Note: Descriptions are shown in the official language in which they were submitted.
WO 91/01428 PGT/FR90/00538
1
SYSTEME DE PROTECTION DE DOCUMENTS OU D'OBJETS ENFERMES DANS
UN CONTENANT INVIOLABLE
La présente invention concerne un système de protection
de documents ou d'objets de valeur, et notamment de moyens de
paiement tels que des billets de banque, des chèques, ou des
cartes bancaires, enfermés dans un contenant inviolable
physiquement, qui passe par ailleurs par une succession
d'ét:ats logiques authentifiés en nombre restreint.
Des systèmes conventionnels de protection de documents
ou d'objets de valeur tels que des moyens de paiement sont de
nos jours bien connus et s'inspirent la plupart, dans une
large mesure, du principe du coffre à parois renforcées,
d'accès réservé aux seuls détenteurs d'une clef, à support
matériel ou immatériel (tel un code), ce coffre se trouvant
par ailleurs dans un environnement contrôlé et sécurisé par
exemple au moyen de divers blindages.
Une alternative à ces dispositifs conventionnels
souvent lourds et encoiabrants est proposée dans divers
brevets français au nom du Demandeur. Dans le brevet FR-A
2 550 364, les documents ou objets de valeur à protéger,
appelés fonds par la suite, sont enfermés dans une caissette,
dont on contrôle l'état physique par l'intermédiaire de
capteurs fournissant en permanence des signaux, qui doivent
étre conformes aux signaux résultant d'un processus
obligatoire et inéluctable, sous peine de provoquer la
destruction ou le marquage de la caissette et desdits fonds.
Le dispositif de dégradation utilisé à cet effet peut
étre, par exemple, celui décrit dans le brevet FR-A-2 574 845
au nom du Demandeur.
Dans le cas du transport d'objets de valeur, par
exemple de méàicaments dangereux (drogues, poisons) ou à
forte valeur ajoutée, le dispositif de dégradation est
sensiblement différent ; l'homme de l'art connais, â ce
tige, las moyens connus et specifiques à utiliser.
L'objet des brevets précités consiste à rendre
inutilisables, ou à détruire, en cas d'agression, les fonds
contenus dans une caissette et dont la valeur fiduciaire
imoortanLe est trés intérieure a leur valeur réelle (ce qui
WO 91 /01428 PCT/FR90/00538
ri
est le cas des billets, des cartes et des chèques) ; la
convoitisé de ces fonds devient ainsi inefficace, ceux-ci
étant détruits avant qu'on puissé les atteindre.
Les capteurs associés à ces systèmes et qui
permettent notamment de détecter les agressions physiques
sur la caissette peuvent être de structure très légêre,
contrairement aux blindages traditionnels ; un tel capteur
d'intégrité de paroi est par exemple décrit dans le brevét
français l'R-A-2 615 987 au nom du Demandeur.
Un certain nombre d'inconvénients liés aux systèmes
de protection proposés par ces brevets demeurent cependant
sans reméde, et mettent en jeu la fiabilité même d'une
protection que l'on veut parfaite, aussi bien lorsque la
caissette contenant les fonds à protéger est mobile, que
lorsqu'elle est immobile, et surtout lors des transactions
nécessairement liées aux changements d'états de la
caissette, tels que par exemple son enlèvement, sa
livraison, son ouverture ou sa fermeture.
En effet, conformément au brevet FR-A-2 550 364, la
protectidn d'une caissette est intrinsèquement liée à la
protectic4n des autres caissettes que transporte .le fourgon
où elles ont été placées ; les caissettes sont en l'espèce
,protëgées collectivement, gràce notamment à l'existence
d~' un dia"~ogue secret et permanent, circulant entre elles ,
dont l'interruption non prévue provoque la dégradation des
fonds à protéger. Un tel dispositif pose des problèmes de
gestion de ce dialogue difficiles à résoudre, et la
complexité ainsi mise en oeuvre conduit à des solutions
coûteuses, lentes ou peu fiables.
Par ailleurs, il s'avère qu'une protection
individuelle des caissettes est réalisable, et en
l'occurrence préférable, puisqu'on bénéficie alors d'un
système de protection souple, permettant par exemple
d'éviter la destruction d'un grand ensemble de fonds
contenus dans des caissettes différentes alors qu'une seule
d'entre elles est en panne ou est agressée.
~n out=e, en cas de destruction d'une caissette et
des fonds quo y sont contenus, les systémes de protection
décri ts ne permet:.ent pas de déter:~iner l es perscnnes
~'EUi~.LE DE REI~II~LACEMEN'T
WO 91 /01428 PCT/FR90/00538
a~ 3
responsables de l'agression ayant causée cette
destruction ; en effet, lors de sa destruction, il est
souhaitable, et même nécessaire, que la caissette marque,
ou détruise, non seulement les fonds, mais efface également
toutes les informations ayant un caractère confidentiel et
dont elle a besoin pour son correct fonctionnement .
'algorithmes de surveillance de ses états physiques,
algorithmes de codage et de décodage des messages échangés
avec l'extérieur, nature et contenu de ces messages tels
que codes secrets, destinations et destinataires des fonds
transportés.
La destruction de toutes ces informations rend
impossible l'identification sûre du dernier manipulant
d'une caissette détruite, qui peut aussi bien étre un
agresseur extérieur au système, qu'un agent chargé de la
manutention ou du transport des caissettes voulant
détourner les fonds à son profit, ou encore d'autres
personnes autorisées à divers titres à les approcher, ou à
les ouvrir "in fine".
Un autre inconvénient majeur du système décrit dans
le brevet FR-A-2 550 364 réside, paradoxalement, dans
l'inexorabilité stricte du processus gouvernant
."l'histoire" d'une caissette pendant son transport. En
effet, tout événement nvn prévu est considéré comme une
agression par une caissette et conduit à sa destruction ;
il n'y a donc aucune possibilité de gradation dans la
réponse fournie par la caissette à un événement imprévu.
Par exemple, en cas d'embouteillage des voies de transport
par lesquelles doit passer le fourgon transportant des
caissettes, le retard dans leur livraison, induit par cet
embouteillage, mène inexorablement à leur destruction, ce
qui peut s'avérer étre une coûteuse erreur économique et
conduire un client, dont on transporte les fends,
contester la ~iabilité du système.
Cn ne peut pas, de manière immédiate, rnmédinr ~ cet
inconvé.~.ient car l' inexorabilité de certai.~.es p'tlases du
processus de transpcrt décrit dans ce bre~.~et est impérative
vis ~ vis de '_a sécurité.
_E~IJ~~.~ ~ ~~~~~~'
WO 91 /01428 p~ /FR9p/ppg3g
~, I~ ~, ~ ~G 4
On aura bien compris, par la lecture qui précède, que
1'utilisa~ion d'un unique centre de décision, la caissette,
pour gérer la sécurité complète des fonds à protéger et;la
sécurité du transport lui-même, mëne à des impasses
incontournables.
La demande de brevet française 86-O1 849 au nom du
Demandeur, constitue ,à ce titre un perfectionnement du
brevet FR-A-2 550 364 ; les caissettes sont considérées
comme étant dans un véhicule fixe, et servent alors de
compartiments bancaires. Leur protection est toujours
collective, avec les inconvénients précédemment soulevés,.
mais l'accès à la chambre forte où sont entreposées les
caissettes est contrôlé de l'extérieur par un ordinateur
pouvant entrer en relation avec un boitier électronique,
15: affecté ~ la surveillance de ladite chambre forte, et
dialoguant également de manière secrète et permanente avec
l'ensemble des caissettes. La communication de chacune de
ces cai~sette~ avec l'ordinateur extérieur devient
possible ; ce dernier est alors capable de générer le
processus inéxorable réglant "l'histoire" d'une caissette
et d'en contr3ler l'initiation, qui s'effectue après
diverses vérifications, dont celles de codes secrets
détenus par les personnes ayant valablement accès aux
'caissettes (telles un banquier, ou un'client).
Le, système décrit dans ce dernier document possède
encore des inconvénients notables, et il est en particulier
possible'~de concevoir un ordinateur pirate, appelé clone
par la suite, et remplissant les mêmes fonctions que
l'ordinateur d'origine ; la sécurité des fonds enfermés
dans les caissettes n'est donc pas totalement assurée, car
il n'est prévu aucun moyen pour permettre aux caissettes de
reconnaitre sûrement l'ordinateur superviseur, et
réciDrccuement.
' On remarçuera d'ailleurs, à la lecture de la demande
de brevet précitée, que la source d'inter:~ations
communiquant les données du processus aux divers éléments
électronivues de l'ensemble n'est pas nécessairement
unique, ce qui constitue un risque vis 3 vis de la
confidentialité de ces données ; la redondance des
FEU~LLLE DE R~EMl~4A~CEMEI~T
., ~ .,a . _ _ .w .....4.~.~_~..~_ . .~. .,. . _
WO 91/01428 PCT/FR90/00538
~t~~"'s
informations, inexistante dans le brevet FR-A-2 550 364,
devient ici trop importante.
L'invention vise à améliorer de manière décisive les
différents systèmes connus, en proposant un système de
protection de documents ou d'objets de valeur, et notamment
de moyens de paiement tels que des billets de banque, des
chèques, ou des cartes bancaires, enfermés dans au moins un
contenant inviolable physiquement, appelé caissette, qui,
en cas d'agression, provoque leur dégradation par des
moyens appropriés, ce système étant caractérisé en ce que
le cycle de fonctionnement d'une caissette comporte un
nombre restreint d'états logiques, la transition d'un
premier état logique à un second état logique étant la
conséquence d'un événement ponctuel, dont on vérifie la
licéité par un moyen adéquat et autonome pouvant se mettre
en relation avec la caissette, ladite transition
s'accompagnant alors de la perte de mémoire, par la
caissette, de son état logique antérieur.
L'un des objectifs de la présente invention est ainsi
de faire correspondre un état logique, appelé mode, à
chaque situation dans laquelle peut se retrôuver une
caissette, ce mode étant délimité explicitement par deux
bôrnes de nature purement conceptuélle, ce qui permet
d'organiser avec rigueur et fiabilité le cycle de
fonctionnement de ladite caissette ; les systèmes connus à
ce jour ne connaissaient quant à eux que deux bornes
imp:Licites, soit "la transition entre caissette mobile et
caissette fixe" et réciproquement.
La présente invention procure la souplesse nécessaire
à une gestion plus intelligente de la protection fournie
par les caissettes. Mais il est alors essentiel qu'à chaque
étape du processud de protection, qu'à chaque transition
entre deux états logiques, la caissette ne conserve àûcune
trace de son état logique antérieur ; on sait déà que
cette trace est inutile ; on comprend également que cette
trace est dangereuse, puisqu'il est vital, pOUr la sécurité
du systéme, .que des messages confidentiels tels aue des
ccdos ne puissent pas étre lus, s'ils ne sont pas d~~truits
Fn'.u~E.~~ ~:. ~G~r~~i..~vEw~¿~ii~'~
WO 91 /01428 PGT/fR90/OD538
s ~~'~~
entièrement en cas d'agression. On comprendra enfin, grâce
à ce qui suit, que cette trace ne peut pas exister.
En effet, cette absence de mémoire du mode précédent
est fondamentale pour la sécurité du systêine, puisque deux
modes extrêmes peuvent étre reliés .
- sait directement grâce à un premier événement,
prévu à cet effet, et qui provoque une transition entre ces
deux modes,
- soit indirectement, par transitions préalables dans
d'autresmodes, dues à d'autres événements prévus et
autorisés.
Si la caissette conservait la mémoire de son mode
antérieur, c'est-à-dire si on acceptait qu'elle puisse s'en
servir, il serait alors possible d'invalider une transition
préalablement acceptée par la caissette, entre un premier
mode et un second mode ; un nouvel événement pourrait en
effet provoquer une transition du premier mode vers un
troisième mode, sans que, par ailleurs, il ait été prévu
d'autoriser une transition du second mode vers ce troisième
mode ; le système deviendrait par conséquent "ingérable°.
En proposant d'organiser le fonctionnement d'une
caissette, en un cycle comportant un nombre limité d'états
logiques, ou modes, cette caissette possédant par ailleurs
peur seule mémoire son propre mode, ~la présente invention
procure uin moyen fiable et sür de définir divers cycles de
fonctionnement, qui correspondent à de nombreux cas
inaccessibles aux systèmes connus jusqu'à aujourd'hui, pour
lesquels une seule "histoire" peut exister entre la
fermeture et l'ouverture d'une caissette.
Ce fonctionnement particulier d'une caissette, par
transitions entCre des états logiques existant en nombre
limité, est à rapprocher du fonctionnement des machines
connues par ailleurs sous le nom de "machines à modes
licités " .
La rigueur d'une telle organisation se traduit, pour
le système de protection conforme â l'invention, par une
intell_ç~nce supplémentaire rendant en quelque sorte
"inviolable logiquement° les caissettes et le syst~me dans
son ensemble.
FE~J111~ ~~ t~jt3a~l~C~~,~'~NT
WO 91 /01428 PCT/FR90/00538
..
On peut à ce titre effectuer une véritable analogie
entre le système de l'invention et les systèmes développés
à l'heure actuelle en reconnaissance des formes, et
notamment dans le domaine de l'intelligence artificielle ;
"l'intelligence" de ces systèmes, c'est-à-dire leur
capacité de déduction à partir d'informations quelquefois
incomplètes, résulte, non pas d'informations explicitement
formulées et stockées dans des mémoires par exemple
électroniques, mais de l'organisation, de la forme,
organisant la circulation et l'échange d'informations.
"L'information circulante" du système conforme à
l'invention est la responsabilité attachée à la protection
des fonds contenus dans une caissette ; la transmission
effective et contrôlée de cette~responsabilité est rendue
possible par l'organisation en machine à modes limités de
la caissette et constitue l'apport principal de ce système.
On aboutit de cette façon à un partage de la
responsabilité qui est transférée, dans un sens ou dans
l'autre sens, entre, d'une part, les utilisateurs des
caissettes, d'autre part, un moyen pouvant se mettre en
relation avec elles, et enfin, les caissettes.
Une caissette n'est totalement responsable~des fonds
qui y sont enfermés que durant son transport (par les
m6yens connus dont on a parlé).
I1 est à noter enfin que la responsabilité n' est pas
transférée à chaque transition d'un mode à un autre mode,
mais seulement lorsque cela est nécessaire pour la sécurité
du système.
D'autres caractéristiques et avantages du système
selon l'invention ressortiront mieux de la description qui
va suivre d'une réalisation particulière non limitative
donnée à titre d'illustrations de ce système, en référence
au.dess~.n annexé sur lequel .
- la figure 1 est un schéma synoptique d~
l'organisation en réseau du système selon l'invention.
- la f~gu~e 2 est un diagramme de représentation du
concept de trar.siti~:ité des authentifications.
- la f=Bure 3 est un ordincgramme logiçue des
transitons passibles et prévues entre les mcdes de
~'ÉUILLE DE RE~IPLACEMEI1~T
WO 91/01438 PCT/FR90/00538
s
fonctionnement du système, suivant une variante
particulière de l'invention.
Conformément à la figure 1, le système suivant
l'invention est utilisé pour la protection de fonds qui ont
été places dans une caissette 1 par le responsable d'une
agence bancaire, appelé par la suite expéditeur 2. La
caissettes 1 doit étre transportée par un convoyeur 3 vers,
par exemple, une succursale de cette agence bancaire.
Dans une des variantes préférées de l'invention, le
moyen pouvant se mettre en relation avec les caissettes
pour réaliser le transfert de la responsabilité est
constitué par un ordinateur unique 4.
Cet ordinateur 4 possède un r8le de superviseur et
gère la sécurité logique des caissettes 1, c'est-à-dire
vérifie ~la licéité des transitions de certains modes de
fonctionnement de celles-ci vers certains autres modes.
Lors de ces transitions particulières, il se produit
une exténsion, ou un rétrécissement, du slrstème de
protection selon l'invention, et on peut citer trois cas
très explicites
a)'lors d'un transport, la protection des fonds ne
peut étré assurée que par la caissette 1 les contenant . le
système comprend alors uniquement la caissette 1.
b) à la fin d'un transport, au moment de la
livraison, seule une source d'informations extérieure à la
caissette 1 peut provoquer l'interruption du mode dans
lequel elle a ëté placée au début de son transport, et qui
constitue sa seule mémoire . 1e système doit alors étre
étendu à la source d'informations extérieure - c'est-à-dire
l'ordinateur 4 - qui doit, préalablement à cette extension,
ètre reconnue) comme un partenaire fiable et sûr par la
caisset~e.
c) après la livraison, la protection àes zonas
enfermés dans la caissette 1 est encore totale, car son
ouverture nécessite l'extension du systëme à une deuxi~?me
source ~'infornations extérieure - l'utilisateur du ces
fonds bau sens large . destinataire, expéditeur 2,
convoyeur 3) - qui doit, à son tour, ètrn reconnue comma un
_FEUILI.E DE REi~iPi..6~CEMENT
WO 91 /01428 PCT/FR90/00538
~ i
~ ,~ ~ (~. f~ ~ ~ 9
partenaire fiable et sûr par la caissette 1 et l'ordinateur
4.
I1 existe ainsi trois types de modes pour une
caissette 1 - en fait pour le systëme dans son ensemble,
mais seule la caissette 1 participe à l'ensemble de la
protection puisque c'est elle qui, en fin de compte, permet
de supprimer la convoitise des tiers - selon qu'elle est
considérée comme étant mobile et fermée, conformément au
cas a), selon qu'elle est iamiobile et fermée, conformément
au cas b), et enfin selon qu'elle est immobile et ouverte,
conformément au cas c).
Les transitions entre ces trois types de modes
décadent du transfert de la responsabilité attachée à 1a
protection des fonds, qu'ils soient ou non enfermés dans
une caissette 1 (avant leur expédition, ces fonds sont
librement placés par l'expéditeur 2 dans la caissette 1, et
jusqu'à la confirmation de leur prise en charge par le
systëme, cet expéditeur 2 en est responsable).
La mobilité de la caissette 1 est, par conséquent, un
attribut purement logique du système, qui va au-delà de sa
mobilité physique véritable, mais bien entendu la recouvre
sans paradoxe. Cet avantage considérable du système est
l'une des conséquences les plus inattendues de
~1~'organisation en machine à modes 'limités de la partie
physiquement mobile de celui-ci . la caissette 1.
On peut comparer, à ce titre, le système selon
l'invention à un réseau informatique où un "jeton",
symbolisant la détention du pouvoir de décision, peut ètre
échangé entre les bornes du réseau ; la borne détentrice du
"jeton" peut choisir, en outre, de transférer celui-ci, ce
transfert s'accompagnant donc de la perte ou du partage du
pouvoir. Le "jeton" transféré dans le système de
l'invention est constitué, on l'aura compris, par la
responsabilité attachée à la protection des fonds enfé ~nés,
ou non, dans une caissette 1.
Par ailleurs, un avantage inattendu de l'utilisation,
suivant l'invention, d'un unique ordinateur ~ super-:isant
le système, est de limiter la redondance des info mations
nécessaires à la gestion süre de celui-ci, c'est-d-dire
FEUILLE DE REMPL..~~'E~'~E~~
WO 91/01428 PGT/FR90/00g38
~"~ ~ d~b ~~ C ~ 10
leur transfert éventuel. Si un deuxième ordinateur de~Tait
exister - on pourrait par exemple placer un ordinateur au
lieu de départ d'une caissette, et un autre ordinateur ~
son lieu d'arrivée, ce qui est le cas notamment du système
décrit dans la demande de brevet française 86-O1 849 - il
serait impératif d'intégrer ce second ordinateur d'une
façon fiable au système :caissette/pr~emier ordinateur: pour
qu'il devienne un système
:caissette/premier ordinateur/deuxième ordinateur: ;
l'intégra-tion fiable du destinataire des fonds enfermés
dans la caissette 1 deviendrait alors. possible, par
l'intermédiaire de ce second ordinateur. Or, l'étape
d'intégration du second ordinateur n'est pas nécessaire car
elle ne' procure ni simplification (au contraire), ni
sécurité complémentaire, le destinataire des fonds pouvant
âtre intégré directement par le premier ordinateur.
On doit enfin remarquer gue les caissettes 1 sont
totalement indépendantes les unes des autres et que chaque
système :caissette/ordinateur/utilisateur: doit âtre
considéré comme un réseau particulier, mène si l'ordinateur
4 superviseur peut âtre le méme pour toutes les~caissettes
1. I1 est ainsi bon de rappeler qu'il n'existe aucun
~dïalogue circulant en permanence entie les caissettes 1, ce
qui cons''titue un avantage notable vis à vis du système
décrit dans le brevet FR-A-2 550 364.
Il existe uniquement, suivant l'invention, une série
de dialogues ponctuels. Pendant ces dialogues, les messages
échangés~ne doivent néanmoins pas mettre en jeu la sécurité
du systèae ; c'est pourquoi les liaisons établies entre les
parties dont partie intégrante du système, leur défaillance
éventue?le étant considérée comme une agression.
Ces liaisons peuvent posséder un support matériel,
dont la nature est plus facilement protégeable, par exemple
au moyen de blindages. On comprendra malgr6 tout ç~r la
suite qu'il peut être remédier avantageusemen:. au:c
problèTe~s de confidentialité sans avoir recours ,1 ces
blindages physiques.
Sui~:ant une caractéristique complémec:ta~~~ de
l'inve.~.t_on, et conformément ~ la figure 1, 1«s çuat=e
WO 91/01428 PCT/FR90/00538
;~ é'~ .'~ I1
parties caissette 1, ordinateur 4, expéditeur 2, et
convoyeur 3, peuvent étre reliées à une borne unique,
appelée station 5 par la suite, pour constituer un réseau
en étoile dont ladite station 5 est le centre.
I1 existe de cette façon une première station 5 au
lieu de départ d'une caissette 1, et une autre station 5 à
son lieu d'arrivée. Cette multiplicité de stations 5
n'entache cependant en rien la sécurité du système, car,
selon une caractéristique très .importante de l'invention,
le "jeton", qui symbolise la responsabilité vis à vis de la
protection des fonds, n'est jamais transmis auxdites
stations 5, qui ne constituent par conséquent que des
points de passage des informations confidentielles a priori
vitales pour la sécurité du système.
L'utilisation d'un réseau en étoile procure nombre
d'avantages bien connus.
En particulier, un message échangé entre deux parties
intégrantes d'un réseau en étoile ne transite pas par les
autres parties comme, par exemple, dans un anneau : on peut
alors parler d'une confidentialité structurelle de ce type
de réseau.
Par ailleurs, pour pouvoir dialoguer, chacune des
parties du système possède une interface électronique qui
~dôit gérer des échanges quélquefois complexes.
L'utilisation d'une station 5, pouvant relier, conformément
à l'invention, toutes les parties entre elles, permet
avantageusement; et de manière inattendue, de simplifier et
d'alléger lesdites interfaces.
Par exemple, il n'est pas utile de transporter avec
la caissette 1 des moyens de mise en communication évolués,
nécessitant une électronique lourde. De méme, la liaison
d'un ut~.lisateur (expéditeur 2, convoyeur 3) avec les
autres parties du système doit rester simple.
La station 5 possède à cet effet toutes les
interfaces électroniques lourdes, et il reste ~ la
caissette 1 et à l'utilisateur à gérer uniquement un
dialogue élémentaire de connexion avec ladite staticn 5.
I1 est à noter que l'ordinateur ~ peu;., quant ~ lui,
gérer des échanges plus complexes, et qu'~1 gis:. par
FEUILLE DE REt~'~~'LAC~~=~1'C
WO 91/01428 , ~~ ~ ~ PCT/FR90/00538
12
ailleurs avantageux, suivant l'invention, d'en faire un
centre serveur situé à distance de toutes les stations 5,
de tous les utilisateurs, et de de toutes les caissettes 1,
ce qui permet de le protéger efficacement, par la méme
occasion, d'éventuelles agressions, aussi bien logiques que
physiques.
S'il est désormais acquis que le système suivant
l'invention prësente, en toutes ses caractéristiques, une
structure fonctionnelle potentiellement confidentielle,
cette confidentialité doit s'appuyer sus la certitude que
les parties intégrantes du système, ou intégrées au
système, sont oelles qu'elles prétendent être.
Suivant alors une caractéristique complémentaire du
système conforme à l'invention , les communications entre
deux parties du système s'effectuent selon un protocole
permettant à la partie recevant un message d'authentifier
la partie qui est sensée l'avoir émis, cette
authentification s'accompagnant éventuellement de l'envoi
d'un message de bonne réception à ladite partie émettrice.
Selon l'invention, certaines authentifications sont
effectuées dans les deux sens car il est nécessaire, par
exemple, qu'une caissette 1 soit sür que ~1'ordinateur 4
n'est pas un ordinateur clone, et que réciproquement,
~l''ordinateu= 4 soit sflr que ladite caissette 1 n'est pas
une causette clone . on parle alors d'authentification
mutuelle des parties. De méme, une station 5, sur laquelle
est connectée une caissette 1, est authentifiée, ce qui
interdit l'existence de stations clones.
On notera que l'authentification du système par un
utilisateur (expéditeur 2, convoyeur 3) de celui-ci est
implicite ; en l'espèce, il ne sera procédé qu'à une
authenti~ication simple de cet utilisateur, que ce soit par
une causette 1, l'ordinateur 4, et éventuellement, au
passage, par la station 5 où est connectée ladite caissette
1 (cette station 5 ne possèdera de toute façon aucsn moyen
d'intéQ_rer l'utilisateur au systéme ; il s'agit uniquement
d'une facilité et d'une sécurité supplémentaire visant ù
rejeter, dés le premier abord, un ut::lisateur illicite).
FEUILLE DE REMPLACEMENT
WO 91 /01428 PCT/FR90/00538
13
Grâce à la structure logique des caissettes 1
organisées en machines à modes limités, et à l'architecture
physique et fonctionnelle des liaisons existant entre les
diverses parties du système, cette authentification
mutuelle des parties peut être gérée strictement, et
procure une souplesse inattendue dans la gestion de la
protection des fonds, enfermés, ou non, dans une caissette
1.
En effet, on peut pratiquement en toutes
circonstances interrompre une phase de la protection des
fonds, sans pour autant la remettre en cause ; ces
interruptions, qui nécessitent l'intégration au système
d'une partie fiable nouvelle (mise au courant de la
"circonstance" conduisant, par exemple, à un détournement
de transport), et donc la transition d'un type de mode vers
un autre type de mode, imposent obligatoirement une
authentification mutuelle des parties. Les retards de
transport "normaux", les embouteillages, les pannes,
peuvent enfin trouver une solution autre que la destruction
pure et simple des fonds contenus dans une caissette 1.
Les moyens conventionnels de cette authentification
sont nombreux, et de nature, pour la plupart, informatique.
On peut ainsi effectuer une analogie exacte des
principes sécurisant le système conforme à l'invention avec
les principes sécurisant une carte à mémoire ; notamment,
on peut considérer la caissette 1, qui est inviolable
physiquement et logiquement, comme étant une véritable
carte à mémoire.
Les mesures à prendre pour la sécurité d'une
caissette 1, et pour la sécurité des transactions
auxquelles elle participe, sont alors bien connues, et
visent à éliminer, d'une part, les menaces contre la
confidentialité des messages échangés entre deux parties
intégrantes du système, dont par exemple la caissette, et
d'autre part, les menaces contre l'intégrité de ces
messages (altération volontaire ou non de leur contenu).
Une ore~~ière mesure éli..~tinant les menaces contre la
confiàentia 1 '_ té consiste à c :...; f fret les messages échangés ,
FEUILLE DE REMPLA~EI~JIEI~iT
WO 91/01428 PCT/FR90/00538
14
et on connait pour ce faire de nombreur. procédés
cryptographiques.
Suivant l'invention, il a été choisi d'utiliser
l'algorithme de chiffrement de type symétrique connu sous
le nom de DES (de l'anglais Data Encryption Standard), dont
les caractéristiques sont normalisées, et que l'on peut
consulter par exemple dans l~ publication référencée FIPS
PUB 46 (Federal Information Processing Standards
Publication 46). Dans cet algorithme, un couple :caissette
1/ordinateur 4: (par exemple) possède une clef K ; cette
clef K est placée dans une mémoire de la caissette 1 où
elle est physiquement protégée, tandis que l'ordinateur 4
mémorise, suivant la variante préférée de l'invention, les
clefs K partagées avec toutes les caissettes 1.
Cette variante, peu économe en mémoire pour
l'ordinateur 4, est préférable à celle conduisant à prendre
une seule clef pour toutes les caissettes 1, car il
pourrait advenir qu'une caissette 1 agressée ne détruise
pas complètement la clef qui y est" inscrite, permettant sa
récupération, et le vol légal du contenu des autres
caissettes 1 par constitution d'un clone -. Malgré le fait
que l'algorithme DES est un algorithme public;' seule la
connaissance de la clef K permet de déchiffrer un message
' chïffré avec celle-ci ; il s'agit donc d'une
authentification en soi du message, qui peut être
considérée comme suffisante pour le fonctionnement du
système'.. Cependant, un brouillage dudit message sur la
ligne de communication n'est pas détecté . il s'avère donc
préférable d'authentifier le message avant de le
déchiffrer.
Une mesure visant à éliminer les menaces contre
l'intégrité des messages consiste à signer ces messages ;
une signature est envoyée en méme temps que le message, et
sa vérification par la partie destinàtaire sert à
authentifier le message et son auteur.
I1 convient de bien noter que cette signature n'a
rien à voir avec le "jeton" s~~mbolisant, suivant
l'invention, le transfert de responsabilité attachéA d la
protec~ion des fonds enfe r.~.és ou non dans une csi~seL~~ i ;
UtL~E DE REi~t~.LACEM"ENT
WO 91/01428 PCT/FR90/00538
ce "jeton" est un message comme un autre, et il n'est pas
forcément transmis au cours d'une authentification (par
exemple il n'est jamais transmis à une station 5, qui
pourtant doit étre authentifiée par ses partenaires,
5 directement ou indirectement). La signature est une preuve
et la prise en compte des messages n'est possible qu'après
vérification de cette preuve.
Suivant une caractéristique complémentaire de
l'invention, cette signature, ou preuve, est calculée sur
10 les paramètres de la transaction, c'est-à-dire le contenu
des messages, suivant un algorithme semblable à
' l'algorithme DES de chiffrement, ce qui procure l'avantage
notable de simplifier l'élaboration des messages échangés
entre les parties du système. Les clefs de chiffrement et
15 d'authentification sont différentes, ce qui augmente encore
la sécurité cryptographique.
Par ailleurs, il devient avantageux d'intégrer dans
un méme circuit électronique, appelé "puce DES",
l'algorithme, de chiffrement et d'authentification des
messages, et de pouvoir placer un tel circuit électronique
à l'intérieur de chacune des caissettes 1. L'utilisation
d'une "puce DES" permet notamment d'y mémoriser toutes les
,clefs et de procéder plus facilement,à sa destruction en
cas d'agression. En outre, un microprocesseur gère
l'ensemble de l'électronique d'une caissette 1, et une
implantation logicielle de l'algorithme DES dans ce
microprocesseur tiendrait une place beaucoup trop
importante en mémoire.
La "puce DES" procède donc à la fois au chiffrement
du message et à la constitution de la signature sur ce
message.
I1 con~~~ient néanmoins de noter que le chiffrement
n'est pas une opération obligatoire, car la connaissance
par un tiers du contenu des messages, par exemple les
instructions de changement de modes ou les gar3métres d'un
transport, ne met pas en cause la sécurité du système ;
seule' l'authentification fournie par la sian3ture
c~nstruite sui ces messages compte, et il nn serait donc
pas possiblz de tre:açer l'électronioue d'une caissette avec
FEUt~LE DE REMPLACEMENT
WO 91/01428 PCT/FR90/00538
.~ , 3 ~ll~ i.~ ~ ~~ ~ 5 .
un faux message en clair non authentifié. Le. chiffrement
est une précaution visant pour l'essentiel à rassurer les
utilisateurs sur les capacités de confidentialité du
système.
Part ailleurs,. certains codes secrets peuvent
transiter entre deux parties du système ; le chiffrement
devient dors nécessaire pour protéger ces codes.
Les stations 5 possèdent également une "puce DES",
protégée physiquement, et contenant des clefs de
chiffrement et d'authentification des messages qu'elle
transmet vers l'ordinateur 4 superviseur. On notera que ces
clefs sont différentes des clefs utilisées par les
caissettes 1. Un message à destination de l'ordinateur 4,
provenant d'une caissette 1, est. de cette façon doublement
chiffré et authentifié . par la caissette 1 avec un premier
couple de clefs, et par la station 5 avec un second couple
de clef s .
Suivant la variante préférée l'invention, il a été
choisi txn algorithme de chiffrement symétrique, c'est-à
dire un'algorithme pour lequel la mime clef est utilisée
par les deux parties. Cet algorithme convient parfaitement
pour les transactions qui sont établies entre une. caissette
1, une station 5 et l'ordinateur 4 superviseur, puisqu'il
.peuvent âtre munis de circuits électroniques utilisés à cet
effet s$ns aucun problème. Comme on l'a dit, la clef de
chiffre~hent est différente de la clef serrant à élaborer la
signature, avec pratiquement le méme algorithme. Cela
signifie q~le pour authentifier toutes les autres parties,
chaque partie du système doit partager avec ces autres un
couple de clefs unique. En particulier, chaque caissette 1
doit pouvoir authentifier chacune des stations 5 auxa_uelles
elle se connecte, chaque station 5 devant quant ~ elle
authentifier chaque caissette 1 ; le nombre de clefs à
mémor_ser dans de telles conditions devient ' vite
p.lét:~ori.que et il a été choisi, suivant une variante
préfërentielle de l'invention, de procéder indirectement
aux authent_ficativns entre notamment les caissettes 1 et
les stations S.
~~EU1LLE DE REMPLACEMENT
WO 91 /01428 PCT/FR90/00538
17
Conformément à la figure 2, l'authentification
indirecte est possible par transitivité, c'est-à-dire que
si deux parties A et B se sont authentifiés mutuellement,
et si la partie A et une partie C se sont également
authentifier mutuellement, alors les parties B et C
s'authentifie mutuellement par l'intermédiaire de A,
puisqu'il est un partenaire fiable de toutes les parties.
Suivant la variante préférentielle de l'invention,
l'ordinateur 4 superviseur joue le rale de la partie A, les
caissettes 1, les stations 4, et les utilisateurs jouant le
rôle des parties B ou C. Seul l'ordinateur 4 connait toutes
les clefs. Les autres parties ne partagent, quant à elles,
qu'une unique clef avec cet ordinateur 4.
Cet avantage considérable possède une contrepartie
qui peut paraître lourde. En effet, chaque fois que deux
parties du système dialoguent, il est nécessaire que ces
parties établissent directement une connexion avec
l'ordinateur 4 afin, tout d'abord, de s'authentifier
mutuellement avec lui, puis de s'assurer que l'autre partie
est déjà authentifiée. ..
L'ordinateur 4 devient néanmoins, dans ce.cas, un
intermédiaire obligatoire des transactions, et peut, de
.façon inattendue, en mémoriser l'historique. L'ordinateur 4
est par conséquent la mémoire insoupçonnable du système.
L'authentification des utilisateurs du système
demeure, suivant l'invention, un cas particulier qu'il
convient de noter.
Dans une première variante, chaque utilisateur
possède un code secret lui permettant d'accéder au système.
Ce coàe est connu de l'ordinateur 4 superviseur, qui le
transmet, parfois, à une caissette 1 lorsque celle-ci se
trouve dans un mode où sa connaissance lui est nécessaire.
La station 5 reliant les parties peut éventuellement
conna~tre également ce code, de manière à ne pas autoriser
une connexion de l'utilisateur à l'ordinateur 5 sans une
vérification préalable. I1 est donc évident que ce code
transite entre les parties. Cependant, pour ve pas
te..:.,ett_~ ca Lecture aise rnr un tiers, branchC pur le
résea~.: '-audul eusement, ce code peut ètre c::i_'_'rè le:-~ de
t=EUILLE:DE REMPLACEMENT
WO 91/01428 PCT/FR90/00538
la
son transit par la station 5, notamment au moyen de
l'algorithme préférentiellement utilisé dans l'invention.
Une autre procédure consiste à utiliser une fonction
unilatérale f pour protéger ce code. Une fonction
unilatérale f est une fonction dont il est très difficile
de calculer l'inverse (la fonction puissance par exemple).
Si a est un code,.seul b=f(a) est connu de la station 5 ou
de la caissette 1 ; la connaissance de b ne permettant pas
de retrotwer a, le code a est protégé. Si l'utilisateur
rentre le code ç, la station 4 ou la caissette 1 calculent
d=f(ç) et comparent d et b ; si d=b, alors ç est égal
sûrement à a. Suivant l'invention, une fonction unilatérale
particulièrement avantageuse à utiliser est ~=DES(x,a) 0~1 x
est un message fixe et a le code secret . on utilise en
effet uni nouvelle fois la "puce DES".
Dans une autre variante de l'authentification d'un
utilisateur du système, la procédure est conforme aux
procédures d'authentification utilisées entre' les autres
parties. L'utilisateur dispose d'une carte à mémoire et
20. d'un code fixe ; après reconaaissance interne du code, la
carte génère un "jeton" qui est envoyé au système, ce
"jeton" étant chiffré et signé par les mies algorithmes
'que ceux utilisés par ailleurs - on implémente à cet effet
l'algorithme DES dans le microprocesseur de la carte -. La
confidentialité et l'intégrité est parfaite, puisque
l'information qui circule entre les parties est
parfaitement aléatoire, et ne permet pas de remonter au
code ou aux clefs de chiffrement et d'authentification.
Pour s'introduire dans le système, il est alors nécessaire
de posséder à la fois la carte et le code.
On~ décrira maintenant, conformément à la figure 3,
l'organisation préférée du système conforme à l'invention,
et notamment les différents états logiques, ou modes,
pouvant caractériser une caissette 1. On déc~'_ra également
les transitions entre ces modes, en suivant "l'histoire"
d'une caissette 1 depuis le dép6t des fonds jusau'~ son
ouvert~.:re oar le destinataire, après sa livraison.
Sur ls f~.gure 3, les ~~cc'es scnt T~~rtisnnths r~r ries
ell.-oses contenant un code ~ deu:c lettres =enr~_seritcnt
FE~~I~:L~ DÉ !"~iPLAC'EMENT
WO 91 /01428 PCT/FR90/00538
19
chacun le nom d'un mode . Ces modes, définis par la suite,
sont respectivement .
- le mode Départ représenté par le code DP,
- le mode Trottoir représenté par le code TR,
- le mode Socle représenté par le code SC,
- le mode Camion représenté par le code C2d,
- le mode Depalarm représenté par le code DA,
- le mode Connect représenté par le code C0,
- le mode Servouv représenté par le code V0,
- le mode Selfouv représenté par le code~SO,
- le made Ouvert représenté par le code Ov,
- le mode Caisse représenté par le code CA,
- le mode Coffre représenté par le code CF,
- le mode Verse représenté par le code vE,
- le mode Ferme représenté par le code FE,
- le mode Verrou représenté par le code VR,
- le mode Refus représenté par le code RF.
Sur la méme figure, les autres blocs contenant le
code CS représentent l'établissement d'une connexion entre
la caissette 1 et l'ordinateur superviseur 4.
Considérons donc des fonds, composés de cartes
bancaires, de billets de banque et de chèques, que. l'agence
centrale d'une banque désire expédier à sa succursale
.sïtuée à distance. '
Les fonds se trouvent alors sous la responsabilité du
chef de l'agence centrale. Localement se trouve une station
5 du rëseau constituant le système de protection selon
l'invention. A cette station 5, appelée station de départ,
est connectée une caissette 1 (il peut s'y connecter
plusieurs) ne contenant pas forcément de fonds. Dans cette
situation, les trois modes possibles pour la caissette 1
sont le mode Ouvert, le mode Caisse, et le mode Coffre.
Dans le mode Ouvert, la caissette 1 est considérée
comme étant ouverte, mais son ouverture physiaue, grâce ~
des moyens prévus à cet effet, n'est pas obligatoire ; on
peut l'ouvrir et la fermer à la manière d'un simple tiroir,
la protection de fonds placés ~ l'intérieur étant alors
nulle. îü la caissette 1, ni l'ordinateur 4, ni la st~tien
pie décan t n' en scr.t r~_spc.~.sabl es .
FEUILLE DE RE~'~~'LACEME~T
WO 91/01428 PCT/FR90/00538
Le mode Caisse est un mode "local", c'est-à-dire que
la transition vers ce mode depuis le mode Ouvert est
possible sans que l'ordinateur 4 intervienne. Dans ce mode,
le chef d' agence confie à la caissette 1 des fonds . Après
5 versement de ces fonds et fermeture, celle-ci ne peut être
ouverte qu'au moyen d'une authentification du chef
d'agence, c'est-à-dire par exemple au moyen d'un code,
secret a dont la caissette 1 et la station de départ ne
connaissent que le transformé par une fonction unilatérale
10 telle qui la fonction DES { x, a ) - on notera que le message
fixe x gst différent pour la caissette 1 et pour la
station -. La responsabilité de la protection des fonds est
donc partagée, dans ce mode Caisse, entre le chef d'agence
et la.caissette 1 (rappelons que~la station de départ, qui
15 est la borne commune de transmission du réseau, n'est
jamais r~sponsa,ble). I1 est à noter que la transition du
mode Ouvert au mode Caisse a étendu une première fois le
syst8rme : on est passé du système :chef d'agence: au
système nchef d'agence/caissette:.
20 Le mode Coffre est un mode "global", c'est-à-dire que
la transition du mode Ouvert vers ce mode n'est possible
qu'avec Z'auto~isation de l'ordinateur 4 superviseur situé
à distance. Dans ce mode, le chef d'agence confie des fonds
~au système et transmet totalement la responsabilité de leur
protectipn. Ap=ès avoir placé les fonds dans une caissette
1, et refermé celle-ci, il donne son code qui est
authentifié par la station de départ, et indique au système
qu'il désire utiliser la caissette 1 en mode Coffre. La
station de départ établit une connexion avec l'ordinateur
4, conformément à un protocole d'authentification mutuelle.
L'ordinateur 4 authentifie alors le chef d'agence. La
caisset~e 1 dans laquelle celui-ci veut placer des fonds
doit ét~e en état et ne pas être un clone ; celle-ci doit
donc s'authentifier mutuellement avec l'ordinateur ~ par
l'inter:~éàiaire de la station de départ, qui est un
partena:.re fiable de l'ordinateur 4, mais ne peut
authentifier directement la caissette 1 pour des raisons
expri:~ées plus haut. Toutes les authentifications tant
directement ou implicitement effectuées, le systeme, par
FEUILLE DE REMPLACEMENT
WO 91/01428 PCT/FR90/00538
~E~~ ~ ~'~';~~~ 21
l'intermédiaire de l'ordinateur 4, accepte, d'une part, le
transfert de responsabilïté venant du chef d'agence, et
d'autre part; tourne la -caissette 1 dans le mode Coffre.
Dans la transition du mode Ouvert au mode Coffre, on est
passé du système :chef d'agence: au système
:caissette/ordinateur:. Cette transition s'est effectuée
progressivement, la responsabilité appartenant au chef
d'agence jusqu'à l'accord final de l'ordinateur 4 - il y a
eu des élargissements successifs puis un rétrécissement du
système -.
La transition du mode Coffre au mode Ouvert
s'effectue de maniëre identique, l'ordinateur 4 conservant
la responsabilité de la protection des fonds jusqu'â
authentification complète de toutes les parties ; on passe
dans ce cas du système :caissette/ordinateur: au système
:caissette/ordinateur/sta-tion: puis au système
:caissette/ordinateur/station/chef d'agence: et enfin au
système :chef d'agence: avec transfert de la responsabilité
dans le mode Ouvert.
Les transitions du mode Ouvert aux modes Caisse ou
Coffre peuvent en autre dépendre d'une programmation
horaire, transmise par l'ordinateur 4 à la caissette 1 lors
de son arrivée à l'agence. Une telle programmation horaire
.peut être hebdomadaire et permet notamment d'interdire
l'ouverture de la caissette 1 en dehors de certaines heures
fixées à l'avance. Suivant une variante de l'invention non
représentée, on peut regrouper les modes Caisse et Cof f re
en un seul mode', appelé par exemple mode Stockage, auquel
on associe deu_Y options d'ouverture - Caisse ou Coffre -,
le choix entre ces options étant fait par programmation
horaire transmise à un moment donné à la caissette 1 par
l'ordinateur 4.
A partir du mode Caisse ou du made Coffre, le chef
d'agence peut demander à envoyer des fonds à la succursale.
I1 existe pour ce faire un mode verse, analogue au mode
Ouvert, mais qui ne peut pas être suivi du mode Caisse ou
du made Coffre. Le mode verse impose que les fonds placés
dans une caissette 1 soient transportés. Les transitions du
mode Clisse ou du mode Coffr° pers le mode Verse
F~~Jt~t~ L'E REM~F'LA~EME(~iT
WO 91/O1a28 PCT/FR90/00538
22
s'effeçtuent de la méme façon que les transitions de ces
modes vers le mode Ouvert, c'est-é-dire qu'elles sont
initiées par l'authentification préalable du code du chef
d'agence.
Après fermeture d'une caissette 1 se trouvant dans le
mode Verse, celle-ci se tourne automatiquement dans le mode
Fermé où il est impossible de l'ouvrir sans connexion à
l'ordinateur 4. La transition du mode Verse au mode Fermé
signifie que le système :caissette: a provisoirement
acceptë le transfert de responsabilité. Ce made est
cependant temporaire car une connexion est établie
immédiatement, via la station de départ, avec l'ordinateur
4, afin d'obtenir son accord sur ce versement. En cas de
refus (qui peut intervenir par exemple si la station
d'arrivée n'existe pas ou plus, ou si la caissette 1 n'est
plus en état), la caissette 1 se tourne dans le mode Refus
puis dans le mode Ouvert et la procédure d'envoi des fonds
est annulée. En cas d'accord de l'ordinateur 4, et après
les authentifications mutuelles nécessaires, il y a
transition du mode Fermé au mode Verrou, dans lequel le
système :caissette/ordinateur: est responsable des fonds.
pans le mode Verrou, la caissette 1 doit ètre
nécessairement transportée à la station d'arrivée. pour
~ pouvoir étre réouverte (sauf indication différente de
l'ordinateur 4). Le système attend alors le convoyeur 3 de
la caissette 1 qui est authentifié, à son arrivée, par
vérification d'un code, dont lé transformé par une fonction
unilatérale est connue du système ; il est établi une
connexion avec l'ordinateur 4 qui seul connait ce code et
la fonction unilatérale correspondante (il n'est en effet
pas nécessaire que la caissette 1 ou la station le
connaisse). I1 est à noter que le mode verrou peut durer
tras longtemps . l'ordinateur 4, qui a reçu de la s~ntion
les paramètres du transport, ne les a pas encore transmis
la caisset~e 1. L'un de ces paramètres est notaT.rrent la
durée prévue du transport - conformément au brevet _~~nçais
FR-2 a50 36~, des consignes temporelles limitent ~~:z effet
la dsrée d'un trajet et conduisent à la destw,:ct_~n d'une
caissette 1 en cas de dépassement -.
~'EUiLLE. QE ~~Cllll
WO 91/01428 PCT/FR90/00538
~~ ~~~ ~Ç' 2 3
Aprês authentification du convoyeur 3, l'ordinateur 4
donne l'autorisation d'enlévement de la caissette 1 qui se
trouve alors dans le mode Départ. La transition du mode
Verrou vers ce mode s'accompagne du transfert de la
responsabilité du système :caissette/ordinateur: vers le
système :caissette:, c'est-à-dire que la caissette 1 assure
totalement la protection des fonds à transporter. C'est
pourquoi les consignes temporelles de transport sont
initiées dès la transition dans ce mode ; la caissette 1
est par conséquent considérée comme mobile, qu'elle soit ou
non enlevée physiquement de son socle. En cas de
dépassement du temps prévu de livraison, la caissette se
considère comme étant agressée et dégrade son contenu par
des moyens appropriés..
Après son enlèvement physique, la caissette 1 quitte
le mode Départ pour le mode Trottoir. Celui-ci correspond
au trajet à pied qu'effectue le convoyeur 3 en portant la
caissette 1, entre la station de départ et un véhicule, ou
une autre station (si la totalité du trajet s'effectue à
pied). Ce mode est délimité temporellement par une durée
prévue à cet effet,.de manière à réduire les risques de
détournement lors du trajet ; en cas de dépassément de la
durée prévue. du trajet, la caissette,l dégrade son contenu.
Le transport de l'agence centrale de la banque à une
succursale s'effectue généralement au moyen d'un véhicule.
A l'intérieur de celui-ci, se trouve un ordinateur de bord,
gérant une électronique permettant de contrôler les
caissettes 1 à transporter. La connexion physique à cette
êlectronique d'une caissette 1 en mode Trottoir provoque la
transition de ce mode vers le mode Socle. Le réceptacle
physique d'une caissette 1 est le même que celui situé dans
une station, et c'est pourquoi la caissette 1 envoie un
message d'identification vers l'électronique .
- si elle reconnait une station, elle demande
immédiatement une connexion à l'ordinateur 4 sucer-:iseur .
i'_ y a transition vers le mode Connect.
- si elle reconnait l'électronique du bon :~é!iicule,
il y a transition vers le mode Camion.
FEtlôLLE T?~ ~''y~'"ç".''°1.~;~''~'~'~LNT
WO 91!01428 PCT/FR90/OOS38
24
- si elle ne reconnait ni l'un ni l'autre, il y a
transition vers le mode Depalarsn.
Dans le mode Depalarm, la caissette 1 se retrouve
physiquement dans une situation imprévue et doit étre
déconnectée de son réceptacle ; sinon, après un temps
déterminé (par exemple 30 secondes), le décompte de la
durée du trajet à pied reprend. Néanmoins, la caissette 1
attend d'ètre déconnectée pour repasser logiquement du mode
Depalarm au mode Trottoir . de cette façon, le mode
Trottoir correspond toujours à la déconnexion physique de
la caissette 1.
L,e mode Camion correspond à la suite logique du
transport. Dans ce mode, la caissette 1 ne peut être
déconnectée sans en étre prévenue ; elle dëgrade en effet
son contenu au delà d'un certain intervalle de temps (par
exemple 10 secondes) si elle n'a pas été reconnectée. A,
l'arrivée du véhicule à la succursale, le convoyeur 3
s'authentifie de nouveau à la caissette '1 par
l'intermédiaire de l'ordinateur de bord - le code du
convoyeur 3 a été transmis provisoirement à la caissette 1
par l'prdinateur 4 Superviseur au moment de la transition
du mode Verrou au mode Départ -. Si la caissette. 1 accepte
le code du convoyeur 3, elle passe dans le mode Départ
d' où elle pourra passer dans le mode Socle et enf in. dans
le-mode Connect).
I1 est important de noter que l'organisation en modes
rend réalisable une intervention en cas d'accident du
véhicule initial. I1 suffit alors d'envoyer vers le lieu de
l'accident un véhicule possédant un code de reconnaissance
connu de la caissette l, de déconnecter légalement la
caissette 1 du véhicume accidenté, avec le code du
convoyeur 3, et de la reconnecter sur le nouveau véhicule -
l'orcünateur 4 transfère à cet effet les numéros
matricules de deux véhicules à la caissette 1 lors de la
transition du mode Verrou au mode Départ -. On peut de
cette manière passer plusieurs fois dans les modes Socle,
Camion ou Départ lors d'un transport d'une station de
départ à une station d'arrivée ; seules les consignes
temwcre'_'_es ~'oi~rer.t étre respectées .
'FEi"1LLE D~è ~~~~,'ç~s,A,.~E~a.~E~oIT
WO 91/01428 PCT/FR90/00538
La transition du mode Socle vers le mode Connect a
lieu si la caissette 1 recannait qu'elle est connectée sur
une station. Elle demande alors immédiatement à ètre
connectée à l'ordinateur 4 superviseur, ce qui nécessite
l'authentification mutuelle préalable de la station et de
cet ordinateur 4 ; si cette authentification mutuelle est
possible, on sait déjà que la station n'est pas un clone.
L'ordinateur 4 et la caissette 1 s'authentifie ensuite
mutuellement. Si la station sur laquelle ést connectée la
caissette 1 n'est pas la bonne, il se produit alors une
transition du mode Connect au mode Depalarm. Si la station
est la station d'arrivée prévue, le système :caissette:
devient le système :caissette/ordi-nateur/station
d'arrivée: et on passe du mode Connect au mode Selfouv ou
au mode.Servouv.
Le choix entre ces deux modes est effectué par.
l'ordinateur 4 superviseur au moment de l'authentification
mutuelle caissette 1/ordinateur 4. Ces modes sont
conceptuellement comparables au mode Caisse et au mode
Coffre respectivement, mais aboutit toujours au mode
Ouvert, déjà décrit, dans lequel la caissette 1 est
considérée comme étant ouverte. Dans le mode Selfouv, seule
la caissette 1 authentifie le code du chef de la succursale
pour pouvoir étre ouverte. Dans le mode Servouv, après
authentification de ce code par la caissette 1, celle-ci
demande à étre connectée ~ l'ordinateur 4, qui à son tour
procède aux authentifications requises.
Dans le mode Ouvert, la caissette 1 peut être vidée
de ses fonds, la responsabilité de leur protection étant
alors transférée au chef de la succursale.
La caissette 1 peut à nouveau servir soit comme
caisse, soit comme coffre, soit pour un autre transport,
confor.nément aux procédures décrites ci-dessus.
De nombreuses variantes de cette organisation
prézérée du système sont bien entendu envisageables sans
sortir du cadre de l'invention, et peuvent combiner dans un
ordre quelconque les trois types de modes possibles. La
seule condition â respecter pour ce faire est le respec4
des nrecédures d'authentif?cstien, lors des P7Cte11510I15 OL
FEUILLE DE RE~:~~~-A~EIVIENT
WO 91/Oi428 p~/FR~p/ppg3g
~b ~ ~,~ ' 2 6 ~"
des restrictions du systëme, c'est-à-dire lors du transfert
de la responsabilité attachée à la protection des fonds.
I1 convient en outre de noter que l'utilisation
d'algorithmes de chiffrement des messages échangés entre
les parties du système nécessite des supports de liaison
fiables à faible taux d'erreurs.
Ceci n'est pas nécessairement le cas, car
l'infrastructure à mettre en place serait nécessairement
lourde, notamment au niveau des agences et de leurs
succursales, oé se trouvent, intégrés aux stations 5, les
moyens de télécommunications avec l'ordinateur 4
superviseur . modems couteux, liaisons spécialisées à
faible taux d'erreurs, etc... Or ces agences ne disposent
généralement que de lignes téléphoniques courantes à taux
d'erreurs élevé (1 information binaire fausse en moyenne
pour 10 000 transmises).
On met par conséquent en place un protocole pour la
correction des erreurs de transmission entre une borne du
système, ou station 5, et l'ordinateur 4 superviseur. Ce
protocole fractionne le message à transmettre en blocs de
quelques octets à quelques dizaines d'octets. Si un bloc
est transmis wec des erreurs, seul ce bloc est retransmis,
ce qui permet de ne pas avoir à répéter l' intégralité des
messages très longs qui sont échangés (typiquement d'une
longueur de 300 octets). L'intégrité d'un bloc est
contralée .au moyen d'une signature élaborée avec le contenu
du bloc et avec son. entéte - cette entéte comportant
essentiellement l'information de longueur du bloc -.
L'algorithme de calcul de cette signature non secrète est
avantageusement celui servant au chiffrement et à
l'authentific,ation des messages ; on utilise de cette façon
à nouveau la "puce DES", sans avoir à écrire et à stocker,
notamment dans la station, un nouvel algorithme.
Après reconstitution du message fractionné
l'émission, et dans le cas oa la partie émettrice est
l'ordinateur 4 superviseur, la station 5 authentifie et
déchiffre avec ses propres clefs ledit message (gràce à la
"puce pES" placée dans la station). Puis elle transmet ~ la
caisset~e 1, dont le matricule servant à l'identifier lui
FEUILLE DE REMPLACEMENT
WO 91 /01428 PCT/FR90/00538
apparait maintenant en clair, la partie du message qui lui
est destinée ; la caissette 1 authentifie et déchiffre ce
message avec ses propres clefs, grâce à la "puce DES"
prévue à cet effet. Elle en confirme alors la réception à
l'ordinateur 4 et prépare à cet effet un message chiffré et
authentifié avec ces mêmes clefs ; ce message est transmis
à l'ordinateur 4 - complété par le matricule de la
caissette 1 - chiffré et authentifié avec les clef s de la
station 5. L'ordinateur 4 renvoie alors, selon le méme
protocole, un acquit à la caissette 1, qui peut
éventuellement changer de mode, mais uniquement à la
réception de cet acquit.
Le protocole de télécommunications décrit n'est bien
entendu pas limité à la réalisation préférentielle décrite
ci-dessus, et on peut par exemple employer les principes
d'architecture fonctionnelle popularisés par le modèle
d'interconnexion des systèmes ouverts (modèle en couches
OSI), ou des dérivés directs de ce modèle.
La présente invention est notamment destinée à la
protection de documents ou d'objets de valeur, et notamment
de moyens de paiement tels que des billets, des chèques ou
des cartes bancaires, ou encore de médicaments dangereux
(drogues) ou à forte valeur ajoutée._ Cette protection est
assurée aussi bien à l'intérieur d'une agence bancaire (ou
d'une officine pharmaceutique, ou autre), que lors du
transport de cette agence vers une succursale. La présente
invention n'est limitée en outre ni par la taille, ni par
le poids des objets ou des documents de valeur que l'on
désire protéger, et il est à la portée de l'homme de l'art
de procéder à toute modification visant à adapter
l' invention à des ob jets ou des documents autres que ceux
donnés ici à titre d'exemples non limitatifs.
~~tLLE DE R~MP1,~Ç~~'VtENT
