DE19928058A1 - Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes - Google Patents

Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes

Info

Publication number
DE19928058A1
DE19928058A1 DE19928058A DE19928058A DE19928058A1 DE 19928058 A1 DE19928058 A1 DE 19928058A1 DE 19928058 A DE19928058 A DE 19928058A DE 19928058 A DE19928058 A DE 19928058A DE 19928058 A1 DE19928058 A1 DE 19928058A1
Authority
DE
Germany
Prior art keywords
data
processing unit
dac
authorization code
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19928058A
Other languages
English (en)
Other versions
DE19928058B4 (de
Inventor
Dirk Rosenau
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE19928058A priority Critical patent/DE19928058B4/de
Priority to EP00250186A priority patent/EP1061479A3/de
Priority to US09/593,406 priority patent/US6853986B1/en
Publication of DE19928058A1 publication Critical patent/DE19928058A1/de
Application granted granted Critical
Publication of DE19928058B4 publication Critical patent/DE19928058B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00322Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/0037Calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board

Abstract

Die Erfindung betrifft eine Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes. Das Verfahren schließt die Schritte Vorausberechnung (306-311, 316-322) des aufsteigenden Registerwertes R2 und eines Datenauthorisierungscodes (DAC) sowie eine Übermittlung (314, 324) an eine separate Datenverarbeitungseinheit (muP) ein. Die Anordnung hat einen Sicherheitsmodul (SM), der einen Programmspeicher (128), mindestens eine erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114, 116) einschließt, wobei die erste Datenverarbeitungseinheit (120) mit dem nichtflüchtigen Speicher (114, 116) für die Postregisterdaten verbindbar ist. Die erste Datenverarbeitungseinheit (120) ist durch ein Programm im Programmspeicher (128) programmiert, den Datenauthorisierungscode (DAC) vorauszuberechnen und an die separate Datenverarbeitungseinheit (muP) zu übermitteln, welche durch ein Programm in ihrem Programmspeicher (92) zu einer Druckdatenaufbereitung und zur Berechnung eines Druckbildes programmiert ist.

Description

Die Erfindung betrifft eine Anordnung zur Generierung eines Sicherheits­ abdruckes mit einem Sicherheitsmodul, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art und für ein Verfahren zur Generierung eines Sicherheitsabdruckes, gemäß der im Oberbegriff des Anspruchs 12 angegebenen Art. Ein postalischer Sicherheitsmodul ist ein Teil einer Anordnung, die sich insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion eignet. Das Verfahren dient der Sicherung vor einer Manipulation mit nicht bezahlten Frankierungen auf Postgütern.
In EP 862 143 A2 wurde eine Frankiermaschine für die Erzeugung und Überprüfung eines Sicherheitsabdruckes vorgeschlagen. Ein Sicherheits­ abdruck weist eine maschinenlesbare Markierung mit variablen Daten und einen Krypto- bzw. Authentisierungscode auf.
Zur Überprüfung des Sicherheitsabdruckes wird ein aus den variablen Daten gebildeter Kryto- bzw. Authentisierungscode mit dem aufgedruck­ ten Kryto- bzw. Authentisierungscode verglichen. Die Frankiermaschine hat einen einzigen Mikroprozessor, der sowohl einen Krytocode bzw. einen DAC (DATA AUTHENTIFICATION CODE) zur Absicherung der Druckdaten, als auch das Druckbild selbst berechnet. Letzteres besteht aus festen Rahmenpixeldaten und den Fensterpixeldaten. Fensterpixel­ daten sind variable und semivariable Druckdaten.
Dabei wurde vorgeschlagen, um die Rechenzeit optimal auszunutzen, die Druckdaten für den Krytocode bzw. einen DAC und diejenigen variablen Daten, die sich relativ häufig ändern, erst kurz vor dem Drucken in das berechnete Druckbild einzufügen. Bei Frankiermaschinen mit spalten­ weisen Druck auf ein bewegtes Postgut, wobei die Druckzeile im Druck­ kopf orthogonal zur Transportrichtung des Briefes angeordnet ist, kann sich eine Möglichkeit ergeben, die vorgenannten variablen Daten direkt in das Druckregister der Drucksteuerung für den Druckkopf zu übertragen, wobei die Übertragung sequentiell mit den Rahmenpixeldaten erfolgt. Damit wird eine Möglichkeit geschaffen, erst spät fertig berechnete DAC- Druckdaten auch noch nachträglich während des Druckens einzubetten. Beispielsweise bei der Frankiermaschine T1000 der Anmelderin, welche nach einem Thermo-Transferdruckverfahren arbeitet, ergibt sich bei Lauflängencodierung der Druckdaten, eine solche Möglichkeit unter der Voraussetzung, daß bereits einige der festen Rahmenpixeldaten und der zuvor eingebetteten Fensterpixeldaten bereits gedruckt werden, so daß die DAC-Druckdaten erst spät eingebettet können, weil das entsprechen­ de Fenster erst später gedruckt werden muß. Wenn jedoch seitens eines Postbeförderers die Forderung besteht, das betreffende Fenster zuerst zu drucken, muß die Einbettung der Druckdaten im Vorab erfolgen. Wenn die Änderungen sich über mehrere Druckspalten erstrecken, wobei mehr als die Hälfte der Druckspalten des gesamten Druckbildes verändert werden müssen, resultiert daraus eine entsprechende Verlängerung der Rechenzeit. Dann ist aber vor jedem Frankierbildausdrucken eine Neu­ berechnung des Druckbildes mit anderen variablen Fensterdaten und mit neuen DAC-Druckdaten nötig. Der Durchsatz beim Frankieren wird bei solchen Druckbildern für einen Sicherheitsabdruck deutlich verringert.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung zu entwickeln, um den Durchsatz an Post beim Frankieren mit einem Sicherheitsabdruck zu erhöhen.
Bei Frankiermaschinen mit hohem Durchsatz (Systemtakt) ist eine Tech­ nik zu entwickeln, bei der nach jeder erfolgreichen Abrechnung der Fran­ kierabdruck durch einen Sicherheitscode signiert wird. Hierbei muß die Signatur schnell genug errechnet werden, um sie abhängig vom System­ takt der Frankiermaschine schnell genug für die Druckbildberechnung zur Verfügung zu stellen. Auch wenn die Änderungen in den Druckdaten von Abdruck zu Abdruck maximal sind, soll dadurch der Durchsatz nicht verringert werden, daß ein Sicherheitsabdruck gedruckt wird.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für eine Anordnung und mit den Merkmalen des Anspruchs 12 für ein Verfahren gelöst.
Eine Lösung des Problems wurde in der Durchführung von zwei zeitlich versetzten Berechnungen durch unterschiedliche Rechner gefunden. Die Berechnung des Sicherheitscodes wird erfindungsgemäß von einem separaten Sicherheitsmodul vorgenommen, während die Druckbilddaten­ aufbereitung vom Frankiermaschinen-Prozessor vorgenommen wird. Durch geschicktes Verschachteln der beiden Aufgaben und spezielle Auswahl von Algorithmen und Datenstrukturen wird eine hohe System­ taktleistung erzielt.
Das Sicherheitsmodul wird so implementiert, daß alle für den Sicherheitscode DAC benötigten Systemdaten über Nachrichten von der Frankiermaschine voreingestellt werden. Jede Nachricht, die solche Systemdaten verändert, startet sofort, sofern die neuen Systemdaten vom Sicherheitsmodul als gültig erkannt werden, eine Neuberechnung des Sicherheitscodes. Eine über eine separate Nachricht an das Sicherheitsmodul gemeldete Aufforderung zur Abrechnung startet die Abrechnung. Das Sicherheitsmodul sendet den Sicherheitscode an die Frankiermaschine FM, wobei letztere die Druckdatenaufbereitung und Berechnung des Druckbildes vornimmt. Für Massenfrankierungen mit hohem Systemtakt ergibt sich folgende zeitliche Verschachtelung der Operationen beider Datenverarbeitungseinheiten, die zu einer hohen Systemleistung führt. Die zeitliche Verschachtelung läßt sich nur durch folgende zwei Maßnahmen ermöglichen:
  • 1. Zwei Verarbeitungseinheiten (FM/FPSM)
  • 2. Vorberechnung des Sicherheitscodes aufgrund voreingestellter Werte.
Das Verfahren findet beispielsweise in Frankiermaschinen Anwendung, für die besondere Sicherheitsforderungen bezüglich der Postregisterdaten und des Abdruckes gelten, da insbesondere die geldwerten Abrechnungs­ daten unmanipulierbar sein müssen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
Fig. 1a Zeit/Steuerungsdiagramm für eine Frankiermaschine bekannter Art mit einem Mikroprozessor,
Fig. 1b Zeit/Steuerungsdiagramm für eine Frankiermaschine nach der Erfindung mit einem Mikroprozessor im Meter für die Druck­ aufgaben und einem Sicherheitsmodul für die Sicherheits­ aufgaben,
Fig. 2 Blockschaltbild einer Frankiermaschine mit Sicherheitsmodul,
Fig. 3 Perspektivische Ansicht der Frankiermaschine von hinten,
Fig. 4 Darstellung eines Sicherheitsabdrucks,
Fig. 5 Blockschaltbild des Sicherheitsmoduls,
Fig. 6 Flußdiagramm für das Erzeugen von Sicherheitsabdrucken beim Frankieren.
In der Fig. 1a ist ein Zeit/Steuerungsdiagramm für eine Frankier­ maschine dargestellt, die in bekannter Art mit einem Mikroprozessor ausgestattet ist, der für das Erzeugen von Sicherheitsabdrucken beim Frankieren folgende Schritte ausführt:
  • - Eingaberoutine 401, um den Portowert einzustellen,
  • - Sensorroutine 402, um die Briefanlage festzustellen, mit
  • - Subroutine 406-411 zur DAC-Berechnung,
  • - Aufforderungsroutine 403 zum Abrechnen, mit
  • - Subroutine 412, 413 zum Abrechnen und mit
  • - Subroutine zum DAC bereitstellen,
  • - Berechnungsroutine 404 für das Druckbild sowie
  • - Druckroutine 405.
Aufgrund der sequentiellen Verarbeitung der Daten bei der Durchführung der einzelnen Routinen und Subroutinen wird eine Datenverarbeitungs­ zeitdauer Talt je Frankierung mit einem Sicherheitsabdruck benötigt.
Das erfindungsgemäße - in der Fig. 1b gezeigte - Zeit/Steuerungs­ diagramm für eine Frankiermaschine benötigt eine Datenverarbeitungs­ zeitdauer Tneu je Frankierung mit einem Sicherheitsabdruck, welche kürzer ist, als die alte Datenverarbeitungszeitdauer Talt je Frankierung. Das ist nur möglich, weil bei der Erfindung eine Aufgabenteilung für zwei Datenverarbeitungseinheiten stattfindet, wobei ein Mikroprozessor im Meter für die Druckaufgaben und ein Sicherheitsmodul für die Sicherheits­ aufgaben vorgesehen ist.
Die Druckaufgaben umfassen eine Eingaberoutine 401, um den Portowert einzustellen, eine Sensorroutine 402, um die Briefanlage festzustellen, eine Aufforderungsroutine 403 zum Abrechnen, eine Berechnungsroutine 404 für das Druckbild sowie eine Druckroutine 405.
Die Sicherheitsaufgaben umfassen eine Subroutine 406-411 zur DAC- Berechnung, eine Subroutine 412, 413 zum Abrechnen und eine Subroutine zum DAC bereitstellen.
Die Berechnungsroutine 404 für das Druckbild ist besonders aufwendig für einen Sicherheitsabdruck, deshalb wird mit dem Druckbildaufbau schon vor dem Ende der Abrechnung begonnen. Außerdem führt der Mikroprozessor im Meter die Druckroutine 405 durch, während der Sicherheitsmodul bereits den Sicherheitscode das nächste Druckbild berechnet, sobald das Anlegen eines weiteren Briefes am Eingang des Transportweges von einem Briefsensor erfaßt wird.
Das ist besonders bei Massenfrankierungen von Poststücken, insbe­ sondere von Briefen, mit dem gleichen Portowert sinnvoll. Das Anlegen eines weiteren Briefes, welches am Eingang des Transportweges von einem Briefsensor erfaßt wird, löst einen Interrupt für den Mikroprozessor im Meter aus, welcher die Briefanlage an das Sicherheitsmodul weitermeldet und dann die begonnenen Berechnungen zum Druckbild­ aufbau fortsetzt. In dem Patent US 5,710,721 wurde unter dem Titel: INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT prinzipiell beschrieben, wie bei einem Sensorsignal ein Interrupt für den Mikroprozessor ausgelöst wird und wie die Drucksteuerung arbeitet.
Erfindungsgemäß arbeitet der Mikroprozessor noch am Druckbildaufbau (Schritt 404) oder ist mit der Durchführung der Druckroutine (Schritt 405) beschäftigt, während die Weitermeldung 412 einer weiteren Briefanlage an das Sicherheitsmodul SM erfolgt, woraufhin letzteres bereits weiterer Berechnungen 316-321 für ein nächstes Poststück (Brief) durchführt.
Sobald der Mikroprozessor mit der Durchführung der Druckroutine (Schritt 405) fertig ist, ergeht eine Aufforderung an das Sicherheitsmodul, eine Abrechnung durchzuführen. Das Sicherheitsmodul SM führt nun die Abrechnung (Schritte 322, 323) durch und sendet (Schritt 324) den Sicherheitscode DAC an den Mikroprozessor 91 des Meters, welches nun in der Lage ist den Druckbildaufbau für das weitere Druckbild zuende zu führen (Schritt 414).
Die Fig. 2 zeigt ein Blockschaltbild einer Frankiermaschine. Die Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf.
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro­ gramms für eine vorbestimmte Format-Änderung eines Teils der Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von statistischen Daten, die nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nicht­ flüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten Programmteilen. Es ist vorgesehen, daß die Steuereinrichtung 1 mit einer Chipkarten- Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle üblichen Postbefördererleistungen entsprechend des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit der Frankiermaschine ein Stempelbild zu generieren und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln.
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen für die Signale CE, RD und WR zwischen dem Sicherheitsmodul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100 abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88, eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten- Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann beispielsweise das im nichtflüchtigen Speicher des postalischen Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchge­ führt. Die Abrechnung erfolgt unabhängig von Kostenstellen.
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung 98 zu einem im Poststrom vorgeschalteten Gerät, eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brief­ transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck­ auslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11, 11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über die Leitung 19 ein Encodersignal an das Motherboard 9 ab.
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahl­ drucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikropro­ zessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Das Einschalten der Stromversorgung erfolgt mittels einem an der Haupt­ platine angeschlossenen Schalter 71. Nach Einschalten der Stromver­ sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
In der Fig. 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankier­ maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Sicherheitsabdruck 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.
Die Fig. 4 zeigt eine Darstellung eines Sicherheitsabdrucks, wie er von der amerikanischen USPS gefordert wird. Der Sicherheitsabdruck ist rechts vom Werbeklischee angeordnet und weist in der oberen Hälfte ein Beförderer-Logo und den Portowert und in der unteren Hälfte das Datum, den Portowert, einen Key-Indicator und einen Datenauthentisierungscode DAC in einer ersten Zeile und eine Hersteller-ID, eine Maschinen-ID, eine Modell-ID und den Ascendungregisterwert in einer zweiten Zeile auf, wobei beide Zeilen maschinenlesbar sind. Beide maschinenlesbare Zeilen sind durch Markierungsbalken seitlich begrenzt, welche die Erkennung und Auswertung der Zeichen nach dem OCR-Verfahren verbessern. Ein entsprechendes Auswerteverfahren für die vorgenannten Daten, die die Zeichen wiedergeben, wurde bereits in der europäischen Anmeldung EP 862 143 A2 zur Überprüfung eines Sicherheitsabdruckes vorgeschlagen.
Erfindungsgemäß wird die Berechnung des DAC für den Sicherheits­ abdruck im Sicherheitsmodul durchgeführt. Eine weitere Beschleunigung der Berechnung des Sicherheitscodes wird durch die Wahl eines eigens für die DES-Berechnung gewählten und zertifizierten Assembler- Algorithmus erzielt.
Um auch Druckdaten, die lediglich Teile eines Datums angeben, durch eine OCR-Lesestation authentifizieren zu können, wird für diese speziellen Datums-Werte ein Left out-Wert definiert. Dieser wird anstelle des Datumeintrages verwendet. Beispielsweise wird der Wert 0 verwendet, wenn die entsprechende Datumsteile nicht vorliegen.
Um das Druckdatum auf Gültigkeit zu prüfen, ist die Speicherung des aktuellen Datums in zwei unterschiedlichen Formaten und Speicherplätzen notwendig, da das Format der SM-internen Echtzeituhr RTC sich vom Format des im Druckbild verwendeten Datums unterscheidet und ein Vergleich zum Zeitpunkt der Abrechnung entsprechend Zeit benötigt.
Der Aufbau und die Interpretation der Systemdaten, die in den Sicherheitscode eingehen, sowie die Systemdaten, die von der FM für den Druck genutzt werden ermöglicht eine weitere Beschleunigung.
Da bei Massenfrankierungen das Druckdatum in der Regel konstant bleibt, lassen sich die ersten 8 Bytes des Sicherheitscodes in einer ersten 3DES-Runde für jeden Tag vorabrechnen.
In der Tafel 1 wird ein weiteres Beispiel für die Daten aus einem Sicherheitsabdruck hervorgehen gezeigt.
Tafel 1
Die Tafel 2 verdeutlicht Systemdaten die in den Sicherheitscode eingehen und gibt die Länge der benötigten Bytes an und Tafel 3 zeigt ein Beispiel.
Tafel 2
Tafel 3
Beispiel für den Aufbau eines Sicherheitscodes
Die Fig. 5 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungs­ umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. A1 s Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM 116 an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert. Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET- Einheit 130 zurückgesetzt.
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine Leiterschleife 18 bilden.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z. B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.
Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul­ internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte- FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreß­ eingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine 9 in Kommunikationsverbindung.
Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt. Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangs­ spannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für RTC und SRAM mit Masse verbunden. D. h. die Spannung an der RTC und am SRAM liegt dann bei 0 V. Das führt dazu, daß der SRAM 124, der z. B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs umgeht.
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d. h. "scharf" machen.
Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem An­ griff auf die in ihm gespeicherten Daten wurden auch in den nicht vorver­ öffentlichten deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: An­ ordnung für ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anord­ nung für den Zugriffsschutz für Sicherheitsmodule, sowie 199 12 780.8 mit dem Titel: Anordnung für ein Sicherheitsmodul, 199 12 781.6 mit dem Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens und die deutsche Gebrauchsmusteranmel­ dung 299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisie­ rung vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem Lebenszyklus verschiedene Zustände einnehmen. Es kann nun unter­ schieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist. Dabei wird auf die Nichtmanipulierbarkeit der hardwaremäßigen Abrech­ nung vertraut, ohne dies noch einmal zu kontrollieren. Jede andere soft­ waregesteuerte Arbeitsweise gilt nur mit den Originalprogrammen als feh­ lerfrei, welche deshalb vor einer Manipulation geschützt werden müssen.
Die erste Datenverarbeitungseinheit 120 ist erfindungsgemäß durch ein im Programmspeicher 128 des Sicherheitsmoduls gespeichertes Programm programmiert, den Datenauthorisierungscode DAC vorauszuberechnen und an die separate Datenverarbeitungseinheit µP, 91 zu übermitteln, die parallel und annähernd zeitgleich zur Operation der Vorausberechnung durch ein Programm in ihrem Programmspeicher 92 zu einer Druckdaten­ aufbereitung und zur Berechnung eines Druckbildes programmiert ist. Es ist vorgesehen, daß die erste Datenverarbeitungseinheit 120 des Sicher­ heitsmoduls 100 einen internen nichtflüchtigen Speicher 124 aufweist, in welchem mindestens ein Schlüssel für die Berechnung des Datenauthori­ sierungscodes (DAC) vor einem Zugriff geschützt gespeichert ist. Im Sicherheitsmodul 100 ist eine zweite Datenverarbeitungseinheit 150 für eine Abrechnung der Postregister vorgesehen, so daß die vom Sicher­ heitsmodul 100 separate Datenverarbeitungseinheit im Meter eine dritte Datenverarbeitungseinheit µP, 91 insbesondere für die Bearbeitung der Druckaufgaben bildet.
In der zweiten Datenverarbeitungseinheit ASIC 150 ist eine Hardware­ abrechnungseinheit zur Durchführung der Abrechnung enthalten, welche den neuen Postregistersatz mit den Abrechnungsdaten in den nichtflüchtigen Speicher 114, 116 einspeichert.
Die erste Datenverarbeitungseinheit ist ein Modulprozessor 120 des Sicherheitsmoduls, welcher vorzugsweise programmiert ist, die ersten 8 Bytes des Datenauthorisierungscode (DAC) nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen. Der Algorithmus für den Datenauthorisierungscode (DAC) schließt einen DES-Algorithmus, insbesondere einen Tripel-DES-Algorithmus (3DES) ein.
Der Modulprozessor 120 des Sicherheitsmoduls ist programmiert, bei Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten­ authorisierungscode (DAC) vorauszuberechnen bzw. bei Massenpost­ verarbeitung nach Abrechnung des vorhergehenden Portowertes den nächstfolgenden Datenauthorisierungscode (DAC) vorauszuberechnen, wenn der Portowert nicht geändert wird und nach Vorausberechnung den Datenauthorisierungscode (DAC) an die dritte Datenverarbeitungseinheit µP, 91 sofort zu übermitteln.
Der interne nichtflüchtigen Speicher 124 ist ein durch eine Batterie 134 gestützter SRAM-Speicher des Modulprozessors 120 und ist mit Bereichen zur geschützten Speicherung von mindestens einen Teil der Daten eines Postregistersatzes ausgebildet, welcher bei einer Voraus­ abrechnung entsteht. In einem der Speicherbereiche ist der für die Berechnung eines Datenauthorisierungscodes (DAC) erforderliche mindestens eine Schlüssel geschützt gespeichert.
Der Modulprozessor 120 des Sicherheitsmoduls 100 ist programmiert, mit dem Portowert den steigenden Registerwert R2 (ascending register) im Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den Datenauthorisierungscode (DAC) für die Daten des Sicherheitsabdruckes vorauszuberechnen. Beispielsweise unter Einbeziehung folgender Daten des Sicherheitsabdruckes kann der Datenauthorisierungscode (DAC) vor­ ausberechnet werden: Maschinen-Identifikation, OCR-Key-Indikator, Datum, Postwert und Registerwertes R2 für das steigende Register, der bei der Vorausabrechnung ermittelt wurde.
Das Verfahren zur Generierung eines Sicherheitsabdruckes besteht im Wesentlichen in den Schritten:
  • - Vorausberechnung des aufsteigenden Registerwertes R2,
  • - Vorausberechnung des Datenauthorisierungscodes,
  • - Übermittlung des Datenauthorisierungscodes an eine separate Datenverarbeitungseinheit µP, 91, welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls 100 aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
Anhand des - in der Fig. 6 dargestellten - Flußdiagramms werden nun die Routinen näher erläutert, welche im System vor dem Frankieren ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im Flash 128 gespeichertes Programm programmiert, solche vorgenannten Selbsttests auszuführen, wobei nach dem Start 299, in einem ersten Schritt 300 ein Power on-Selbsttest durchgeführt und dann im Schritt 301 gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der Fall, so wird im Schritt 302 die grüne LED 107 vom Mikroprozessor CPU 121 über ein I/O-Port 125 leuchtend gesteuert. Anderenfalls wird im Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 über ein I/O- Port 125 leuchtend gesteuert.
Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprüft wird, ob eine weitere statische Prüfung verlangt wird. Ist das der Fall, so wird zum Schritt 300 zurückverzweigt. Anderenfalls wird auf die Abfrage 305 verzweigt, in welcher geprüft wird, ob durch einen Briefsensor eine Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird auf den Schritt 302 zurückverzweigt und somit eine Warteschleife so lange durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im letzteren Fall wird auf den Schritt 306 verzweigt, um das Eingeben der Daten zu beenden. Gleichzeitig oder kurz nach dem Zeitpunkt t0 begin­ nend, wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der zum Zeitpunkt t0 verfügbaren Postregisterdaten P'to gestartet. Ein vom Modulprozessor 120 bereits früher gebildeter MAC(Pto) ist zum Zeitpunkt t0 gültig. Die MAC-Berechnung ist zum Zeitpunkt t1 abgeschlossen. Der berechnete MAC(P'to) wird mit dem alten zum Zeitpunkt t0 gültigen (vom Modulprozessor 120 bereits früher gebildeten) MAC(Pto) zum Zeitpunkt t1 im Schritt 308 verglichen. Bei Nichtübereinstimmung wird zum Schritt 315 verzweigt, um die LEDs 107, 108 orange leuchtend zu steuern.
Anderenfalls wird zum Schritt 309 verzweigt. Dort erfolgt zum Zeitpunkt t2 im Modulprozessor 120 eine Vorausberechnung des aufsteigenden Registerwertes R2t2 und eine DACneu-Berechnung. Anschließend erfolgt im Schritt 310 eine Vorausberechnung des Postregistersatzes Pt2 eine MACneu-Bildung, ggf. mit Speicherung im NVRAM_P 124. Die Voraus­ berechnung des Datenauthorisierungscodes (DAC) bezieht den auf­ steigenden Registerwert R2 und weitere Daten ab einem Zeitpunkt ti+1 ein, der nach dem Dateneingabe-Ende und/oder bei Massenfrankierungen ab Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung (312) liegt. Von den weiteren Daten, die mindestens den Portowert p und das Datum einschließen, kann mindestens die Maschinen-ID und ggf. das Datum in die DAC-Vorausberechnung ab Anlage eines weiteren Poststücks (Zeitpunkt t0) einbezogen werden, wenn es für den jeweiligen zu frankierenden Briefstapel unverändert bleibt. Bis zum Zeitpunkt t5 ist die Generierung im Sicherheitsmodul abgeschlossen.
Zum Zeitpunkt t3, wenn im Schritt 311 die Speicherung des MAC(Pt2) im NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen worden ist, wird von der anderen Datenverarbeitungseinheit, nämlich von der - in der Fig. 5 gezeigten - Hardware-Abrecheneinheit im ASIC 150 im Schritt 312 eine Berechnung des neuen Postregistersatzes durchgeführt.
In einem abschließenden Schritt 313 erfolgt eine Abspeicherung der Ergebnisse P't3 und MAC(Pt2) im NVRAM_A. In Vorbereitung eines Frankierens können dann noch eine Anzahl von weiteren Schritten seriell oder parallel zu den vorgenannten Schritten durchlaufen werden, die mindestens einen Subschritt zum Generieren eines Sicherheitscodes DAC einschließen und die mit einem Schritt 314 zur Druckdatenbereitstellung zum Frankieren des Briefes abschließen. Letzterer beinhaltet mindestens jedoch das Senden des Sicherheitscodes DAC an den Mikroprozessor 91 des Meters. Anschließend wird zum Schritt 302 zurückverzweigt.
Zum Generieren eines DAC-Sicherheitscodes wird zwar ebenfalls eine prinzipiell gleiche MAC-Bildungsprozedure genutzt, der DAC setzt sich aber aus dem Ascending-Registerwert R2 und aus weiteren Daten zusammen (Maschinen-ID, OCR-Key-Indikator, Datum, Portowert p) und das Generieren erfolgt zu einem anderem Zeitpunkt ti+1 zum Beispiel ab Dateneingabe-Ende. Bei Massenfrankierungen ist im Anschluß der Übermittlung des Datenauthorisierungscodes an die separate Datenverarbeitungseinheit µP 91 vorgesehen, daß vom Modulprozessor 120 der nächstfolgende Datenauthorisierungscode (DAC) voraus­ berechnet wird.
Der Modulprozessor 120 arbeitet mit dem - in der Fig. 5 gezeigten - Steuerungsprozessor µP 91 des Meters zusammen, wobei letzterer mindestens den Sicherheitscode DAC(R2t(i+1), weitere Daten) empfängt, die Druckdaten zusammenstellt und zum Druckkopf übermittelt.
Erfindungsgemäß ist das Sicherheitsmodul zum Einsatz in postalischen Geräten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine. Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es mit einem Personalcomputer zusammenarbeiten kann, der als dritte Datenverarbeitungseinheit fungiert. Es kann beispiels­ weise mit die Hauptplatine eines Personalcomputers verbunden werden, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.

Claims (15)

1. Anordnung zur Generierung eines Sicherheitsabdruckes, mit einem Sicherheitsmodul, der einen Programmspeicher (128), mindestens eine erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114, 116) einschließt, wobei die erste Datenverarbeitungseinheit (120) mit dem nichtflüchtigen Speicher (114, 116) für die Postregisterdaten verbindbar ist, gekennzeichnet dadurch, daß die erste Daten­ verarbeitungseinheit (120) durch ein Programm im Programmspeicher (128) programmiert ist, einen Datenauthorisierungscode (DAC) für Daten des Sicherheitsabdruckes vorauszuberechnen bevor eine Abrechnung erfolgt und an eine separate Datenverarbeitungseinheit (µP, 91) zu über­ mitteln, wobei die separate Datenverarbeitungseinheit (µP, 91) durch ein Programm in ihrem Programmspeicher (92) zu einer Druckdaten­ aufbereitung und zur Berechnung eines Druckbildes programmiert ist.
2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, daß die erste Datenverarbeitungseinheit (120) des Sicherheitsmoduls einen internen nichtflüchtigen Speicher (124) aufweist, in welchem mindestens ein Schlüssel für die Berechnung des Datenauthorisierungs­ codes (DAC) vor einem Zugriff geschützt gespeichert ist und daß der Sicherheitsmodul eine zweite Datenverarbeitungseinheit (150) für eine Abrechnung der Postregister aufweist sowie daß die separate Daten­ verarbeitungseinheit eine dritte Datenverarbeitungseinheit (µP, 91) bildet.
3. Anordnung, nach den Ansprüchen 1 bis 2, gekennzeichnet dadurch, daß die erste Datenverarbeitungseinheit ein Modulprozessor (120) des Sicherheitsmoduls (100) ist, welcher programmiert ist, die ersten acht Bytes des Datenauthorisierungscode (DAC) nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen.
4. Anordnung, nach den Ansprüchen 1 bis 3, gekennzeichnet dadurch, daß der Algorithmus für den Datenauthorisierungscode (DAC) einen DES-Algorithmus einschließt.
5. Anordnung, nach den Ansprüchen 1 bis 4, gekennzeichnet dadurch, daß der Algorithmus für den Datenauthorisierungscode (DAC) einen Tripel-DES-Algorithmus (3DES) einschließt.
6. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist, bei Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten­ authorisierungscode (DAC) vorauszuberechnen.
7. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist, bei Massenpostverarbeitung nach Abrechnung des vorhergehenden Portowertes den nächstfolgenden Datenauthorisierungscode (DAC) vorauszuberechnen, wenn der Portowert nicht geändert wird und nach Vorausberechnung den Datenauthorisierungscode (DAC) an die dritte Datenverarbeitungseinheit (µP, 91) sofort zu übermitteln.
8. Anordnung, nach Anspruch 2, gekennzeichnet dadurch, daß der interne nichtflüchtigen Speicher (124) ein durch eine Batterie (134) gestützter SRAM-Speicher des Modulprozessors (120) ist und mit Bereichen zur geschützten Speicherung von mindestens einen Teil der Daten eines Postregistersatzes ausgebildet ist, der bei einer Vorausabrechnung entsteht, daß in einem der Speicherbereiche der mindestens eine Schlüssel für die Berechnung des Datenauthorisierungs­ codes (DAC) geschützt gespeichert ist.
9. Anordnung, nach einem der vorhergehenden Ansprüche 1 bis 8, ge­ kennzeichnet dadurch, daß der Modulprozessor (120) programmiert ist, mit dem Portowert den steigenden Registerwert im Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den Datenauthorisierungscode (DAC) vorauszuberechnen.
10. Anordnung, nach Anspruch 9, gekennzeichnet dadurch, daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist, unter Einbeziehung einer Maschinen-Identifikation, eines OCR-Schlüssel- Indikators, eines Datums, des Postwertes und des bei der Vorausabrechnung ermittelten Registerwertes für das steigende Register den Datenauthorisierungscode (DAC) vorauszuberechnen.
11. Anordnung, nach Anspruch 2, gekennzeichnet dadurch, daß eine Hardwareabrechnungseinheit in der zweiten Datenverar­ beitungseinheit (150) zur Durchführung der Abrechnung enthalten ist, welche den neuen Postregistersatz mit den Abrechnungsdaten in den nichtflüchtigen Speicher (114, 116) einspeichert.
12. Verfahren zur Generierung eines Sicherheitsabdruckes, mit einer Authorisierungscode-Berechnung zur Sicherung der Postregister vor Manipulation durch eine erste Datenverarbeitungseinheit und mit einer Abrechnung durch eine zweite Datenverarbeitungseinheit im Sicherheits­ modul, gekennzeichnet durch die Schritte:
  • - Vorausberechnung des aufsteigenden Registerwertes R2,
  • - Vorausberechnung des Datenauthorisierungscodes (DAC),
  • - Übermittlung des Datenauthorisierungscodes an eine separate Daten­ verarbeitungseinheit (µP, 91), welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls (100) aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
13. Verfahren, nach Anspruch 12, gekennzeichnet dadurch, daß die Vorausberechnung des Datenauthorisierungscodes (DAC), den aufsteigenden Registerwert R2 und weitere Daten einbezieht und daß das Generieren zu einem Zeitpunkt ti+1 ab Dateneingabe-Ende und/oder bei Massenfrankierungen ab Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung erfolgt.
14. Verfahren, nach Anspruch 13, gekennzeichnet dadurch, daß die weiteren Daten mindestens die Maschinen-ID, den Portowert p und das Datum einschließen, wobei mindestens die Maschinen-ID und optional das Datum in die Vorausberechnung einbezogen wird, wenn es es für den jeweiligen zu frankierenden Briefstapel unverändert bleibt.
15. Verfahren, nach den Ansprüch 12 bis 24, gekennzeichnet dadurch, daß bei Massenfrankierungen im Anschluß der Übermittlung des Datenauthorisierungscodes an die separate Datenverarbeitungs­ einheit (µP, 91), vom Modulprozessor (120) der nächstfolgende Datenauthorisierungscode (DAC) vorausberechnet wird.
DE19928058A 1999-06-15 1999-06-15 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes Expired - Fee Related DE19928058B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE19928058A DE19928058B4 (de) 1999-06-15 1999-06-15 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP00250186A EP1061479A3 (de) 1999-06-15 2000-06-09 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
US09/593,406 US6853986B1 (en) 1999-06-15 2000-06-14 Arrangement and method for generating a security imprint

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19928058A DE19928058B4 (de) 1999-06-15 1999-06-15 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes

Publications (2)

Publication Number Publication Date
DE19928058A1 true DE19928058A1 (de) 2000-12-28
DE19928058B4 DE19928058B4 (de) 2005-10-20

Family

ID=7911799

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19928058A Expired - Fee Related DE19928058B4 (de) 1999-06-15 1999-06-15 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes

Country Status (3)

Country Link
US (1) US6853986B1 (de)
EP (1) EP1061479A3 (de)
DE (1) DE19928058B4 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10051818A1 (de) * 2000-10-18 2002-06-20 Deutsche Post Ag Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken
US6595412B2 (en) * 2001-05-03 2003-07-22 Pitney Bowes Inc. Method for calculating indicia for mailpieces
US7272581B2 (en) 2002-03-12 2007-09-18 Pitney Bowes Inc. Method and system for optimizing throughput of mailing machines
US7613654B2 (en) 2002-10-30 2009-11-03 Neopost Technologies Use of electronic devices for money transfer
DE102004027517B4 (de) * 2004-06-03 2007-05-10 Francotyp-Postalia Gmbh Anordnung und Verfahren zur Ansteuerung eines Thermotransferdruckkopfes
US8902251B2 (en) 2009-02-10 2014-12-02 Certusview Technologies, Llc Methods, apparatus and systems for generating limited access files for searchable electronic records of underground facility locate and/or marking operations
CA2710189C (en) 2009-08-20 2012-05-08 Certusview Technologies, Llc Methods and apparatus for assessing marking operations based on acceleration information

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4217484A (en) * 1977-02-07 1980-08-12 Gerst William J Taximeter
US4422148A (en) * 1979-10-30 1983-12-20 Pitney Bowes Inc. Electronic postage meter having plural computing systems
US4516209A (en) * 1983-02-09 1985-05-07 Pitney Bowes Inc. Postage metering system having weight checking capability
US4649266A (en) * 1984-03-12 1987-03-10 Pitney Bowes Inc. Method and apparatus for verifying postage
US4725718A (en) * 1985-08-06 1988-02-16 Pitney Bowes Inc. Postage and mailing information applying system
US4775246A (en) * 1985-04-17 1988-10-04 Pitney Bowes Inc. System for detecting unaccounted for printing in a value printing system
US4831555A (en) * 1985-08-06 1989-05-16 Pitney Bowes Inc. Unsecured postage applying system
US4858138A (en) * 1986-09-02 1989-08-15 Pitney Bowes, Inc. Secure vault having electronic indicia for a value printing system
US4809185A (en) * 1986-09-02 1989-02-28 Pitney Bowes Inc. Secure metering device storage vault for a value printing system
GB8804689D0 (en) * 1988-02-29 1988-03-30 Alcatel Business Systems Franking system
US5448641A (en) * 1993-10-08 1995-09-05 Pitney Bowes Inc. Postal rating system with verifiable integrity
US5548163A (en) * 1993-12-13 1996-08-20 Blade Technologies Inc. Device for securing car audio equipment
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
DE4344471A1 (de) * 1993-12-21 1995-08-17 Francotyp Postalia Gmbh Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
US5572429A (en) * 1994-12-05 1996-11-05 Hunter; Kevin D. System for recording the initialization and re-initialization of an electronic postage meter
DE4445053C2 (de) 1994-12-07 2003-04-10 Francotyp Postalia Ag Frankiermaschineninterne Schnittstellenschaltung
US5801944A (en) * 1995-10-11 1998-09-01 E-Stamp Corporation System and method for printing postage indicia directly on documents
US5696829A (en) * 1995-11-21 1997-12-09 Pitney Bowes, Inc. Digital postage meter system
US5835689A (en) * 1995-12-19 1998-11-10 Pitney Bowes Inc. Transaction evidencing system and method including post printing and batch processing
US5970150A (en) * 1996-12-19 1999-10-19 Pitney Bowes Inc. System for producing verifiable kiosk receipts and records
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US5953426A (en) 1997-02-11 1999-09-14 Francotyp-Postalia Ag & Co. Method and arrangement for generating and checking a security imprint
DE19711997A1 (de) 1997-03-13 1998-09-17 Francotyp Postalia Gmbh Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung
DE19726642C1 (de) 1997-06-18 1998-09-03 Francotyp Postalia Gmbh Vorrichtung zur Positionierung eines Tintendruckkopfes und einer Reinigungs- und Dichtvorrichtung
US6125357A (en) * 1997-10-03 2000-09-26 Pitney Bowes Inc. Digital postal indicia employing machine and human verification
DE19748954A1 (de) * 1997-10-29 1999-05-06 Francotyp Postalia Gmbh Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
DE19757652B4 (de) * 1997-12-15 2005-03-17 Francotyp-Postalia Ag & Co. Kg Frankiermaschine mit einer Chipkarten-Schreib-/Leseeinheit
US6019281A (en) * 1997-12-22 2000-02-01 Micro General Corp. Postal security device with display
DE19816572A1 (de) 1998-04-07 1999-10-14 Francotyp Postalia Gmbh Anordnung für einen Sicherheitsmodul
DE19912781A1 (de) 1999-03-12 2000-11-23 Francotyp Postalia Gmbh Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
DE19912780A1 (de) 1999-03-12 2000-09-14 Francotyp Postalia Gmbh Anordnung für ein Sicherheitsmodul
DE29905219U1 (de) 1999-03-12 1999-06-17 Francotyp Postalia Gmbh Sicherheitsmodul mit Statussignalisierung

Also Published As

Publication number Publication date
EP1061479A2 (de) 2000-12-20
EP1061479A3 (de) 2001-02-07
DE19928058B4 (de) 2005-10-20
US6853986B1 (en) 2005-02-08

Similar Documents

Publication Publication Date Title
EP0660269B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
EP0660270B1 (de) Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
DE69737782T2 (de) Von einem elektronischen Frankiermaschinensystem trennbarer Drucker und Abrechnungsanordnung mit Trennung der Information über Zeichen und Abrechnung
DE69729409T2 (de) Elektronisches Frankiermaschinensystem mit internem Abrechnungssystem und entfernbarem externem Abrechnungssystem
DE3613008A1 (de) Portogebuehren- und versandinformations-aufbringungssystem
DE69828331T2 (de) Elektronische Frankiermaschine mit mehreren Taktsystemen zur verbesserten Sicherheit
DE3729342A1 (de) Sicherheitsdrucker fuer ein wertdrucksystem
EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
EP1035517B1 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP0944027A2 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
EP1103924B1 (de) Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens
EP2058769A1 (de) Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
DE3613025C2 (de) Nichtgesichertes Portogebühren-Aufbringungssystem
EP0866427B1 (de) Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation
EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
DE19757649A1 (de) Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten
DE19757653C2 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
EP1063619B1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE19928058A1 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
DE19958946A1 (de) Verfahren zum Piraterieschutz eines Gerätes und Anordnung zur Durchführung des Verfahrens
DE19913066A1 (de) Verfahren und Anordnung zur Druckstempeleingabe in eine Frankiermaschine
DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE19534529A1 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140101