DE19912781A1 - Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens - Google Patents

Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Info

Publication number
DE19912781A1
DE19912781A1 DE19912781A DE19912781A DE19912781A1 DE 19912781 A1 DE19912781 A1 DE 19912781A1 DE 19912781 A DE19912781 A DE 19912781A DE 19912781 A DE19912781 A DE 19912781A DE 19912781 A1 DE19912781 A1 DE 19912781A1
Authority
DE
Germany
Prior art keywords
security module
voltage
line
processor
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19912781A
Other languages
English (en)
Inventor
Peter Post
Dirk Rosenau
Torsten Schlaaff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE19912781A priority Critical patent/DE19912781A1/de
Priority to EP00250064A priority patent/EP1035517B1/de
Priority to EP00250065A priority patent/EP1035518B1/de
Priority to DE50015220T priority patent/DE50015220D1/de
Priority to DE50015314T priority patent/DE50015314D1/de
Priority to AU20811/00A priority patent/AU2081100A/en
Priority to CNB001038745A priority patent/CN1156801C/zh
Priority to US09/522,619 priority patent/US7194443B1/en
Priority to CNB001038710A priority patent/CN1156800C/zh
Priority to AU20805/00A priority patent/AU2080500A/en
Priority to US09/522,620 priority patent/US6952777B1/en
Publication of DE19912781A1 publication Critical patent/DE19912781A1/de
Priority to US10/217,247 priority patent/US6954149B2/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00233Housing, e.g. lock or hardened casing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00266Man-machine interface on the apparatus
    • G07B2017/00298Visual, e.g. screens and their layouts
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00266Man-machine interface on the apparatus
    • G07B2017/00306Acoustic, e.g. voice control or speech prompting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00346Power handling, e.g. power-down routine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00395Memory organization
    • G07B2017/00403Memory zones protected from unauthorized reading or writing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Abstract

Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls mit Schritten zur Überwachung des sachgemäßen Einsatzes mittels einer ersten, zweiten und dritten Funktionseinheit, Löschen von sensitiven Daten aufgrund eines unsachgemäßen Gebrauchs oder Austausches mindestens mittels der zweiten Funktionseinheit, Sperren der Funktionalität mittels der dritten Funktionseinheit während eines Austausches des Sicherheitsmoduls, Reinitialisieren der zuvor gelöschten sensitiven Daten nach sachgemäßen Gebrauch oder Austausch des Sicherheitsmoduls und Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des Sicherheitsmoduls. Die Anordnung zur Durchführung des Verfahrens hat eine Ungestecktsein-Detektionseinheit (13), die Schaltungsmittel (1310, 1316, 1322, 1324) für eine rücksetzbare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelöst wird, wenn der Spannungspegel auf einer Meßspannungsleitung (192) von einem vorbestimmten Potential abweicht. Eine Logik umfaßt einen mit den anderen Funktionseinheiten verbundenen Prozessor (120), welcher programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) festzustellen und zu verändern.

Description

Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art, und eine Anordnung zur Durchführung des Verfahrens, gemäß der im Oberbegriff des Anspruchs 3 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.
Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell möglich, beliebige Texte und Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikro­ prozessor, welcher von einem gesicherten Gehäuse umgeben ist, das eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Brief­ zuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck beinhaltet eine zuvor eingegebene und gespeicherte postalische Informa­ tion zur Beförderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwaremäßig vor, übt eine Überwachungs­ funktion ggf. bezüglich der Bedingungen für eine Datenaktualisierung aus und steuert das Nachladen eines Portwertguthabens.
Für die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Daten­ eingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, mit mindestens einem nichtflüchtigen Speicher zum Speichern von Postgebührendaten, mit mindestens einem nichtflüchtigen Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer Kalender/Uhr ausgestattet. Der nichtflüchtige Speicher der sicherheits­ relevanten Daten und/oder die Kalender/Uhr wird gewöhnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheits­ relevante Daten (kryptografische Schlüssel u. ä.) in nichtflüchtigen Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder batteriegesicherte SRAM. Bekannte Frankiermaschinen verfügen oft auch über eine interne Echtzeituhr (Real Time Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z. B. vergossene Module, die integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module müssen nach Ablauf der Lebensdauer der Batterie im Ganzen ausgetauscht und entsorgt werden. Aus wirtschaftlichen und ökologischen Gesichtspunkten ist es günstiger, wenn nur die Batterie ausgetauscht werden muß. Dazu muß jedoch das Sicherheitsgehäuse geöffnet und anschließend wieder verschlossen und gesiegelt werden, denn die Sicherheit gegenüber Betrugsversuchen beruht im Wesentlichen auf dem gesicherten Gehäuse, welches die gesamte Maschine umschließt. Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits ein geeignetes Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in welchem zwischen einem authorisierten und unauthorisierten Öffnen des Sicherheitsgehäuses unterschieden wird.
Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann vor Ort nur schwer möglich, wenn der Zugang zu den Bauteilen erschwert oder eingeschränkt ist. Bei größeren Postverarbeitungsmaschinen oder sogenannten PC-Frankierern wird zukünftig das gesicherte Gehäuse auf das sogenannte postalische Sicherheitsmodul reduziert werden, was die Zugänglichkeit zu den übrigen Bauteilen verbessern kann. Zum wirtschaft­ lichen Austauschen der Batterie des Sicherheitsmoduls wäre es außer­ dem wünschenswert, daß sich diese auf relativ einfachem Wege aus­ wechseln läßt. Dazu muß sich die Batterie außerhalb des Sicherheits­ bereichs der Frankiermaschine befinden. Wenn die Batterieklemmen aber von außen zugänglich gemacht werden, ist ein möglicher Angreifer in der Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM und RTC haben bzgl. ihrer geforderten Betriebsspannung unter­ schiedliche Anforderungen. Die notwendige Spannung zum Halten von Daten von SRAM liegt unterhalb der geforderten Spannung zum Betrieb von RTC. Daß bedeutet, daß ein Verringern der Spannung unter einen bestimmten Grenzwert zu einem unerwünschten Verhalten der Kompo­ nenten führt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM- Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens eine der Sicherheitsmaßnahmen, beispielsweise Long Time Watchdogs, wären dann auf der Frankiermaschinenseite unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die entfernte Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankier­ einrichtung per Kommunikationsverbindung melden kann. Nach erfolg­ losen Ablauf des Zeitkredits oder der Frist wird das Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Über­ prüfung eines Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeit­ dauer bis zur nächsten Guthabennachladung zu ermitteln, wobei seitens einer Datenzentrale diejenige Frankiermaschine als suspekt gilt, welche sich nicht fristgemäß meldet. Suspekte Frankiermaschinen werden der Postbehörde mitgeteilt, welche den Poststrom nach von suspekten Fran­ kiermaschinen frankierten Briefen überwacht. Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt und der Benutzer wird aufgefordert die überfällige Kommunikation durchzuführen.
Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel im Gehäuse umfaßt. Das Abschirmmittel besteht aus Einkapselungs­ material und Leitungsmitteln, an welchen die Stromversorgungs- und Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine Veränderung des Leitungswiderstandes des Leitungsmittels. Außerdem enthält das Sicherheitsmodul eine interne Batterie, einen Spannungs­ umschalter von Systemspannung auf Batteriespannung, ein Power Gate und einen Kurzschlußtransistor sowie weitere Sensoren. Wenn die Spannung eine bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leitungswiderstand, die Temperatur oder die Strahlung verändert ist, reagiert die Logik. Mittels des Power Gate oder mittels der Logik wird der Ausgang des Kurzschlußtransistor auf L-Pegel umge­ schaltet, wodurch ein im Speicher gespeicherter kryptographischer Schlüssel gelöscht wird. Jedoch ist die Lebensdauer der nicht aus­ wechselbaren Batterie und damit des Sicherheitsmoduls für den Einsatz in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein.
Eine größere Postverarbeitungsmaschine ist beispielsweise die JetMail®. Ein Frankierdruck wird hier mittels einem stationär angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten annähernd vertikalen Brieftransport erzeugt. Eine geeignete Ausführung für eine Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soll das Meter mit einem Gehäuse ausgestattet werden, so daß Bauteile leichter zugänglich sind, dann muß es durch ein postalisches Sicherheitsmodul vor Betrugsversuchen geschützt werden, welches mindestens das Ab­ rechnen der Postgebühren durchführt. Um Einflüsse auf den Programm­ verlauf auszuschließen, wurde bereits in der EP 789 333 A2 unter dem Titel: Frankiermaschine vorgeschlagen, ein Sicherheitsmodul mit einer Anwenderschaltung (Application Specific Integrated Circuit) ASIC auszu­ statten, die eine Hardware-Abrecheneinheit aufweist. Die Anwender­ schaltung steuert außerdem die Druckdatenübertragung zum Druckkopf.
Letzteres wäre nur dann nicht erforderlich, wenn für jedes Poststück einzigartige Abdrucke erzeugt werden. Ein geeignetes Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet.
Weitere Maßnahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig er­ schöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls.
Frankiermaschinen sind wie viele andere Produkte ebenfalls modular aufgebaut. Diese Modularität ermöglicht den Austausch von Modulen und Komponenten aus verschiedenen Gründen. So können z. B. defekte Module ausgetauscht und durch überprüfte, reparierte oder neue Module ersetzt werden. Da eine höchste Sorgsamkeit beim Austausch von Baugruppen erforderlich ist, die sicherheitsrelevante Daten enthalten, erfordert der Austausch in der Regel den Einsatz eines Service Technikers und Maßnahmen, die bei unsachgemäßem Gebrauch bzw. unauthorisierten Austausch eines Sicherheitsmoduls dessen Funktions­ weise unterbinden. Letzteres ist aber sehr aufwendig.
Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den Schutz vor einem unbefugt manipulierten Sicherheitsmodul zu gewähr­ leisten, wenn das Sicherheitsmodul austauschbar angeordnet ist. Der Austausch soll von jedermann auf möglichst einfache Weise möglich sein.
Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 und mit den Merkmalen der Anordnung nach Anspruch 3 gelöst.
Die Erfindung geht davon aus, mittels Funktionseinheiten den Austausch und Gebrauch eines Sicherheitsmoduls einer Frankiermaschine, Postverarbeitungseinrichtung oder ähnlichen Gerätes festzustellen, um den Benutzern der verschiedenen Geräte eine Gewährleistung über die korrekte Funktionsweise des Sicherheitsmoduls und damit des gesamten Gerätes bieten zu können. Ein Austausch eines Sicherheitsmoduls wird mindestens detektiert und ggf. nachträglich als Zustand signalisiert, wenn der Sicherheitsmodul wieder gesteckt ist und mit einer Systemspannung versorgt wird. Die Veränderungen des Zustandes des Sicherheitsmoduls werden mittels einer ersten Funktionseinheit und mittels einer von einer Batterie versorgten Detektionseinheit erfaßt, welche eine rücksetzbare Selbsthaltung aufweist. Die erste Funktionseinheit kann den jeweiligen Zustand auswerten, wenn sie wieder mit Systemspannung versorgt wird. Die Vorteile liegen in einer schnellen Reaktion auf Veränderungen des Zustandes des Sicherheitsmoduls und in einem geringem Batteriestrom­ verbrauch der Schaltung der Detektionseinheit während der Nichtversorgung des Sicherheitsmoduls mit der Systemspannung.
Es ist mindestens vom unsachgemäßem Gebrauch eines Sicherheits­ moduls bei jedem Austausch auszugehen, bei welchen nicht nur die Systemspannung fehlt, sondern auch die austauschbar angeordnete Batterie entfernt wird. Damit der Austausch von möglichst gering qualifiziertem Personal und in Zukunft gar durch den Benutzer ausgeführt werden kann, übernimmt eine weitere Funktionseinheit die Überwachung auf Spannungsausfall beim Austausch der Batterie, wobei die erste Funktionseinheit zunächst sensitive Daten löscht und damit den weiteren Gebrauch des Sicherheitsmoduls einschränkt oder gar unterbindet. Die erste Funktionseinheit erzwingt bei einer späteren Wiederinbetriebnahme eine Kontaktaufnahme des Sicherheitsmoduls mit einer entfernten Datenzentrale zum Freischalten mindestens einer Funktionseinheit. Falls der Sicherheitsmodul sachgemäß ausgetauscht wurde, werden bei der Wiederinbetriebnahme die sensitiven Daten reinitialisiert. Zur Kontaktauf­ nahme sind Verfahren mit einer digitalen oder analogen Übertragungs­ strecke einsetzbar. Das Verfahren zum Schutz eines Sicherheitsmoduls beinhaltet die folgenden Schritte:
  • - Überwachung des sachgemäßen Gebrauchs oder Austausches des Sicherheitsmoduls mittels einer ersten, zweiten und dritten Funktionseinheit,
  • - Löschen von sensitiven Daten aufgrund eines unsachgemäßen Gebrauchs oder Austausches mindestens mittels der zweiten Funktionseinheit,
  • - Sperren der Funktionalität mittels der dritten Funktionseinheit während eines Austausches des Sicherheitsmoduls,
  • - Reinitialisieren mittels der ersten Funktionseinheit von zuvor gelöschten sensitiven Daten nach sachgemäßem Gebrauch oder Austausch des Sicherheitsmoduls,
  • - Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des Sicherheitsmodules.
Es ist vorgesehen, daß das Reinitialisieren in Verbindung mit einer Kom­ munikation mittels einer entfernten Datenzentrale von der ersten Funk­ tionseinheit vorgenommen wird, nachdem eine dynamische Gestecktsein- Detektion erfolgreich durchgeführt wurde, wobei während der Detektion von der ersten Funktionseinheit über eine Stromschleife der Interface­ einheit Informationen ausgetauscht werden, deren fehlerfreie Übermitt­ lung den Beweis für den sachgemäßen Einbau des Sicherheitsmodules erbringt. Das Freischalten von Funktionseinheiten des Sicherheitsmodu­ les erfolgt durch deren Rücksetzen. Die erste Funktionseinheit ist ein mit den anderen Funktionseinheiten verbundener Prozessor, welcher pro­ grammiert ist, den jeweiligen Zustand festzustellen. Die zweite Funktions­ einheit ist eine Spannungsüberwachungseinheit mit rücksetzbarer Selbsthaltung und die dritte Funktionseinheit ist eine Ungestecktsein- Detektionsschaltung mit rücksetzbarer Selbsthaltung.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
Fig. 1 Blockbild und Interface des Sicherheitsmoduls,
Fig. 2 Blockschaltbild der Frankiermaschine,
Fig. 3 Perspektivische Ansicht der Frankiermaschine von hinten,
Fig. 4 Blockschaltbild des Sicherheitsmoduls (zweite Variante),
Fig. 5 Schaltbild der Detektionseinheit,
Fig. 6 Seitenansicht des Sicherheitsmoduls,
Fig. 7 Draufsicht auf das Sicherheitsmodul,
Fig. 8a Ansicht des Sicherheitsmoduls von rechts,
Fig. 8b Ansicht des Sicherheitsmoduls von links.
In der Fig. 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den Kontaktgruppen 101, 102 zum Anschluß an ein Interface 8 sowie mit den Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces für eine Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer harten Vergußmasse vergossen ist, ist die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse auf einer Leiterplatte auswechselbar angeordnet. Die Leiterplatte trägt die Batteriekontakt­ klemmen 103 und 104 für den Anschluß der Pole der Batterie 134. Mittels der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt. Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuer­ einrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der System­ spannung. Über die Pin's P3, P5-P19 der Kontaktgruppe 101 laufen Adreß- und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen und dynamischen Überwachung des Angestecktseins des Sicherheits­ moduls 100 ausgebildet. Über die Pin's P23 und P25 der Kontaktgruppe 102 wird die Versorgung des Sicherheitsmodul 100 mit der System­ spannung der Hauptplatine 9 realisiert und über die Pin's P1, P2 bzw. P4 wird eine dynamische und statische Ungestecktsein-Detektion durch das Sicherheitsmodul 100 realisiert.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten Festwertspeicher (internal ROM) mit dem speziellen Anwendungs­ programm enthält, was für die Frankiermaschine von der Postbehörde bzw. vom jeweiligen Postbeförderer zugelassen ist. Alternativ kann an den internen Datenbus 126 ein üblicher Festwertspeicher ROM oder FLASH-Speicher angeschlossen werden.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset- Schaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine Logik PAL 160 auf, die für den ASIC als Steuersignalgenerator dient. Die Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher werden über die Leitungen 191 bzw. 129 mit Systemspannung Us+ versorgt, welche bei eingeschalteter Frankiereinrichtung von der Haupt­ platine 9 geliefert wird. In der EP 789 333 A2 wurden bereits die wesent­ lichen Teile eines postalischen Sicherheitsmoduls PSM erläutert, die die Funktionen Abrechnen und Absichern der Postgebührendaten realisieren.
Die Systemspannung Us+ liegt außerdem über eine Diode 181 und die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 an. Am Ausgang der Spannungsüberwachungseinheit 12 wird eine zweite Be­ triebsspannung Ub+ geliefert, welche über die Leitung 138 zur Verfügung steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die System­ spannung Us+, sondern nur die Batteriespannung Ub+ zur Verfügung. Die am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse ver­ bunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103 wird Batteriespannung über eine Leitung 193, über eine zweite Diode 182 und die Leitung 136 an den Eingang der Spannungsüberwachungseinheit geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handels­ üblicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden.
Der Ausgang der Spannungsüberwachungseinheit 12 ist über eine Leitung 138 mit einem Eingang für diese zweite Betriebsspannung Ub+ des Prozessors 120 verbunden, welcher mindestens auf einen RAM- Speicherbereich 122, 124 führt und dort eine nichtflüchtige Speicherung solange garantiert, wie die zweite Betriebsspannung Ub+ in der erforderlichen Höhe anliegt. Der Prozessor 120 enthält vorzugsweise einen internen RAM 124 und eine Echtzeituhr (RTC) 122.
Die Spannungsüberwachungseinheit 12 im Sicherheitsmodul weist eine rücksetzbare Selbsthaltung auf, die vom Prozessor 120 über eine Leitung 164 abgefragt und über eine Leitung 135 zurückgesetzt werden kann. Für eine Rücksetzung der Selbsthaltung weist die Spannungsüberwachungs­ einheit 12 Schaltungsmittel auf. Die Rücksetzung ist erst auslösbar, wenn die Batteriespannung über die vorbestimmte Schwelle angestiegen ist.
Die Leitungen 135 and 164 sind je mit einem Pin (Pin 1 und 2) des Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an den Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die Spannungsüberwachungseinheit 12.
Die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 versorgt zugleich eine Ungestecktsein-Detektionseinheit 13 mit Betriebs- oder Batteriespannung. Die Ungestecktsein-Detektionseinheit 13 gibt auf der Leitung 139 ein Statussignal an einen Pin 5 des Prozessors 120 ab, das eine Aussage über den Zustand der Schaltung gibt. Vom Prozessor 120 wird der Zustand der Ungestecktsein-Detektionseinheit 13 über die Leitung 139 abgefragt. Der Prozessor kann mit einem vom Pin 4 des Prozessors 120 über die Leitung 137 abgegebenen Signal die Unge­ stecktsein-Detektionseinheit 13 zurücksetzen. Nach dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des Interfaces 8 des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Bei gestecktem Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am Anschluß P4 des Interfaces 8 über die Leitung 192 von der Ungestecktsein-Detektions­ einheit 13 abfragbar.
An den Pin's 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, welche über die Pin's P1 und P2 der Kontaktgruppe 102 des Interfaces 8 zum Prozessor 120 zurückgeschleift wird. Zur dynamischen Prüfung des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine 9 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.
Das postalische Sicherheitsmodul PSM 100 ist mit einer Long-Live- Batterie bestückt, welches auch eine Überwachung des Gebrauchs ermöglicht, ohne daß das Sicherheitsmodul an einer Systemspannung einer Postverarbeitungseinrichtung liegt. Der sachgemäße Gebrauch, Betrieb, Installation oder Einbau in der geeigneten Umgebung sind solche von den Funktionseinheiten des Sicherheitsmoduls zu prüfende Eigenschaften. Eine Erstinstallation wird vom Hersteller des postalischen Sicherheitsmoduls vorgenommen. Es ist also nach dieser Erstinstallation zunächst lediglich zu prüfen, ob das postalische Sicherheitsmodul von ihrem Einsatzfeld (Postverabeitungseinrichtung) getrennt wird, wobei dies in der Regel bei einem Austausch erfolgt.
Die Überwachung dieses Zustandes wird von der Ungestecktsein- Detektionseinheit 13 vorgenommen. Hierbei wird über die Massever­ bindung am Pin 4 der Interfaceeinheit 8 ein Spannungspegel überwacht. Beim Austausch der Funktionseinheit wird diese Masseverbindung unter­ brochen und die Ungestecktsein-Detektionseinheit 13 registriert diesen Vorgang als Information. Da für jede Trennung des Sicherheitsmoduls 100 von der Interfaceeinheit 8, die Speicherung dieser Information durch den speziellen batteriegetriebenen Schaltungsaufbau gewährleistet ist, kann eine Auswertung dieser Information zu jeder Zeit erfolgen, falls eine Wiederinbetriebnahme gewünscht ist. Die regelmäßige Auswertung dieses Ungestecktsein-Signals auf der Leitung 139 der Ungestecktsein- Detektionseinheit 13 ermöglicht es dem Prozessor 120 sensitive Daten zu löschen, ohne jedoch damit die Abrechnungs- und Kundendaten in den NVRAM-Speichern zu verändern. Der momentane Zustand des postali­ schen Sicherheitsmoduls mit den gelöschten sensitiven Daten kann als Wartungszustand aufgefaßt werden, in welchem in der Regel der Aus­ tausch, eine Reparatur oder sonstiges vorgenommen wird. Da die sensi­ tiven Daten der Funktionseinheit gelöscht sind, ist ein Fehler aufgrund einer unsachgemäßen Handhabung des postalischen Sicherheitsmoduls ausgeschlossen. Die sensitiven Daten sind beispielsweise kryptographi­ sche Schlüssel. Der Prozessor 120 verhindert im Wartungszustand eine Kernfunktionalität des postalischen Sicherheitsmoduls, welche beispiels­ weise in der Abrechnung und/oder Berechnung eines Sicherheitscodes für die Sicherheitsmarkierung in einem Sicherheitsabdruck besteht.
Zur Wiederinbetriebnahme wird das postalische Sicherheitsmodul PSM zunächst gesteckt und elektrisch mit der entsprechenden Interfaceeinheit 8 eines Postbearbeitungsgerätes verbunden. Anschließend wird das Gerät eingeschaltet und somit das postalische Sicherheitsmodul wieder mit Systemspannung Us+ versorgt. Aufgrund des speziellen Zustandes muß nun der sachgemäße Einbau des postalischen Sicherheitsmoduls durch ihre Funktionseinheit erneut geprüft werden. Hierfür wird eine zweite Stufe einer Prüfung (dynamische Gestecktsein-Detektion) vorge­ sehen. Über eine zwischen der ersten Funktionseinheit (Prozessor 120) und der Stromschleife 18 der Interfaceeinheit 8 hergestellten operative Verbindung werden Informationen ausgetauscht, deren fehlerfreie Übermittlung den Beweis für den sachgemäßen Einbau erbringt. Dies ist Voraussetzung für eine erfolgreiche Wiederinbetriebnahme.
Für den Zustandswechsel in den normalen Betriebszustand ist nun noch eine Reinitialisierung der sensitiven Daten erforderlich. Zwischen dem postalischen Sicherheitsmodul und einer dritten Instanz wird eine Kommunikation vorgenommen, wobei letztere diese sensitiven Daten übermittelt. Nach erfolgreicher Übermittlung wird die Ungestecktsein- Detektionseinheit 13 zurückgesetzt und das postalische Sicherheitsmodul nimmt wieder seinen normalen Betriebszustand ein. Die Wiederinbetrieb­ nahme ist abgeschlossen.
Die Fig. 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungs­ daten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung 1 weist eine mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattete Hauptplatine 9 auf.
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro­ gramms für eine vorbestimmte Format-Änderung eines Teils der Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von statistischen Daten, die nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nicht- flüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten Programmteilen (beispiels­ weise für den DES Algorithmus). Es ist vorgesehen, daß die Steuer­ einrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle üblichen Postbefördererleistungen entsprechend des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln.
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen für die Signale CE, RD und WR zwischen dem Sicherheits­ modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100 abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88, eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten- Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann beispielsweise das im nichtflüchtigen Speicher des postalischen Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchge­ führt. Die Abrechnung erfolgt unabhängig von Kostenstellen. Das postali­ sche Sicherheitsmittel PSM 100 kann intern so ausgeführt sein, wie in der europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde.
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung 98 zu einem im Poststrom vorgeschalteten Gerät, eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brief­ transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck­ auslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11, 11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über die Leitung 19 ein Encodersignal an die Hauptplatine 9 ab.
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahl­ drucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikropro­ zessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Das Einschalten der Stromversorgung erfolgt mittels einem an der Haupt­ platine angeschlossenen Schalter 71. Nach Einschatten der Stromver­ sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
In der Fig. 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankier­ maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.
Die Fig. 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungs­ umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pin's 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen und vom Prozessor 120 überprüft. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
Die Systemspannung liegt am Versorgungseingang eines zweiten Speichers NV-RAM 114 an. Bei letzterem handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW- RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an entsprechenden Pin's der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält. Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul­ internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher vom Typ AM29F010- 45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine 9 in Kommunikationsverbindung.
Es ist vorgesehen, daß der Prozessor 120 Speicher 122, 124 aufweist, an welche über die Leitung 138 eine Betriebsspannung Ub+ von einer Spannungsüberwachungseinheit 12 zugeführt wird. Insbesondere eine Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Die Spannungsüber­ wachungseinheit (Battery Observer) 12 liefert außerdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für den Battery Observer 12 und Speicher 116 diejenige seiner Eingangsspannungen als Versorgungsspannung weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.
Die Batterie 134 des Sicherheitsmoduls 100 speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr (RTC) 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Span­ nung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der Spannungsüberwachungseinheit 12 der Speise­ punkt für die RTC und SRAM bis zum Rücksetzen mit Masse verbunden. Die Spannung an der RTC und am SRAM liegt dann bei 0 V. Das führt dazu, daß der SRAM 124, der z. B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschi­ neninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß der Angreifer Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs umgeht.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET- Einheit 130 zurückgesetzt.
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d. h. "scharf" machen.
Die Ungestecktsein-Detektionseinheit 13 hat zur Messung der Eingangs­ spannung eine Leitung 192, die über den Stecker des Sicherheitsmoduls und Interface 8, vorzugsweise über einen Sockel auf der Mutterplatine 9 der Frankiermaschine mit Masse verbunden ist. Diese Messung dient zur statischen Überwachung des Gesteckseins und bildet die Grundlage für eine Überwachung auf einer ersten Stufe. Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 Schaltungsmittel für eine rücksetz­ bare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelöst wird, wenn der Spannungspegel auf einer Meßspannungsleitung 192 von einem vorbestimmten Potential abweicht. Zugleich umfaßt die Auswerte- Logik den mit den anderen Funktionseinheiten verbundenen Prozessor 120, welcher programmiert ist, den jeweiligen Zustand des Sicherheits­ moduls 100 festzustellen und zu verändern. Der Zustand der Selbsthaltung ist über die Leitung 139 vom Prozessor 120 des Sicherheitsmoduls 100 abfragbar. Das Meßspannungspotential auf der Leitung 192 entspricht Massepotential, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Auf der Leitung 139 liegt Betriebsspan­ nungspotential. Massespannungspotential liegt auf der Leitung 139 an, wenn der Sicherheitsmodul 100 ungesteckt ist. Der Prozessor 120 weist einen fünften Pin 5 auf, an welchem die Leitung 139 angeschlossen ist, um den Zustand der Ungestecktsein-Detektionseinheit 13 abzufragen, ob sie auf Massepotential mit Selbsthaltung geschaltet ist. Um den Zustand der Selbsthaltung der Ungestecktsein-Detektionseinheit 13 über die Leitung 137 zurückzusetzen, weist der Prozessor 120 einen vierten Pin 4 auf.
Weiterhin ist eine Stromschleife 18 vorgesehen, die die Pin's 6 und 7 des Prozessors 120 ebenfalls über den Stecker des Sicherheitsmoduls und über den Sockel auf der Hauptplatine 9 der Frankiermaschine miteinander verbindet. Die Leitungen an den Pin's 6 und 7 des Prozessors 120 sind nur bei einem an die Hauptplatine 9 gesteckten PSM 100 zu einer Stromschleife 18 geschlossen. Diese Schleife bildet die Grundlage für eine dynamische Überwachung des Angestecktseins des Sicherheits­ moduls auf einer zweiten Stufe.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122, eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. Der Prozessor 120 ist mit Pin's 8, 9 zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 100 ausgestattet. An den Pin's 8 und 9 liegen I/O-Ports der Ein/Ausgabe- Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z. B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.
Anhand der Fig. 5 wird das Schaltbild der Detektionseinheit 13 erläutert. Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 einen Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerstän­ den 1310, 1312, 1314 besteht und zwischen einem von einem Konden­ sator 1371 abgreifbaren Versorgungsspannungspotential und einem Meß­ spannungspotential auf der Leitung 192 gelegt ist. Die Schaltung wird über die Leitung 136 mit der System- oder Batteriespannung versorgt. Die jeweilige Versorgungsspannung von der Leitung 136 gelangt über eine Diode 1369 auf den Kondensator 1371 der Schaltung. Ausgangsseitig der Schaltung liegt ein Negator 1320, 1398. Im Normalzustand ist der Tran­ sistor 1320 des Negators gesperrt und die Versorgungsspannung wird über den Widerstand 1398 auf der Leitung 139 wirksam, welche deshalb logisch '1', d. h. H-Pegel im Normalzustand führt. Ein L-Pegel auf der Leitung 139 ist vorteilhaft als Statussignal für ein Ungestecktsein, weil dann in den Pin 5 des Prozessors 120 kein Strom hineinfließt, was die Batterielebensdauer erhöht. Die Diode 1369 sorgt vorzugsweise in Zu­ sammenhang mit einem Elektrolytkondensator 1371 dafür, daß die dem Negator vorgeschaltete Schaltung über einen relativ langen Zeitraum (< 2 s) mit einer Spannung versorgt wird, bei der deren Funktion gewährleistet ist, obwohl die Spannung auf der Leitung 136 bereits abgeschaltet wurde.
Der Spannungsteiler 1310, 1312, 1314 weist einen Abgriff 1304 auf, an welchem ein Kondensator 1306 und der nichtinvertierende Eingang eines Komparators 1300 angeschlossen sind. Der invertierende Eingang des Komparators 1300 ist mit einer Referenzspannungsquelle 1302 verbun­ den. Der Ausgang des Komparators 1300 ist einerseits über den Negator 1324, 1398 mit der Leitung 139 und andererseits mit dem Steuereingang eines Schaltmittels 1322 für die Selbsthaltung verbunden. Das Schaltmit­ tel 1322 ist zum Widerstand 1310 des Spannungsteilers parallel geschal­ tet und das Schaltmittel 1316 für eine Rücksetzung der Selbsthaltung ist zwischen dem Abgriff 1304 und Masse geschaltet. Der Abgriff 1304 des Spannungsteilers liegt am Verbindungspunkt der Widerstände 1312 und 1314. Der zwischen dem Abgriff 1304 und Masse geschaltete Kondensator 1306 verhindert Schwingungen. Die Spannung am Abgriff 1304 des Spannungsteilers wird im Komparator 1300 mit der Referenz­ spannung der Quelle 1302 verglichen. Ist die zu vergleichende Spannung am Abgriff 1304 kleiner als die Referenzspannung der Quelle 1302, so bleibt der Komparatorausgang auf L-Pegel geschaltet und der Transistor 1320 des Negators ist gesperrt. Dadurch erhält die Leitung 139 nun Betriebsspannungspotential und das Statussignal führt logisch '1'. Der Spannungsteiler ist so dimensioniert, daß bei Massepotential auf der Leitung 192 der Abgriff 1304 eine Spannung führt, welche sicher unter­ halb der Schaltschwelle des Komparators 1300 liegt. Wird die Verbindung unterbrochen und die Leitung 192 ist nicht mehr mit Masse verbunden, weil das Sicherheitsmodul 100 vom Sockel auf der Hauptplatine 9 bzw. Interfaceeinheit 8 der Frankiermaschine gelöst wurde, so wird die Spannung am Abgriff 1304 über die Spannung der Referenzspannungs­ quelle 1302 gezogen und der Komparator 1300 schaltet um. Der Kom­ paratorausgang wird auf H-Pegel geschaltet und folglich ist der Transistor 1320 durchgeschaltet. Dadurch wird die Leitung 139 mit Massepotential verbunden und das Statussignal führt logisch '0.
Mit Hilfe eines Transistors 1322, welcher dem Widerstand 1310 des Spannungsteilers parallelgeschaltet ist, wird eine Selbsthalteschaltung der Ungestecktsein-Detektionseinheit 13 realisiert. Der Steuereingang des Transistors 1322 wird vom Komparatorausgang auf H-Pegel geschaltet. Dadurch schaltet der Transistor 1322 durch und überbrückt den Widerstand 1310. Infolgedessen wird der Spannungsteiler nur noch durch die Widerstände 1312 und 1314 gebildet. Dadurch wird die Umschaltschwelle so weit erhöht, daß der Komparator auch im geschalteten Zustand bleibt, wenn die Leitung 192 wieder Massepotential führt, weil das Sicherheitsmodul wieder gesteckt wurde.
Der Zustand der Schaltung kann über das Signal auf der Leitung 139 vom Prozessor 120 abgefragt werden.
Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 als Schaltungsmittel eine Leitung 137 und ein Schaltmittel 1316 für eine Rücksetzung der Selbsthaltung aufweist, wobei die Rücksetzung vom Prozessor 120 über ein Signal auf der Leitung 137 auslösbar ist.
Der Prozessor 120 kann jederzeit über einen Anwenderschaltkreis ASIC 150, über eine erste Kontaktgruppe 101, über einen Systembus der Steuereinrichtung 1 und beispielsweise über den Mikroprozessor 91 per Modem 83 den Kontakt zu einer entfernten Datenzentrale aufnehmen, welche die Abrechnungsdaten überprüft und gegebenenfalls weitere Daten an den Prozessor 120 übermittelt. Der Anwenderschaltkreis ASIC 150 des Sicherheitsmoduls 100 ist mit dem Prozessor 120 über einen modulinternen Datenbus 126 verbunden.
Der Prozessor 120 kann die Ungestecktsein-Detektionseinheit zurücksetzen, wenn mittels der übermittelten Daten eine Reinitialisation erfolgreich abgeschlossen werden konnte. Dazu wird über das Rücksetzsignal auf der Leitung 137 der Transistor 1316 durchgeschaltet und somit die Spannung am Abgriff 1304 unter die Referenzspannung der Quelle 1302 gezogen und die Transistoren 1320 und 1322 sperren. Ist der Transistor 1322 im Normalzustand gesperrt, so bilden die Widerstände 1310 und 1312 in Serie den oberen Teil des oben genannten Spannungsteilers und die Umschaltschwelle wird wieder auf den Ursprungszustand abgesenkt.
Die Fig. 6 zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge­ bildet, d. h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß Signalmittel 107, 108 aus dem Vergußmaterial an einer ersten Stelle herausragen und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontakt­ klemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheits­ moduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheits­ moduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Meter­ gehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leucht­ dioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse unter­ gebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmes­ ser der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grün, orange), von denen aber nur zwei benutzt werden (rot und grün). Zur Zustandsunterscheidung werden die LED's auch blinkend benutzt, so daß 5 verschiedene Zustandsgruppen unterschieden werden können, die durch folgende LED-Zustände charakterisiert werden: LED aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün.
In der Fig. 7 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt.
Die Fig. 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Fig. 8a und 8b in Verbindung mit Fig. 6 deutlich.
Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankier­ maschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf das Motherbord eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.

Claims (13)

1. Verfahren zum Schutz eines Sicherheitsmoduls, mit den folgenden Schritten:
  • - Überwachung des sachgemäßen Einsatzes mittels einer ersten, zweiten und dritten Funktionseinheit,
  • - Löschen von sensitiven Daten aufgrund eines unsachgemäßen Gebrauchs oder Austausches mindestens mittels der zweiten Funktionseinheit,
  • - Sperren der Funktionalität mittels der dritten Funktionseinheit während eines Austausches des Sicherheitsmoduls,
  • - Reinitialisieren mittels der ersten Funktionseinheit von zuvor gelöschten sensitiven Daten nach sachgemäßem Gebrauch oder Austausch des Sicherheitsmoduls,
  • - Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des Sicherheitsmodules.
2. Verfahren nach Anspruch 1, gekennzeichnet dadurch, daß das Reinitialisieren in Verbindung mit einer Kommunikation mittels einer entfernten Datenzentrale von der ersten Funktionseinheit vorgenom­ men wird, nachdem eine dynamische Gestecktsein-Detektion erfolgreich durchgeführt wurde, wobei während der Detektion von der ersten Funk­ tionseinheit über eine Stromschleife (18) der Interfaceeinheit (8) Informa­ tionen ausgetauscht werden, deren fehlerfreie Übermittlung den Beweis für den sachgemäßen Einbau erbringt und daß das Freischalten von Funktionseinheiten (12, 13) des Sicherheitsmodules durch deren Rück­ setzen erfolgt, wobei die erste Funktionseinheit ein Prozessor (120), die zweite Funktionseinheit eine Spannungsüberwachungseinheit (12) mit rücksetzbarer Selbsthaltung und die dritte Funktionseinheit eine Unge­ stecktsein-Detektionsschaltung (13) mit rücksetzbarer Selbsthaltung ist.
3. Anordnung zur Durchführung des Verfahrens nach Anspruch 1, wobei ein Sicherheitsmodul, mit einer Logik (120, 150, 160) und Sensoren (13), mit einer Batterie (134) und Mitteln zur Versorgung mit einer Systemspannung und mit einem Spannungsumschalter (180) ausgestattet ist, der über eine Leitung (136) mit einer Spannungsüberwachungseinheit (12) verbunden ist, welche über eine Leitung (138) eine Betriebs­ spannung an einen Speicher (122, 124) abgibt, gekennzeichnet dadurch, daß eine Ungestecktsein-Detektionseinheit (13) Schaltungsmittel (1310, 1316, 1322, 1324) für eine rücksetzbare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelöst wird, wenn der Spannungspegel auf einer Meßspannungsleitung (192) von einem vorbestimmten Potential abweicht und daß die Logik einen mit den anderen Funktionseinheiten verbundenen Prozessor (120) umfaßt, welcher programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) festzustellen und zu verändern.
4. Anordnung nach Anspruch 3, gekennzeichnet dadurch, daß die Ungestecktsein-Detektionseinheit (13) als Schaltungsmittel eine Leitung (137) und ein Schaltmittel (1316) für eine Rücksetzung der Selbsthaltung aufweist, wobei die Rücksetzung vom Prozessor (120) über ein Signal auf der Leitung (137) auslösbar ist.
5. Anordnung nach den Ansprüchen 3 bis 4, gekennzeich­ net dadurch, daß die Ungestecktsein-Detektionseinheit (13) einen Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerständen (1310, 1312, 1314) besteht und zwischen einem von einem Kondensator (1371) abgreifbaren Versorgungsspannungspotential und einem Meßspannungspotential auf der Leitung (192) gelegt ist, wobei die Versorgungsspannung von der Leitung (136) über eine Diode (1369) auf den Kondensator (1371) gelangt, daß der Spannungsteiler (1310, 1312, 1314) einen Abgriff (1304) aufweist, an welchem ein Kondensator (1306) und der nichtinvertierende Eingang eines Komparators (1300) ange­ schlossen sind, daß der invertierende Eingang des Komparators (1300) mit einer Referenzspannungsquelle (1302) verbunden ist, daß der Ausgang des Komparators (1300) einerseits über einen Negator (1324, 1398) mit einer Leitung (139) und andererseits mit dem Steuereingang eines Schaltmittels (1322) für die Selbsthaltung verbunden ist, wobei das Schaltmittel (1322) zum Widerstand (1310) des Spannungsteilers parallel geschaltet ist und daß das Schaltmittel (1316) für eine Rücksetzung der Selbsthaltung zwischen dem Abgriff (1304) und Masse geschaltet ist.
6. Anordnung nach Anspruch 5, gekennzeichnet dadurch, daß der Zustand der Selbsthaltung über die Leitung (139) vom Prozessor (120) des Sicherheitsmoduls (100) abfragbar ist.
7. Anordnung nach Anspruch 6, gekennzeichnet dadurch, daß Meßspannungspotential auf der Leitung (192) Massepotential und das Spannungspotential auf der Leitung (139) Betriebsspannungs­ potential entspricht, wenn der Sicherheitsmodul (100) ordnungsgemäß gesteckt ist und daß anderenfalls auf der Leitung (139) Massepotential anliegt, wenn der Sicherheitsmodul (100) ungesteckt ist.
8. Anordnung nach den Ansprüchen 3 bis 7, gekennzeich­ net dadurch, daß der Prozessor (120) Speicher (122, 124) auf­ weist, an welche über die Leitung (138) eine Betriebsspannung Ub+ von einer Spannungsüberwachungseinheit (12) geführt wird, daß der Prozes­ sor (120) mit Systemspannung Us+ versorgt wird und einen vierten Anschluß (Pin 4) aufweist, um den Zustand der Selbsthaltung der Ungestecktsein-Detektionseinheit (13) über die Leitung (137) zurückzu­ setzen und einen fünften Anschluß (Pin 5) aufweist, an welchem die Leitung (139) angeschlossen ist, um den Zustand der Ungestecktsein- Detektionseinheit (13) abzufragen.
9. Anordnung nach Anspruch 8, gekennzeichnet dadurch, daß das Sicherheitsmodul (100) einen Anwenderschaltkreis ASIC (150) aufweist und daß der Prozessor (120) über einen modulinternen Datenbus (126) mit dem Anwenderschaltkreis ASIC (150) verbunden ist, wobei letzterer über eine erste Kontaktgruppe (101) mit dem Systembus einer Steuereinrichtung (1) in Kommunikationsverbindung steht.
10. Anordnung nach einem der Ansprüche 3 bis 9, gekennzeich­ net dadurch, daß das Sicherheitsmodul (100) mit einer harten Vergußmasse (105) vergossen ist, daß die Batterie (134) des Sicherheitsmoduls (100) außerhalb der Vergußmasse (105) auf einer Leiterplatte (106) auswechselbar angeordnet ist, daß die Leiterplatte (106) die Batteriekontaktklemmen (103 und 104) für den Anschluß der Pole der Batterie (134) und eine zweite Kontaktgruppe (102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist und daß mindestens eine der Kontaktgruppen (101, 102) zur statischen und dynamischen Überwachung des Angestecktseins des Sicherheitsmoduls (100) ausgebildet ist.
11. Anordnung nach Anspruch 10, gekennzeichnet da­ durch, daß der Prozessor (120) Anschlüsse (Pin's 6, 7) zur dynamischen Überwachung des Angestecktseins des Sicherheitsmoduls aufweist, an welcher Leitungen angeschlossen sind, welche zu einer Stromschleife (18) verbunden sind, wenn das Sicherheitsmodul (100) gesteckt ist.
12. Anordnung nach einem der Ansprüche 3 bis 11, gekennzeich­ net dadurch, daß der Prozessor (120) des Sicherheitsmoduls (100) mit Anschlüssen (Pin's 8, 9) zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls (100) ausgestattet ist.
13. Anordnung, nach Anspruch 12, gekennzeichnet da­ durch, daß an den I/O-Ports einer Ein/Ausgabe-Einheit (125) des Prozessors (120) modulinterne Signalmittel (107, 108) angeschlossen sind.
DE19912781A 1999-03-12 1999-03-12 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens Withdrawn DE19912781A1 (de)

Priority Applications (12)

Application Number Priority Date Filing Date Title
DE19912781A DE19912781A1 (de) 1999-03-12 1999-03-12 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP00250064A EP1035517B1 (de) 1999-03-12 2000-02-25 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP00250065A EP1035518B1 (de) 1999-03-12 2000-02-25 Anordnung zum Schutz eines Sicherheitsmoduls
DE50015220T DE50015220D1 (de) 1999-03-12 2000-02-25 Anordnung zum Schutz eines Sicherheitsmoduls
DE50015314T DE50015314D1 (de) 1999-03-12 2000-02-25 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
AU20811/00A AU2081100A (en) 1999-03-12 2000-03-10 A method for protecting a security module and an arrangement for implementing the method
CNB001038745A CN1156801C (zh) 1999-03-12 2000-03-10 保护安全模块的方法及安全模块
US09/522,619 US7194443B1 (en) 1999-03-12 2000-03-10 Method for protecting a security module and arrangement for the implementation of the method
CNB001038710A CN1156800C (zh) 1999-03-12 2000-03-10 保护安全模块的方法及实现此方法的装置
AU20805/00A AU2080500A (en) 1999-03-12 2000-03-10 A method for protecting a security module and an arrangement for implementing the method
US09/522,620 US6952777B1 (en) 1999-03-12 2000-03-10 Method for protecting a security module and arrangement for the implementation of the method
US10/217,247 US6954149B2 (en) 1999-03-12 2002-08-12 Method for protecting a security module and arrangement for the implementation of the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19912781A DE19912781A1 (de) 1999-03-12 1999-03-12 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Publications (1)

Publication Number Publication Date
DE19912781A1 true DE19912781A1 (de) 2000-11-23

Family

ID=7901896

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19912781A Withdrawn DE19912781A1 (de) 1999-03-12 1999-03-12 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
DE50015314T Expired - Lifetime DE50015314D1 (de) 1999-03-12 2000-02-25 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE50015314T Expired - Lifetime DE50015314D1 (de) 1999-03-12 2000-02-25 Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Country Status (5)

Country Link
US (1) US6952777B1 (de)
EP (1) EP1035517B1 (de)
CN (1) CN1156801C (de)
AU (1) AU2081100A (de)
DE (2) DE19912781A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1061479A2 (de) 1999-06-15 2000-12-20 Francotyp-Postalia AG &amp; Co. Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP1063619A1 (de) 1999-06-15 2000-12-27 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
EP1069492A2 (de) 1999-06-15 2001-01-17 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
DE10337567B3 (de) * 2003-08-14 2005-01-13 Thales E-Transactions Gmbh Schutzstruktur für Hardware mit hochauflösenden Elastomeren
DE10312654B4 (de) * 2003-03-21 2005-06-09 Thales E-Transactions Gmbh Elektronische Schutzeinrichtung für Teile von Baugruppen
DE102004028338A1 (de) * 2004-06-11 2006-01-12 Siemens Ag Tachograph

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10061665A1 (de) 2000-12-11 2002-06-20 Francotyp Postalia Gmbh Verfahren zur Ermittlung eines Erfordernis zum Austausch eines Bauteils und Anordnung zur Durchführung des Verfahrens
DE10116703A1 (de) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
DE10136608B4 (de) 2001-07-16 2005-12-08 Francotyp-Postalia Ag & Co. Kg Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
FR2872947B1 (fr) * 2004-07-08 2007-04-20 Neopost Ind Sa Tampon a affranchir electronique
DE102007011309B4 (de) * 2007-03-06 2008-11-20 Francotyp-Postalia Gmbh Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine
US9355277B2 (en) * 2012-08-31 2016-05-31 Ncr Corporation Installable secret functions for a peripheral
US10008104B2 (en) * 2014-04-25 2018-06-26 Tyco Safety Products Canada Ltd. Security system output interface with overload detection and protection
RU2628142C1 (ru) * 2016-06-16 2017-08-15 Валерий Аркадьевич Конявский Способ защиты компьютера
DE102016114805A1 (de) * 2016-08-10 2018-02-15 Kriwan Industrie-Elektronik Gmbh Verfahren sowie eingebettetes System zur Überwachung, Steuerung oder Regelung einer Maschine
RU2630890C1 (ru) * 2016-12-29 2017-09-13 Владимир Дмитриевич Новиков Способ обеспечения защищённой работы вычислительного средства и прибор для его осуществления
RU175189U1 (ru) * 2017-04-07 2017-11-27 Валерий Аркадьевич Конявский Компьютер для работы в доверенной вычислительной среде
RU182701U1 (ru) * 2017-12-18 2018-08-28 Валерий Аркадьевич Конявский Доверенный компьютер

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3640448A1 (de) * 1985-11-27 1987-07-09 Triad Communications Inc Verbrauchszaehler
DE3625179C2 (de) * 1985-07-29 1989-01-19 Sharp K.K., Osaka, Jp
DE4333156C2 (de) * 1993-09-29 1995-08-31 Siemens Ag Schaltungsanordnung zum Anschließen einer elektronischen Baugruppe an eine Betriebsspannung
DE19610070A1 (de) * 1996-03-14 1997-09-18 Siemens Ag Chipkarte
EP0417447B1 (de) * 1989-09-12 1997-10-29 International Business Machines Corporation Datenschutz durch Feststellen von Einbruch in elektronischen Anlagen

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5880755A (ja) * 1981-11-09 1983-05-14 Sharp Corp 電子式計算機
GB2144081B (en) 1983-07-23 1987-10-28 Pa Consulting Services Postal franking machines
US4575621A (en) * 1984-03-07 1986-03-11 Corpra Research, Inc. Portable electronic transaction device and system therefor
US4804957A (en) * 1985-11-27 1989-02-14 Triad Communications, Inc. Utility meter and submetering system
US4903232A (en) * 1987-06-26 1990-02-20 Connell James A O Electronic programmable stamping marking device
US5185717A (en) * 1988-08-05 1993-02-09 Ryoichi Mori Tamper resistant module having logical elements arranged in multiple layers on the outer surface of a substrate to protect stored information
FR2640798B1 (fr) * 1988-12-20 1993-01-08 Bull Cp8 Dispositif de traitement de donnees comportant une memoire non volatile electriquement effacable et reprogrammable
US5097253A (en) * 1989-01-06 1992-03-17 Battelle Memorial Institute Electronic security device
IL95903A (en) * 1989-10-03 1995-08-31 Univ Technology Active-electronic crib circuits to detect entry or anxiety
JPH0685320B2 (ja) * 1989-10-31 1994-10-26 シャープ株式会社 電子機器の電池収納機構
US5515540A (en) * 1990-08-27 1996-05-07 Dallas Semiconducter Corp. Microprocessor with single pin for memory wipe
DE4213278C2 (de) 1992-04-16 1998-02-19 Francotyp Postalia Gmbh Anordnung zum Frankieren von Postgut
US5490077A (en) 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
DE4344476A1 (de) 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
DE4344471A1 (de) 1993-12-21 1995-08-17 Francotyp Postalia Gmbh Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
GB9514096D0 (en) * 1995-07-11 1995-09-13 Homewood Clive R Security device
DE19605015C1 (de) 1996-01-31 1997-03-06 Francotyp Postalia Gmbh Vorrichtung zum Bedrucken eines auf einer Kante stehenden Druckträgers
DE59710554D1 (de) 1996-01-31 2003-09-18 Francotyp Postalia Ag Frankiermaschine
CA2271097A1 (en) * 1996-11-07 1998-05-14 Edward Naclerio System for protecting cryptographic processing and memory resources for postal franking machines
US6292898B1 (en) * 1998-02-04 2001-09-18 Spyrus, Inc. Active erasure of electronically stored data upon tamper detection
US6105136A (en) * 1998-02-13 2000-08-15 International Business Machines Corporation Computer system which is disabled when it is disconnected from a network
US5969504A (en) * 1998-03-06 1999-10-19 The Johns Hopkins University Automatic battery power switch
US6185645B1 (en) * 1998-06-08 2001-02-06 Micron Electronics, Inc. Method for removing power and signals from an inadvertently swapped bus card
US6088762A (en) * 1998-06-19 2000-07-11 Intel Corporation Power failure mode for a memory controller

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3625179C2 (de) * 1985-07-29 1989-01-19 Sharp K.K., Osaka, Jp
DE3640448A1 (de) * 1985-11-27 1987-07-09 Triad Communications Inc Verbrauchszaehler
EP0417447B1 (de) * 1989-09-12 1997-10-29 International Business Machines Corporation Datenschutz durch Feststellen von Einbruch in elektronischen Anlagen
DE4333156C2 (de) * 1993-09-29 1995-08-31 Siemens Ag Schaltungsanordnung zum Anschließen einer elektronischen Baugruppe an eine Betriebsspannung
DE19610070A1 (de) * 1996-03-14 1997-09-18 Siemens Ag Chipkarte

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1061479A2 (de) 1999-06-15 2000-12-20 Francotyp-Postalia AG &amp; Co. Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP1063619A1 (de) 1999-06-15 2000-12-27 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
EP1069492A2 (de) 1999-06-15 2001-01-17 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
DE10312654B4 (de) * 2003-03-21 2005-06-09 Thales E-Transactions Gmbh Elektronische Schutzeinrichtung für Teile von Baugruppen
DE10337567B3 (de) * 2003-08-14 2005-01-13 Thales E-Transactions Gmbh Schutzstruktur für Hardware mit hochauflösenden Elastomeren
DE102004028338A1 (de) * 2004-06-11 2006-01-12 Siemens Ag Tachograph

Also Published As

Publication number Publication date
EP1035517B1 (de) 2008-08-20
DE50015314D1 (de) 2008-10-02
EP1035517A2 (de) 2000-09-13
EP1035517A3 (de) 2000-12-20
CN1276579A (zh) 2000-12-13
CN1156801C (zh) 2004-07-07
AU2081100A (en) 2000-09-14
US6952777B1 (en) 2005-10-04

Similar Documents

Publication Publication Date Title
EP1035517B1 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
EP0969422B1 (de) Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen
DE3613007B4 (de) System zur Ermittlung von nicht-abgerechneten Drucken
EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
DE69828331T3 (de) Elektronische Frankiermaschine mit mehreren Taktsystemen zur verbesserten Sicherheit
DE3729342A1 (de) Sicherheitsdrucker fuer ein wertdrucksystem
DE3626580A1 (de) Fernfrankiermaschinen-inspektionssystem
EP1103924A2 (de) Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens
EP1063619B1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE19757653C2 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
EP1035513B1 (de) Sicherheitsmodul mit Statussignalisierung
EP1103923A2 (de) Verfahren zum automatischen Bestellen von Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens
DE19928058A1 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
DE3040532C2 (de) Nachladbare elektronische Frankiermaschine
DE19928061C2 (de) Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
EP0996097B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
EP0996097A9 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

8110 Request for examination paragraph 44
8139 Disposal/non-payment of the annual fee