Система защиты документов или ценных объектов

 

Изобретение относится к системам защиты документов или ценных объектов. Устройство включает в себя по меньшей мере одно физически неприкосновенное вместилище, в котором расположены соединенные между собой средства защиты от агрессии, средства разрушения содержимого вместилища и внутренние средства управления. Цикл функционирования последних содержит конечное число логических состояний, причем переход от одного к другому есть следствие события, длительность которого проверяется средством, связанным с средствами управления вместилищем, при этом переход сопровождается потерей памяти предшествующего состояния. 12 з.п. ф-лы, 3 ил.

Изобретение относится к системам защиты документов или ценных объектов, например платежных средств таких, как банковские билеты, чеки или банковские карточки, помещенных в физически неприкосновенное вместилище.

Известна система защиты документов или ценных объектов, содержащая по меньшей мере одно физически неприкосновенное вместилище, в котором расположены соединенные между собой средства защиты от агрессии, средства разрушения содержимого вместилища и внутренние средства управления /1/.

Недостатком известной системы является невысокая степень защиты документов или ценных объектов.

Сущность изобретения заключается в устранении данного недостатка.

На фиг. 1 изображена схема организации системы защиты документов или ценных объектов; на фиг. 2 диаграмма, представляющая собой концентрацию транзитивности идентификацией; на фиг. 3 логическая схема возможных переходов между формами функционирования системы согласно одному из вариантов изобретения.

Система защиты документов или ценных объектов (фиг. 1) включает в себя вместилище или ящичек 1, в который эти объекты помещены ответственным служащим банковского агенства, называемым далее экспедитором 2. Ящичек 1 должен быть транспортирован с помощью охранника 3, например, в отделение этого банковского агентства.

В одном из предпочтительных вариантов изобретения средство, могущее вступить в связь с внутренними средствами управления ящичков 1, состоит из единственной ЭВМ 4.

Эта ЭВМ играет роль супернаблюдателя и управляет логической безопасностью ящичков 1, т.е. выверяет длительность переходов некоторых форм функционирования внутренних средств управления ящичков к некоторым другим формам.

При этих особых переходах происходит расширение или сужение системы защиты по изобретению и можно показать три определенно выраженных случая: а) при транспортировке защита фонда может быть обеспечена только через ящичек 1, их содержащий: система содержит тогда только единственно ящичек 1, b) в конце транспортировки в момент подачи только один внешний источник информации ящичку 1 может вызвать прерывание формы, в которой он был размещен в начале его транспортировки и которая составляет его единственную память: система тогда должна быть растянута до внешнего источника информации, т. е. вычислительной машины 4, которая должна перед этим расширением быть узнана ящичком как партнер, надежный и уверенный, с) после подачи защита содержимого, заключенного в ящичке 1, еще полная, так как его открывание требует расширения системы до второго внешнего источника информации -пользователя этого содержимого /в широком смысле: получатель, экспедитор 2, сопровождающий 3/ который должен быть, в свою очередь, узнан как партнер надежный и уверенный ящичком 1 и вычислительной машиной 4.

Таким образом, существуют три типа форм для одного ящичка 1 фактически, для системы в своем ансамбле, но только ящичек 1 участвует в комплекте защиты, потому что это именно он, который в конце концов позволяет устранить притязания третьих согласно чему он рассматривается, как подвижный и закрытый, в соответствии со случаем а, как неподвижный и закрытый в соответствии со случаем b, и наконец, неподвижный и открытый в соответствии со случаем с.

Переходы между этими тремя типами форм дают возможность принимать решение о передачи ответственности, связанной с защитой содержимого: находится оно в ящичке 1 или нет (перед его отправлением содержимое свободно размещается экспедитором 2 в ящичке 1 и до тех пор, пока не получено подтверждение системой о его принятии, этот экспедитор 2 несет за него ответственность).

Подвижность ящичка 1, следовательно, есть чисто логический признак системы, который выходит за его истинную физическую подвижность. Это - значительное преимущество системы, выполненной по типу машины с ограниченными действиями физически подвижной части системы, а именно ящичка 1.

Также преимуществом системы является возможность использования единственной вычислительной машины 4 супернаблюдателя за системой. Это позволяет ограничить избыточность информации, необходимой для надежного управления ею, т. е. возможный перевод информации. Если должна существовать вторая вычислительная машина, то можно, например, разместить одну вычислительную машину в месте отправки ящичка, а вторую вычислительную машину в месте его прибытия, при этом нужно будет обязательно интегрировать эту вторую вычислительную машину надежным способом в системе: "ящичек (первая ЭВМ, чтобы она стала системой: ящичек) первая ЭВМ вторая ЭВМ", надежная интеграция получателя содержимого, заключенного в ящичке 1, станет тогда возможной через эту вторую вычислительную машину. Итак, этап интеграции второй ЭВМ необязателен, так как он не находит ни упрощения (наоборот), ни дополнительной безопасности, получатель содержимого ящичка может быть интегрирован непосредственно через первую вычислительную машину.

Наконец, следует заметить, что ящички 1 полностью не зависят один от другого и что каждая система: ящичек (ЭВМ) пользователь должна рассматриваться как особая схема, даже если ЭВМ 4 супернаблюдатель может быть одна для всех ящичков 1.

Таким образом, следует иметь в виду, что не существует никакого диалога, циркулирующего постоянно между ящичками 1.

Существует серия точечных диалогов. Во время этих диалогов обменные посылки не должны тем не менее проводить к снижению безопасности системы, поэтому связи, установленные между частями, составляют интегрированную часть системы, их возможная неисправность будет рассматриваться как агрессия.

Эти связи могут иметь материальную основу, природа которой легче защищаема, например, с помощью экранирования, бронирования. В дальнейшем станет понятно, что можно обеспечить достаточную конфиденциальность, не прибегая к этим физическим средствам защиты.

Согласно дополнительной характеристике изобретения и фиг. 1 четыре части: ящичек 1, вычислительная машина 4, экспедитор 2 и охранник 3 могут быть связаны с одной границей, называемой в дальнейшем станцией 5, чтобы составить схему в виде звезды, где названная станция 5 является центром.

Существует, таким образом, первая станция 5 в месте отправки ящичка 1 и другая станция 5 в месте его прибытия. Это множество станций 5 никак не снижает безопасность системы, так как станции 5 являются точками прохода для конфиденциальной информации, существенно важной для безопасности системы. Таким образом, станция 5 не может никогда составить средство, способное контролировать длительность события, могущего вызывать переход одной формы функционирования внутренних средств управления ящичка к другой форме.

Использование схемы в форме звезды обеспечивает ряд преимуществ. В частности, обменная посылка между двумя интегрированными частями схемы в форме звезды не переходит через другие части, как например в кольце, т.е. можно говорить о структурной конфиденциальности такого типа схемы.

Чтобы быть способной вести диалог, каждая из частей системы обладает электронным интерфейсом, который должен управлять достаточно сложными обменными посылками, использований станций 5 могущей соединять, согласно изобретению все части между собой позволяет упрощать и делать более легкими названные интерфейсы.

Следует также указать, что бесполезно транспортировать с ящичком 1 средства, устанавливающие связь, которые включают в себя сложные электронные узлы. К тому же связь пользователя (экспедитор 2, охранник 3) с другими частями системы должна оставаться достаточно простой.

Станция 5 включает в себя сложные и тяжелые электронные интерфейсы, и ящичку 1 и пользователю остается управлять единственно элементарным диалогом соединения с названной станцией 5.

Следует отметить, что вычислительная машина 4 может управлять обменом информации более сложным и что к тому же можно из нее сделать служебный центр, располагающийся на расстоянии от всех станций 5, всех пользователей и всех ящичков 1, что позволяет эффективно защищать одним и тем же средством возможные агрессии как логические, так и физические. Связь между двумя частями системы осуществляется в соответствии с программой, позволяющей части, принимающей посылку, определить подлинность части, которая послала эту посылку. Это определение подлинности сопровождается посланием части, системы, посылающей посылку, информации о принятии посылки.

Все части системы содержат средства определения информативной подлинности получаемых посылок от посылающей части, интегрированной в названной системе, в случае идентификации посылки названные средства идентификации способны взаимодействовать со средствами подачи, чтобы обеспечить послание к названной передающей части о том, что посылка получена.

Согласно изобретению некоторые идентификации осуществляются в двух направлениях, так как необходимо, например, чтобы ящичек 1 был уверен, что вычислительная машина 4 не является "пиратом" и с другой стороны, вычислительная машина 4 должна быть уверена, что ящичек 1 не есть ящичек-пират. Если оба эти условия выполнены, то появляется сигнал о взаимной идентификации частей. К тому же станция 5, к которой подключен ящичек 1, идентифицирована, что запрещает станциям-пиратам существовать.

Следует отметить, что установление подлинности системы через ее пользователя (экспедитор 2, охранник 3) не является явным. В данном случае приступают к простой идентификации этого пользователя через ящичек 1, вычислительную машину 4, и возможно, через станцию 5, к которой подключен названный ящичек 1 (эта станция 5 не будет обладать, во всяком случае, никаким средством интегрировать пользователя в систему, речь идет единственно о легкости и дополнительной безопасности, предполагающей отстранить с самого начала недозволенного пользователя).

Благодаря логической структуре ящичков 1, устроенных по типу машины с ограниченными действиями и благодаря физическому и функциональному строению связей, существующих между различными частями системы, это взаимное определение подлинности частей может быть точно управляемым и обеспечивает необходимую гибкость в управлении защитой содержимого, заключенного или нет в ящичке 1.

Практически в любых условиях можно прервать фазу защиты содержимого, не считая однако ее причастной к этому прерыванию. Эти прерывания требуют интеграции в систему новой надежной части (введение в курс дела "обстоятельства", например, к отклонению перевозки), а также переходов одного типа формы в другой тип формы, с обязательным взаимным установлением подлинности частей. "Нормальные" задержки в транспортировке, пробки, аварии могут, наконец, найти другое решение, чем чистое и простое разрушение содержимого ящичка 1.

Условные средства этой идентификации многочисленны и в большинстве случаев имеют информативную природу.

Меры, принимаемые для безопасности ящичка 1 и для безопасности операций, в которых он участвует, хорошо известны и направлены на устранения, с одной стороны, угроз против конфиденциальности обменных посылок между двумя составляющими частями системы, из которых, например, ящичек, а с другой стороны, угрозы против целостности этих посылок (искажение произвольное и непроизвольное их содержания).

Первая мера, устраняющая угрозу конфиденциальности, состоит в кодировании обменных посылок, и для этого существуют многочисленные криптографические способы.

Согласно изобретению для использования выбран алгоритм шифровки симметричного типа, характеристики которого нормализованы. В этом алгоритме пара: ящичек 1/ ЭВМ 4, имеет ключ К. Этот ключ К размещается в памяти ящичка 1, где он физически защищен, в то время, как ЭВМ 4 накапливает согласно предпочитаемому варианту изобретения ключи К, распределенные между всеми ящичками 1.

Этот вариант мало экономичный с точки зрения объема памяти для ЭВМ 4, необходимой только для одного ключа для всех ящичков 1, так как может оказаться, что ящичек 1, потерпевший агрессию, не разрушает полностью ключ, который здесь вписан, позволяя ему восстановиться, и легальную кражу содержимого других ящичков 1 через основание КЛОН. Несмотря на то, что данный алгоритм является известным алгоритмом только значение ключа К позволяет расшифровать посылку, зашифрованную этим ключом. Речь идет об установлении подлинности в себе посылки, которая может рассматриваться как достаточная для функционирования системы. Однако помехи, сопровождающие посылку на линии связи, не определены: и предпочтительно таким образом установить подлинность посылки перед ее расшифровкой.

Мера, направленная на устранение угроз целостности посылок, состоит в подписании этих посылок. Подпись посылается в то же время, что и посылка, и ее проверка частью получателем служит для идентификации посылки и ее автора.

Нужно заметить, что эта подпись не имеет ничего общего с "жетоном", символизирующим передачу ответственности, связанной с защитой содержимого ящичков, заключенных или нет в ящичке 1. Этот "жетон" есть такая же посылка, как и другая. Он не передается по необходимости, во время установления подлинности, например он никогда не передается на станцию 5, которая, однако должна быть идентифицирована ее партнерами прямо или косвенно. Подпись это доказательство, и принимать во внимание посылки можно только после проверки этого доказательства.

Согласно дополнительной характеристике изобретения эта подпись или доказательство вычисляется по параметрам протокола, т.е. содержания посылок согласно данному алгоритму шифровки, что дает значительное преимущество в виде упрощения обработки обменных посылок между частями системы. Ключи шифрования и идентификации различны, что увеличивает криптографическую безопасность.

К тому же преимуществом является возможность интегрировать в ту же электронную цепь алгоритм шифрования и идентификации посылок и разместить такую электронную цепь внутри каждого ящичка 1. Этот процесс позволяет накопить здесь все ключи и легко приступить к ее разрушению в случае агрессии. Кроме этого, микропроцессор управляет узлом электроники ящичка 1, а логическое размещение алгоритма в этом микропроцессоре играет значительную роль в отношении запоминающего устройства.

Данный микропроцессор служит одновременно шифрованию посылки и составлению подписи на этой посылке.

Следует тем не менее заметить, что шифрование не является обязательной операцией, так как знание третьими персоналами содержания посылок, например инструкций об изменении формы или параметров транспортировки, не ставит под сомнение безопасность системы. При этом учитывается только идентификация, подаваемая через подпись, построенную на этих посылках, и невозможно ввести в заблуждение ящичек фальшивой посылкой и нешифрованной передачей, но не идентифицированной. Шифрование это предосторожность, направленная в основном на то, чтобы уверить пользователей в вопросе конфиденциальной способности системы.

К тому же некоторые секретные коды могут транзитно перемещаться между двумя частями системы, шифрование становится тогда необходимым для защиты этих кодов.

Станции 5 обладают также микросхемой алгоритма, защищенной физически и содержащей ключи шифрования и идентификации посылок, которые она посылает к ЭВМ 4 супернаблюдателю. Следует отметить, что эти ключи отличаются от ключей, использованных ящичком 1. Посылка к ЭВМ 4, идущая от ящичка 1, таким образом два раза шифруется и идентифицируется: ящичком 1 с первой парой ключей и станцией 5 со второй парой ключей.

Согласно предпочитаемому варианту изобретения был выбран алгоритм симметрического шифрования, т.е. алгоритм, для которого тот же ключ использован обеими частями. Этот алгоритм подходит прекрасно для протоколов, которые устанавливаются между ящичком 1, станцией 5 и ЭВМ 4 - супернаблюдателем, потому что он может быть снабжен электронными схемами, используемыми по этому поводу без всяких проблем. Как уже указано, ключ шифрования отличается от ключа, служащего для разработки подписи, практически с тем же алгоритмом. Это означает, что для идентификации всех других частей, каждая часть системы должна разделить со всеми другими единственную пару ключей, в частности каждый ящичек 1 должен быть способен устанавливать подлинность каждой станции 5, к которой он подключен, каждая станция 5 должна, что касается ее, идентифицировать каждый ящичек 1, число ключей для наполнения в памяти в таких условиях становится быстро избыточным и тогда выбирается согласно предпочитаемому варианту изобретения косвенный подход к идентифицированию между ящичками 1 и станциями 5.

Согласно фиг. 2 идентификация косвенная возможна посредством перенесения признака установленной идентификации, т.е. если две части А и В идентифицированы взаимно и если части А и С также идентифицированы взаимно, тогда части В и С идентифицируются взаимно через часть А, потому что она есть партнер, надежный для всех частей. Таким образом, чтобы новая часть В была идентифицирована всеми частями А, с уже интегрированными в названную систему, достаточно, с одной стороны, чтобы средства идентификации одной из названных частей А, С в прямой связи с названной новой частью В идентифицировали посылки, отправленные этой последней, а с другой стороны, чтобы средства идентификации названной новой части В идентифицировали посылки, посланные названной интегрированной частью А в прямой связи с ней.

Согласно еще одному предпочтительному варианту изобретения ЭВМ 4 - супернаблюдатель играет роль части А, ящички 1, станции 5 и пользователи играют роль частей В или С. Одна ЭВМ 4 знает все ключи. Другие части делят между собой только один ключ с этой ЭВМ 4.

Это значительное преимущество имеет копию, которая может показаться тяжелой. На самом деле каждый раз, когда две части системы ведут диалог, необходимо, чтобы эти две части установили прямо (непосредственно)связь с ЭВМ 4 с целью прежде всего взаимно идентифицироваться с ней, затем увериться в том, что другая часть уже идентифицирована.

ЭВМ 4 становится тем не менее в этом случае обязательным посредником протоколов и может неожиданным способом накопить его историю. ЭВМ 4 есть таким образом не вызывающая подозрение память системы.

Идентификация пользователей системы есть согласно изобретению особый случай, о котором нужно говорить.

В первом варианте каждый пользователь обладает секретным кодом доступа к системе. Этот код известен вычислительной машине 4, которая его передает, иногда ящичку 1, когда он находится в форме, в которой его знание ему необходимо. Станция 5, соединяющая части, может также знать этот код и не разрешать соединение пользователя с ЭВМ 4 без предварительной проверки. Таким образом очевидно, что этот код транзитно переходит между частями. Однако, чтобы не позволить его прочесть третьим лицам, подключенным к источнику обменным путем, этот код может быть зашифрован при его транзите через станцию 5, а именно с помощью алгоритма, предпочтительно используемого в изобретении.

Другой путь состоит в использовании односторонней функции f, чтобы защитить этот код. Односторонняя функция f есть функция, у которой очень трудно вычислить обратную величину, например функция мощности. Если a есть код, только b /a/ известно станции 5 или ящичку 1, назначение b не позволяет снова найти а, код a защищен. Если пользователь возвращает код c, станция 4 или ящичек 2 вычисляют d f(c) и сравнивают d и b; если d=b, тогда c равно уверенно a. Согласно изобретению односторонняя функция, с преимуществом используемая, есть f= DES(x,d), где x есть фиксированная посылка, а d - секретный код, при этом используют на самом деле функцию DES алгоритма.

В другом варианте идентифицирования пользователя системы процедура соответствует использованным процедурам идентификации между другими частями. Пользователь располагает картой памяти фиксированным кодом, после внутреннего опознавания кода карта производит "жетон", который посылается системе. Этот жетон зашифрован и подписан теми же алгоритмами, что и алгоритмы, использованные с другой стороны (в таком случае добавляют алгоритм DES в микропроцессор карты). Конфиденциальность и целостность достаточно высоки, потому что информация, которая циркулирует между частями, не надежна и не позволяет подходить к коду или ключам шифрования или идентификации. Чтобы войти в систему, необходимо обладать одновременно картой и кодом.

На фиг. 3 представлен предпочтительный вариант выполнения системы по изобретению, включающий разные логические этапы или формы, характеризующие ящичек 1. Показаны также переходы между этими формами в соответствии с "историей" ящика, начиная от укладки содержимого до его открывания получателем, после доставки.

На фиг. 3 формы, представленные эллипсами, содержат код из двух букв, представляющих каждая название одной формы. Эти формы, определенные дальше, есть последовательно: форма Depart (отправление) представлена кодом DP, форма Trottoir (тротуар) представлена кодом TP, форма Socle (цоколь) представлена кодом SC, форма Camion (грузовик) представлена кодом CM, форма Depalarm (по тревоге) представлена кодом DA, форма Connect (подключен) представлена кодом CO,
форма Servouv (служ. открыв) представлена кодом VO,
форма Sebfouv (самооткрыв) представлена кодом SO,
форма Ouvert (открыто) представлена кодом OV,
форма Caisse (касса) представлена кодом CA,
форма Coffre (кофр) представлена кодом CF,
форма Verse (повр.) представлена кодом VE,
форма Ferme (закрывание) представлена кодом FE,
форма Verron (запор) представлена кодом VR,
форма Refus (отказ) представлена кодом RF,
На этой же фигуре блоки, содержащие код CS, представляют установленные соединения между ящичком 1 и вычислительной машиной 4.

Рассмотрим содержание ящичка, составленное из банковских карточек, банковских билетов и чеков, которые центральное агентство банка хочет отправить в отделение, расположенное на каком-то расстоянии.

При этом содержимое находится тогда под ответственностью шефа центрального агентства. Локально находится станция 5 схемы, составляющей систему защиты по изобретению. К этой станции, названной станцией отправления, подключен ящичек 1 (можно подключать несколько), не содержащей ценностей. В этой ситуации возможны три формы для ящичка 1, это формы: Ouvert (открыв), Caisse (касса) и Coffre (кофр).

В форме "Ouvert" ящичек рассматривается как открытый, но его физическое открывание благодаря средствам, предусмотренным по этому случаю, необязательно, можно его открыть и закрыть как простой ящик, защита содержимого, размещенного внутри, тогда равна нулю. Ни ящичек 1, ни вычислительная машина 4, ни станция отправления за это не отвечают.

Форма "Caisse" эта форма местная, т.е. переход к этой форме от формы "Ouvert" возможен без вмешательства вычислительной машины 4. В этой форме шеф агентства доверяет ящичку 1 содержимое. После вложения этого содержимого и закрывания ящичек 1 может быть открыт только через идентификацию шефа агентства, т.е. например, с помощью секретного кода a, который ящичек 1 и станция отправления знают только трансформированным через одностороннюю функцию, такую, как функцию DES /x, a/, нужно заметить, что фиксированная посылка x различна для ящичка 1 и для станции. Ответственность за защиту фондов таким образом разделена в форме "Caisse" между шефом агентства и ящичком 1 (напомним, что станция отправления, которая представляет из себя границу трансмиссии, никогда не бывает ответственна). Нужно заметить, что переход от формы "Ouvert" к форме "Caisse" удлинил в первый раз систему. При этом получилась система: шеф агентства/ящичек.

Форма "Coffre" это форма "глобальная", т.е. переход от формы "Ouvert" к этой форме возможен только с разрешения вычислительной машины 4, расположенной на расстоянии. В этой форме шеф агентства доверяет системе и передает полностью ответственность об их защите. После размещения содержимого в ящичке 1, и закрыв его, он дает свой ход, который идентифицирован станцией отправления, и указывает системе, что он хочет использовать ящичек 1 в форме "Coffre". Станция отправления устанавливает связь с вычислительной машиной 4, в соответствии с протоколом взаимной идентификации. Вычислительная машина 4 идентифицирует тогда шефа агентства. Ящичек 1, в который шеф хочет разместить содержимое (ценные объекты), должны быть в состоянии и не должен быть клоном, ящичек должен взаимно идентифицироваться с вычислительной машиной 4 через станцию отправления, которая является партнером надежным вычислительной машины 4, но не может идентифицировать прямо ящичек 1 по причинам, изложенным выше. Все идентификации прямо или косвенно осуществлены, система через вычислительную машину 4 принимает, с одной стороны, передачу ответственности, идущую от шефа агентства, а с другой стороны, переводит ящичек 1 в форму "Coffre". В переходе формы "Ouvert" в форму "Coffre" система преобразуектся в систему: ящичек/ЭВМ. Этот переход осуществляется прогрессивно, ответственность принадлежит шефу агентства до финального согласия ЭВМ 4 (имели место последовательные расширения, затем сужения системы).

Переход формы "Coffre" в форму "Ouvert" осуществляется идентичным способом, при этом вычислительная машина 4 сохраняет ответственность по защите ценных объектов до полной идентификации всех частей. В этом случае система преобразуется от системы: ящичек/ЭВМ к системе: ящичек /ЭВМ/ станция, затем к системе: ящичек /ЭВМ/ станция/ шеф агентства и наконец, к системе: шеф агентства с передачей ответственности в форму "Ouvert".

Переходы формы "Ouvert" в формы "Caisse" или "Coffre", могут также зависеть от часового программирования, переданного вычислительной машиной 4 ящичку 1 при его прибытии в агентство. Такое часовое программирование может быть еженедельным и позволяет открывание ящичка 1 только в определенные часы, фиксированные заранее. Согласно непредставленному варианту изобретения можно перегруппировать формы "Caisse" и "Coffre" в одну форму, названную, например, формой "Stockage" (склад), с которой связаны два выбора открывания (Caisse или Coffre), выбор между этими двумя сделан через временное программирование, переданное в данный момент ящичку 1 через ЭВМ 4.

Начиная от форм "Caisse" и "Coffre" шеф агентства может требовать об отправке содержимого ящичков в отделение. Существует для этого форма "Verse", аналогичная форме "Ouvert", но за ней не может следовать форма "Caisse" или форма "Coffre". Форма "Verse" указывает, что ценные объекты, размещенные в ящичке 1, были транспортированы. Переходы формы "Caisse" или формы "Coffre" к форме "Verse" осуществляют таким же образом, что и переходы этих форм к форме "Ouvert", т.е. они введены через предварительную идентификацию кода шефа агентства.

После закрытия ящичка 1, находящегося в форме "Verse", последний переводится автоматически в форму "Ferme", где его невозможно открыть без связи с ЭВМ 4. Переход формы "Verse" в форму "Ferme" означает, что система ящичек предварительно приняла передачу ответственности. Эта форма однако временная, так как связь установлена немедленно через станцию отправления с вычислительной машиной 4 с целью получить ее согласие на этот перевод. В случае отказа, который может иметь место, например, если станция прибытия не существует или больше не существует (или если ящичек 1 не находится больше в состоянии), ящичек 1 переходит в форму "Refus", затем в форму "Ouvert", и процедура посылки фондов аннулируется. В случае согласии вычислительной машины 4 и после необходимой взаимной идентификации имеется переход формы "Ferme" в форму "Verron", в которой система: ящичек/ЭВМ ответственна за содержимое ящичка.

В форме "Verron" ящичек 1 должен быть обязательно транспортирован на станцию пребывания, чтобы быть снова открытым за исключением разной индикации вычислительной машины 4. Система ждет тогда охранника 3 ящичка 1, который идентифицирован. По его прибытии через проверку кода, трансформанта которого через одностороннюю функцию известна системе, устанавливается связь C от ЭВМ 4, которая одна знает этот код и соответствующую одностороннюю функцию (на самом деле нет необходимости в том, чтобы ящичек 1 или станция его знали). Нужно заметить, что форма "Verron" может продолжаться очень долго: ЭВМ 4, которая получила от станции параметры транспортировки, не передала их еще ящичку 1. Один из этих параметров есть именно предусмотренная продолжительность транспортировки.

После идентификации охранника 3 ЭВМ 4 дает разрешение на поднятие ящичка 1, который находится в это время в форме "Depart". Переход формы "Verron" в эту форму сопровождается передачей ответственности системы: ящичек/ЭВМ к системе: ящичек, т.е. ящичек 1 обеспечивает полностью защиту транспортируемых объектов. Поэтому временные инструкции транспортировки вводятся с момента перехода в эту форму, ящичек 1, следовательно, рассматривается, как подвижный, будет он поднят или нет физически из своего цоколя. В случае выхода за пределы предусмотренного времени для доставки ящичек рассматривается как потерпевший агрессию и разрушает свое содержимое с помощью соответствующих средств.

После его физического поднятия ящичек 1 покидает форму "Depart" для формы "Trottoir". Последняя форма соответствует пешеходному пути, который совершает охранник 3, неся ящичек 1 между станцией отправления и автомобилем, или другой станцией (если весь путь совершается пешком). Эта форма ограничена во времени длительностью, предусмотренной заранее для того, чтобы сократить риск отклонения, в случае превышения длительности, предусмотренной для пути. В этом случае ящичек 1 разрушает свое содержимое.

Транспортировка от центрального агента банка к отделению осуществляется обычно с помощью автомобиля. Внутри него находится бортовая ЭВМ, управляющая электронной схемой, позволяющей контролировать транспортирующиеся ящички 1. Физическое соединение ящичка 1 с этой электронной схемой в форме "Trottoir" вызывает переход этой формы к форме "Socle". Физическое хранилище ящичка 1 есть то же самое, что и размещенное на станции. Поэтому ящичек 1 посылает посылку от идентификации к электронной схеме:
если он узнает станцию, то требует немедленного соединения с вычислительной машиной 4, при этом имеется переход к форме "Connect";
если он узнает электронную схему автомобиля, то возникает переход к форме "Comion",
если он не узнает ни того, ни другого, то возникает переход к форме "Depalarm".

В форме "Depalarm" ящичек 1 находится физически в непредвиденной ситуации и должен быть отключен от своего хранилища, в обратном случае после определенного времени (например 30 с) начинается отсчет продолжительности пути пешком. Между тем ящичек 1 ждет своего отключения, чтобы снова перейти логически от формы "Depalarm" к форме "Trottoir". Таким образом, формы "Trottoir" соответствует всегда физическому отключению ящичка 1.

Форма "Camion" соответствует логическому продолжению транспортировки. В этой форме ящичек 1 не может быть отключен не будучи предупрежденным об этом. Он разрушает на самом деле свое содержимое за пределами определенного интервала времени (например 10 с), если он не подключится снова. По прибытии автомобиля в отделение охранник 3 идентифицируется снова с ящичком 1 через бортовую ЭВМ (код охранника 3 был заранее передан ящичку 1 через ЭВМ 4 - супернаблюдатель в момент перехода формы "Verron" в форму "Depart"). Если ящичек 1 принимает код охранника 3, он переходит в форму, откуда он сможет перейти в форму "Socle" и, наконец, в форму "Connect".

Очень важно отметить, что трансформация в формы делает осуществимым вмешательство в случае аварии автомобиля, происшедшей в самом начале. Достаточно при этом послать на место аварии автомобиль, владеющий ходом, известный ящичку 1, отключить легально ящичек 1 от аварийного автомобиля вместе с кодом охранника 3 и подключить его на новый автомобиль ЭВМ 4 передает тогда кодовые номера обоих автомобилей ящичку 1 при переходе от формы "Verron" к форме "Depart". Можно, таким образом, переходить несколько раз в формы "Socle", "Camion" или "Depart" при транспортировке от станции отправления к станции прибытия. В этом случае должны быть соблюдены временные инструкции.

Переход от формы "Socle" к форме "Connect" имеет место, если ящичек 1 признает, что он подключен к станции. Он требует тогда немедленного подключения к вычислительной машине 4 супернаблюдателю. Это требует, в свою очередь, предварительной взаимной идентификации станции и вычислительной машины 4. Если эта взаимная идентификация возможна, то уже известно, что станция не является пиратом. ЭВМ 4 и ящичек 1 идентифицируются затем взаимно. Если станция, к которой подключен ящичек 1, плохая, то происходит переход от формы "Connect" к форме "Depalarm". Если станция есть станция предусмотренного прибытия, система "ящичек" становится системой "ящичек /ЭВМ/ станция прибытия", и происходит переход от формы "Connect" к форме "Selfouv" или к форме "Serfouv".

Выбор между этими двумя формами осуществляется через ЭВМ 4 - супернаблюдатель в момент взаимной идентификации ящичка 1/ЭВМ 4. Эти формы концептуально сравнимы с формой "Caisse" и с формой "Coffre" соответственно, но приходят всегда к формуле "Ouvert", уже описанной. В ней ящичек 1 рассматривается, как открытый. В форме "Serfouv" только ящичек 1 идентифицирует код шефа отделения, чтобы иметь возможность быть открытым. В форме "Selfouv" после идентификации этого кода через ящичек 1 последний требует подключения к ЭВМ 4. Это, в свою очередь, принимается как требующее идентификации.

В форме "Ouvert" ящичек 1 может быть освобожден от содержимого, ответственность за его защиту передается шефу отделения.

Ящичек 1 может снова служить либо как ящичек 1, либо как кофр, либо для другого транспортирования, соответственно процедурам, описанным выше.

Многочисленные варианты этого предпочтительного варианта системы могут быть рассмотрены без выхода за рамки изобретения. Они могут комбинировать в определенном порядке три типа возможных форм. Это выполнимо при соблюдении одного условия, заключающегося в выполнении процедур идентификации при расширении или сужении системы, т.е. при передаче ответственности, связанной с защитой фонда.

Нужно отметить, кроме того, что использование алгоритма шифрования обменных посылок между частями системы требует надежных связующих оснований с небольшим количеством ошибок.

Это не обязательный случай, так как инфраструктура для их размещения будет обязательно неудобной, в именно, на уровне агентств и их отделений, где находятся интегрируемые в станции 5 средства телекоммуникации с вычислительной машиной 4 супернаблюдателем: дорогостоящие модемы, специальные соединения с небольшим процентом ошибок и т.д. Эти агентства располагают обычно только телефонными линиями с повышенным процентом ошибок /1 фальшивая бинарная информация в среднем на 10000 переданных/.

Следовательно, размещают протокол для коррекции ошибок передачи между границей системы или станции 5 вычислительной машины 4 супервизора. Этот протокол делит передаваемую посылку на блоки с октетами от нескольких штук октет до нескольких десятков октет. Если один блок передан с ошибками, передается снова только этот блок, что не позволяет не повторять целиком очень длинные посылки (типичная длина в 300 октет). Целостность блока контролируется с помощью подписи, выработанной вместе с содержанием блока и с его заголовком (этот заголовок содержит, в основном, информацию о длине блока). Алгоритм вычисления этой подписи, которая не является секретной, преимущественно тот, который служит для шифрования идентификации посылок; используют, таким образом, снова приведенный выше алгоритма, не записывая и не храня на станции новый алгоритм.

После восстановления фракционной посылки для передачи и в случае, когда посылаемая часть есть вычислительная машина 4 супервизор, станция 5 идентифицирует и расшифровывает своими собственными ключами названную посылку. Затем она передает ящичку 1 часть посылки, которая ему предназначена. Ящичек 1 идентифицирует и расшифровывает эту посылку своими собственными ключами. Он подтверждает вычислительной машине 4 получение посылки и готовит по этому случаю посылку, шифрованную и идентифицированную с помощью тех же самых ключей. Эта посылка передается ЭВМ 4 (дополненная матрикулой ящичка 1), шифрованная и идентифицированная с помощью ключей станции 5. Вычислительная машина 4 тогда снова посылает согласно тому же протоколу расписку ящичку 1, который может поменять формулу, но единственно при получении этой расписки.

Протокол описанных телекоммуникаций, разумеется, не ограничен для предпочтительной реализации, описанной выше, и можно, например, применять принципы функционального построения, популяризованные через модель единой сети открытых систем или прямые производные этой модели.

Изобретение предназначено для защиты документов или ценных объектов, а именно платежных средств, таких, как билеты, чеки или банковские карточки, а также опасных медикаментов (наркотики). Эта защита обеспечивается как внутри банковского агентства (или в фармацевтической лаборатории и т.д.), так и при транспортировке из этого агентства в отделение банка. Изобретение не ограничено ни размером, ни весом предметов или ценных документов, которые нужно защищать.

Формула изобретения

1 Система защиты документов или ценных объектов, содержащая по меньшей мере одно физически неприкосновенное вместилище, в котором расположены соединенные между собой средства защиты от агрессии, средства разрушения содержимого вместилища и внутренние средства управления, отличающаяся тем, что внутренние средства управления выполнены в виде устройства с конечными логическими состояниями с возможностью нахождения в текущий момент времени в одном из них и стирания информации о предшествующем конечном логическом состоянии при переходе из одного логического состояния в другое, а система защиты документов или ценных объектов имеет соединенное с внутренними средствами управления автономное средство контроля времени длительности события, соответствующего переходу внутренних средств управления из одного конечного логического состояния в другое.

2. Система по п. 1, отличающаяся тем, что физически неприкосновенное вместилище выполнено с возможностью функционирования в стационарном режиме и режиме транспортирования, а внутренние средства управления выполнены автономными.

3. Система по пп. 1 и 2, отличающаяся тем, что она имеет средство связи с внутренними средствами управления, выполненное с возможностью контроля длительности времени переходов между конечными логическими состояниями и состоящее из вычислительного устройства, выполненного в виде дистанционного информационного центра с логической и физической защитой.

4. Система по пп. 1 3, отличающаяся тем, что она имеет информационную станцию, образующую вместе с физически неприкосновенным вместилищем, пользователем документов или ценных объектов и средством связи с внутренними средствами управления, выполненным с возможностью контроля длительности времени переходов между конечными логическими состояниями, радиальную структуру связи, центром которой является информационная станция.

5. Система по п. 4, отличающаяся тем, что информационная станция выполнена с возможностью приема и посылки информации в режиме конфиденциальности.

6. Система по п. 4 или 5, отличающаяся тем, что информационная станция имеет средства коммуникации, расположенные с возможностью установления связей между физически неприкосновенным вместилищем и внутренними средствами управления и выполненные с возможностью контроля времени длительности события, соответствующего переходу внутренних средств управления из одного конечного логического состояния в другое, между физически неприкосновенным вместилищем и пользователем документов или ценных объектов, между пользователем документов или ценных объектов и средством связи с внутренними средствами управления, выполненным с возможностью контроля времени длительности события, соответствующего переходу внутренних средств управления из одного конечного логического состояния в другое.

7. Система по пп. 1 6, отличающаяся тем, что она имеет передающий блок, а блоки системы содержат средства информативной идентификации поступающих от передающего блока посылок, взаимодействующие с передающим блоком в случае идентификации и приема посылок.

8. Система по п. 7, отличающаяся тем, что отправляющие посылки блока системы выполнены с возможностью идентификации посылки путем проверки информативной подписи, определяемой по содержанию посылок с помощью алгоритма шифрования по ключам, запоминаемым блоками системы, которые отправляют и получают посылки.

9. Система по п. 7 или 8, отличающаяся тем, что ее блоки имеют средства идентификации, выполненные с возможностью идентификации посылок в прямой связи от одного из блоков системы со всеми другими блоками системы, посылки которых идентифицируются данным блоком системы.

10. Система по п. 9, отличающаяся тем, что физически неприкосновенное вместилище и информационная станция расположены с возможностью осуществления режимов предварительной взаимной идентификации информационной станции по средствам связи с внутренними средствами управления, выполненным с возможностью контроля времени длительности события, соответствующего переходу внутренних средств управления из одного конечного логического состояния в другое и предварительной взаимной идентификации физически неприкосновенного вместилища со средством связи с внутренними средствами управления, выполненным с возможностью запоминания информации о взаимодействии между блоками системы.

11. Система по п. 7, отличающаяся тем, что она имеет блок идентификации пользователя документов или ценных объектов, выполненный с возможностью идентификации преобразованного и предъявляемого пользователем секретного кода и связанный с блоками системы.

12. Система по п. 7, отличающаяся тем, что она имеет предъявляемую пользователем документов или ценных объектов карточку с памятью, выполненную с возможностью генерирования шифрованной и идентифицируемой посылки.

13. Система по пп. 1 11, отличающаяся тем, что она представляет собой две подсистемы блоков, выполненные с возможностью шифрования посылок между ними с помощью алгоритма шифрования по запоминаемым двумя подсистемами ключам, например алгоритма формирования информативной подписи для идентификации посылок.

РИСУНКИ

Рисунок 1, Рисунок 2, Рисунок 3