DE19928058A1 - Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes - Google Patents
Anordnung und Verfahren zur Generierung eines SicherheitsabdruckesInfo
- Publication number
- DE19928058A1 DE19928058A1 DE19928058A DE19928058A DE19928058A1 DE 19928058 A1 DE19928058 A1 DE 19928058A1 DE 19928058 A DE19928058 A DE 19928058A DE 19928058 A DE19928058 A DE 19928058A DE 19928058 A1 DE19928058 A1 DE 19928058A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- processing unit
- dac
- authorization code
- data processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00322—Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/0037—Calculation of postage value
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
Abstract
Die Erfindung betrifft eine Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes. Das Verfahren schließt die Schritte Vorausberechnung (306-311, 316-322) des aufsteigenden Registerwertes R2 und eines Datenauthorisierungscodes (DAC) sowie eine Übermittlung (314, 324) an eine separate Datenverarbeitungseinheit (muP) ein. Die Anordnung hat einen Sicherheitsmodul (SM), der einen Programmspeicher (128), mindestens eine erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114, 116) einschließt, wobei die erste Datenverarbeitungseinheit (120) mit dem nichtflüchtigen Speicher (114, 116) für die Postregisterdaten verbindbar ist. Die erste Datenverarbeitungseinheit (120) ist durch ein Programm im Programmspeicher (128) programmiert, den Datenauthorisierungscode (DAC) vorauszuberechnen und an die separate Datenverarbeitungseinheit (muP) zu übermitteln, welche durch ein Programm in ihrem Programmspeicher (92) zu einer Druckdatenaufbereitung und zur Berechnung eines Druckbildes programmiert ist.
Description
Die Erfindung betrifft eine Anordnung zur Generierung eines Sicherheits
abdruckes mit einem Sicherheitsmodul, gemäß der im Oberbegriff des
Anspruchs 1 angegebenen Art und für ein Verfahren zur Generierung
eines Sicherheitsabdruckes, gemäß der im Oberbegriff des Anspruchs 12
angegebenen Art. Ein postalischer Sicherheitsmodul ist ein Teil einer
Anordnung, die sich insbesondere für den Einsatz in einer
Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit
Postbearbeitungsfunktion eignet. Das Verfahren dient der Sicherung vor
einer Manipulation mit nicht bezahlten Frankierungen auf Postgütern.
In EP 862 143 A2 wurde eine Frankiermaschine für die Erzeugung und
Überprüfung eines Sicherheitsabdruckes vorgeschlagen. Ein Sicherheits
abdruck weist eine maschinenlesbare Markierung mit variablen Daten und
einen Krypto- bzw. Authentisierungscode auf.
Zur Überprüfung des Sicherheitsabdruckes wird ein aus den variablen
Daten gebildeter Kryto- bzw. Authentisierungscode mit dem aufgedruck
ten Kryto- bzw. Authentisierungscode verglichen. Die Frankiermaschine
hat einen einzigen Mikroprozessor, der sowohl einen Krytocode bzw.
einen DAC (DATA AUTHENTIFICATION CODE) zur Absicherung der
Druckdaten, als auch das Druckbild selbst berechnet. Letzteres besteht
aus festen Rahmenpixeldaten und den Fensterpixeldaten. Fensterpixel
daten sind variable und semivariable Druckdaten.
Dabei wurde vorgeschlagen, um die Rechenzeit optimal auszunutzen, die
Druckdaten für den Krytocode bzw. einen DAC und diejenigen variablen
Daten, die sich relativ häufig ändern, erst kurz vor dem Drucken in das
berechnete Druckbild einzufügen. Bei Frankiermaschinen mit spalten
weisen Druck auf ein bewegtes Postgut, wobei die Druckzeile im Druck
kopf orthogonal zur Transportrichtung des Briefes angeordnet ist, kann
sich eine Möglichkeit ergeben, die vorgenannten variablen Daten direkt in
das Druckregister der Drucksteuerung für den Druckkopf zu übertragen,
wobei die Übertragung sequentiell mit den Rahmenpixeldaten erfolgt.
Damit wird eine Möglichkeit geschaffen, erst spät fertig berechnete DAC-
Druckdaten auch noch nachträglich während des Druckens einzubetten.
Beispielsweise bei der Frankiermaschine T1000 der Anmelderin, welche
nach einem Thermo-Transferdruckverfahren arbeitet, ergibt sich bei
Lauflängencodierung der Druckdaten, eine solche Möglichkeit unter der
Voraussetzung, daß bereits einige der festen Rahmenpixeldaten und der
zuvor eingebetteten Fensterpixeldaten bereits gedruckt werden, so daß
die DAC-Druckdaten erst spät eingebettet können, weil das entsprechen
de Fenster erst später gedruckt werden muß. Wenn jedoch seitens eines
Postbeförderers die Forderung besteht, das betreffende Fenster zuerst zu
drucken, muß die Einbettung der Druckdaten im Vorab erfolgen. Wenn die
Änderungen sich über mehrere Druckspalten erstrecken, wobei mehr als
die Hälfte der Druckspalten des gesamten Druckbildes verändert werden
müssen, resultiert daraus eine entsprechende Verlängerung der
Rechenzeit. Dann ist aber vor jedem Frankierbildausdrucken eine Neu
berechnung des Druckbildes mit anderen variablen Fensterdaten und mit
neuen DAC-Druckdaten nötig. Der Durchsatz beim Frankieren wird bei
solchen Druckbildern für einen Sicherheitsabdruck deutlich verringert.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine
Anordnung zu entwickeln, um den Durchsatz an Post beim Frankieren mit
einem Sicherheitsabdruck zu erhöhen.
Bei Frankiermaschinen mit hohem Durchsatz (Systemtakt) ist eine Tech
nik zu entwickeln, bei der nach jeder erfolgreichen Abrechnung der Fran
kierabdruck durch einen Sicherheitscode signiert wird. Hierbei muß die
Signatur schnell genug errechnet werden, um sie abhängig vom System
takt der Frankiermaschine schnell genug für die Druckbildberechnung zur
Verfügung zu stellen. Auch wenn die Änderungen in den Druckdaten von
Abdruck zu Abdruck maximal sind, soll dadurch der Durchsatz nicht
verringert werden, daß ein Sicherheitsabdruck gedruckt wird.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für eine Anordnung
und mit den Merkmalen des Anspruchs 12 für ein Verfahren gelöst.
Eine Lösung des Problems wurde in der Durchführung von zwei zeitlich
versetzten Berechnungen durch unterschiedliche Rechner gefunden. Die
Berechnung des Sicherheitscodes wird erfindungsgemäß von einem
separaten Sicherheitsmodul vorgenommen, während die Druckbilddaten
aufbereitung vom Frankiermaschinen-Prozessor vorgenommen wird.
Durch geschicktes Verschachteln der beiden Aufgaben und spezielle
Auswahl von Algorithmen und Datenstrukturen wird eine hohe System
taktleistung erzielt.
Das Sicherheitsmodul wird so implementiert, daß alle für den
Sicherheitscode DAC benötigten Systemdaten über Nachrichten von der
Frankiermaschine voreingestellt werden. Jede Nachricht, die solche
Systemdaten verändert, startet sofort, sofern die neuen Systemdaten
vom Sicherheitsmodul als gültig erkannt werden, eine Neuberechnung
des Sicherheitscodes. Eine über eine separate Nachricht an das
Sicherheitsmodul gemeldete Aufforderung zur Abrechnung startet die
Abrechnung. Das Sicherheitsmodul sendet den Sicherheitscode an die
Frankiermaschine FM, wobei letztere die Druckdatenaufbereitung und
Berechnung des Druckbildes vornimmt. Für Massenfrankierungen mit
hohem Systemtakt ergibt sich folgende zeitliche Verschachtelung der
Operationen beider Datenverarbeitungseinheiten, die zu einer hohen
Systemleistung führt. Die zeitliche Verschachtelung läßt sich nur durch
folgende zwei Maßnahmen ermöglichen:
- 1. Zwei Verarbeitungseinheiten (FM/FPSM)
- 2. Vorberechnung des Sicherheitscodes aufgrund voreingestellter Werte.
Das Verfahren findet beispielsweise in Frankiermaschinen Anwendung,
für die besondere Sicherheitsforderungen bezüglich der Postregisterdaten
und des Abdruckes gelten, da insbesondere die geldwerten Abrechnungs
daten unmanipulierbar sein müssen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen
gekennzeichnet bzw. werden nachstehend zusammen mit der
Beschreibung der bevorzugten Ausführung der Erfindung anhand der
Figuren näher dargestellt. Es zeigen:
Fig. 1a Zeit/Steuerungsdiagramm für eine Frankiermaschine bekannter
Art mit einem Mikroprozessor,
Fig. 1b Zeit/Steuerungsdiagramm für eine Frankiermaschine nach der
Erfindung mit einem Mikroprozessor im Meter für die Druck
aufgaben und einem Sicherheitsmodul für die Sicherheits
aufgaben,
Fig. 2 Blockschaltbild einer Frankiermaschine mit Sicherheitsmodul,
Fig. 3 Perspektivische Ansicht der Frankiermaschine von hinten,
Fig. 4 Darstellung eines Sicherheitsabdrucks,
Fig. 5 Blockschaltbild des Sicherheitsmoduls,
Fig. 6 Flußdiagramm für das Erzeugen von Sicherheitsabdrucken beim
Frankieren.
In der Fig. 1a ist ein Zeit/Steuerungsdiagramm für eine Frankier
maschine dargestellt, die in bekannter Art mit einem Mikroprozessor
ausgestattet ist, der für das Erzeugen von Sicherheitsabdrucken beim
Frankieren folgende Schritte ausführt:
- - Eingaberoutine 401, um den Portowert einzustellen,
- - Sensorroutine 402, um die Briefanlage festzustellen, mit
- - Subroutine 406-411 zur DAC-Berechnung,
- - Aufforderungsroutine 403 zum Abrechnen, mit
- - Subroutine 412, 413 zum Abrechnen und mit
- - Subroutine zum DAC bereitstellen,
- - Berechnungsroutine 404 für das Druckbild sowie
- - Druckroutine 405.
Aufgrund der sequentiellen Verarbeitung der Daten bei der Durchführung
der einzelnen Routinen und Subroutinen wird eine Datenverarbeitungs
zeitdauer Talt je Frankierung mit einem Sicherheitsabdruck benötigt.
Das erfindungsgemäße - in der Fig. 1b gezeigte - Zeit/Steuerungs
diagramm für eine Frankiermaschine benötigt eine Datenverarbeitungs
zeitdauer Tneu je Frankierung mit einem Sicherheitsabdruck, welche
kürzer ist, als die alte Datenverarbeitungszeitdauer Talt je Frankierung.
Das ist nur möglich, weil bei der Erfindung eine Aufgabenteilung für zwei
Datenverarbeitungseinheiten stattfindet, wobei ein Mikroprozessor im
Meter für die Druckaufgaben und ein Sicherheitsmodul für die Sicherheits
aufgaben vorgesehen ist.
Die Druckaufgaben umfassen eine Eingaberoutine 401, um den Portowert
einzustellen, eine Sensorroutine 402, um die Briefanlage festzustellen,
eine Aufforderungsroutine 403 zum Abrechnen, eine Berechnungsroutine
404 für das Druckbild sowie eine Druckroutine 405.
Die Sicherheitsaufgaben umfassen eine Subroutine 406-411 zur DAC-
Berechnung, eine Subroutine 412, 413 zum Abrechnen und eine
Subroutine zum DAC bereitstellen.
Die Berechnungsroutine 404 für das Druckbild ist besonders aufwendig
für einen Sicherheitsabdruck, deshalb wird mit dem Druckbildaufbau
schon vor dem Ende der Abrechnung begonnen. Außerdem führt der
Mikroprozessor im Meter die Druckroutine 405 durch, während der
Sicherheitsmodul bereits den Sicherheitscode das nächste Druckbild
berechnet, sobald das Anlegen eines weiteren Briefes am Eingang des
Transportweges von einem Briefsensor erfaßt wird.
Das ist besonders bei Massenfrankierungen von Poststücken, insbe
sondere von Briefen, mit dem gleichen Portowert sinnvoll. Das Anlegen
eines weiteren Briefes, welches am Eingang des Transportweges von
einem Briefsensor erfaßt wird, löst einen Interrupt für den Mikroprozessor
im Meter aus, welcher die Briefanlage an das Sicherheitsmodul
weitermeldet und dann die begonnenen Berechnungen zum Druckbild
aufbau fortsetzt. In dem Patent US 5,710,721 wurde unter dem Titel:
INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT
prinzipiell beschrieben, wie bei einem Sensorsignal ein Interrupt für den
Mikroprozessor ausgelöst wird und wie die Drucksteuerung arbeitet.
Erfindungsgemäß arbeitet der Mikroprozessor noch am Druckbildaufbau
(Schritt 404) oder ist mit der Durchführung der Druckroutine (Schritt 405)
beschäftigt, während die Weitermeldung 412 einer weiteren Briefanlage
an das Sicherheitsmodul SM erfolgt, woraufhin letzteres bereits weiterer
Berechnungen 316-321 für ein nächstes Poststück (Brief) durchführt.
Sobald der Mikroprozessor mit der Durchführung der Druckroutine (Schritt
405) fertig ist, ergeht eine Aufforderung an das Sicherheitsmodul, eine
Abrechnung durchzuführen. Das Sicherheitsmodul SM führt nun die
Abrechnung (Schritte 322, 323) durch und sendet (Schritt 324) den
Sicherheitscode DAC an den Mikroprozessor 91 des Meters, welches nun
in der Lage ist den Druckbildaufbau für das weitere Druckbild zuende zu
führen (Schritt 414).
Die Fig. 2 zeigt ein Blockschaltbild einer Frankiermaschine. Die
Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit
zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf.
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum
Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro
gramms für eine vorbestimmte Format-Änderung eines Teils der
Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung
von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur
nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von
statistischen Daten, die nach Kostenstellen geordnet sind. Der
Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nicht
flüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von
Zwischenergebnissen oder auch bekannten Programmteilen. Es ist
vorgesehen, daß die Steuereinrichtung 1 mit einer Chipkarten-
Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der
Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten
N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in
entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in
einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70
eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines
Datensatzes in die Frankiermaschine für mindestens eine Anwendung.
Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle
üblichen Postbefördererleistungen entsprechend des Tarifs der
Postbehörde und ein Postbefördererkennzeichen, um mit der
Frankiermaschine ein Stempelbild zu generieren und entsprechend des
Tarifs der Postbehörde die Poststücke freizustempeln.
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis
95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88,
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis
ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM
100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den
parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9
und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen
für die Signale CE, RD und WR zwischen dem Sicherheitsmodul PSM 100
und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist
vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100
abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88,
eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten-
Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den
optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann
beispielsweise das im nichtflüchtigen Speicher des postalischen
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten
Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen
Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchge
führt. Die Abrechnung erfolgt unabhängig von Kostenstellen.
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung
98 zu einem im Poststrom vorgeschalteten Gerät, eine serielle
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur
Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle
Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom
nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine
Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche
für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel:
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum
Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und
Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und
Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der
Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brief
transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck
auslösung beim Brieftransport. Die Transporteinrichtung besteht aus
einem Transportband 10 und zwei Walzen 11, 11'. Eine der Walzen ist die
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als
Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als
Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe
ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über
die Leitung 19 ein Encodersignal an das Motherboard 9 ab.
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes
innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind
und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der
gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88
oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94
nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls
weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahl
drucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter
sind solche, welche die geladenen Portogebührentabellen nichtflüchtig
speichern.
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen
mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte
in Lese-Position und eindeutige Signalisierung des Erreichens der
Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikropro
zessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte
Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das
Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß
RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud.
Das Einschalten der Stromversorgung erfolgt mittels einem an der Haupt
platine angeschlossenen Schalter 71. Nach Einschalten der Stromver
sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
In der Fig. 3 ist eine perspektivische Ansicht der Frankiermaschine von
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/Leseeinheit 70
ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der
Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankier
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach
unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante
stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der
Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit
einem Sicherheitsabdruck 31 bedruckt. Die Briefzuführöffnung wird durch
eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten
Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.
Die Fig. 4 zeigt eine Darstellung eines Sicherheitsabdrucks, wie er von
der amerikanischen USPS gefordert wird. Der Sicherheitsabdruck ist
rechts vom Werbeklischee angeordnet und weist in der oberen Hälfte ein
Beförderer-Logo und den Portowert und in der unteren Hälfte das Datum,
den Portowert, einen Key-Indicator und einen Datenauthentisierungscode
DAC in einer ersten Zeile und eine Hersteller-ID, eine Maschinen-ID, eine
Modell-ID und den Ascendungregisterwert in einer zweiten Zeile auf,
wobei beide Zeilen maschinenlesbar sind. Beide maschinenlesbare Zeilen
sind durch Markierungsbalken seitlich begrenzt, welche die Erkennung
und Auswertung der Zeichen nach dem OCR-Verfahren verbessern. Ein
entsprechendes Auswerteverfahren für die vorgenannten Daten, die die
Zeichen wiedergeben, wurde bereits in der europäischen Anmeldung EP
862 143 A2 zur Überprüfung eines Sicherheitsabdruckes vorgeschlagen.
Erfindungsgemäß wird die Berechnung des DAC für den Sicherheits
abdruck im Sicherheitsmodul durchgeführt. Eine weitere Beschleunigung
der Berechnung des Sicherheitscodes wird durch die Wahl eines eigens
für die DES-Berechnung gewählten und zertifizierten Assembler-
Algorithmus erzielt.
Um auch Druckdaten, die lediglich Teile eines Datums angeben, durch
eine OCR-Lesestation authentifizieren zu können, wird für diese
speziellen Datums-Werte ein Left out-Wert definiert. Dieser wird anstelle
des Datumeintrages verwendet. Beispielsweise wird der Wert 0
verwendet, wenn die entsprechende Datumsteile nicht vorliegen.
Um das Druckdatum auf Gültigkeit zu prüfen, ist die Speicherung des
aktuellen Datums in zwei unterschiedlichen Formaten und
Speicherplätzen notwendig, da das Format der SM-internen Echtzeituhr
RTC sich vom Format des im Druckbild verwendeten Datums
unterscheidet und ein Vergleich zum Zeitpunkt der Abrechnung
entsprechend Zeit benötigt.
Der Aufbau und die Interpretation der Systemdaten, die in den
Sicherheitscode eingehen, sowie die Systemdaten, die von der FM für
den Druck genutzt werden ermöglicht eine weitere Beschleunigung.
Da bei Massenfrankierungen das Druckdatum in der Regel konstant
bleibt, lassen sich die ersten 8 Bytes des Sicherheitscodes in einer ersten
3DES-Runde für jeden Tag vorabrechnen.
In der Tafel 1 wird ein weiteres Beispiel für die Daten aus einem
Sicherheitsabdruck hervorgehen gezeigt.
Die Tafel 2 verdeutlicht Systemdaten die in den Sicherheitscode eingehen
und gibt die Länge der benötigten Bytes an und Tafel 3 zeigt ein Beispiel.
Die Fig. 5 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen
Eingang des Spannungsumschalters 180 und die Systemspannung
führende Leitung 191 ist mit dem anderen Eingang des Spannungs
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL-
389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch
durch das PSM 100. A1 s Spannungsumschalter 180 kann ein
handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden.
Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136
an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an.
Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen
mit den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164
und 137, 139 in Kommunikationsverbindung. Der Ausgang des
Spannungsumschalters 180 liegt über die Leitung 136 außerdem am
Versorgungseingang eines ersten Speichers SRAM 116 an, der durch die
vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer
ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den
Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über
den Systembus und ein Modem 83 in Kommunikationsverbindung mit
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC
150 vollzogen. Die postalischen Abrechnungsdaten werden in
nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt
Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen
Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese
zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM,
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch
übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den
entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen
internen Adreß- und Datenbus 112, 113 verbunden.
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die
Berechnung der zu speichernden postalischen Daten. In der
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert.
Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an
entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160
erzeugt mindestens ein Steuersignal für das ASIC 150 und ein
Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen
modulinternen Systembus miteinander verbunden, der Leitungen
110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der
Prozessor 120 und das ASIC 150 werden bei Absinken der
Versorgungsspannung durch eine Resetgenerierung in der RESET-
Einheit 130 zurückgesetzt.
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen,
welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine
Leiterschleife 18 bilden.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit
125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit
125, an welchen modulinterne Signalmittel angeschlossen sind,
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den
Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule
können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So
muß z. B. detektiert werden, ob das Modul gültige kryptografische
Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das
Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der
Modulzustände ist von den realisierten Funktionen im Modul und von der
Implementierung abhängig.
Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul
internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150
verbunden. Der FLASH 128 dient als Programmspeicher und wird mit
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-
FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des
postalischen Sicherheitsmoduls 100 liefert über einen modulinternen
Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreß
eingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100
liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des
Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8
mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115
der Hauptplatine 9 in Kommunikationsverbindung.
Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer
Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird
von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt.
Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangs
spannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12
und Speicher 116 diejenige seiner Eingangsspannungen weiter, die
größer als die andere ist. Durch die Möglichkeit, die beschriebene
Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+
automatisch mit der größeren von beiden zu speisen, kann während des
Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb
des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM)
124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie
während des Batteriebetriebs unter eine bestimmte Grenze, so wird von
der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für
RTC und SRAM mit Masse verbunden. D. h. die Spannung an der RTC
und am SRAM liegt dann bei 0 V. Das führt dazu, daß der SRAM 124, der
z. B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird.
Gleichzeitig werden auch die Register der RTC 122 gelöscht und die
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese
Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der
Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß
sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er
Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs
umgeht.
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt
die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch
bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung
abfragen (Statussignal) und damit und/oder über die Auswertung der
Inhalte des gelöschten Speichers darauf schließen, daß die
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten
hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d. h.
"scharf" machen.
Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem An
griff auf die in ihm gespeicherten Daten wurden auch in den nicht vorver
öffentlichten deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: An
ordnung für ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anord
nung für den Zugriffsschutz für Sicherheitsmodule, sowie 199 12 780.8
mit dem Titel: Anordnung für ein Sicherheitsmodul, 199 12 781.6 mit dem
Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur
Durchführung des Verfahrens und die deutsche Gebrauchsmusteranmel
dung 299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisie
rung vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem
Lebenszyklus verschiedene Zustände einnehmen. Es kann nun unter
schieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist.
Dabei wird auf die Nichtmanipulierbarkeit der hardwaremäßigen Abrech
nung vertraut, ohne dies noch einmal zu kontrollieren. Jede andere soft
waregesteuerte Arbeitsweise gilt nur mit den Originalprogrammen als feh
lerfrei, welche deshalb vor einer Manipulation geschützt werden müssen.
Die erste Datenverarbeitungseinheit 120 ist erfindungsgemäß durch ein im
Programmspeicher 128 des Sicherheitsmoduls gespeichertes Programm
programmiert, den Datenauthorisierungscode DAC vorauszuberechnen
und an die separate Datenverarbeitungseinheit µP, 91 zu übermitteln, die
parallel und annähernd zeitgleich zur Operation der Vorausberechnung
durch ein Programm in ihrem Programmspeicher 92 zu einer Druckdaten
aufbereitung und zur Berechnung eines Druckbildes programmiert ist. Es
ist vorgesehen, daß die erste Datenverarbeitungseinheit 120 des Sicher
heitsmoduls 100 einen internen nichtflüchtigen Speicher 124 aufweist, in
welchem mindestens ein Schlüssel für die Berechnung des Datenauthori
sierungscodes (DAC) vor einem Zugriff geschützt gespeichert ist. Im
Sicherheitsmodul 100 ist eine zweite Datenverarbeitungseinheit 150 für
eine Abrechnung der Postregister vorgesehen, so daß die vom Sicher
heitsmodul 100 separate Datenverarbeitungseinheit im Meter eine dritte
Datenverarbeitungseinheit µP, 91 insbesondere für die Bearbeitung der
Druckaufgaben bildet.
In der zweiten Datenverarbeitungseinheit ASIC 150 ist eine Hardware
abrechnungseinheit zur Durchführung der Abrechnung enthalten, welche
den neuen Postregistersatz mit den Abrechnungsdaten in den
nichtflüchtigen Speicher 114, 116 einspeichert.
Die erste Datenverarbeitungseinheit ist ein Modulprozessor 120 des
Sicherheitsmoduls, welcher vorzugsweise programmiert ist, die ersten 8
Bytes des Datenauthorisierungscode (DAC) nach einem Algorithmus in
einer ersten Runde für jeden Tag vorauszuberechnen. Der Algorithmus für
den Datenauthorisierungscode (DAC) schließt einen DES-Algorithmus,
insbesondere einen Tripel-DES-Algorithmus (3DES) ein.
Der Modulprozessor 120 des Sicherheitsmoduls ist programmiert, bei
Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten
authorisierungscode (DAC) vorauszuberechnen bzw. bei Massenpost
verarbeitung nach Abrechnung des vorhergehenden Portowertes den
nächstfolgenden Datenauthorisierungscode (DAC) vorauszuberechnen,
wenn der Portowert nicht geändert wird und nach Vorausberechnung den
Datenauthorisierungscode (DAC) an die dritte Datenverarbeitungseinheit
µP, 91 sofort zu übermitteln.
Der interne nichtflüchtigen Speicher 124 ist ein durch eine Batterie 134
gestützter SRAM-Speicher des Modulprozessors 120 und ist mit
Bereichen zur geschützten Speicherung von mindestens einen Teil der
Daten eines Postregistersatzes ausgebildet, welcher bei einer Voraus
abrechnung entsteht. In einem der Speicherbereiche ist der für die
Berechnung eines Datenauthorisierungscodes (DAC) erforderliche
mindestens eine Schlüssel geschützt gespeichert.
Der Modulprozessor 120 des Sicherheitsmoduls 100 ist programmiert, mit
dem Portowert den steigenden Registerwert R2 (ascending register) im
Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den
Datenauthorisierungscode (DAC) für die Daten des Sicherheitsabdruckes
vorauszuberechnen. Beispielsweise unter Einbeziehung folgender Daten
des Sicherheitsabdruckes kann der Datenauthorisierungscode (DAC) vor
ausberechnet werden: Maschinen-Identifikation, OCR-Key-Indikator,
Datum, Postwert und Registerwertes R2 für das steigende Register, der
bei der Vorausabrechnung ermittelt wurde.
Das Verfahren zur Generierung eines Sicherheitsabdruckes besteht im
Wesentlichen in den Schritten:
- - Vorausberechnung des aufsteigenden Registerwertes R2,
- - Vorausberechnung des Datenauthorisierungscodes,
- - Übermittlung des Datenauthorisierungscodes an eine separate Datenverarbeitungseinheit µP, 91, welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls 100 aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
Anhand des - in der Fig. 6 dargestellten - Flußdiagramms werden nun
die Routinen näher erläutert, welche im System vor dem Frankieren
ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im
Flash 128 gespeichertes Programm programmiert, solche vorgenannten
Selbsttests auszuführen, wobei nach dem Start 299, in einem ersten
Schritt 300 ein Power on-Selbsttest durchgeführt und dann im Schritt 301
gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der
Fall, so wird im Schritt 302 die grüne LED 107 vom Mikroprozessor CPU
121 über ein I/O-Port 125 leuchtend gesteuert. Anderenfalls wird im
Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 über ein I/O-
Port 125 leuchtend gesteuert.
Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprüft
wird, ob eine weitere statische Prüfung verlangt wird. Ist das der Fall, so
wird zum Schritt 300 zurückverzweigt. Anderenfalls wird auf die Abfrage
305 verzweigt, in welcher geprüft wird, ob durch einen Briefsensor eine
Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen
neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird
auf den Schritt 302 zurückverzweigt und somit eine Warteschleife so lange
durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im
letzteren Fall wird auf den Schritt 306 verzweigt, um das Eingeben der
Daten zu beenden. Gleichzeitig oder kurz nach dem Zeitpunkt t0 begin
nend, wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der
zum Zeitpunkt t0 verfügbaren Postregisterdaten P'to gestartet. Ein vom
Modulprozessor 120 bereits früher gebildeter MAC(Pto) ist zum Zeitpunkt
t0 gültig. Die MAC-Berechnung ist zum Zeitpunkt t1 abgeschlossen. Der
berechnete MAC(P'to) wird mit dem alten zum Zeitpunkt t0 gültigen (vom
Modulprozessor 120 bereits früher gebildeten) MAC(Pto) zum Zeitpunkt t1
im Schritt 308 verglichen. Bei Nichtübereinstimmung wird zum Schritt 315
verzweigt, um die LEDs 107, 108 orange leuchtend zu steuern.
Anderenfalls wird zum Schritt 309 verzweigt. Dort erfolgt zum Zeitpunkt t2
im Modulprozessor 120 eine Vorausberechnung des aufsteigenden
Registerwertes R2t2 und eine DACneu-Berechnung. Anschließend erfolgt
im Schritt 310 eine Vorausberechnung des Postregistersatzes Pt2 eine
MACneu-Bildung, ggf. mit Speicherung im NVRAM_P 124. Die Voraus
berechnung des Datenauthorisierungscodes (DAC) bezieht den auf
steigenden Registerwert R2 und weitere Daten ab einem Zeitpunkt ti+1 ein,
der nach dem Dateneingabe-Ende und/oder bei Massenfrankierungen ab
Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung
(312) liegt. Von den weiteren Daten, die mindestens den Portowert p und
das Datum einschließen, kann mindestens die Maschinen-ID und ggf. das
Datum in die DAC-Vorausberechnung ab Anlage eines weiteren
Poststücks (Zeitpunkt t0) einbezogen werden, wenn es für den jeweiligen
zu frankierenden Briefstapel unverändert bleibt. Bis zum Zeitpunkt t5 ist
die Generierung im Sicherheitsmodul abgeschlossen.
Zum Zeitpunkt t3, wenn im Schritt 311 die Speicherung des MAC(Pt2) im
NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen
worden ist, wird von der anderen Datenverarbeitungseinheit, nämlich von
der - in der Fig. 5 gezeigten - Hardware-Abrecheneinheit im ASIC 150
im Schritt 312 eine Berechnung des neuen Postregistersatzes
durchgeführt.
In einem abschließenden Schritt 313 erfolgt eine Abspeicherung der
Ergebnisse P't3 und MAC(Pt2) im NVRAM_A. In Vorbereitung eines
Frankierens können dann noch eine Anzahl von weiteren Schritten seriell
oder parallel zu den vorgenannten Schritten durchlaufen werden, die
mindestens einen Subschritt zum Generieren eines Sicherheitscodes DAC
einschließen und die mit einem Schritt 314 zur Druckdatenbereitstellung
zum Frankieren des Briefes abschließen. Letzterer beinhaltet mindestens
jedoch das Senden des Sicherheitscodes DAC an den Mikroprozessor 91
des Meters. Anschließend wird zum Schritt 302 zurückverzweigt.
Zum Generieren eines DAC-Sicherheitscodes wird zwar ebenfalls eine
prinzipiell gleiche MAC-Bildungsprozedure genutzt, der DAC setzt sich
aber aus dem Ascending-Registerwert R2 und aus weiteren Daten
zusammen (Maschinen-ID, OCR-Key-Indikator, Datum, Portowert p) und
das Generieren erfolgt zu einem anderem Zeitpunkt ti+1 zum Beispiel ab
Dateneingabe-Ende. Bei Massenfrankierungen ist im Anschluß der
Übermittlung des Datenauthorisierungscodes an die separate
Datenverarbeitungseinheit µP 91 vorgesehen, daß vom Modulprozessor
120 der nächstfolgende Datenauthorisierungscode (DAC) voraus
berechnet wird.
Der Modulprozessor 120 arbeitet mit dem - in der Fig. 5 gezeigten -
Steuerungsprozessor µP 91 des Meters zusammen, wobei letzterer
mindestens den Sicherheitscode DAC(R2t(i+1), weitere Daten) empfängt,
die Druckdaten zusammenstellt und zum Druckkopf übermittelt.
Erfindungsgemäß ist das Sicherheitsmodul zum Einsatz in postalischen
Geräten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine.
Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen,
die es ermöglicht, daß es mit einem Personalcomputer zusammenarbeiten
kann, der als dritte Datenverarbeitungseinheit fungiert. Es kann beispiels
weise mit die Hauptplatine eines Personalcomputers verbunden werden,
der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt,
da offensichtlich weitere andere Anordnungen bzw. Ausführungen der
Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen
Grundgedanken der Erfindung ausgehend - von den anliegenden
Schutzansprüchen umfaßt werden.
Claims (15)
1. Anordnung zur Generierung eines Sicherheitsabdruckes, mit einem
Sicherheitsmodul, der einen Programmspeicher (128), mindestens eine
erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114,
116) einschließt, wobei die erste Datenverarbeitungseinheit (120) mit dem
nichtflüchtigen Speicher (114, 116) für die Postregisterdaten verbindbar
ist, gekennzeichnet dadurch, daß die erste Daten
verarbeitungseinheit (120) durch ein Programm im Programmspeicher
(128) programmiert ist, einen Datenauthorisierungscode (DAC) für Daten
des Sicherheitsabdruckes vorauszuberechnen bevor eine Abrechnung
erfolgt und an eine separate Datenverarbeitungseinheit (µP, 91) zu über
mitteln, wobei die separate Datenverarbeitungseinheit (µP, 91) durch ein
Programm in ihrem Programmspeicher (92) zu einer Druckdaten
aufbereitung und zur Berechnung eines Druckbildes programmiert ist.
2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch,
daß die erste Datenverarbeitungseinheit (120) des Sicherheitsmoduls
einen internen nichtflüchtigen Speicher (124) aufweist, in welchem
mindestens ein Schlüssel für die Berechnung des Datenauthorisierungs
codes (DAC) vor einem Zugriff geschützt gespeichert ist und daß der
Sicherheitsmodul eine zweite Datenverarbeitungseinheit (150) für eine
Abrechnung der Postregister aufweist sowie daß die separate Daten
verarbeitungseinheit eine dritte Datenverarbeitungseinheit (µP, 91) bildet.
3. Anordnung, nach den Ansprüchen 1 bis 2, gekennzeichnet
dadurch, daß die erste Datenverarbeitungseinheit ein Modulprozessor
(120) des Sicherheitsmoduls (100) ist, welcher programmiert ist, die
ersten acht Bytes des Datenauthorisierungscode (DAC) nach einem
Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen.
4. Anordnung, nach den Ansprüchen 1 bis 3, gekennzeichnet
dadurch, daß der Algorithmus für den Datenauthorisierungscode
(DAC) einen DES-Algorithmus einschließt.
5. Anordnung, nach den Ansprüchen 1 bis 4, gekennzeichnet
dadurch, daß der Algorithmus für den Datenauthorisierungscode
(DAC) einen Tripel-DES-Algorithmus (3DES) einschließt.
6. Anordnung, nach Anspruch 1, gekennzeichnet dadurch,
daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist,
bei Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten
authorisierungscode (DAC) vorauszuberechnen.
7. Anordnung, nach Anspruch 1, gekennzeichnet dadurch,
daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist,
bei Massenpostverarbeitung nach Abrechnung des vorhergehenden
Portowertes den nächstfolgenden Datenauthorisierungscode (DAC)
vorauszuberechnen, wenn der Portowert nicht geändert wird und nach
Vorausberechnung den Datenauthorisierungscode (DAC) an die dritte
Datenverarbeitungseinheit (µP, 91) sofort zu übermitteln.
8. Anordnung, nach Anspruch 2, gekennzeichnet dadurch,
daß der interne nichtflüchtigen Speicher (124) ein durch eine Batterie
(134) gestützter SRAM-Speicher des Modulprozessors (120) ist und mit
Bereichen zur geschützten Speicherung von mindestens einen Teil der
Daten eines Postregistersatzes ausgebildet ist, der bei einer
Vorausabrechnung entsteht, daß in einem der Speicherbereiche der
mindestens eine Schlüssel für die Berechnung des Datenauthorisierungs
codes (DAC) geschützt gespeichert ist.
9. Anordnung, nach einem der vorhergehenden Ansprüche 1 bis 8, ge
kennzeichnet dadurch, daß der Modulprozessor (120)
programmiert ist, mit dem Portowert den steigenden Registerwert im
Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den
Datenauthorisierungscode (DAC) vorauszuberechnen.
10. Anordnung, nach Anspruch 9, gekennzeichnet dadurch,
daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist,
unter Einbeziehung einer Maschinen-Identifikation, eines OCR-Schlüssel-
Indikators, eines Datums, des Postwertes und des bei der
Vorausabrechnung ermittelten Registerwertes für das steigende Register
den Datenauthorisierungscode (DAC) vorauszuberechnen.
11. Anordnung, nach Anspruch 2, gekennzeichnet dadurch,
daß eine Hardwareabrechnungseinheit in der zweiten Datenverar
beitungseinheit (150) zur Durchführung der Abrechnung enthalten ist,
welche den neuen Postregistersatz mit den Abrechnungsdaten in den
nichtflüchtigen Speicher (114, 116) einspeichert.
12. Verfahren zur Generierung eines Sicherheitsabdruckes, mit einer
Authorisierungscode-Berechnung zur Sicherung der Postregister vor
Manipulation durch eine erste Datenverarbeitungseinheit und mit einer
Abrechnung durch eine zweite Datenverarbeitungseinheit im Sicherheits
modul, gekennzeichnet durch die Schritte:
- - Vorausberechnung des aufsteigenden Registerwertes R2,
- - Vorausberechnung des Datenauthorisierungscodes (DAC),
- - Übermittlung des Datenauthorisierungscodes an eine separate Daten verarbeitungseinheit (µP, 91), welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls (100) aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
13. Verfahren, nach Anspruch 12, gekennzeichnet dadurch,
daß die Vorausberechnung des Datenauthorisierungscodes (DAC), den
aufsteigenden Registerwert R2 und weitere Daten einbezieht und daß das
Generieren zu einem Zeitpunkt ti+1 ab Dateneingabe-Ende und/oder bei
Massenfrankierungen ab Anlage eines weiteren Poststücks und vor der
eigentlichen Abrechnung erfolgt.
14. Verfahren, nach Anspruch 13, gekennzeichnet dadurch,
daß die weiteren Daten mindestens die Maschinen-ID, den Portowert p
und das Datum einschließen, wobei mindestens die Maschinen-ID und
optional das Datum in die Vorausberechnung einbezogen wird, wenn es
es für den jeweiligen zu frankierenden Briefstapel unverändert bleibt.
15. Verfahren, nach den Ansprüch 12 bis 24, gekennzeichnet
dadurch, daß bei Massenfrankierungen im Anschluß der Übermittlung
des Datenauthorisierungscodes an die separate Datenverarbeitungs
einheit (µP, 91), vom Modulprozessor (120) der nächstfolgende
Datenauthorisierungscode (DAC) vorausberechnet wird.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19928058A DE19928058B4 (de) | 1999-06-15 | 1999-06-15 | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
EP00250186A EP1061479A3 (de) | 1999-06-15 | 2000-06-09 | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
US09/593,406 US6853986B1 (en) | 1999-06-15 | 2000-06-14 | Arrangement and method for generating a security imprint |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19928058A DE19928058B4 (de) | 1999-06-15 | 1999-06-15 | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19928058A1 true DE19928058A1 (de) | 2000-12-28 |
DE19928058B4 DE19928058B4 (de) | 2005-10-20 |
Family
ID=7911799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19928058A Expired - Fee Related DE19928058B4 (de) | 1999-06-15 | 1999-06-15 | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
Country Status (3)
Country | Link |
---|---|
US (1) | US6853986B1 (de) |
EP (1) | EP1061479A3 (de) |
DE (1) | DE19928058B4 (de) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10051818A1 (de) * | 2000-10-18 | 2002-06-20 | Deutsche Post Ag | Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken |
US6595412B2 (en) * | 2001-05-03 | 2003-07-22 | Pitney Bowes Inc. | Method for calculating indicia for mailpieces |
US7272581B2 (en) | 2002-03-12 | 2007-09-18 | Pitney Bowes Inc. | Method and system for optimizing throughput of mailing machines |
US7613654B2 (en) | 2002-10-30 | 2009-11-03 | Neopost Technologies | Use of electronic devices for money transfer |
DE102004027517B4 (de) * | 2004-06-03 | 2007-05-10 | Francotyp-Postalia Gmbh | Anordnung und Verfahren zur Ansteuerung eines Thermotransferdruckkopfes |
US8902251B2 (en) | 2009-02-10 | 2014-12-02 | Certusview Technologies, Llc | Methods, apparatus and systems for generating limited access files for searchable electronic records of underground facility locate and/or marking operations |
CA2710189C (en) | 2009-08-20 | 2012-05-08 | Certusview Technologies, Llc | Methods and apparatus for assessing marking operations based on acceleration information |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4217484A (en) * | 1977-02-07 | 1980-08-12 | Gerst William J | Taximeter |
US4422148A (en) * | 1979-10-30 | 1983-12-20 | Pitney Bowes Inc. | Electronic postage meter having plural computing systems |
US4516209A (en) * | 1983-02-09 | 1985-05-07 | Pitney Bowes Inc. | Postage metering system having weight checking capability |
US4649266A (en) * | 1984-03-12 | 1987-03-10 | Pitney Bowes Inc. | Method and apparatus for verifying postage |
US4725718A (en) * | 1985-08-06 | 1988-02-16 | Pitney Bowes Inc. | Postage and mailing information applying system |
US4775246A (en) * | 1985-04-17 | 1988-10-04 | Pitney Bowes Inc. | System for detecting unaccounted for printing in a value printing system |
US4831555A (en) * | 1985-08-06 | 1989-05-16 | Pitney Bowes Inc. | Unsecured postage applying system |
US4858138A (en) * | 1986-09-02 | 1989-08-15 | Pitney Bowes, Inc. | Secure vault having electronic indicia for a value printing system |
US4809185A (en) * | 1986-09-02 | 1989-02-28 | Pitney Bowes Inc. | Secure metering device storage vault for a value printing system |
GB8804689D0 (en) * | 1988-02-29 | 1988-03-30 | Alcatel Business Systems | Franking system |
US5448641A (en) * | 1993-10-08 | 1995-09-05 | Pitney Bowes Inc. | Postal rating system with verifiable integrity |
US5548163A (en) * | 1993-12-13 | 1996-08-20 | Blade Technologies Inc. | Device for securing car audio equipment |
DE4344476A1 (de) * | 1993-12-21 | 1995-06-22 | Francotyp Postalia Gmbh | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen |
DE4344471A1 (de) * | 1993-12-21 | 1995-08-17 | Francotyp Postalia Gmbh | Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes |
US5572429A (en) * | 1994-12-05 | 1996-11-05 | Hunter; Kevin D. | System for recording the initialization and re-initialization of an electronic postage meter |
DE4445053C2 (de) | 1994-12-07 | 2003-04-10 | Francotyp Postalia Ag | Frankiermaschineninterne Schnittstellenschaltung |
US5801944A (en) * | 1995-10-11 | 1998-09-01 | E-Stamp Corporation | System and method for printing postage indicia directly on documents |
US5696829A (en) * | 1995-11-21 | 1997-12-09 | Pitney Bowes, Inc. | Digital postage meter system |
US5835689A (en) * | 1995-12-19 | 1998-11-10 | Pitney Bowes Inc. | Transaction evidencing system and method including post printing and batch processing |
US5970150A (en) * | 1996-12-19 | 1999-10-19 | Pitney Bowes Inc. | System for producing verifiable kiosk receipts and records |
US5982896A (en) * | 1996-12-23 | 1999-11-09 | Pitney Bowes Inc. | System and method of verifying cryptographic postage evidencing using a fixed key set |
US5953426A (en) | 1997-02-11 | 1999-09-14 | Francotyp-Postalia Ag & Co. | Method and arrangement for generating and checking a security imprint |
DE19711997A1 (de) | 1997-03-13 | 1998-09-17 | Francotyp Postalia Gmbh | Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung |
DE19726642C1 (de) | 1997-06-18 | 1998-09-03 | Francotyp Postalia Gmbh | Vorrichtung zur Positionierung eines Tintendruckkopfes und einer Reinigungs- und Dichtvorrichtung |
US6125357A (en) * | 1997-10-03 | 2000-09-26 | Pitney Bowes Inc. | Digital postal indicia employing machine and human verification |
DE19748954A1 (de) * | 1997-10-29 | 1999-05-06 | Francotyp Postalia Gmbh | Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes |
DE19757652B4 (de) * | 1997-12-15 | 2005-03-17 | Francotyp-Postalia Ag & Co. Kg | Frankiermaschine mit einer Chipkarten-Schreib-/Leseeinheit |
US6019281A (en) * | 1997-12-22 | 2000-02-01 | Micro General Corp. | Postal security device with display |
DE19816572A1 (de) | 1998-04-07 | 1999-10-14 | Francotyp Postalia Gmbh | Anordnung für einen Sicherheitsmodul |
DE19912781A1 (de) | 1999-03-12 | 2000-11-23 | Francotyp Postalia Gmbh | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens |
DE19912780A1 (de) | 1999-03-12 | 2000-09-14 | Francotyp Postalia Gmbh | Anordnung für ein Sicherheitsmodul |
DE29905219U1 (de) | 1999-03-12 | 1999-06-17 | Francotyp Postalia Gmbh | Sicherheitsmodul mit Statussignalisierung |
-
1999
- 1999-06-15 DE DE19928058A patent/DE19928058B4/de not_active Expired - Fee Related
-
2000
- 2000-06-09 EP EP00250186A patent/EP1061479A3/de not_active Withdrawn
- 2000-06-14 US US09/593,406 patent/US6853986B1/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
EP1061479A2 (de) | 2000-12-20 |
EP1061479A3 (de) | 2001-02-07 |
DE19928058B4 (de) | 2005-10-20 |
US6853986B1 (en) | 2005-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0660269B1 (de) | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen | |
EP0660270B1 (de) | Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes | |
EP1035516B1 (de) | Anordnung für ein Sicherheitsmodul | |
DE69737782T2 (de) | Von einem elektronischen Frankiermaschinensystem trennbarer Drucker und Abrechnungsanordnung mit Trennung der Information über Zeichen und Abrechnung | |
DE69729409T2 (de) | Elektronisches Frankiermaschinensystem mit internem Abrechnungssystem und entfernbarem externem Abrechnungssystem | |
DE3613008A1 (de) | Portogebuehren- und versandinformations-aufbringungssystem | |
DE69828331T2 (de) | Elektronische Frankiermaschine mit mehreren Taktsystemen zur verbesserten Sicherheit | |
DE3729342A1 (de) | Sicherheitsdrucker fuer ein wertdrucksystem | |
EP0762337A2 (de) | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
EP1035517B1 (de) | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens | |
EP0944027A2 (de) | Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke | |
EP1103924B1 (de) | Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens | |
EP2058769A1 (de) | Frankierverfahren und Postversandsystem mit zentraler Portoerhebung | |
DE3613025C2 (de) | Nichtgesichertes Portogebühren-Aufbringungssystem | |
EP0866427B1 (de) | Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation | |
EP1035518B1 (de) | Anordnung zum Schutz eines Sicherheitsmoduls | |
DE19757649A1 (de) | Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten | |
DE19757653C2 (de) | Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte | |
EP1063619B1 (de) | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation | |
DE19928058A1 (de) | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes | |
DE19534530A1 (de) | Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine | |
DE19958946A1 (de) | Verfahren zum Piraterieschutz eines Gerätes und Anordnung zur Durchführung des Verfahrens | |
DE19913066A1 (de) | Verfahren und Anordnung zur Druckstempeleingabe in eine Frankiermaschine | |
DE19534527C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
DE19534529A1 (de) | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20140101 |