen, die dennoch von ihren Partnern direkt oder indirekt authentifiziert werden muß). Die Markierung ist ein Beweis und die Berücksichtigung der Nachrichten ist erst nach Überprüfung dieses Beweises möglich.
  • Gemäß eines komplementären Merkmals der Erfindung wird diese Markierung oder Beweis anhand der Parameter der Transaktion berechnet; d.h. der Inhalt der Nachrichten, gemäß einem Algorithmus, der dem Verschlüsselungs-Algorithmus DES ähnlich ist, was den beträchtlichen Vorteil bringt, daß die Verarbeitung von zwischen den Teilen des Systems ausgetauschten Nachrichten vereinfacht wird. Die Schlüssel zur Verschlüsselung und zur Authentifizierung sind unterschiedlich, was die Verschlüsselungssicherheit noch erhöht.
  • Außerdem wird es vorteilhaft, in ein und derselben elektronischen Schaltung, die als "DES-Chip" bezeichnet wird, den Algorithmus zur Verschlüsselung und zur Authentifizierung der Nachrichten zu integrieren und eine derartige elektronische schaltung ins Innere jeder der Kassetten 1 einsetzen zu können. Die Verwendung eines "DES-Chips" ermöglicht insbesondere die Speicherung jeglicher Schlüssel in ihm und eine leichtere Zerstörbarkeit im Fall eines Angriffs. Außerdem steuert ein Mikroprozessor die Gesamtheit der Elektronik einer Kassette 1 und eine Software-Implantation des Algorithmus DES in diesem Mikroprozessor würde zuviel Platz im Speicher einnehmen.
  • Der "DES-Chip" vollzieht somit gleichzeitig die Verschlüsselung der Nachricht und die Bildung der Markierung auf dieser Nachricht.
  • Es ist nichtsdestotrotz zu beachten, daß die Verschlüsselung keine obligatorische Operation darstellt, denn die Kenntnis eines Dritten von dem Inhalt der Nachrichten, beispielsweise Anweisungen zur Änderung der Modi oder die Parameter eines Transportes, stellt die Sicherheit des Systems nicht in Frage; lediglich die durch die auf diesen Nachrichten vorhandene Markierung gelieferte Authentifizierung zählt, und es wäre deshalb nicht möglich, die Elektronik einer Kassette mit einer nicht-authentifizierten falschen Nachricht in Klarschrift zu täuschen. Die Verschlüsselung ist eine Vorsichtsmaßnahme, die im wesentlichen darauf gerichtet ist, die Benutzer über die Geheimhaltungsfähigkeiten des Systems zu versichern.
  • Außerdem können bestimmte Geheimkodes zwischen zwei Teilen des Systems hin- und herübertragen werden; die Verschlüsselung wird somit erforderlich, um diese Kodes zu schützen.
  • Die Stationen 5 weisen ebenfalls einen "DES-Chip" auf, der physisch geschützt ist, und Schlüssel zur Verschlüsselung und zur Authentifizierung von Nachrichten, die er an den Supervisor- Rechner 4 überträgt, enthält. Es ist zu bemerken, daß diese Schlüssel sich von den Schlüsseln unterscheiden, welche von den Kassetten 1 benutzt werden. Eine Nachricht an den Rechner 4, die von einer Kassette 1 kommt, wird auf diese Weise doppelt verschlüsselt und authentifiziert: von der Kassette 1 mit einem ersten Paar Schlüssel, und von der Station 5 mit einem zweiten Paar Schlüssel.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung wurde ein symmetrischer Verschlüsselungs-Algorithmus ausgewählt, d.h. ein Algorithmus, für den beide Teile denselben Schlüssel benutzen. Dieser Algorithmus eignet sich perfekt für die Transaktionen zwischen einer Kassette 1, einer Station 5 und dem Supervisor-Rechner 4, da sie mit zu diesem Zweck problemlos verwendbaren elektronischen Schaltungen versehen sein können. Wie bereits erwähnt, unterscheidet sich der Verschlüsselungsschlüssel von dem Schlüssel, der zur Ausarbeitung der Markierung verwendet wird, mit praktisch demselben Algorithmus. Dies bedeutet, daß zur Authentifizierung aller anderen Teile jeder Teil des Systems mit diesen anderen Teilen ein Paar einzigartiger Schlüssel teilen muß. Insbesondere muß jede Kassette 1 jede der Stationen 5 authentifizieren können, mit denen sie verbunden ist, wobei jede Station 5 wiederum ihrerseits jede Kassette 1 authentifizieren muß; die Anzahl von unter diesen Bedingungen zu speichernden Schlüsseln wird schnell übermäßig, daher wurde gemäß einer bevorzugten Ausführungsform der Erfindung vorgesehen, die Authentifizierungen zwischen den Kassetten 1 und den Stationen 5 indirekt durchzuführen.
  • Gemäß Fig. 2 ist die indirekte Authentifizierung durch Transivität möglich, d.h. wenn zwei Teile A und B sich wechselseitig authentifiziert haben, und wenn der Teil A und ein Teil C sich ebenfalls wechselseitig authentifiziert haben, dann sird die Teile B und C über A wechselseitig authentifiziert, da dieser ein zuverlässiger Partner aller Teile ist.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung spieit der Supervisor-Rechner 4 die Rolle des Teils A, die Kassetten 1, die Stationen 5 und die Benutzer haben die Rolle der Teile B oder C. Nur der Rechner 4 kennt alle Schlüssel. Die anderen Teile teilen sich ihrerseits nur einen einzigen Schlüssel mit diesem Rechner 4.
  • Dieser bemerkenswerte Vorteil weist einen Nachteil auf, der als schwerwiegend erscheinen kann. Jedesmal, wenn zwei Teile des Systems in Dialog miteinander stehen, müssen diese Teile nämlich eine direkte Verbindung zu dem Rechner 4 erstellen, damit sie sich erst wechselseitig mit ihm authentifizieren und dann sicherstellen, daß der andere Teil bereits authentifiziert ist.
  • Der Rechner 4 wird in diesem Fall nichtsdestotrotz zu einem obligatorischen Vermittler der Transaktionen und kann auf unerwartete Weise deren "Historie" speichern. Der Rechner 4 ist folglich der über jeden Verdacht erhabene Speicher des Systems.
  • Die Authentifizierung der Benutzer des Systems bleibt erfindungsgemäß ein Sonderfall, der beachtet werden muß.
  • In einer ersten Ausführungsform verfügt jeder Benutzer über einen Geheimkode, der es ihm ermöglicht, auf das System zuzugreifen. Dieser Kode ist dem Supervisor-Rechner 4 bekannt, der ihn manchmal an eine Kassette 1 überträgt, wenn diese sich in einem Modus befindet, in dem ihre Kenntnis (dieses Kodes) für ihn erforderlich ist. Die Station 5, die die Teile verbindet, kann eventuell auch diesen Kode kennen, um keine Verbindung vom Benutzer zum Rechner 5 ohne vorhergehende Überprüfung herzustellen. Es ist daher offensichtlich, daß dieser Kode zwischen den Teilen hin- und her übertragen wird. Um jedoch zu verhindern, daß ein Dritter, der in betrügerischer Absicht in das Netz eingedrungen ist, den Kode leicht lesen kann, kann dieser Kode bei seinem Verlauf durch die Station 5 verschlüsselt werden, insbesondere durch eine Algorithmenvorrichtung, wie sie bevorzugt gemäß der Erfindung verwendet wird.
  • Ein weiteres Verfahren besteht darin, eine einseitige Funktion zum Schutz dieses Kodes einzusetzen. Eine einseitige Funktion ist eine Funktion, deren Kehrwert sehr schwierig zu berechnen ist (zum Beispiel die Funktion Leistung). Wenn ein Kode ist, dann ist nur b=f( ) von der Station 5 oder der Kassette 1 bekannt; eine Kenntnis von ermöglicht nicht die Berechnung von , der Kode ist geschützt. Wenn der Benutzer den Kode eingibt, dann berechnen die Station 4 oder die Kassette 1 = ( ) und vergleichen und ; bei d=b ist somit sicher gleich . Gemäß der Erfindung ist eine besonders vorteilhaft verwendbare einseitige Funktion =DES( , ), bei der x eine feste Nachricht ist und der Geheimkode: es wird in der Tat noch einmal der "DES-Chip" verwendet.
  • In einer anderen Ausführungsform der Authentifizierung eines Benutzers des Systems entspricht das Verfahren den zwischen den anderen Teilen verwendeten Authentifizierungsverfahren. Der Benutzer hat eine Speicherkarte und einen festen Kode; nach interner Erkennung des Kodes erzeugt die Karte eine "Zugriffsberechtigung", die an das System geleitet wird, wobei diese "Zugriffsberechtigung" durch dieselben Algorithmen verschlüsselt und markiert wird, wie diejenigen, die ansonsten verwendet werden - zu diesem Zweck ist der Algorithmus DES im Mikroprozessor der Karte implementiert. Die Geheimhaltungsfähigkeit und Integrität sind perfekt, da die Information, die zwischen den Teilen übertragen wird, vollkommen zufällig ist und es daher nicht möglich ist, den Kode oder die Verschlüsselungs und Authentifizierungsschlüssel wiederzugewinnen. Um in das System einzusteigen zu können, muß man also gleichzeitig in Besitz der Karte und des Kodes sein.
  • Es wird nunmehr unter Bezugnahme auf die Fig. 3 die bevorzugte Organisation des erfindungsgemäßen Systems beschrieben, und insbesondere die verschiedenen logischen Zustände oder Modi, die eine Kassette 1 auszeichnen können. Es werden ebenfalls die Übergänge zwischen diesen Modi beschrieben, gemäß der "Historie" einer Kassette 1 ab dem Einlegen der Wertpapiere bis zum Öffnen der Kassette 1 durch den Empfänger nach ihrer Lieferung.
  • In der Fig. 3 sind die Modi durch Ellipsen dargestellt, die einen Kode enthalten, der aus zwei Buchstaben besteht, die jeweils den Namen eines Modus darstellen. Bei diesen Modi, die im folgenden definiert sind, handelt es sich jeweils um folgende:
  • - den Modus "Depart" (Versand), der durch den Kode DP dargestellt wird;
  • - den Modus "Trottoir" (Gehweg), der durch den Kode TR dargestellt wird;
  • - den Modus "Socle" (Sockel), der durch den Kode SC dargestellt wird;
  • - den Modus "Camion" (Lkw), der durch den Kode CM dargestellt wird;
  • - den Modus "Depalarm", der durch den Kode DA dargestellt wird;
  • - den Modus "Connect" (Verbinden), der durch den Kode CO dargestellt wird;
  • - den Modus "Servouv", der durch den Kode VO dargestellt wird;
  • - den Modus "Selfouv", der durch den Kode SO dargestellt wird;
  • - den Modus "Ouvert" (Offen), der durch den Kode OV dargestellt wird;
  • - den Modus "Caisse" (Kasse), der durch den Kode CA dargestellt wird;
  • - den Modus "Coffre" (Tresor), der durch den Kode CF dargestellt wird;
  • - den Modus "Verse" (Überweisung), der durch den Kode VE dargestellt wird;
  • - den Modus "Ferme" (Geschlossen), der durch den Kode FE dargestellt wird;
  • - den Modus "Verrou" (Verriegelt), der durch den Kode VR dargestellt wird;
  • - den Modus "Refus" (Verweigerung), der durch den Kcde RF dargestellt wird.
  • In derselben Figur stellen die anderen Kästchen, die den Kode CS enthalten, die Einrichtung einer Verbindung zwischen der Kassette 1 und dem Supervisor-Rechner 4 dar.
  • Nehmen wir nun den Fall von Wertpapieren, bestehend aus Kreditkarten, Banknoten und Schecks, die eine Zentralstelle einer Bank an ihre entfernt gelegene Zweigstelle versenden möchte.
  • Die Wertpapiere befinden sich also in der Verantwortung des Leiters der Zentralstelle. Vor Ort befindet sich eine Station 5 des Netzes, das das erfindungsgemäße Schutzsystem bildet. An diese Station 5, die als Ausgangsstation bezeichnet wird, ist eine Kassette 1 angeschlossen (es können auch mehrere Kassetten sein), die nicht unbedingt Wertpapiere enthält. In dieser Situation sind die drei möglichen Modi für die Kassette 1 der Modus "Ouvert" ("Offen"), der Modus "Caisse" ("Kasse") und der Modus "Coffre" ("Tresor")
  • Im Modus "Offen" wird die Kassette als offen eingestuft, aber ihr wirkliches Öffnen im physischen Sinne, mittels zu diesem Zweck vorgesehener Vorrichtungen, ist nicht obligatorisch; man kann sie öffnen und schließen wie eine einfache Schublade, wobei der Schutz der in ihrem Inneren befindlichen Wertpapiere gleich Null ist. Weder die Kassette 1 noch der Rechner 4 noch die Ausgangsstation sind dafür verantwortlich.
  • Der Modus "Kasse" ist ein "lokaler" Modus, d.h. der Übergang in diesen Modus aus dem Modus "Offen" ist möglich, ohne daß der Rechner 4 interveniert. In diesem Modus vertraut der Leiter der Zentralstelle die Wertpapiere der Kassette 1 an. Nach den Einlegen dieser Wertpapiere und dem Schließen kann die Kassette nur noch über eine Authentifizierung des Zentralstellenleiters geöffnet werden, d.h. beispielsweise durch einen Geheimkode , von dem die Kassette 1 und die Ausgangsstation nur die Transformation durch eine einseitige Funktion wie die Funktion DES( , ) kennen - es ist zu bemerken, daß die feste Nachricht für die Kassette 1 und für die Station 5 unterschiedlich ist. Die Verantwortung für den Schutz der Wertpapiere wird daher in diesem Modus "Kasse" zwischen dem Zentralstellenleiter und der Kassette 1 geteilt (wobei daran erinnert wird, daß die Ausgangsstation, die der gemeinsame Übertragungsanschluß des Netzes ist, niemals verantwortlich ist). Es ist zu bemerken, daß der Übergang vom Modus "Offen" in den Modus "Kasse" ein erstes Mal das System erweitert hat: es hat ein Übergang vom System : Zentralstellenleiter: zum System : Zentralstellenleiter/Kassette: stattgefunden.
  • Der Modus "Tresor" ist ein "globaler" Modus, d.h. der Übergang vom Modus "Offen" in diesen Modus ist nur mit Erlaubnis des entfernt befindlichen Supervisor-Rechners 4 möglich. In diesem Modus vertraut der Zentralstellenleiter die Wertpapiere dem System an und überträgt ihm vollständig die Verantwortung für deren Schutz. Nachdem er die Wertpapiere in die Kassette 1 gelegt und diese wieder geschlossen hat, gibt er seinen Kode ein, der von der Ausgangsstation authentifiziert wird und teilt dem System mit, daß er die Kassette 1 im Modus "Tresor" verwenden möchte. Die Ausgangsstation stellt eine Verbindung zum Rechner 4 her, entsprechend einem wechselseitigen Authentifizierungsprotokoll. Der Rechner 4 authentifiziert dann den Zentralstellenleiter. Die Kassette 1, in die dieser die Wertpapiere legen möchte, muß in gutem Zustand sein und darf kein Klon sein; diese muß sich also wechselseitig mit dem Rechner 4 über die Ausgangsstation, die zwar ein zuverlässiger Partner des Rechners 4 ist, aber aus weiter oben angegebenen Gründen die Kassette 1 nicht direkt authentifizieren kann, authentifizieren. Nachdem alle Authentifizierungsvorgänge direkt oder implizit erfolgt sind, akzeptiert das System über den Rechner 4 einerseits den Übergang der Verantwortung vom Zentralstellenleiter und versetzt andererseits die Kassette 1 in den Modus "Tresor". Beim Übergang vom Modus "Offen" in den Modus "Tresor" hat ein Übergang vom System : Zentralstellenleiter: zum System :Kassette/Rechner: stattgefunden. Dieser Übergang vollzieht sich progressiv, wobei die Verantwortung bis zur endgültigen Zustimmung des Rechners 4 beim Zentralstellenleiter liegt - es haben aufeinanderfolgende Erweiterungen und dann eine Begrenzung des Systems stattgefunden.
  • Der Übergang vom Modus "Tresor" in den Modus "Offen" erfolgt auf identische Art und Weise, wobei der Rechner 4 die Verantwortung für den Schutz der Wertpapiere bis zur vollständigen Authentifizierung aller Teile innehat; in diesem Fall findet ein Übergang vom System :Kassette/Rechner: zum System : Kassette/Rechner/Station:, dann zum System : Kassette/Rechner/Station/Zentralstellenleiter: und schließlich zum System : Zentralstellenleiter/: mit dem Übergang der Veranwortung im Modus "Offen" statt.
  • Die Übergänge vom Modus "Offen" in die Modi "Kasse" oder "Tresor" können außerdem von einer Stundenprogrammierung abhängen, die bei Ankunft der Kassette in der Zentralstelle vom Rechner 4 an die Kassette 1 übertragen wird. Eine derartige Stundenprogrammierung kann wöchentlich sein und ermöglicht insbesondere ein Sperren der Öffnung der Kassette 1 außerhalb gewisser vorbestimmter Stunden. Gemäß einer nicht dargestellten Ausführungsform der Erfindung lassen sich die Modi "Kasse" und "Tresor" in einem einzigen Modus zusammenfassen, der beispielsweise als Modus "Lagerung/Bereitstellung" bezeichnet wird, dem zwei Öffnungsoptionen zugeordnet sind - "Kasse" oder "Tresor" - wobei die Wahl zwischen diesen Optionen durch die Stundenprogrammierung erfolgt, die zu einem gegebenen Zeitpunkt vom Rechner 4 an die Kassette 1 übertragen wird.
  • Ausgehend vom Modus "Kasse" oder "Tresor" kann der Zentralstellenleiter den Versand der Wertpapiere an die Zweigstelle veranlassen. Hierfür existiert ein Modus "Überweisung", analog zum Modus "Offen", auf den jedoch nicht der Modus "Kasse" oder "Tresor" folgen kann. Der Modus "Überweisung" schreibt vor, daß die in einer Kassette 1 befindlichen Wertpapiere transportiert werden. Die Übergänge vom Modus "Kasse" oder vom Modus "Tresor" in den Modus "Überweisung" erfolgen auf gleiche Weise wie die Übergänge dieser Modi in den Modus "Offen", d.h. sie werden durch vorherige Authentifizierung des Kode des Zentralstellenleiters initialisiert.
  • Nach Schließen einer sich im Modus "Überweisung" befindlichen Kassette 1 geht diese automatisch in den Modus "Geschlossen" über, in dem es unmöglich ist, diese ohne Verbindung zum Rechner 4 zu öffnen. Der Übergang vom Modus "Überweisung" in den Modus "Geschlossen" bedeutet, daß das System :Kassette: vorläufig den Verantwortungsübergang akzeptiert hat. Dieser Modus ist jedoch temporär, da sofort über die Ausgangsstation eine Verbindung zum Rechner 4 hergestellt wird, um dessen Zustimmung zu dieser "Überweisung" zu erhalten. Im Fall einer Verweigerung (der beispielsweise eintreten kann, wenn die Ankunftsstation nicht oder nicht mehr existiert, oder wenn die Kassette 1 nicht mehr in gutem Zustand ist) geht die Kassette 1 in den Modus "Verweigerung" über und dann in den Modus "Offen" und der Vorgang des Versandes der Wertpapiere wird ungültig. Im Fall einer Zustimmung des Rechners 4 und nach den erforderlichen wechselseitigen Authentifizierungsvorgängen findet ein Übergang vom Modus "Geschlossen" in den Modus "Verriegelt" statt, in dem das System : Kassette/Rechner: für die Wertpapiere verantwortlich ist.
  • Im Modus "Verriegelt" muß die Kassette 1 zwangsweise zur Ankunftsstation transportiert werden, um wieder geöffnet werden zu können (vorbehaltlich einer anderen Angabe vom Rechner 4). Das System wartet also auf den Zusteller 3 der Kassette 1, der bei seiner Ankunft durch Überprüfung eines Kodes authentifiziert wird, dessen Transformation durch eine einseitige Funktion dem System bekannt ist; es wird eine Verbindung zum Rechner 4 hergestellt, der als einziger diesen Kode und die entsprechende einseitige Funktion kennt (es ist in der Tat nicht erforderlich, daß die Kassette 1 oder die Station ihn kennen). Es ist zu bemerken, daß der Modus "Verriegelt" sehr lange andauern kann: der Rechner 4, der von der Station die Parameter des Transportes empfangen hat, hat sie noch nicht an die Kassette 1 übertragen. Einer dieser Parameter ist insbesondere die vorgesehene Dauer des Transportes - gemäß der französischen Patentschrift FR-2 550 364 begrenzen temporäre Aufbewahrungen in der Tat die Dauer einer Strecke bzw. eines Transports und führen im Fall einer Überschreitung dieser zur Vernichtung einer Kassette 1.
  • Nach Authentifizierung des Zustellers 3 gibt der Rechner 4 seine Zustimmung zum Abtransport der Kassette 1, die sich dann im Modus "Versand" befindet. Gleichzeitig mit dem Übergang vom Modus "Verriegelt" in diesem Modus findet ein Verantwortungsübergang des Systems :Kassette/Rechner: zum System :Kassette: statt, d.h. die Kassette 1 gewährleistet vollkommen den Schutz der zu transportierenden Wertpapiere. Aus diesem Grund werden vorübergehende Aufbewahrungen des Transportes ab dem Übergang in diesen Modus initiiert; die Kassette 1 wird folglich als beweglich eingestuft, ob sie nun physisch wirklich vom ihrem Sockel entfernt wurde oder nicht. Im Fall einer Überschreitung der für die Lieferung vorgesehenen Zeit stuft sich die Kassette als angegriffen ein und vernichtet ihren Inhalt durch die entsprechenden Vorrichtungen.
  • Nach ihrer physischen Entfernung verläßt die Kassette 1 den Modus "Versand" und begibt sich in den Modus "Gehweg". Dieser entspricht dem vom Zusteller 3, der die Kassette 1 trägt, zu Fuß zurückgelegten Weg zwischen der Ausgangsstation und einem Fahrzeug oder einer anderen Station (wenn die gesamte Strecke zu Fuß zurückgelegt wird). Dieser Modus wird temporär durch eine zu diesem Zweck vorgesehene Dauer bestimmt, um die Risiken einer Unterschlagung auf der Strecke zu verringern; im Fall einer Überschreitung der vorgesehenen Dauer der Strecke vernichtet die Kassette 1 ihren Inhalt.
  • Der Transport von der Zentralstelle der Bank zu ihrer Zweigstelle erfolgt im allgemeinen mit einem Fahrzeug. Im Fahrzeuginneren befindet sich ein Bordrechner, der eine Elektronik steuert, die die Kontrolle der zu transportierenden Kassetten 1 ermöglicht. Die physische Verbindung einer Kassette 1 im Modus "Gehweg" mit dieser Elektronik bewirkt den Übergang aus diesem Modus in den Modus "Sockel". Der physische Behälter einer Kassette 1 ist derselbe wie derjenige, welcher sich in einer Station befindet, und aus diesem Grund schickt die Kassette 1 eine Identifizierungsnachricht an die Elektronik:
  • - wenn sie eine Station erkennt, fordert sie sofort eine Verbindung zum Supervisor-Rechner 4 an: es findet ein Übergang in den Modus "Verbinden" statt.
  • - Wenn sie die Elektronik des richtigen Fahrzeuges erkennt, findet ein Übergang in den Modus "Lkw" statt.
  • - Wenn sie weder die eine noch den anderen erkennt, iindet ein Übergang in den Modus "Depalarm" statt.
  • Im Modus "Depalarm" befindet sich die Kassette 1 physisch in einer unvorhergesehenen Situation und muß von ihrem Behälter getrennt werden; anderenfalls beginnt nach einer bestimmten Zeit (beispielsweise 30 Sekunden) der Rechenvorgang der Dauer der Strecke zu Fuß wieder. Nichtsdestotrotz erwartet die Kassette 1 darauf, getrennt zu werden, um logisch vom Modus "Depalarm" in den Modus "Gehweg" übergehen zu können; auf diese Weise entspricht der Modus "Gehweg" immer einer physischen Trennung der Kassette 1 (von ihrem Behälter).
  • Der Modus "Lkw" entspricht der logischen Folge des Transportes. In diesem Modus kann die Kassette 1 nicht ohne vorherige Benachrichtigung getrennt werden; sie vernichtet nämlich ihren Inhalt nach einem bestimmten Zeitintervall (beispielsweise 10 Sekunden), wenn sie nicht wieder angeschlossen wurde. Bei der Ankunft des Fahrzeuges bei der Zweigstelle authentifiziert der Zusteller 3 sich mittels des Bordrechners wieder bei der Kassette 1 - der Kode des Zustellers 3 wurde im Moment des Überganges vom Modus "Verriegelt" in den Modus "Versand" vorläufig über den Supervisor-Rechner 4 an die Kassette 1 übertragen. Wenn die Kassette 1 den Kode des Zustellers 3 akzeptiert, geht sie in den Modus "Versand" über (von dem sie in den Modus "Sockel" und schließlich in den Modus "Verbinden" übergehen kann).
  • Es ist wichtig zu beachten, daß die Organisation in Modi eine Intervention im Fall eines Unfalles des Ausgangsfahrzeuges durchführbar macht. Es genügt daher, ein Fahrzeug mit einem der Kassette 1 bekannten Erkennungskode an den Unfallort zu schicken, um die Kassette 1 legal vom Unfallsfahrzeug, mit dem Kode des Zustellers 3, zu trennen und sie auf dem neuen Fahrzeug anzuschließen - der Rechner 4 überträgt zu diesem Zweck anläßlich des Übergangs vom Modus "Verriegelt" in den Modus "Versand" die Matrikelnummern der beiden Fahrzeuge an die Kassette 1. Auf diese Weise kann bei einem Transport von einer Ausgangsstation zu einer Ankunftsstation mehrere Male in die Modi "Sockel", "Lkw" oder "Versand" übergegangen werden; nur die temporären Aufbewahrungen müssen beachtet werden.
  • Der Übergang vom Modus "Sockel" in den Modus "Verbinden" findet statt, wenn die Kassette 1 erkennt, daß sie an eine Station angeschlossen ist. Sie fordert dann sofort ihre Verbindung mit dem Supervisor-Rechner 4, was eine vorherige wechselseitige Authentifizierung der Station und dieses Rechners 4 erfordert; wenn diese wechselseitige Authentifizierung möglich ist, weiß man bereits, daß die Station keine geklonte Station ist. Der Rechner 4 und die Kassette 1 authentifizieren sich wechselseitig. Ist die Station, an die die Kassette 1 angeschlossen ist, nicht die richtigem erfolgt ein Übergang vom Modus "Verbinden" in den Modus "Depalarm". Handelt es sich bei der Station um die vorgesehene Ankunfsstation, wird das System :Kassette: zum System :Kassette/Rechner/Ankunftsstation: und es findet ein Übergang vom Modus "Verbinden" in den Modus "Selfouv" oder den Modus "Servouv" statt.
  • Die Wahl zwischen diesen beiden Modi erfolgt über den Supervisor-Rechner 4 zum Zeitpunkt der wechselseitigen Authentifizierung Kassette 1/Rechner 4. Diese Modi sind in ihrem Konzept jeweils mit den Modi "Kasse" bzw. "Tresor" vergleichbar, aber führen immer zum bereits beschriebenen Modus "Offen", in dem die Kassette 1 als geöffnet eingestuft wird. Im Modus "Selfouv" authentifiziert nur die Kassette 1 den Kode des Zweigstellenleiters, damit sie geöffnet werden kann. Im Modus "Servouv" fordert die Kassette 1 nach der Authentifizierung des Kode durch sie eine Verbindung zum dem Rechner 4, welcher wiederum die erforderlichen Authentifizierungen vornimmt.
  • Im Modus "Offen" können die Wertpapiere der Kassette 1 entnommen werden, wobei die Verantwortung für ihren Schutz auf den Zweigstellenleiter übergeht.
  • Die Kassette 1 kann wieder als Kasse oder als Tresor oder für einen weiteren Transport verwendet werden, gemäß den oben beschriebenen Vorgängen.
  • Zahlreiche Varianten dieser bevorzugten Organisation des Systems sind selbstverständlich möglich und bei diesen können in beliebiger Reihenfolge die drei möglichen Typen von Modi kombiniert werden. Die einzige hierbei zu beachtende Bedingung ist die Wahrung der Authentifizierungsverfahren bei Erweiterungen oder Einschränkungen des Systems, d.h. beim Übergang der Verantwortung für den Schutz der Wertpapiere.
  • Außerdem ist zu beachten, daß die Verwendung von Algorithmen zur Verschlüsselung der zwischen den Teilen des Systems ausgetauschten Nachrichten eine zuverlässige Verbindungsstütze mit geringer Fehlerrate erforderlich macht.
  • Dies ist nicht unbedingt der Fall, da die vorzusehende Infrastruktur notwendigerweise schwer ist, insbesondere im Bereich der Zentralstellen und ihrer Zweigstellen, wo sich integriert in den Stationen 5 die Vorrichtungen zur Telekommunikation mit dem Supervisor-Rechner 4 befinden: teure Modems, spezielle Verbindungen mit geringer Fehlerquote etc. Folglich haben diese Zentralstellen allgemein nur teure Telefonleitungen mit erhöhter Fehlerquote (im Durchschnitt 1 falsche binäre Information auf 10 000 übertragene).
  • Es ist folglich ein Protokoll zur Korrektur von Übertragungsfehlern zwischen einem Anschluß, oder Station 5, des Systems und dem Supervisor-Rechner 4 vorgesehen. Dieses Protokoll teilt die zu übertragende Nachricht in Byte-Blöcke mit mehreren Zehnergruppen von Bytes auf. Wird ein Block mit Fehlern übertragen, dann wird nur die Übertragung dieses Blocks wiederholt, wodurch entfällt, daß die gesamten sehr langen Nachrichten, die ausgetauscht wurden, nochmal übertragen werden müssen (im typischen Fall haben diese eine Länge von 300 Bytes). Die Integrität eines Blockes wird mittels einer ausgearbeiteten Markierung mit dem Inhalt des Blockes und seines Nachrichtenkopfes kontrolliert - wobei dieser Nachrichtenkopf im wesentlichen die Information der Länge des Blockes umfaßt. Der Rechenalgorithmus dieser nicht- geheimen Markierung ist vorteilhafterweise derjenige, der zur Verschlüsselung und zur Authentifizierung der Nachrichten verwendet wird; auf diese Weise wird wieder der "DES-Chip" verwendet, ohne einen neuen Algorithmus, insbesondere in die Station, einlesen und speichern zu müssen.
  • Nach dem Wiederzusammenfügen der bei der Sendung aufgeteilten Nachricht und im Fall, in dem der sendende Teil der Supervisor- Rechner 4 ist, authentifiziert und entschlüsselt die Station 5 mit ihren eigenen Schlüsseln diese Nachricht (mittels des in dieser Station eingesetzten "DES-Chips"). Dann überträgt sie an die Kassette 1, deren Matrikel, das zu ihrer Identifizierung dient, jetzt in Klarschrift erscheint, den Teil der Nachricht, der für sie bestimmt ist: die Kassette 1 authentifiziert und entschlüsselt diese Nachricht mit ihren eigenen Schlüsseln, mittels des zu diesem Zweck vorgesehenen "DES-Chips". Sie bestätigt dann den Empfang dieser an den Rechner 4 und erstellt zu diesem Zweck eine verschlüsselte und authentifizierte Nachricht mit diesen ihr eigenen Schlüsseln; diese Nachricht wird an den Rechner 4 übertragen - vervollständigt durch das Matrikel der Kassette 1 - verschlüsselt und authentifiziert mit den Schlüsseln der Station 5. Der Rechner 4 sendet dann, gemäß demselben Protokoll, eine Bestätigung an die Kassette 1, die möglicherweise den Modus wechseln kann, aber nur bei Empfang dieser Bestätigung.
  • Das beschriebene Protokoll der Telekommunikationen ist natürlich nicht auf die voranstehend beschriebene bevorzugte Ausführungsform beschränkt, und es können beispielsweise Prinzipien einer Funktionsarchitektur verwendet werden, die durch das Modell der Zwischenverbindung offener Systeme (Modell der Kommunikation offener Systeme OSI) oder direkte Ableitungen dieses Modells popularisiert wurden.
  • Die vorliegende Erfindung richtet sich insbesondere auf den Schutz von wertvollen Dokumenten oder Wertgegenständen, und insbesondere von Zahlungsmitteln wie Banknoten, Schecks oder Kreditkarten, oder auch auf gefährliche Medikamente (Drogen) mit hohen Zusatzwert. Dieser Schutz ist im Inneren einer Zentralstelle einer Bank (oder eines pharmazeutischen Labors oder dergleichen) ebenso wie während des Transportes von dieser Stelle an eine Zweigstelle gewährleistet. Die vorliegende Erfindung ist außerdem weder durch die Größe noch durch das Gewicht der zu schützenden Wertsachen oder Wertpapiere beschränkt, und es liegt im Können des Fachmannes, eine auf die Anpassung der Erfindung an andere Gegenstände oder Dokumente wie diejenigen, welche an dieser Stelle als nichteinschränkende Beispiele angegeben sind, gerichtete Modifikation vorzunehmen.

Claims (13)

1. Schutzsystem für Wertpapiere oder Wertgegenstände, und insbesondere für Zahlungsmittel wie Banknoten, Schecks oder Kreditkarten, die in wenigstens einem, physisch unverletzbaren, Safe (1) genannten Behälter eingeschlossen sind, der im Fall eines Angriffs diese durch geeignete Mittel unbrauchbar macht, dadurch gekennzeichnet, daß der Safe (1) interne Steuereinrichtungen besitzt, die nach Art einer Maschine mit einer begrenzten Anzahl vor Modi funktioniert, d.h. einen Funktionszyklus mit einer begrenzten Anzahl von logischen Zuständen, die Modi genanni: werden, besitzt, wobei der Übergang von einem ersten Modus zu einem zweiten die Folge eines zeitlich genau erfolgenden Ereignisses ist, dessen Zulässigkeit durch eine autonome Einrichtung überprüft wird oder vorher überprüft wurde, welche sich mit den internen Steuereinrichtungen des Safe (1) in Verbindung setzen kann, wobei bei diesem Ubergang dann die Erinnerung an den vorigen Modus verlorengeht.
2. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet, daß während des Transportvorgangs eines Safe (1), welcher einerseits durch den Übergang von einem Modus, in dem der Safe (1) als unbewegt betrachtet wird, in einen, in dem er als bewegt betrachtet wird, und andererseits durch den Übergang von einem Modus, in dem der Safe (1) als bewegt betrachtet wird, in einen, in dem er als unbewegt betrachtet wird, begrenzt wird, die internen Steuereinrichtungen des Safe (1) absolut autonom sind.
3. Schutzsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Einrichtung, welche mit den internen Steuereinrichtungen des Safe (l) in Kontakt treten kann, zur Kontrolle der Zulässigkeit des Umschaltens zwischen den verschiedenen Funktionsmodi der internen Steuereinrichtungen aus einem einzigen Computer (4) besteht, der insbesondere ein entfernt liegender Zentralrechner sein kann, dessen logischer und physischer Schutz im übrigen sichergestellt ist.
4. Schutzsystem nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, daß
es aufeinanderfolgend, vollständig, oder nur in Teilen gebildet wird von:
- einem Benutzer der Wertpapiere oder Wertgegenstände, der entweder Absender (2), Empfänger, oder Zusteller (3) sein kann,
- einem Safe (1)
- einer Einrichtung, die in Kontakt treten kann mit den internen Steuereinrichtungen des Safe (l), zur Kontrolle der Zulässigkeit eines Ereignisses, welches fähig ist, ein Umschalten von einem Funktionsmodus der internen Steuereinrichtungen auf einen anderen zu bewirken,
wobei diese Elemente unter Zwischenschaltung einer einzigen, Station (5) genannten Übertragungsstelle miteinander verbunden sind, derart, daß sie ein sternförmiges Netz bilden, dessen Mittelpunkt die Station (5) ist.
5. Schutzsystem nach Anspruch 4, dadurch gekennzeichnet, daß eine Station (5) niemals eine Einrichtung sein kann, die zur Kontrolle der Zulässigkeit eines Ereignisses befähigt ist, welches fähig ist, ein Umschalten von einem Funktionsmodus der internen Steuereinrichtungen eines Safe (1) auf einen anderen Funktionsmodus zu bewirken.
6. Schutzsystem nach einem der Ansprüche 4 oder 5,
dadurch gekennzeichnet, daß
eine Station (5) mit Kommunikationsmitteln ausgestattet ist, um miteinander in Kontakt zu bringen:
- einen Safe (1) und die Einrichtung, die in Kontakt treten kann mit den internen Steuereinrichtungen des Safe (1), zur Kontrolle der Zulässigkeit eines Ereignisses, welches fähig ist, ein Umschalten von einem Funktionsmodus der internen Steuereinrichtungen auf einen anderen zu bewirken,
- einen Safe und einen Benutzer von im Safe (1) enthaltenen Wertpapieren oder Wertgegenständen, der entweder Absender (2), Empfänger, oder Zusteller (3) sein kann,
- einen Benutzer von in einem Safe (1) enthaltenen Wertpapieren oder Wertgegenständen, welcher entweder Absender (2), Empfänger, oder Zusteller (3) sein kann, und die Einrichtung, die in Kontakt treten kann mit den internen Steuereinrichtungen des Safe (1), zur Kontrolle der Zulässigkeit eines Ereignisses, welches fähig ist, ein Umschalten von einem Funktionsmodus der internen Steuereinrichtungen auf einen anderen zu bewirken.
7. Schutzsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß einerseits alle Systemteile über Einrichtungen zur elektronischen Authentizitätsprüfung von Informationen verfügen, die von einem in das System integrierten sendenden Teilnehmer empfangen wurden, und daß andererseits im Falle einer Authentizität der Informationen die zur Authentizitätsprüfung dienenden Einrichtungen fähig sind, mit Übertragungsmitteln zu kooperieren, um das Senden einer Empfangsbestätigung an den sendenden Teilnehmer zu veranlassen.
8. Schutzsystem nach Anspruch 7, dadurch gekennzeichnet, daß die Authentizitätsprüfung des Informationen sendenden Teilnehmers darin besteht, die Informationen selbst durch Überprüfung einer elektronischen Signatur zu authentisieren, welche aus dem Inhalt der Informationen mittels eines verschlüsselten Algorithmus berechnet wird, wobei die Schlüssel ausschließlich dem die Informationen sendenden Teilnehmer und dem Teilnehmer, der diese empfangen soll, bekannt sind.
9. Schutzsystem nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet, daß es zur Authentisierung eines neuen Teilnehmers durch alle schon in das System integrierten Teilnehmer genügt, wenn einerseits die Authentisierungsmittel eines einzigen dieser Teilnehmer, der in direktem Kontakt mit dem neuen Teilnehmer steht, die von letzterem gesendeten Informationen authentisieren, und wenn andererseits die Authentisierungsmittel des neuen Teilnehmers die Informationen, die vom integrierten und im direkten Kontakt mit diesem stehenden Teilnehmer gesendet wurden, authentisieren oder authentisiert haben.
10. Schutzsystem nach Anspruch 9 dadurch gekennzeichnet, daß die wechselseitige Authentisierung eines Safe (1) und einer Station (5), über die er verbunden wurde, immer inbegriffen ist, und dazu einerseits die vorhergehende wechselseitige Authentisierung der Station (5) durch die Einrichtung, die in Kontakt treten kann mit den internen Steuereinrichtungen des Safe (1), zur Kontrolle der Zulässigkeit eines Ereignisses, welches fähig ist, ein Umschalten von einem Funktionsmodus der internen Steuereinrichtungen auf einen anderen zu bewirken, und andererseits die vorhergehende wechselseitige Authentisierung des Safe (1) durch diese Einrichtung, die daher vorteilhaft alle Transaktionen zwischen den Teilnehmern speichern kann, wobei diese Systemkonfiguration im übrigen eine Begrenzung der Anzahl der Authentisierungsschlüssel erlaubt, die in der Station (5) und dem Safe (1) gespeichert werden müssen, nötig ist.
11. Schutzsystem nach Anspruch 7, dadurch gekennzeichnet, daß die Authentizität eines Benutzers von in einem Safe (1) enthaltenen Wertpapieren oder Wertgegenständen, welcher entweder Absender (2), Empfänger, oder Zusteller (3) sein kann, mittels eines Geheimcodes überprüft wird, wobei durch eine einseitige Funktion dem diesen Benutzer überprüfenden Teilnehmer nur die umgewandelte Form bekannt ist.
12. Schutzsystem nach Anspruch 7, dadurch gekennzeichnet, daß die Authentizität eines Benutzers von in einem Safe (1) enthaltenen Wertpapieren oder Wertgegenständen, welcher entweder Absender (2), Empfänger, oder Zusteller (3) sein kann, mittels chiffrierten und authentisierten Informationen überprüft wird, welche durch eine Speicherkarte, deren Verwendung durch den Benutzer die Kenntnis eines Kodes erfordert, erzeugt wird.
13. Schutzsystem nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, daß die zwischen zwei Systemteilnehmern ausgetauschten Informationen mittels eines verschlüsselten Algorithmus chiffriert sind, wobei die Schlüssel ausschließlich diesen beiden Teilnehmern bekannt sind, und der Algorithmus z.B. vorteilhaft eine Variante des Algorithmus sein kann, der zur Erzeugung der Authentisierungssignatur der Informationen dient.
DE69008634T 1989-07-17 1990-07-17 Schutzsystem für, in einem Sicherheitsbehälter, eingeschlossene Dokumente oder Sachen. Expired - Lifetime DE69008634T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8909579A FR2649748B1 (fr) 1989-07-17 1989-07-17 Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint

Publications (2)

Publication Number Publication Date
DE69008634D1 DE69008634D1 (de) 1994-06-09
DE69008634T2 true DE69008634T2 (de) 1994-12-01

Family

ID=9383836

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69008634T Expired - Lifetime DE69008634T2 (de) 1989-07-17 1990-07-17 Schutzsystem für, in einem Sicherheitsbehälter, eingeschlossene Dokumente oder Sachen.

Country Status (20)

Country Link
US (1) US5315656A (de)
EP (1) EP0409725B1 (de)
JP (1) JPH05506700A (de)
AT (1) ATE105367T1 (de)
AU (1) AU648510B2 (de)
CA (1) CA2064204C (de)
DD (1) DD296732A5 (de)
DE (1) DE69008634T2 (de)
DK (1) DK0409725T3 (de)
ES (1) ES2056406T3 (de)
FI (1) FI93761C (de)
FR (1) FR2649748B1 (de)
HU (1) HU217539B (de)
MA (1) MA21906A1 (de)
NO (1) NO302259B1 (de)
OA (1) OA09531A (de)
RO (1) RO108889B1 (de)
RU (1) RU2078894C1 (de)
WO (1) WO1991001428A1 (de)
ZA (1) ZA905546B (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7165717B2 (en) 2001-05-14 2007-01-23 Giesecke & Devrient Gmbh Method and apparatuses for opening and closing a cassette
DE102007022460A1 (de) 2007-05-09 2008-11-13 Horatio Gmbh Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2706058B1 (fr) * 1993-06-02 1995-08-11 Schlumberger Ind Sa Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte.
EP0792044B1 (de) * 1996-02-23 2001-05-02 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
FR2751111B1 (fr) 1996-07-10 1998-10-09 Axytrans Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable
JP3541607B2 (ja) * 1997-03-11 2004-07-14 株式会社日立製作所 電子マネー取引装置
JP2000113085A (ja) * 1998-10-08 2000-04-21 Sony Corp 電子現金システム
US6275151B1 (en) * 2000-01-11 2001-08-14 Lucent Technologies Inc. Cognitive intelligence carrying case
US20010054025A1 (en) * 2000-06-19 2001-12-20 Adams William M. Method of securely delivering a package
AU2001291636A1 (en) * 2000-09-26 2002-04-08 Sagem Denmark A/S A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box
US20050155876A1 (en) * 2003-12-15 2005-07-21 Tamar Shay Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member
KR100527169B1 (ko) * 2003-12-31 2005-11-09 엘지엔시스(주) 매체자동지급기의 매체카세트 개폐장치
FR2869939B1 (fr) * 2004-05-06 2006-06-23 Axytrans Sa Systeme securise pour le transport ou la conservation de valeurs telles que des billets de banque
US7757301B2 (en) * 2004-12-21 2010-07-13 Seagate Technology Llc Security hardened disc drive
EP1843000B1 (de) * 2006-04-03 2018-10-31 Peter Villiger Sicherheitssystem mit ad-hoc Vernetzung einzelner Komponenten
DE102008045607A1 (de) * 2008-09-03 2010-03-04 Wincor Nixdorf International Gmbh Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein
US8836509B2 (en) * 2009-04-09 2014-09-16 Direct Payment Solutions Limited Security device
US10007811B2 (en) 2015-02-25 2018-06-26 Private Machines Inc. Anti-tamper system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4236463A (en) * 1979-05-14 1980-12-02 Westcott Randy L Tamper proof case for the protection of sensitive papers
SE417023B (sv) * 1979-11-29 1981-02-16 Leif Lundblad Anleggning for seker och ekonomiskt optimal hantering av verdedokument inom en penninginrettning
FR2550364B1 (fr) * 1983-08-05 1986-03-21 Kompex Systeme de securite de transport de fonds ou d'effets bancaires
DE3400526A1 (de) * 1984-01-10 1985-10-24 Peter 7212 Deißlingen Pfeffer Einrichtung zum ueberwachen von geldscheinbuendeln
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
FR2574845B1 (fr) * 1984-12-14 1987-07-31 Axytel Sarl Procede de marquage et/ou de destruction notamment de documents de valeur et dispositif de mise en oeuvre
GB2182467B (en) * 1985-10-30 1989-10-18 Ncr Co Security device for stored sensitive data
FR2594169B1 (fr) * 1986-02-11 1990-02-23 Axytel Sa Systeme de protection de produits de valeur notamment de fonds et/ou de produits bancaires.
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
NL8700165A (nl) * 1987-01-23 1988-08-16 Seculock B V I O Cheques- en creditcards-opberginrichting met ingebouwd vernietigingssysteem.
FR2615987B1 (fr) * 1987-05-27 1994-04-01 Axytel Dispositif de controle de l'integrite d'une paroi quelconque, metallique ou non, destine a declencher automatiquement une intervention en cas d'agression commise a l'encontre de cette paroi
SE455653B (sv) * 1987-08-11 1988-07-25 Inter Innovation Ab Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning
JP2609473B2 (ja) * 1989-10-23 1997-05-14 シャープ株式会社 通信装置
WO1991017681A1 (en) * 1990-05-11 1991-11-28 Gte Sylvania N.V. Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7165717B2 (en) 2001-05-14 2007-01-23 Giesecke & Devrient Gmbh Method and apparatuses for opening and closing a cassette
US7424971B2 (en) 2001-05-14 2008-09-16 Giesecke & Devrient Gmbh Method and apparatuses for opening and closing a cassette
DE102007022460A1 (de) 2007-05-09 2008-11-13 Horatio Gmbh Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen

Also Published As

Publication number Publication date
AU648510B2 (en) 1994-04-28
NO920194L (no) 1992-03-10
EP0409725A1 (de) 1991-01-23
ES2056406T3 (es) 1994-10-01
FI93761B (fi) 1995-02-15
NO920194D0 (no) 1992-01-15
MA21906A1 (fr) 1991-04-01
CA2064204A1 (fr) 1991-01-18
OA09531A (fr) 1992-11-15
EP0409725B1 (de) 1994-05-04
HU217539B (hu) 2000-02-28
FI920187A0 (fi) 1992-01-16
DK0409725T3 (da) 1994-09-19
HU9200168D0 (en) 1992-09-28
JPH05506700A (ja) 1993-09-30
RU2078894C1 (ru) 1997-05-10
NO302259B1 (no) 1998-02-09
CA2064204C (fr) 2001-04-10
WO1991001428A1 (fr) 1991-02-07
ZA905546B (en) 1991-04-24
DE69008634D1 (de) 1994-06-09
FR2649748A1 (fr) 1991-01-18
HUT62063A (en) 1993-03-29
ATE105367T1 (de) 1994-05-15
US5315656A (en) 1994-05-24
RO108889B1 (ro) 1994-09-30
AU6052990A (en) 1991-02-22
FI93761C (fi) 1995-05-26
FR2649748B1 (fr) 1991-10-11
DD296732A5 (de) 1991-12-12

Similar Documents

Publication Publication Date Title
DE69008634T2 (de) Schutzsystem für, in einem Sicherheitsbehälter, eingeschlossene Dokumente oder Sachen.
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE69218335T2 (de) Verfahren zum Identifizieren und Austauschen von kryptographischen Schlüsseln
DE60001290T2 (de) Rückgewinnung eines Geheimschlüssels oder einer anderen geheimen Information
DE69924349T2 (de) Elektronisches Zugangskontrollsystem und Verfahren
DE60307244T2 (de) Verfahren und system zur durchführung von post-ausgabe-konfigurations und datenänderungen an einem persönlichen sicherheitsgerät unter verwendung einer kommunikations-pipeline
EP0842500B1 (de) Sperrvorrichtung für zeitlich begrenzt zu nutzende nutzobjekte
DE3702520C2 (de)
DE3036596A1 (de) Verfahren zum gesicherten abwickeln eines geschaeftsvorganges ueber einen ungesicherten nachrichtenkanal
DE2916454A1 (de) Verfahren und schaltungsanordnung zum sichern von datenuebertragungen
EP0063794A2 (de) Gerät und Verfahren zur Identitätsüberprüfung
DE3711746A1 (de) Mit einem ver- und entschluesselungsverfahren arbeitendes elektronisches schliesssystem und arbeitsverfahren fuer ein solches system
EP1336937A1 (de) Zutrittskontrollsystem, Zutrittskontrollverfahren und dafur geeignete Vorrichtungen
WO2001039133A1 (de) System und verfahren zur automatisierten kontrolle des passierens einer grenze
EP2689401B1 (de) Verfahren zum betreiben einer geldkassette mit kundenspezifischen schlüsseln
WO2022008322A1 (de) Verfahren, teilnehmereinheit, transaktionsregister und bezahlsystem zum verwalten von transaktionsdatensätzen
EP1321901B1 (de) Verfahren zur Regelung des Zutrittsregimes zu einem Objekt
EP0877331B1 (de) Drahtloses Datenübertragungssystem
DE69711091T2 (de) System zum sicheren transport von gegenständen in einem sicheren behälter mit mindestens einer transportfähigen bestimmungsstelle
EP3567557A1 (de) Schliesssystem
EP1102216A2 (de) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
EP3848911A1 (de) Verfahren und vorrichtung zum authentifizieren eines benutzers einer fachanlage
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
DE2533699A1 (de) Anordnung zum pruefen der berechtigung von fernmelde-, insbesondere fernsprechteilnehmern
DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: AXYTRANS S.A., PARIS, FR

8328 Change in the person/name/address of the agent

Representative=s name: PORTA PATENTANWAELTE DIPL.-PHYS. ULRICH TWELMEIER D