Note: Descriptions are shown in the official language in which they were submitted.
CA 022~928~ l999-0l-0~
WO98/01833 PCT~R97/01254
-- 1 --
SYSTEME DE TRANSPORT SECURISE D'OBJETS EN CONTENEUR
INVIOLABLE DONT AU MOINS UNE STATION DESTINATAIRE EST
MOBILE ET TRANSPORTABLE
La présente invention concerne un système de
protection de documents ou d'objets de valeur, tels que
moyens de paiement, billets de banque, chèques ou cartes
bancaires, enfermés dans un contenant inviolable
physiquement, appelé dans toute la suite conteneur, passant
par une succession d'états logiques identifiés en nombre
restreint, et qui, en cas d'agression, provoque leur
dégradation par des moyens appropriés.
Un tel système de protection est entièrement décrit
lo dans le brevet européen EP-0. 409.725, et il se caractérise
en ce que le conteneur est pourvu de moyens de gestion
internes fonctionnant à la manière d'une machine à ~modes
limités~ dont le cycle de fonctionnement comporte un nombre
restreint d'états logiques appelés "modes", la transition
d'un premier mode à un second mode étant la conséquence
d'un événement ponctuel dont la licéité est, ou a été
préalablement, vérifiée par un moyen autonome pouvant se
mettre en relation avec lesdits moyens de gestion internes
du conteneur, ladite transition s~accompagnant alors de la
perte de mémoire du mode antérieur.
Selon le brevet antérieur, le système est utilisable
pour la protection de fonds placés dans un conteneur, par
exemple par le responsable d'une agence bancaire nommé
expéditeur afin d'être transporté par un convoyeur, par
exemple vers une succursale de cette agence bancaire ; la
succession des états logiques et, par conséquent, le
transfert de la responsabilité est confié ~ un ordinateur
unique jouant en fait le rôle de superviseur pour gérer la
sécurité logique des conteneurs, c'est-à-dire pour vérifier
la licéité des transitions de certains modes de
fonctionnement de leurs moyens de gestion internes vers
certains autres modes ; on peut, à cet égard, citer trois
exemples de transition particulièrement significatifs :
CA 022~928~ 1sss-o1-o~
WO98/01833 PCT~R97/01254
-- 2
a) lors d'un transport, la protection des fonds ne
peut être assurée que par le conteneur : le système
comprend alors uniquement le conteneur,
b) à la ~in d'un transport au moment de la livraison,
seule une source d'information extérieure au conteneur peut
provoquer l'interruption du mode dans lequel il a été placé
au début de son transport et qui constitue sa seule
mémoire : le système doit alors etre étendu à la source
d'information extérieure c'est-à-dire l'ordinateur, qui
o doit préalablement à cette extension etre reconnu comme un
partenaire fiable et sur par le conteneur,
c) après la livraison, la protection des fonds
enfermés dans le conteneur est encore totale, car son
ouverture nécessite l'extension du systeme à une deuxieme
source d'information extérieure, l'utilisateur de ces fonds
(c'est-a-dire le destinataire, l'expéditeur ou le
convoyeur), qui doit à son tour être reconnu comme un
partenaire fiable et sûr par le conteneur et l'ordinateur
superviseur.
Les transitions entre ces trois types de mode
décident en fait du transfert de responsabilité attaché à
la protection des fonds, qu'ils soient ou non enfermés dans
le conteneur.
Selon une caractéristique fondamentale du document
antérieur, le conteneur, l'ordinateur, l'expéditeur ou le
destinataire et le convoyeur sont reliés respectivement au
départ et à l'arrivée à une borne unique appelée "station~
pour constituer au point de départ et au point d'arrivée un
réseau en étoile, dont ladite station est le centre. Il est
donc prévu une première station au lieu du départ d'un
conteneur, et au moins une autre station à son lieu
d'arrivée. Le recours à une telle station reliant de
manière étoilée toutes les parties prenantes, permet
avantageusement d'alléger les interfaces permettant
auxdites parties de dialoguer ensemble. Les stations
regroupent à cet effet les interfaces électroniques lourdes
et, conteneurs et utilisateur se contentent de gérer un
dialogue élémentaire de connexion avec les mêmes stations ;
CA 022~928~ 1999-01-0~
WO98/01833 PCT~97/01254
-- 3 --
bien entendu, l'ordinateur superviseur gère quant à lui des
échanges plus complexes et il constitue d'ailleurs un
centre serveur situé à distance de toutes les stations, de
tous les utilisateurs, et de tous les conteneurs, ce qui
S lui assure une protection efficace contre d'éventuelles
agressions tant logiques que physiques.
Enfin, ajoutant à la confidentialité structurelle des
stations, il est prévu que toutes les communications entre
deux parties au système soient effectuées selon un
0 protocole permettant la partie recevant un message
d'authentifier celle qui est censée l'avoir émis, cette
authentification pouvant en outre faire l'objet d'un accusé
de réception.
Un tel système de protection est particulièrement
efficace pour tous les transferts de fonds institués, à
caractère habituel et surtout répétitif, tel que par
exemple, les transferts entre une banque et ses diverses
agences ; il est alors tout à fait adapté d'installer tant
au départ qu'à l'arrivée, des bornes d'accueil à demeurel
autrement appelées dans le document antérieur déjà cité,
"stations résidentes", servant d'interfaces entre le ou les
conteneurs assurant physiquement le transfert des fonds,
l'être humain - c'est-à-dire l'expéditeur, le convoyeur et
plus tard le destinataire -, et le centre serveur,
autrement appelé ordinateur/superviseur.
Toutefois, en de nombreuses circonstances, il est
nécessaire de transférer ou collecter des fonds de manière
occasionnelle ou provisoire vers des lieux pouvant être
très divers d'une période à une autre ; il s'agit notamment
d'apporter un service de transfert de fonds sécurisé, à
toute catégorie de petit commerce, dont la fréquence de
desserte est a priori très variable.
On comprend bien que dans tous ces cas, il ne soit
pas raisonnable ~conomiquement d'installer un matériel
lourd résident et c'est la raison pour laquelle il est
proposé conformément à la présente invention de remplacer
au point de destination, les stations résidentes par des
stations portatives ou mobiles ; on imagine dès lors assez
-
CA 022~928~ lsss-ol-o~
WO98/01833 PCT~R97/01254
-- 4
bien que pour le transporteur, une telle solution procure
une grande souplesse d'utilisation dans la mesure où, elle
ne nécessite aucune installation préalable de matériel et
suppose pour le client, des délais de mise en place du
s service extrAmPm~nt courts, ce qui procure encore au
transporteur un atout commercial décisif ; c'est notamment
le cas à l~occasion d~événements tels que foires, marchés,
expositions, ou encore pour approvisionner ou porter des
fonds auprès de commerces de détail. On peut aussi
remarquer que même dans le transport de fonds inter-
bancaire, de nombreux cas se résument à de simples
livraisons avec remise immédiate des fonds, pour lesquels
il n'est requis aucun stockage sécurisé ; ici encore, une
station mobile conviend tout à fait à ce type de service,
et à l'inverse, l'installation d'une station résidente eût
été inconcevable, rendant inutilisable le système de
protection tel que décrit dans le brevet anterieur déjà
cité.
A cet effet, et conformément à la présente invention,
il est proposé un système de transport sécurisé de valeurs
notamment de moyens de paiement, billets de banque,
chèques, ou cartes bancaires depuis un site central de
départ jusqu'à un site destinataire, enfermées dans un
conteneur, qui, en cas d'agression, provoque leur
dégradation par des moyens appropriés, et qui est pourvu de
moyens de gestion internes fonctionnant à la manière d'une
~-machine à modes limités" dont le cycle de fonctionnement
comporte un nombre restreint d'états logiques, appelés
modes, la transition d'un premier mode à un second mode
résultant d'un événement ponctuel dont la licéité est, ou a
été préalablement, vérifiée par un moyen autonome pouvant
se mettre en relation avec lesdits moyens de gestion
internes, ladite transition s'accompagnant alors de la
perte de mémoire du mode antérieur, ledit système pouvant
comporter successivement, totalement, ou en partie
seulement, les éléments d'un ensemble constitué par :
- un utilisateur des valeurs, qu'il s'agisse d'un
expéditeur, d'un destinataire ou d'un convoyeur,
CA 022~928~ lsss-ol-o~
WO98/01833 PCT~7/01254
-- 5 --
- un conteneur,
- un centre serveur unique et situé à distance
pouvant se mettre en relation avec les moyens de gestion
internes dudit conteneur, au moins lorsqu'il est au point
de départ, pour contrôler la licéité d'un événement
provoquant une transition d'un mode vers un autre mode,
lesdits éléments étant reliés entre eux par
l'intermédiaire d'une borne unique, appelée station, de
manière à constituer un réseau en étoile dont ladite
lo station est le centre, caractérisé en ce que la station
d'au moins un destinataire n'est pas une station résidente,
mais une station mobile et transportable.
D~autres caractéristiques et avantages du système
selon l'invention ressortiront mieux de la description qui
va être donnée d'une réalisation particulière mettant en
jeu un cas simple de transport de fonds entre un site
central et un seul destinataire entrant par exemple dans la
catégorie des petits commerçants, un tel cas n~étant donné
qu~à titre d~illustration non limitative du système selon
l'invention, en référence au dessin annexé sur lequel :
- la figure 1 est un schéma synoptique de
l'organisation en réseau du système selon l'antériorité
décrite dans le brevet européen EP-0.409.725,
- la figure 2 est un schéma synoptique d'une
organisation avec une station mobile conforme à
l'invention.
En référence à la figure 1, le système selon
l'antériorité est notamment utilisé pour la protection de
fonds qui ont été placés dans un conteneur 1, par exemple
par le responsable d'une agence bancaire centrale, appelé
par la suite expéditeur 2. Selon l'exemple, le conteneur 1
doit être transporté par un convoyeur 3 vers un
destinataire occasionnel, par exemple un petit commer~ant.
Tous les événements précédant le transport de fonds
et occasionnant un nombre de transitions d'un mode à un
autre, conformément aux enseignements de l'antériorité sont
largement détaillés dans le brevet EP-0.409.725 et on
rappellera seulement ici que tous les transferts de
CA 022~928~ lsss-ol-o~
WO98/01833 PCT~R97/01254
-- 6
responsabilité en relation avec les divers états logiques
que peut prendre le conteneur 1 sont contrôl~s par un
ordinateur superviseur unique 4, gérant la sécurité logique
du conteneur 1, c'est-à-dire verifiant la liceite des
transitions de certains modes de fonctionnement des moyens
de gestion internes dudit conteneur vers d'autres modes de
fonctionnement. On se reportera ici à la description donnee
dans l'antériorité pour le détail des transitions possibles
entre les divers modes de fonctionnement depuis l'instant
où les fonds sont disposés à l'intérieur du conteneur 1
jusqu'à leur arrivée sur le site de destination où le
destinataire doit prendre en charge les fonds qu'il attend.
Comme dans l'antériorité, le système général selon
l'invention conformément à la figure 1 est constitué en un
S réseau en étoile, reliant à une borne unique le
conteneur 1, l'ordinateur superviseur 4, l'expéditeur 2 et
le convoyeur 3 ; cette borne unique appelée par la suite
station 5, constitue le centre du réseau étoilé.
Une première station 5 est naturellement implantée au
2~ lieu du départ du conteneur 1 et, conformément à
l'invention et en référence à la figure 2, la station
d'arrivée n'a plus un caractère résident, mais au contraire
elle est mobile et transportable, pour toutes les raisons
largement développées en préambule des présentes, à savoir
que le transporteur peut délivrer ces fonds de manière très
occasionnelle à un destinataire qui par ailleurs peut être
situé en n'importe quel lieu sans que préalablement le même
transporteur soit tenu d'y implanter une station d'arrivée
dotee d'équipements lourds et par conséquent coûteux.
En référence à la figure 2 la station mobile 6
comprend un terminal 7 à clavier et écran 8 pourvu d'un
microprocesseur et d'un lecteur de carte à mémoire 9 apte à
recevoir du bon destinataire 10 une carte à
microprocesseur 11 personnalisée et surtout authentifiée
par un code confidentiel 12 transmis au destinataire 10
séparément et préalablement par le transporteur dans les
conditions de sécurité qui seront indiquées plus loin.
CA 022~928~ 1sss-o1-o~
WO98/01833 PcTn~7/01254
-- 7
La station mobile 6 conformément à une
caractéristique essentielle de l'invention, est, pendant le
transfert, totalement déconnectée de l'ordinateur
superviseur 4 c'est-à-dire qu'aucun moyen de co~mllnication
n'existe entre ce dernier et le terminal au moment où la
remise des fonds s'effectue.
D'un autre côté la station mobile 6 est mise en
relation avec le conteneur l au moyen d'une interface de
communication 13 comportant selon une caractéristique
0 secondaire et avantageuse de l'invention, une source
autonome d'alimentation 14 du conteneur l et de ses
dispositifs électromagnétiques de verrouillage.
Préalablement au transport de fonds envisagé, il est
remis à l'utilisateur final lO une carte à
microprocesseur ll tout à fait analogue dans sa forme et
dans son fonctionnement à une classique carte bancaire ;
cette carte ll est préalablement chargée des données
cryptographiques qui seront ultérieurement nécessaires non
seulement aux échanges de messages entre les parties
prenantes sur le site d'arrivée, mais encore pour
l'initialisation et le bon déroulement de toutes les étapes
destinées à autoriser l'ouverture du conteneur et par là la
récupération des fonds qu'il contient par le légitime
destinataire lO tout en programmant correctement le retour
2s dudit conteneur vers le site central de départ. Bien
entendu, l'ensemble des données de cryptage sont avant le
départ générées par l~ordinateur 4 fonctionnant ici en
centre serveur. De cette façon, l'ordinateur 4 n'intervient
plus directement dans les étapes de livraison ; c'est la
raison pour laquelle les échanges entre celui-ci, la
station 6 via la carte ll et le conteneur l à destination,
ont été représentés en traits mixtes fins sur la figure 2.
Il peut être ici rappelé, que à l'instar de ce qui
est décrit dans le brevet antérieur, l'authentification de
la partie du système qui émet un message consiste en fait à
authentifier ledit message lui-même par vérification d'une
signature informatique calculée sur le contenu dudit
message au moyen d'un algorithme à clefs, naturellement
CA 022~928~ 1999-01-0~
WO98/01833 PCT~R97t01254
-- 8 --
uniquement détenues par les seules parties échangeant ledit
message.
A cet effet, il sera avantageusement utilisé comme
algorithme de chiffrement, un algorithme du type
symétrique, par exemple l'algorithme DES (de l'anglais Data
Encryption Standard) dont les caractéristiques sont
normalisées ; rappelons que dans cet algorithme, le couple
conteneur l / carte à mémoire ll possède une clef K cette
clef K est placée dans une mémoire du conteneur l tandis
que la carte ll qui possede la même clef K, reste bien sûr
sous l'unique protection de l'utilisateur final ll. On
notera qu'avantageusement, la signature électronique
destinée à authentifier le message et son auteur sera elle-
même calculée sur le contenu des messages selon un
algorithme avantageusement semblable à l'algorithme DES de
chiffrement qui vient d'être rappelé.
On peut également différencier les clefs de
chiffrement et d'authentification afin d'augmenter encore
la sécurité cryptographique.
Il convient enfin de noter que le fonctionnement du
conteneur l est totalement identique au fonctionnement des
conteneurs largement décrit dans le brevet européen EP-
0.409.725 déjà cité, c'est-à-dire que le conteneur l
fonctionne ici aussi en "machine à modes limités .
Conformément à l'exemple simplifié retenu pour
illustrer l'invention, il est donc convenu de délivrer des
fonds partant d'une agence centrale pour être délivrés à un
utilisateur occasionnel l0 non équipé d'une station
résidente 5. L'utilisateur l0 préalablement à l'opération
envisagée, reçoit d'un côté sa carte à microprocesseur ll
dûment cryptée, et séparément il reçoit à la manière des
cartes bancaires un code secret 12 correspondant à la
carte ll.
Parallèlement, le superviseur 4 génère une ou
plusieurs clefs de cryptage du type DES qu'il implémentera
au départ du transport de fonds dans le conteneur 1 après
avoir été préalablement insérées dans le microprocesseur de
CA 022~928~ lgg9-ol-o~
WO98/01833 PCT~R97/01254
_ g _
la carte permettant l'authentification du destinataire au
moment de la livraison du conteneur 1.
De même, avant le départ de l'agence centrale, le ou
les conteneurs 1 destinés à la station mobile 6 seront
informés de cette situation par une opération
supplémentaire men~e par le responsable de l'agence
centrale ; dans l'exemple, le conteneur 1 sera programmé
pour une destination sur station mobile 6 et non pas sur
une station résidente 5.
lo A la livraison du ou des conteneurs 1, le convoyeur 3
présente le terminal 7 à l'utilisateur présumé 10 lequel
devra alors introduire la carte à microprocesseur
cryptée 11 qu'il détient et parallèlement taper son code
confidentiel 12 sur le clavier dudit terminal 7. Lorsque
l'utilisateur est correctement identifié, le convoyeur 3
récupère le terminal pour le connecter via l'interface de
comml~n;cation 13 au conteneur 1 qui, après confrontation
réussie des codes d'authentification du porteur et donc de
la destination, transite immédiatement en mode ouverture
permettant à l'utilisateur autorisé 10 de récupérer les
fonds qui lui étaient normalement destinés.
Par la suite, le conteneur 1 est refermé, reprogrammé
et mis en mode départ vers le site d'origine, tout ceci
selon des étapes enchaînées puisque indépendantes du
superviseur 4 qui ne peut à cet instant intervenir.
Après l'autorisation d'enlèvement, le convoyeur 3
déconnecte le conteneur 1 de son interface 13,
l'utilisateur 10 reprend sa carte à microprocesseur 11 ; le
convoyeur 3 retourne au véhicule de transport avec le
terminal mobile et le conteneur 1 pour un retour au site de
départ, c'est-à-dire à l'agence centrale.
Selon une caractéristique particulière de
l'invention, il est prévu d'adjoindre au terminal 7 une
imprimante autonome 15 permettant de délivrer au
destinataire des fonds 10, un ticket 16, constituant un bon
de prise en charge des fonds.
Naturellement, le microprocesseur équipant le
terminal 7 sera avantageusement utilisé pour stocker toutes
CA 022~928~ lsss-ol-o~
WO98101833 PCT~P97/01254
-- 10 --
informations provenant des conteneurs et concernant la
traçabilité des opérations quotidiennement effectuées, vers
des sites non équipés de stations fixes 5.