EP1035518A2 - Method for the protection of a security module and arrangement for implementing said method - Google Patents

Method for the protection of a security module and arrangement for implementing said method Download PDF

Info

Publication number
EP1035518A2
EP1035518A2 EP00250065A EP00250065A EP1035518A2 EP 1035518 A2 EP1035518 A2 EP 1035518A2 EP 00250065 A EP00250065 A EP 00250065A EP 00250065 A EP00250065 A EP 00250065A EP 1035518 A2 EP1035518 A2 EP 1035518A2
Authority
EP
European Patent Office
Prior art keywords
security module
voltage
functional unit
battery
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP00250065A
Other languages
German (de)
French (fr)
Other versions
EP1035518A3 (en
EP1035518B1 (en
Inventor
Peter Post
Dirk Roseneau
Torsten Schlaaff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE19912781A external-priority patent/DE19912781A1/en
Priority claimed from DE19928057A external-priority patent/DE19928057B4/en
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP1035518A2 publication Critical patent/EP1035518A2/en
Publication of EP1035518A3 publication Critical patent/EP1035518A3/en
Application granted granted Critical
Publication of EP1035518B1 publication Critical patent/EP1035518B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00233Housing, e.g. lock or hardened casing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00266Man-machine interface on the apparatus
    • G07B2017/00298Visual, e.g. screens and their layouts
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00266Man-machine interface on the apparatus
    • G07B2017/00306Acoustic, e.g. voice control or speech prompting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00346Power handling, e.g. power-down routine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00395Memory organization
    • G07B2017/00403Memory zones protected from unauthorized reading or writing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Definitions

  • the invention relates to a method for protecting a security module, according to the type specified in the preamble of claim 1, and a Arrangement for performing the method, according to the in the preamble of claim 10.
  • a postal Security module is especially for use in a Franking machine or mail processing machine or computer with Mail processing function suitable.
  • Modern franking machines such as that known from US 4,746,234 Thermal transfer franking machine, set a fully electronic digital Printing device.
  • a microprocessor which is surrounded by a secured housing that has an opening for feeding a letter. With a letter feed transmits a mechanical letter sensor (microswitch) Pressure request signal to the microprocessor.
  • the franking imprint contains previously entered and stored postal information to carry the letter.
  • the control unit of the franking machine performs software billing, exercises a monitoring function possibly with regard to the conditions for a data update and controls the reloading of a port credit.
  • a Franking machine for franking mail is with a printer for Printing the postage stamp on the mail, with a control for Control the printing and peripheral components of the Franking machine, with a billing unit for billing Postage, with at least one non-volatile memory for Storage of postage data, with at least one non-volatile Memory for storing safety-relevant data and with one Calendar / clock equipped.
  • the non-volatile memory of the safety-relevant Dates and / or the calendar / clock is usually from one Battery powered.
  • Known franking machines are security-relevant Data (cryptographic keys, etc.) in non-volatile Save saved. These memories are EEPROM, or FRAM battery-backed SRAM.
  • Known franking machines often also have via an internal real time clock (RTC), which is controlled by a Battery is powered.
  • RTC real time clock
  • potted modules that Integrated circuits and a lithium battery included. These modules after the end of the battery life as a whole exchanged and disposed of. From economic and ecological From a point of view, it is cheaper if only the battery is replaced must become. To do this, however, the safety housing must be opened and then be closed and sealed again because the Security against attempted fraud is essentially based on the secured housing that encloses the entire machine.
  • EP 660 269 A2 US 5,671,146
  • a postage meter repair that may be necessary is then difficult on site if access to the components is difficult or is restricted.
  • the secured housing will be opened in the future the so-called postal security module can be reduced, which the Accessibility to the other components can improve economic It would also be replacing the battery of the security module desirable that they exchange in a relatively simple way leaves. To do this, the battery must be outside the safety zone the franking machine. If the battery terminals though being made accessible from the outside is a possible attacker in the Able to manipulate the battery voltage.
  • Known battery powered SRAM and RTC have different operating voltage requirements Conditions. The necessary tension to hold SRAM data is below the required voltage to operate from RTC.
  • the RTC stops the time - stored in SRAM cells - And the memory contents of the SRAM are retained. At least one of the security measures, such as long time watchdogs, would then be ineffective on the franking machine side.
  • long time Watchdogs understood the following:
  • the remote data center gives a time credit or a period, in particular a number of Days, or a certain day before, by which the franking device can report via communication link. After unsuccessful Franking is prevented from expiry of the time credit or the deadline.
  • Security modules are from electronic data processing systems already known here.
  • Power supply and signal detection means and shielding means includes in the housing.
  • the shielding agent consists of encapsulation material and line means to which the power supply and Signal acquisition means are connected. The latter responds to one Change in the line resistance of the line means.
  • the safety module contains an internal battery, a voltage switch from system voltage to battery voltage, a power gate and a short-circuit transistor and other sensors. If the If the voltage drops below a certain limit, the power reacts Gate. If the line resistance, the temperature or the radiation the logic reacts.
  • the output of the short-circuit transistor is switched to L level, whereby a cryptographic stored in memory Key is deleted.
  • the lifespan is non-interchangeable Battery and thus the safety module for use in Franking equipment or mail processing machines too small.
  • a larger mail processing machine is, for example, the JetMail®.
  • a franking imprint is arranged here by means of a stationary one Inkjet printhead with a non-horizontal approximately vertical Letter transport generated.
  • a suitable version for one Printing device has already been proposed in DE 196 05 015 C1.
  • the mail processing machine has a meter and a base. Should that Meters can be equipped with a housing, making components lighter accessible, then it must be through a postal security module be protected from attempted fraud, which includes at least billing who carries out postage. To influence the course of the program exclude was already in EP 789 333 A2 under the Title: Postage meter proposed a security module with a Equip user circuit (Application Specific Integrated Circuit) ASIC, which has a hardware accounting unit. The user circuit also controls the print data transfer to the print head.
  • Equip user circuit Application Specific Integrated Circuit
  • franking machines are also modular built up. This modularity enables the exchange of modules and Components for various reasons. For example, defective Modules exchanged and checked, repaired or new modules be replaced. Because the greatest care when exchanging Assemblies that contain safety-relevant data are required, The exchange usually requires the use of a service Technician and measures taken in the event of improper use or unauthorized replacement of a security module and its functionality prevent. The latter is very complex.
  • the invention is based, with little effort the task To ensure protection against an unauthorized manipulated security module, if the security module is arranged interchangeably.
  • the Exchange should be possible in the simplest possible way.
  • the invention is based on the exchange by means of functional units, the manipulation and use of a security module Franking machine, mail processing device or similar device to ensure a guarantee to the users of the various devices about the correct functioning of the safety module and to be able to offer the entire device.
  • An exchange or Damage to the security module is at least detected and if necessary subsequently signaled as a state when the safety module is back is plugged in and is supplied with a system voltage.
  • the changes the state of the security module are determined by means of a first Functional unit and detected by a detection unit which a resettable self-holding and is powered by a battery.
  • the first functional unit can evaluate the respective state if it is supplied with system voltage again.
  • a second functional unit can, if necessary, monitor the battery voltage to determine whether its capacity has been exhausted. A necessary battery change is signaled, whereby of course a supply must be secured by the system voltage. At least then, improper use of a security module during the exchange can be assumed, in which not only the system voltage is missing, but also the replaceable battery is removed. So that the exchange of as little qualified personnel as possible and in the future even by the user can be carried out, the second functional unit monitors for a power failure when the battery is replaced, the first functional unit initially deleting sensitive data if necessary and thus restricting the further use of the security module or even prevented. After an on-site inspection of the safety module by a service, the original range of functions can be restored if the housing is intact.
  • the first functional unit forces the security module to contact a remote data center to activate at least one functional unit when it is put back into service later. If the entire security module has been replaced without changing the battery, sensitive data is initially also deleted by the second functional unit, but the sensitive data can be reinitialized when it is put back into operation. Methods with a digital or analog transmission link can be used to establish contact. An inspection of the security module is then also initiated by a service. The safety module can signal different states. For example, a distinction can be made as to whether the last contact with the data center was made so long that this already appears suspicious or that it is too long that reinitialization is no longer permitted.
  • the first functional unit continuously evaluates a first daily loan. When the latter is exhausted, the suspicious condition is signaled.
  • the time credit can be variable and can vary from security device to security device.
  • the time credit can be specified by the data center and loaded into a memory of the security device during installation.
  • the first functional unit continuously evaluates a second daily credit. When the latter is exhausted, the condition becomes LOST "signal. In the latter case, an inspection of the security module by an on-site service is also required.
  • Reinitialization is intended to be associated with communication by means of a remote data center from the first functional unit is made after a dynamic plug-in detection was successfully carried out during the detection from the first functional unit via a current loop of the interface unit Information is exchanged, its error-free transmission proof of the correct installation of the safety module he brings.
  • the activation of functional units of the safety module is done by resetting them.
  • the first functional unit is a with processor connected to the other functional units, which programs is to determine the respective state.
  • the second functional unit is a voltage monitoring unit with resettable Self-holding and the third functional unit is a detection circuit with resettable self-retention, which is a previous unplugged state and also a state of destruction after a mechanical one or detect chemical attack.
  • the sealing compound is equipped with additional means, which warn and possibly protect the security module in the event of an attack.
  • the arrangement for performing the method has a security module, with logic with means for supplying the security module with a system voltage or with a voltage from a battery and with a number of monitoring means. It is marked by at least a first and second functional unit and by Means for loading at least one specified by the data center Time credits and by means of a signal which is linked to a first Functional unit is connected, loading during installation and made when reloading into a memory of the security device is, and wherein the first functional unit on a daily loan Evaluates the passage of time and controls the signaling means, at least by the To signal the passage of time, as well as by means of the second Functional unit for deleting sensitive data in the memory due to improper use or replacement of the Security module.
  • FIG. 1 shows a block diagram of the security module 100 with the contact groups 101, 102 for connection to an interface 8 and with the battery contact terminals 103 and 104 of a battery interface for a battery 134.
  • the security module 100 is encapsulated with a hard casting compound
  • the battery 134 of the security module 100 is exchangeably arranged outside of the encapsulating compound on a printed circuit board.
  • the circuit board carries the battery contact terminals 103 and 104 for the connection of the poles of the battery 134.
  • the safety module 100 is plugged into a corresponding interface 8 of the main board (motherboard) 9 by means of the contact groups 101, 102.
  • the first contact group 101 is in communication with the system bus of a control device and the second contact group 102 is used to supply the safety module 100 with the system voltage.
  • Address and data lines 117, 118 and control lines 115 run via the pins P3, P5-P19 of the contact group 101.
  • the first and / or second contact group 101 and / or 102 are / is designed for the static and dynamic monitoring of the connection of the security module 100.
  • the supply of the safety module 100 with the system voltage of the main board 9 is realized via the pins P23 and P25 of the contact group 102, and a dynamic and static disconnection detection is realized by the safety module 100 via the pins P1, P2 and P4.
  • the latter requires a detection unit 13 which is connected to the pin P4 of the contact group 102 via a conductor loop 192, 194.
  • the conductor loop can be designed as a component of the part of the security module 100 that is to be particularly secured and can be embedded in potting compound in such a way that the contact to the pin P4 is interrupted in the event of a mechanical or chemical attack on the aforementioned part of the security module 100.
  • the security module 100 has, in a manner known per se, a microprocessor 120 which contains an integrated read-only memory (internal ROM) (not shown) with the special application program, which is approved for the franking machine by the postal authority or by the respective mail carrier.
  • the security module 100 has a reset circuit unit 130, a user circuit ASIC 150 and a logic PAL 160 which serves as a control signal generator for the ASIC.
  • the reset circuit unit 130 or the user circuit ASIC 150 and the logic PAL 160 and possibly further memories (not shown) are supplied with system voltage Us + via the lines 191 and 129, which is supplied by the main board 9 when the franking device is switched on.
  • EP 789 333 A2 has already explained the essential parts of a postal security module PSM which implement the functions of billing and securing the postage fee data.
  • the system voltage Us + is also via a diode 181 and Line 136 at the input of the voltage monitoring unit 12.
  • a second operating voltage Ub + supplied which is available via line 138 stands.
  • the system voltage is not at a standstill when the franking device is switched off Us +, but only the battery voltage Ub + available.
  • the Battery contact terminal 104 located at the negative pole is connected to ground. From the battery contact terminal 103 on the positive pole becomes battery voltage via a line 193, via a second diode 182 and line 136 to the input of the voltage monitor delivered.
  • a commercially available one Circuit can be used as a voltage switch 180.
  • the output of the voltage monitoring unit 12 is connected via a line 138 to an input for this second operating voltage U b + of the processor 120, which leads to at least one RAM memory area 122, 124 and guarantees non-volatile storage there for as long as the second operating voltage U b + in the required one Height is applied.
  • Processor 120 preferably includes internal RAM 124 and real time clock (RTC) 122.
  • the voltage monitoring unit 12 in the security module has one Resettable latching on by processor 120 via a line 164 can be queried and reset via a line 135.
  • For the voltage monitoring unit shows a reset of the self-holding 12 circuit means. The reset can only be triggered if the battery voltage has risen above the predetermined threshold.
  • the lines 135 and 164 are each with a pin (Pin1 and 2) of the Processor 120 connected. Line 164 provides a status signal to the Processor 120 and line 135 provide a control signal to the Voltage monitoring unit 12.
  • the line 136 at the input of the voltage monitoring unit 12 also supplies an unplugged detection unit 13 with operating or Battery voltage.
  • the unplugged detection unit 13 gives up a status signal from line 139 to a pin 5 of processor 120, which gives a statement about the state of the circuit. From the processor 120 the state of the unplugged detection unit 13 via the Line 139 polled.
  • the processor can be used with a pin 4 of the Processor 120 signal issued via line 137 the unplugged detection unit 13 reset. After placing a static connection test carried out. This is done via a line 192 Ground potential queried, which is at connection P4 of the interface 8 of the postal security module PSM 100 and can only be queried is when the security module 100 is properly inserted.
  • the postal security module PSM 100 is equipped with a long-live battery, which also enables monitoring of use without the security module being connected to a system voltage of a post processing device. Proper use, operation, installation or installation in a suitable environment are such properties to be checked by the functional units of the safety module. An initial installation is carried out by the manufacturer of the postal security module.
  • the regular evaluation of this disconnection or unplugged signal on the line 139 of the detection unit 13 enables the processor 120 to delete sensitive data, but without changing the billing and customer data in the NVRAM memories.
  • the current state of the postal security module with the deleted sensitive data can be understood as a maintenance state, in which the exchange, repair or otherwise is usually carried out. Since the sensitive data of the functional unit is deleted, an error due to improper handling of the postal security module is excluded. The sensitive data are, for example, cryptographic keys.
  • processor 120 prevents a core functionality of the postal security module, which for example consists in the billing and / or calculation of a security code for the security marking in a security imprint.
  • the postal security module PSM will be used again first plugged in and electrically with the appropriate interface unit 8 connected to a mail processing device. Then that will Device switched on and thus the postal security module again supplied with system voltage Us +. Because of the special condition must now properly install the postal security module be checked again by their functional unit. For this, a second stage of a test (dynamic plug-in detection) is provided. Via a between the first functional unit (processor 120) and the current loop 18 of the interface unit 8 operative Connection, information is exchanged, its error-free Transmission provides proof of proper installation. This is Prerequisite for a successful restart.
  • FIG. 2 shows a block diagram of a postage meter machine that uses a chip card read / write unit 70 for reloading change data by chip card and with a printing device 2, which by a Control device 1 is controlled, is equipped.
  • the control device 1 has a memory 92 with a microprocessor 91, 93, 94, 95 equipped motherboard 9.
  • the program memory 92 contains an operating program for printing at least and at least security-relevant components of the program for a predetermined change in format of part of the useful data.
  • the RAM 93 is used for the temporary storage of intermediate results.
  • the non-volatile memory NVM 94 is used for the non-volatile temporary storage of data, for example statistical data, which are arranged according to cost centers.
  • the calendar / clock module 95 likewise contains addressable but non-volatile memory areas for the non-volatile intermediate storage of intermediate results or also known program parts (for example for the DES algorithm).
  • control device 1 is connected to the chip card read / write unit 70, the microprocessor 91 of the control device 1 being programmed, for example, to load the useful data N from the memory area of a chip card 49 for use in corresponding memory areas of the franking machine .
  • a first chip card 49 inserted into an insertion slot 72 of the chip card read / write unit 70 allows a data record to be reloaded into the franking machine for at least one application.
  • the chip card 49 contains, for example, the postage fees for all the usual postal carrier services in accordance with the tariff of the postal authority and a postal carrier identifier in order to generate a stamp image with the franking machine and to stamp the postal items in accordance with the tariff of the postal authority.
  • the control device 1 forms the actual meter with the means 91 to 95 of the aforementioned main board 9 and also includes a keyboard 88, a display unit 89 and an application-specific circuit ASIC 90 and interface 8 for the postal security module PSM 100.
  • the safety module PSM 100 is connected to the aforementioned ASIC 90 and the microprocessor 91 and via the parallel ⁇ C bus with at least the means 91 to 95 of the main board 9 and connected to display unit 89.
  • the control bus carries cables for the signals CE, RD and WR between the safety module PSM 100 and the aforementioned ASIC 90.
  • the microprocessor 91 points preferably a pin for one from the PSM 100 security module issued interrupt signal i, further connections for the keyboard 88, a serial interface SI-1 for the connection of the chip card read / write unit 70 and a serial interface SI-2 for the optional connection of a MODEM to means of the MODEM can for example in the non-volatile memory of the postal Security funds PSM 100 stored credit can be increased.
  • the postal security device PSM 100 is secured by a Enclosed housing. Before each franking imprint is made in the postal Security module PSM 100 performed a hardware accounting. Billing takes place independently of cost centers.
  • the postal Safety equipment PSM 100 can be designed internally as in the European application EP 789 333 A3 has been described in more detail.
  • the ASIC 90 is intended to be a serial interface circuit 98 to a device upstream in the post stream, a serial Interface circuit 96 to the sensors and actuators of the Printing device 2, a serial interface circuit 97 for Print control electronics 16 for the print head 4 and a serial Interface circuit 99 to one of the printing device 20 in the mail stream downstream device.
  • DE 197 11 997 is one Design variant for the peripheral interface can be removed, which is suitable for several peripheral devices (stations). It is entitled: Arrangement for communication between a base station and others Stations of a mail processing machine and for its emergency shutdown.
  • the interface circuit 96 coupled to the interface circuit 14 located in the machine base provides at least one connection to the sensors 6, 7, 17 and to the actuators, for example to the drive motor 15 for the roller 11 and to a cleaning and sealing station RDS 40 for the ink jet print head 4 , as well as the label dispenser 50 in the machine base.
  • the basic arrangement and the interaction between inkjet print head 4 and the RDS 40 can be found in DE 197 26 642 C2, with the title: Arrangement for positioning an inkjet print head and a cleaning and sealing device.
  • One of the sensors 7, 17 arranged in the guide plate 20 is the sensor 17 and is used to prepare for the triggering of pressure when transporting letters.
  • the sensor 7 is used to detect the start of a letter for the purpose of triggering pressure when transporting letters.
  • the transport device consists of a conveyor belt 10 and two rollers 11, 11 '.
  • One of the rollers is the drive roller 11 equipped with a motor 15, another is the idler roller 11 '.
  • the drive roller 11 is preferably designed as a toothed roller, and accordingly the conveyor belt 10 is also designed as a toothed belt, which ensures the unambiguous power transmission.
  • An encoder 5, 6 is coupled to one of the rollers 11, 11 '.
  • the drive roller 11 with an incremental encoder 5 is firmly seated on an axis.
  • the incremental encoder 5 is designed, for example, as a slotted disc which interacts with a light barrier 6 and outputs an encoder signal to the main board 9 via the line 19.
  • the individual print elements of the print head are connected to print electronics within its housing and that the print head can be controlled for purely electronic printing.
  • the print control takes place on the basis of the path control, taking into account the selected stamp offset, which is entered via the keyboard 88 or, if necessary, via a chip card and is stored in the non-volatile memory NVM 94.
  • a planned imprint thus results from stamp offset (without printing), the franking print image and, if necessary, further print images for advertising slogan, shipping information (optional prints) and additional editable messages.
  • the NVM 94 non-volatile memory has a plurality of memory areas. These include those that store the loaded postage fee tables in a non-volatile manner.
  • the chip card read / write unit 70 consists of an associated mechanical carrier for the microprocessor card and contacting unit 74. The latter allows the chip card to be securely mechanically held in the reading position and unambiguously signaled that the reading position of the chip card has been reached in the contacting unit.
  • the microprocessor card with the microprocessor 75 has a programmed reading ability for all types of memory cards or chip cards.
  • the interface to the franking machine is a serial interface according to the RS232 standard.
  • the data transfer rate is min. 1.2 K baud.
  • the power supply is switched on by means of a switch 71 connected to the main board. After the power supply is switched on, a self-test function with a readiness message is carried out.
  • FIG. 3 is a perspective view of the franking machine from FIG shown at the back.
  • the franking machine consists of a meter 1 and a base 2.
  • the latter is with a chip card read / write unit 70 equipped, which is arranged behind the guide plate 20 and from the Upper housing edge 22 is accessible.
  • a chip card 49 is turned upwards inserted into the slot 72 below.
  • the guide plate is in contact with the input data a franking stamp 31 printed.
  • the letter feed opening is through a transparent plate 21 and the guide plate 20 laterally limited.
  • the Status display of the plugged onto the main board 9 of the meter 1 Security module 100 is visible from the outside through an opening 109.
  • FIG. 4 shows a block diagram of the postal security module PSM 100 in a preferred variant.
  • the negative pole of the battery 134 is grounded and a pin P23 of the contact group 102.
  • the positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180.
  • the type SL389 / P is suitable for a service life of up to 3.5 years or the type SL-386 / P for a service life of up to 6 years with maximum power consumption by the PSM 100.
  • As a voltage switch 180 a commercially available circuit can be used type ADM 8693ARN can be used.
  • the output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136.
  • the battery monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor 120 via the lines 135, 164 and 137, 139.
  • the output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM, which becomes a non-volatile memory NVRAM of a first technology due to the existing battery 134.
  • the security module is connected to the franking machine via the system bus 115, 117, 118.
  • Processor 120 can communicate with a remote data center through the system bus and modem 83.
  • the billing is performed by the ASIC 150 and checked by the processor 120.
  • the postal accounting data are stored in non-volatile memories of different technologies.
  • the system voltage is present at the supply input of a second memory NV-RAM 114.
  • the latter is a non-volatile memory NVRAM of a second technology, (SHADOWRAM).
  • This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure.
  • the NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112, 113.
  • the ASIC 150 contains at least one hardware accounting unit for the calculation of the postal data to be stored.
  • An access logic to the ASIC 150 is accommodated in the programmable array logic (PAL) 160.
  • the ASIC 150 is controlled by the PAL 160 logic.
  • An address and control bus 117, 115 from the main board 9 is connected to corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one control signal 119 for the program memory FLASH 128.
  • the processor 120 processes a program stored in the FLASH 128.
  • the processor 120, FLASH 28, ASIC 150 and PAL 160 are connected to one another via an internal module system bus, which contains lines 110, 111, 126, 119 for data, address and control signals.
  • the processor 120 of the security module 100 is connected to a FLASH 128 and to the ASIC 150 via an internal data bus 126.
  • the FLASH 128 is supplied with system voltage Us +.
  • the ASIC 150 of the postal security module 100 delivers the addresses 0 to 7 to the corresponding address inputs of the FLASH 128 via an internal address bus 110.
  • the processor 120 of the security module 100 delivers the addresses 8 to 15 to the corresponding address inputs of the FLASH 128 via an internal address bus 111
  • the ASIC 150 of the security module 100 is in communication via the contact group 101 of the interface 8 with the data bus 118, with the address bus 117 and the control bus 115 of the main board 9.
  • processor 120 has memory 122, 124 on which via line 138 has an operating voltage Ub + of one Voltage monitoring unit 12 is supplied.
  • one Real time clock RTC 122 and memory RAM 124 are from one Operating voltage supplied via line 138.
  • the voltage monitoring unit (Battery Observer) 12 also provides a status signal 164 and responds to a control signal 135.
  • the voltage switch 180 gives as output voltage on line 136 for the Battery Observer 12 and memory 116 that of its input voltages as Supply voltage that is greater than the other.
  • the battery 134 of the security module 100 feeds during the idle times the real-time clock in the aforementioned manner outside of normal operation (RTC) 122 with date and / or time registers and / or the static RAM (SRAM) 124, which holds security-relevant data.
  • RTC normal operation
  • SRAM static RAM
  • the tension drops the battery during battery operation below a certain Limit, the voltage monitoring unit 12 becomes the feed point for the RTC and SRAM connected to ground until reset.
  • the voltage on the RTC and SRAM is then 0V.
  • Leading the SRAM 124, e.g. important cryptographic keys contains, is deleted very quickly.
  • the RESET unit 130 is connected via line 131 to pin 3 of the Processor 120 and connected to a pin of the ASIC's 150.
  • the Processor 120 and the ASIC 150 are when the Supply voltage through a reset generation in the RESET unit 130 reset.
  • the processor can change the state of the circuit query (status signal) and thus and / or via the evaluation of the Contents of the deleted memory indicate that the Battery voltage has fallen below a certain value in the meantime Has.
  • the processor can reset the monitoring circuit, i.e. make "schart".
  • the unplugged detection unit 13 has for measuring the input voltage a line 192 through the connector of the security module and interface 8, preferably via a base on the motherboard 9 the franking machine is connected to ground. This measurement is used for static monitoring of being plugged in and forms the basis for monitoring at a first level. It is envisaged that the Unplugged detection unit 13 circuit means for a resettable Exhibits self-retention, whereby self-retention is triggered, when the voltage level on a measuring voltage line 192 of deviates from a predetermined potential.
  • the evaluation logic includes the processor connected to the other functional units 120, which is programmed, the respective state of the security module 100 determine and change. The state of the Latching is via line 139 from processor 120 of the Security module 100 can be queried.
  • the measuring voltage potential on the Line 192 corresponds to ground potential when the security module 100 is properly inserted.
  • Operating voltage potential is on line 139.
  • Ground voltage potential is present on line 139, if the security module 100 is not plugged in.
  • the processor 120 points a fifth pin 5, to which line 139 is connected, to query the status of the unplugged detection unit 13 whether it is switched to ground potential with latching. To the state the latching of the unplugged detection unit 13 via the To reset line 137, processor 120 has a fourth pin 4 on.
  • a current loop 18 is provided which pins 6 and 7 of the Processor 120 also via the connector of the security module and with each other via the base on the main board 9 of the franking machine connects.
  • the lines on pins 6 and 7 of processor 120 are only with a PSM 100 plugged into the main board 9 Current loop 18 closed. This loop forms the basis for dynamic monitoring of the security module being connected on a second level.
  • the processor 120 internally has a processing unit CPU 121, one Real time clock RTC 122, a RAM unit 124 and an input / output unit 125 on The processor 120 is with pins 8, 9 for output at least a signal for signaling the state of the safety module 100 equipped. I / O ports of the input / output unit are located at pins 8 and 9 125, to which module-internal signaling means are connected, for example colored light emitting diodes LED's 107, 108, which the Signal the status of the safety module 100.
  • the security modules can assume various states in their life cycle. So e.g. be detected whether the module is valid cryptographic Contains key. It is also important to differentiate whether that Module works or is defective. The exact type and number of Module states depend on the functions implemented in the module and on the Implementation dependent.
  • the circuit diagram of the detection unit 13 is explained. It is provided that the unplugged detection unit 13 has a voltage divider which consists of a series connection of resistors 1310, 1312, 1314 and is connected between a supply voltage potential tapped by a capacitor 1371 and a measuring voltage potential on line 192.
  • the circuit is supplied with the system or battery voltage via line 136.
  • the respective supply voltage from line 136 reaches the capacitor 1371 of the circuit via a diode 1369.
  • a negator 1320, 1398 is located on the output side of the circuit. In the normal state, the transistor 1320 of the negator is blocked and the supply voltage is effective via the resistor 1398 on the line 139, which therefore leads to logic '1', ie H level in the normal state.
  • An L level on line 139 is advantageous as a status signal for being unplugged because then no current flows into pin 5 of processor 120, which increases battery life.
  • the diode 1369 preferably in conjunction with an electrolytic capacitor 1371, ensures that the circuit upstream of the negator is supplied with a voltage over a relatively long period (> 2 s) at which its function is guaranteed, even though the voltage on line 136 is already was switched off.
  • the voltage divider 1310, 1312, 1314 has a tap 1304, to which a capacitor 1306 and the non-inverting input of a comparator 1300 are connected.
  • the inverting input of the comparator 1300 is connected to a reference voltage source 1302.
  • the output of the comparator 1300 is connected on the one hand via the negator 1324, 1398 to the line 139 and on the other hand to the control input of a switching means 1322 for the self-holding.
  • the switching means 1322 is connected in parallel to the resistor 1310 of the voltage divider and the switching means 1316 for resetting the latching is connected between the tap 1304 and ground.
  • the tap 1304 of the voltage divider lies at the connection point of the resistors 1312 and 1314.
  • the capacitor 1306 connected between the tap 1304 and ground prevents vibrations.
  • the voltage at tap 1304 of the voltage divider is compared in comparator 1300 with the reference voltage of source 1302.
  • the comparator output remains at L level and transistor 1320 of the negator is blocked.
  • line 139 now receives the operating voltage potential and the status signal is logically '1'.
  • the voltage divider is dimensioned such that, at ground potential on line 192, tap 1304 carries a voltage which is safely below the switching threshold of comparator 1300. If the connection is interrupted and the line 192 is no longer connected to ground because the security module 100 has been detached from the base on the main board 9 or interface unit 8 of the franking machine, the voltage at the tap 1304 is drawn via the voltage of the reference voltage source 1302 and the Comparator 1300 switches.
  • the comparator output is switched to H level and consequently transistor 1320 is switched on.
  • line 139 is connected to ground potential and the status signal is logically '0'.
  • a transistor 1322 which is connected in parallel with the resistor 1310 of the voltage divider, a self-holding circuit of the unplugged detection unit 13 is realized.
  • the control input of transistor 1322 is switched to H level by the comparator output.
  • the transistor 1322 turns on and bridges the resistor 1310.
  • the voltage divider is only formed by the resistors 1312 and 1314.
  • the switchover threshold is increased to such an extent that the comparator also remains in the switched state when the line 192 is again at ground potential because the safety module has been plugged in again.
  • the state of the circuit can be queried by the processor 120 via the signal on line 139.
  • the unplugged detection unit 13 has a line 137 as a switching means and a switching means 1316 for resetting the latching, the resetting being able to be triggered by the processor 120 via a signal on the line 137.
  • the processor 120 can contact a remote data center at any time via a user circuit ASIC 150, a first contact group 101, a system bus of the control device 1 and, for example, the microprocessor 91 via modem 83, which checks the accounting data and, if necessary, further data to the Processor 120 communicates.
  • the user circuit ASIC 150 of the security module 100 is connected to the processor 120 via an internal data bus 126.
  • the processor 120 can reset the unplugged detection unit if a reinitialization could be successfully completed using the transmitted data.
  • the transistor 1316 is switched through via the reset signal on the line 137 and thus the voltage at the tap 1304 is drawn below the reference voltage of the source 1302 and the transistors 1320 and 1322 are blocked. If the transistor 1322 is blocked in the normal state, the resistors 1310 and 1312 form the upper part of the above-mentioned voltage divider in series and the switching threshold is lowered again to the original state.
  • FIG. 6 shows the mechanical structure of the security module in side view.
  • the security module is designed as a multi-chip module, i.e. several functional units are on a printed circuit board 106 interconnected.
  • the security module 100 is with a hard potting compound 105 potted, the battery 134 of the security module 100 outside the sealing compound 105 on a printed circuit board 106 is interchangeably arranged.
  • one Potting material 105 potted that signaling means 107, 108 from the Potting material protrude in a first place and that the Printed circuit board 106 with the inserted battery 134 on the side of a second one Spot protrudes.
  • Circuit board 106 also has battery contact terminals 103 and 104 for connecting the poles of the battery 134, preferably on the component side above the circuit board 106. It it is provided that for plugging in the postal security module PSM 100 on the main board of meter 1, the contact groups 101 and 102 below the printed circuit board 106 (conductor track side) of the security module 100 are arranged. The ASIC 150 user circuit has stopped via the first contact group 101 - in a manner not shown - with the System bus of a control device 1 in communication connection and the second contact group 102 is used to supply the security module 100 with the system voltage.
  • the security module on the Main board plugged in is preferably inside the meter housing arranged in such a way that the signaling means 107, 108 are close an opening 109 or protrudes into this.
  • the meter case is thus advantageously constructed so that the user can view the status of the Security module can still see from the outside.
  • the two LEDs 107 and 108 of the signaling means are via two output signals of the I / O ports on pins 8, 9 of processor 120 are controlled. Both LEDs are housed in a common component housing (Bicolor LED), which is why the dimensions or diameter the opening can remain relatively small and of the order of magnitude Signal means is. In principle, three different colors can be displayed (red, green, orange).
  • the LEDs are also used to differentiate the status used flashing, so that 8 different status groups can be distinguished can be characterized by the following LED states: LED glowing green, LED glowing red, LED orange glowing, LED red flashing, LED flashing green, LED flashing orange, LED flashing red and flashing orange and LED green and flashing orange.
  • FIG. 7 is a top view of the postal security module shown.
  • FIGS. 8a and 8b each show a view of the security module from the right or from the left.
  • a green lit LED 107 signals an OK state 220, but a lit LED 108 signals an error state 230 as a result of an at least static self-test.
  • the result of such a self-test known per se cannot be falsified because of the direct signaling via the LEDs 107, 108.
  • the ongoing check in dynamic operation would determine the error and signal it as status 240 with orange LEDs. Booting is required after switching off / on, otherwise no other operation can be carried out.
  • the case that the installation of a key was forgotten during manufacture is signaled as state 260, for example with a flashing green LED 107.
  • the first functional unit is the processor 120. This constantly evaluates a second daily credit to determine whether the latter has been exhausted. That is the case where a long time timer has expired.
  • the long time timer has expired if the data center has not been contacted for too long, for example to reload a credit.
  • the data center can, for example, specify 90 days as a time credit and load it into a memory 124 of the security device during installation or during reloading. After these 90 days, a LOST "state 250 is signaled by a flashing red LED.
  • the long time timer is preferably a downward counter which is implemented in processor 120.
  • state 250 Since the count reaches zero when the time expires, state 250 also remains when the safety module has been disconnected from the meter , after the LOST "state has been reached. If the last contact to the data center was made so long that this already appears suspicious, the suspicious state 270 is signaled, preferably a down counter, which is also implemented in the processor 120 and which continuously provides a first daily credit of, for example, 30 days thereafter evaluates whether the latter is exhausted.
  • a down counter which is also implemented in the processor 120 and which continuously provides a first daily credit of, for example, 30 days thereafter evaluates whether the latter is exhausted.
  • Additional status displays for status 280 and 290 are optional for various other tests are planned.
  • the second functional unit can if necessary, monitor the battery voltage to determine whether its Capacity is exhausted.
  • a state 290 can be advantageous for one Required battery change is signaled by LEDs 107, 108 that glow green and blink orange, and thus the Generate the overall effect of the alternating green / orange flashing.
  • FIG. 10 shows a representation of the tests in the system for statically and dynamically changeable states.
  • a switched-off system in state 200 changes after switching on via transition start 201 to state 210, in which the safety modules carry out a static self-test as soon as the operating voltage is present.
  • state 210 in which the safety modules carry out a static self-test as soon as the operating voltage is present.
  • transition 202 in which the self-test gives an OK if the result is correct
  • state 220 is reached with LED 107 glowing green.
  • Transition 203 illustrating such tests leads back to state 220 LED green when OK.
  • a transition 206 leads to state 240 and the LEDs light up orange in the event of an error being detected during the dynamic self-test.
  • state 270 LEDs 107, 108 flashing orange indicate that the connection to the data center is to be established, since the Security device is already considered suspect.
  • the state 210 is reached again via the transition 212, which results in the reloading.
  • state 250 the state flashes with red flashing LED 108 LOST "signaled.
  • state 260 is reached with LED 107 flashing green.
  • optional further transitions can either lead to further state 280 with LEDs flashing red / orange or to state 290 with LEDs flashing green / orange.
  • a temperature measurement indicates that the entire safety module has to be replaced.
  • a capacity measurement of the battery reveals a need to change the battery.
  • FIG. 11 shows a side view of the mechanical structure of the security module according to a second variant.
  • the security module is again designed as a multi-chip module and encapsulated with a hard potting compound 105, the battery 134 of the security module 100 being interchangeably arranged outside the encapsulating compound 105 on a printed circuit board 106.
  • the potting takes place at a first point with a potting material 105 such that the signaling means 107, 108 and the inserted battery 134 are mounted externally from the potting material at a second point on the upper side of the printed circuit board 106.
  • the circuit board 106 again has battery contact terminals 103 and 104 for connecting the poles of the battery 134, preferably on the component side above the circuit board 106.
  • the two light-emitting diodes 107 and 108 of the signaling means are separate components.
  • the two light-emitting diodes 107 and 108 of the signaling means are controlled via two output signals of the I / O ports on the pins 8, 9 of the processor 120.
  • the LEDs can also be controlled flashing so that different status groups can be distinguished.
  • the meter housing is also again designed so that the user can see the status display of the security module from the outside, for example through a viewing window or an opening 109.
  • the contact groups 101 and 102 are arranged below the printed circuit board 106 of the security module 100 in order to connect the postal security module PSM 100 to the main board of the meter 1.
  • a connector 127 advantageously contains the contact groups 101 and 102, a connector 127 being arranged on the conductor track side of the printed circuit board 106.
  • FIG. 12 is a top view of the postal security module the second variant.
  • the potting compound 105 surrounds cuboid the first part of the circuit board 106, while the second part of the Printed circuit board 106 for the two light-emitting diodes 107 and 108, the replaceable battery 134 and for the connector 127 (here not visible) remains free of potting compound.
  • the battery contact terminals 103 and 104 are covered by the battery in FIG. 12, but are as well as the connector 127 visible in the side view according to Fig. 13a.
  • the potting of the first part of the circuit board 106 shows neither openings still surveys and thus offers fewer points of attack for one Manipulation with criminal intent.
  • the potting material 105 is preferably a two-component epoxy resin or polymer or Plastic.
  • a potting compound made of STYCAST ®2651-40 FR is suitable from EMERSON & CUMING with preferably CATALYST 9 as second component.
  • FIGS. 13a and 13b show a view of the security module of the second variant from the right and from the left, respectively.
  • the position of the connector 127 with the contact groups 101 and 102 below the circuit board 106 can be seen more clearly from FIGS. 13a and 13b in connection with FIG.
  • a connector 127 may be attached to the top of the second portion of the circuit board 106 in a manner not shown.
  • another signaling means can also be used in connection with a postal device.
  • the postal device in particular a franking machine.
  • the security module can then be approved as a postal security device PSD (POSTAL SECURITY DEVICE) by the respective postal authority.
  • PSD POSTAL SECURITY DEVICE
  • the security module or PSD also have a different design, which allows it to be, for example, on the motherboard of a Personal computer can be plugged in as a PC franking machine controls conventional printer.

Abstract

The method involves monitoring the state of the use or exchange of the security module using at least two functional units, such as a microprocessor (120), a monitoring unit (12) and a detection unit (13). The state is signaled using the microprocessor. Sensitive data are erased by the monitoring unit when improper use or exchange is detected. The monitoring unit may monitor the correct installation or state of a battery (134). The detection unit may block the functionality on the basis of an exchange of the security module or a destruction condition. An Independent claim is included for an apparatus for performing the method.

Description

Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art, und eine Anordnung zur Durchführung des Verfahrens, gemäß der im Oberbegriff des Anspruchs 10 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.The invention relates to a method for protecting a security module, according to the type specified in the preamble of claim 1, and a Arrangement for performing the method, according to the in the preamble of claim 10. Such a postal Security module is especially for use in a Franking machine or mail processing machine or computer with Mail processing function suitable.

Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell möglich, beliebige Texte und Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikroprozessor, welcher von einem gesicherten Gehäuse umgeben ist, das eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Briefzuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck beinhaltet eine zuvor eingegebene und gespeicherte postalische Information zur Beförderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwaremäßig vor, übt eine Überwachungsfunktion ggf. bezüglich der Bedingungen für eine Datenaktualisierung aus und steuert das Nachladen eines Portwertguthabens.Modern franking machines, such as that known from US 4,746,234 Thermal transfer franking machine, set a fully electronic digital Printing device. In principle, it is possible to use any text and Special characters in the franking stamp printing area and any or print an advertising slogan assigned to a cost center. So had for example the applicant's franking machine T1000, a microprocessor, which is surrounded by a secured housing that has an opening for feeding a letter. With a letter feed transmits a mechanical letter sensor (microswitch) Pressure request signal to the microprocessor. The franking imprint contains previously entered and stored postal information to carry the letter. The control unit of the franking machine performs software billing, exercises a monitoring function possibly with regard to the conditions for a data update and controls the reloading of a port credit.

Für die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Dateneingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, mit mindestens einem nichtflüchtigen Speicher zum Speichern von Postgebührendaten, mit mindestens einem nichtflüchtigen Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer Kalender/Uhr ausgestattet. Der nichtflüchtige Speicher der sicherheitsrelevanten Daten und/oder die Kalender/Uhr wird gewöhnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheitsrelevante Daten (kryptografische Schlüssel u.ä.) in nichtflüchtigen Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder batteriegesicherte SRAM. Bekannte Frankiermaschinen verfügen oft auch über eine interne Echtzeituhr (Real Time Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module müssen nach Ablauf der Lebensdauer der Batterie im Ganzen ausgetauscht und entsorgt werden. Aus wirtschaftlichen und ökologischen Gesichtspunkten ist es günstiger, wenn nur die Batterie ausgetauscht werden muß. Dazu muß jedoch das Sicherheitsgehäuse geöffnet und anschließend wieder verschlossen und gesiegelt werden, denn die Sicherheit gegenüber Betrugsversuchen beruht im Wesentlichen auf dem gesicherten Gehäuse, welches die gesamte Maschine umschließt. Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits ein geeignetes Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in welchem zwischen einem authorisierten und unauthorisierten Öffnen des Sicherheitsgehäuses unterschieden wird.For the thermal transfer franking machine mentioned above, was already in US 5,606,508 (DE 42 13 278 B1) and in US 5,490,077 a data input option proposed by means of chip cards. One of the Chip cards load new data into the franking machine and a set additional chip cards are permitted by inserting a chip card Make settings according to stored data. The Data loading and the setting of the franking machine can be done with it more convenient and faster than using the keyboard. A Franking machine for franking mail, is with a printer for Printing the postage stamp on the mail, with a control for Control the printing and peripheral components of the Franking machine, with a billing unit for billing Postage, with at least one non-volatile memory for Storage of postage data, with at least one non-volatile Memory for storing safety-relevant data and with one Calendar / clock equipped. The non-volatile memory of the safety-relevant Dates and / or the calendar / clock is usually from one Battery powered. Known franking machines are security-relevant Data (cryptographic keys, etc.) in non-volatile Save saved. These memories are EEPROM, or FRAM battery-backed SRAM. Known franking machines often also have via an internal real time clock (RTC), which is controlled by a Battery is powered. For example, potted modules that Integrated circuits and a lithium battery included. These modules after the end of the battery life as a whole exchanged and disposed of. From economic and ecological From a point of view, it is cheaper if only the battery is replaced must become. To do this, however, the safety housing must be opened and then be closed and sealed again because the Security against attempted fraud is essentially based on the secured housing that encloses the entire machine. On the part of the applicant has already been described in EP 660 269 A2 (US 5,671,146) appropriate method to improve the security of Franking machines proposed, in which between one authorized and unauthorized opening of the security housing is distinguished.

Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann vor Ort nur schwer möglich, wenn der Zugang zu den Bauteilen erschwert oder eingeschränkt ist. Bei größeren Postverarbeitungsmaschinen oder sogenannten PC-Frankierern wird zukünftig das gesicherte Gehäuse auf das sogenannte postalische Sicherheitsmodul reduziert werden, was die Zugänglichkeit zu den übrigen Bauteilen verbessern kann.Zum wirtschaftlichen Austauschen der Batterie des Sicherheitsmoduls wäre es außerdem wünschenswert, daß sich diese auf relativ einfachem Wege auswechseln läßt. Dazu muß sich die Batterie außerhalb des Sicherheitsbereichs der Frankiermaschine befinden. Wenn die Batterieklemmen aber von außen zugänglich gemacht werden, ist ein möglicher Angreifer in der Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM und RTC haben bzgl. ihrer geforderten Betriebsspannung unterschiedliche Anforderungen. Die notwendige Spannung zum Halten von Daten von SRAM liegt unterhalb der geforderten Spannung zum Betrieb von RTC. Daß bedeutet, daß ein Verringern der Spannung unter einen bestimmten Grenzwert zu einem unerwünschten Verhalten der Komponenten führt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM-Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens eine der Sicherheitsmaßnahmen, beispielsweise Long Time Watchdogs, wären dann auf der Frankiermaschinenseite unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die enifernte Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankiereinrichtung per Kommunikationsverbindung melden kann. Nach erfolglosen Ablauf des Zeitkredits oder der Frist wird das Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeitdauer bis zur nächsten Guthabennachladung zu ermitteln, wobei seitens einer Datenzentrale diejenige Frankiermaschine als suspekt gilt, welche sich nicht fristgemäß meldet. Suspekte Frankiermaschinen werden der Postbehörde mitgeteilt, welche den Poststrom nach von suspekten Frankiermaschinen frankierten Briefen überwacht. Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt. Der Benutzer wird aufgefordert die überfällige Kommunikation durchzuführen. Diese Frankiereinrichtung besitzt jedoch kein separates Sicherheitsmodul.A postage meter repair that may be necessary is then difficult on site if access to the components is difficult or is restricted. For larger mail processing machines or So-called PC frankers, the secured housing will be opened in the future the so-called postal security module can be reduced, which the Accessibility to the other components can improve economic It would also be replacing the battery of the security module desirable that they exchange in a relatively simple way leaves. To do this, the battery must be outside the safety zone the franking machine. If the battery terminals though being made accessible from the outside is a possible attacker in the Able to manipulate the battery voltage. Known battery powered SRAM and RTC have different operating voltage requirements Conditions. The necessary tension to hold SRAM data is below the required voltage to operate from RTC. That means reducing the tension under one certain limit value for undesired behavior of the components leads: The RTC stops, the time - stored in SRAM cells - And the memory contents of the SRAM are retained. At least one of the security measures, such as long time watchdogs, would then be ineffective on the franking machine side. Under long time Watchdogs understood the following: The remote data center gives a time credit or a period, in particular a number of Days, or a certain day before, by which the franking device can report via communication link. After unsuccessful Franking is prevented from expiry of the time credit or the deadline. Under the title: Process and arrangement for generation and verification A security imprint was already in EP 660 270 A2 (US 5,680,463) proposed a method, the expected time until the next credit reload, on the part of In a data center, the postage meter machine that is suspect is suspect does not report on time. Suspect franking machines become the Postal authority notified the post stream of suspicious franking machines franked letters monitored. An expiration of the time credit or the deadline is already determined by the franking device. The User is asked to perform the overdue communication. However, this franking device does not have a separate security module.

Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel im Gehäuse umfaßt. Das Abschirmmittel besteht aus Einkapselungsmaterial und Leitungsmitteln, an welchen die Stromversorgungs- und Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine Veränderung des Leitungswiderstandes des Leitungsmittels. Außerdem enthält das Sicherheitsmodul eine interne Batterie, einen Spannungsumschalter von Systemspannung auf Batteriespannung, ein Power Gate und einen Kurzschlußtransistor sowie weitere Sensoren. Wenn die Spannung eine bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leitungswiderstand, die Temperatur oder die Strahlung verändert ist, reagiert die Logik. Mittels des Power Gate oder mittels der Logik wird der Ausgang des Kurzschlußtransistor auf L-Pegel umgeschaltet, wodurch ein im Speicher gespeicherter kryptographischer Schlüssel gelöscht wird. Jedoch ist die Lebensdauer der nicht auswechselbaren Batterie und damit des Sicherheitsmoduls für den Einsatz in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein.Security modules are from electronic data processing systems already known here. To protect against intrusion into an electronic In EP 417 447 B1, a lock is already proposed, which Power supply and signal detection means and shielding means includes in the housing. The shielding agent consists of encapsulation material and line means to which the power supply and Signal acquisition means are connected. The latter responds to one Change in the line resistance of the line means. Moreover the safety module contains an internal battery, a voltage switch from system voltage to battery voltage, a power gate and a short-circuit transistor and other sensors. If the If the voltage drops below a certain limit, the power reacts Gate. If the line resistance, the temperature or the radiation the logic reacts. Using the Power Gate or the Logic, the output of the short-circuit transistor is switched to L level, whereby a cryptographic stored in memory Key is deleted. However, the lifespan is non-interchangeable Battery and thus the safety module for use in Franking equipment or mail processing machines too small.

Eine größere Postverarbeitungsmaschine ist beispielsweise die JetMail®. Ein Frankierdruck wird hier mittels einem stationär angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten annähernd vertikalen Brieftransport erzeugt. Eine geeignete Ausführung für eine Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soll das Meter mit einem Gehäuse ausgestattet werden, so daß Bauteile leichter zugänglich sind, dann muß es durch ein postalisches Sicherheitsmodul vor Betrugsversuchen geschützt werden, welches mindestens das Abrechnen der Postgebühren durchführt. Um Einflüsse auf den Programmverlauf auszuschließen, wurde bereits in der EP 789 333 A2 unter dem Titel: Frankiermaschine vorgeschlagen, ein Sicherheitsmodul mit einer Anwenderschaltung (Application Specific Integrated Circuit) ASIC auszustatten, die eine Hardware-Abrecheneinheit aufweist. Die Anwenderschaltung steuert außerdem die Druckdatenübertragung zum Druckkopf. A larger mail processing machine is, for example, the JetMail®. A franking imprint is arranged here by means of a stationary one Inkjet printhead with a non-horizontal approximately vertical Letter transport generated. A suitable version for one Printing device has already been proposed in DE 196 05 015 C1. The mail processing machine has a meter and a base. Should that Meters can be equipped with a housing, making components lighter accessible, then it must be through a postal security module be protected from attempted fraud, which includes at least billing who carries out postage. To influence the course of the program exclude was already in EP 789 333 A2 under the Title: Postage meter proposed a security module with a Equip user circuit (Application Specific Integrated Circuit) ASIC, which has a hardware accounting unit. The user circuit also controls the print data transfer to the print head.

Letzteres wäre nur dann nicht erforderlich, wenn für jedes Poststück einzigartige Abdruke erzeugt werden. Ein geeignetes Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet.The latter would not be necessary only if for each item of mail unique prints can be created. A suitable procedure and Arrangement for generating and checking a security imprint is for example in US 5,680,463, US 5,712,916 and US 5,734,723 been proposed. A special security marking is used generated electronically and embedded in the printed image.

Weitere Maßnahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig erschöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls.Further measures to protect a security module from Attack on the data stored in it were also not in the Pre-published German applications 198 16 572.2 and 198 16 571.4 proposed. With a large number of sensors, the Power consumption and one not constantly from a system voltage The supplied security module then pulls the one required for the sensors Power from its internal battery, which also depletes the latter at an early stage. Limit battery capacity and power consumption thus the lifespan of a security module.

Frankiermaschinen sind wie viele andere Produkte ebenfalls modular aufgebaut. Diese Modularität ermöglicht den Austausch von Modulen und Komponenten aus verschiedenen Gründen. So können z.B. defekte Module ausgetauscht und durch überprüfte, reparierte oder neue Module ersetzt werden. Da eine höchste Sorgsamkeit beim Austausch von Baugruppen erforderlich ist, die sicherheitsrelevante Daten enthalten, erfordert der Austausch in der Regel den Einsatz eines Service Technikers und Maßnahmen, die bei unsachgemäßem Gebrauch bzw. unauthorisierten Austausch eines Sicherheitsmoduls dessen Funktionsweise unterbinden. Letzteres ist aber sehr aufwendig.Like many other products, franking machines are also modular built up. This modularity enables the exchange of modules and Components for various reasons. For example, defective Modules exchanged and checked, repaired or new modules be replaced. Because the greatest care when exchanging Assemblies that contain safety-relevant data are required, The exchange usually requires the use of a service Technician and measures taken in the event of improper use or unauthorized replacement of a security module and its functionality prevent. The latter is very complex.

Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den Schutz vor einem unbefugt manipulierten Sicherheitsmodul zu gewährleisten, wenn das Sicherheitsmodul austauschbar angeordnet ist. Der Austausch soll von jederman auf möglichst einfache Weise möglich sein.The invention is based, with little effort the task To ensure protection against an unauthorized manipulated security module, if the security module is arranged interchangeably. The Exchange should be possible in the simplest possible way.

Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 und mit den Merkmalen der Anordnung nach Anspruch 10 gelöst.The object is achieved with the features of the method according to claim 1 and solved with the features of the arrangement according to claim 10.

Die Erfindung geht davon aus, mittels Funktionseinheiten den Austausch, die Manipulation und den Gebrauch eines Sicherheitsmoduls einer Frankiermaschine, Postverarbeitungseinrichtung oder ähnlichen Gerätes festzustellen, um den Benutzern der verschiedenen Geräte eine Gewährleistung über die korrekte Funktionsweise des Sicherheitsmoduls und damit des gesamten Gerätes bieten zu können. Ein Austauschen oder Beschädigen des Sicherheitsmoduls wird mindestens detektiert und ggf. nachträglich als Zustand signalisiert, wenn der Sicherheitsmodul wieder gesteckt ist und mit einer Systemspannung versorgt wird. Die Veränderungen des Zustandes des Sicherheitsmoduls werden mittels einer ersten Funktionseinheit und mittels einer Detektionseinheit erfaßt, welche eine rücksetzbare Selbsthaltung aufweist und von einer Batterie versorgt wird. Die erste Funktionseinheit kann den jeweiligen Zustand auswerten, wenn sie wieder mit Systemspannung versorgt wird. Die Vorteile liegen in einer schnellen Reaktion auf Veränderungen des Zustandes des Sicherheitsmoduls und in einem geringem Batteriestromverbrauch der Detektionseinheit auch während der Nichtversorgung mit der Systemspannung.The invention is based on the exchange by means of functional units, the manipulation and use of a security module Franking machine, mail processing device or similar device to ensure a guarantee to the users of the various devices about the correct functioning of the safety module and to be able to offer the entire device. An exchange or Damage to the security module is at least detected and if necessary subsequently signaled as a state when the safety module is back is plugged in and is supplied with a system voltage. The changes the state of the security module are determined by means of a first Functional unit and detected by a detection unit which a resettable self-holding and is powered by a battery. The first functional unit can evaluate the respective state if it is supplied with system voltage again. The advantages are in one quick reaction to changes in the state of the safety module and in a low battery power consumption of the detection unit even during the non-supply with the system voltage.

Eine zweite Funktionseinheit kann die Batteriespannung gegebenenfalls daraufhin überwachen, ob deren Kapazität erschöpft ist. Ein erforderlicher Batteriewechsel wird signalisiert, wobei natürlich eine Versorgung durch die Systemspannung gesichert sein muß. Es ist mindestens dann von einem unsachgemäßem Gebrauch eines Sicherheitsmoduls bei dem Austausch auszugehen, bei welchen nicht nur die Systemspannung fehlt, sondern auch die austauschbar angeordnete Batterie entfernt wird. Damit der Austausch von möglichst gering qualifiziertem Personal und in Zukunft gar durch den Benutzer ausgeführt werden kann, übernimmt die zweite Funktionseinheit die Überwachung auf Spannungsausfall beim Austausch der Batterie, wobei die erste Funktionseinheit erforderlichenfalls zunächst sensitive Daten löscht und damit den weiteren Gebrauch des Sicherheitsmoduls einschränkt oder gar unterbindet. Nach einer vor-Ort-Inspektion des Sicherheitsmoduls durch einen Service, kann bei intaktem Gehäuse, der ursprüngliche Funktionsumfang wiederhergestellt werden. Die erste Funktionseinheit erzwingt bei einer späteren Wiederinbetriebnahme eine Kontaktaufnahme des Sicherheitsmoduls mit einer entfernten Datenzentrale zum Freischalten mindestens einer Funktionseinheit. Falls ohne Batteriewechsel der ganze Sicherheitsmodul ausgetauscht wurde, werden zunächst durch die zweite Funktionseinheit ebenfalls sensitive Daten gelöscht, jedoch können bei der Wiederinbetriebnahme die sensitiven Daten reinitialisiert werden. Zur Kontaktaufnahme sind Verfahren mit einer digitalen oder analogen Übertragungsstrecke einsetzbar. Ebenfalls wird eine Inspektion des Sicherheitsmoduls dann durch einen Service veranlaßt. Der Sicherheitsmoduls kann verschiedene Zustände signalisieren. So kann beispielsweise unterschieden werden, ob der letzte Kontakt zur Datenzentrale solange zurückliegt, daß dies bereits verdächtig erscheint oder zulange, daß eine Reinitialisierung nicht mehr gestattet wird. Die erste Funktionseinheit wertet ständig einen ersten Tageskredit aus. Wenn letzterer erschöft ist, wird der suspekte Zustand signalisiert. Durch Kontaktaufnahme mit der Datenzentrale kann der nor-male Arbeitszustand wiederhergestellt werden, ohne daß eine Inspektion vor Ort durch einen Service erforderlich wird. Der Zeitkredit kann variabel und von Sicherheitsgerät zu Sicherheitsgerät unterschiedlich sein. Der Zeitkredit kann von der Datenzentrale vorgegeben und bei der Installation in einen Speicher des Sicherheitsgerätes geladen werden. Die erste Funktionseinheit wertet ständig einen zweiten Tageskredit aus. Wenn letzterer erschöft ist, wird der Zustand

Figure 00070001
LOST" signalisiert. Im letzteren Fall wird ebenfalls eine Inspektion des Sicherheitsmoduls durch einen Service vor Ort erforderlich.A second functional unit can, if necessary, monitor the battery voltage to determine whether its capacity has been exhausted. A necessary battery change is signaled, whereby of course a supply must be secured by the system voltage. At least then, improper use of a security module during the exchange can be assumed, in which not only the system voltage is missing, but also the replaceable battery is removed. So that the exchange of as little qualified personnel as possible and in the future even by the user can be carried out, the second functional unit monitors for a power failure when the battery is replaced, the first functional unit initially deleting sensitive data if necessary and thus restricting the further use of the security module or even prevented. After an on-site inspection of the safety module by a service, the original range of functions can be restored if the housing is intact. The first functional unit forces the security module to contact a remote data center to activate at least one functional unit when it is put back into service later. If the entire security module has been replaced without changing the battery, sensitive data is initially also deleted by the second functional unit, but the sensitive data can be reinitialized when it is put back into operation. Methods with a digital or analog transmission link can be used to establish contact. An inspection of the security module is then also initiated by a service. The safety module can signal different states. For example, a distinction can be made as to whether the last contact with the data center was made so long that this already appears suspicious or that it is too long that reinitialization is no longer permitted. The first functional unit continuously evaluates a first daily loan. When the latter is exhausted, the suspicious condition is signaled. By contacting the data center, the normal working status can be restored without the need for an on-site inspection by a service. The time credit can be variable and can vary from security device to security device. The time credit can be specified by the data center and loaded into a memory of the security device during installation. The first functional unit continuously evaluates a second daily credit. When the latter is exhausted, the condition becomes
Figure 00070001
LOST "signal. In the latter case, an inspection of the security module by an on-site service is also required.

Das Verfahren zum Schutz eines Sicherheitsmoduls beinhaltet die folgenden Schritte:

  • Überwachung des Zustandes, des sachgemäßen Gebrauchs oder Austausches des Sicherheitsmoduls mindestens mittels zweier Funktionseinheiten,
  • Signalisieren mindestens eines Zustandes gesteuert mittels einer ersten Funktionseinheit,
  • Löschen von sensitiven Daten aufgrund eines unsachgemäßen Gebrauchs oder Austausches mindestens mittels einer zweiten Funktionseinheit.
The procedure for protecting a security module includes the following steps:
  • Monitoring the condition, correct use or replacement of the security module using at least two functional units,
  • Signaling at least one state controlled by means of a first functional unit,
  • Deletion of sensitive data due to improper use or exchange at least by means of a second functional unit.

Dann erfolgt ein weiterer Verfahrensablauf mit den Schritten:

  • Reinitialisieren mittels der ersten Funktionseinheit von zuvor gelöschten sensitiven Daten nach sachgemäßem Gebrauch oder Austausch des Sicherheitsmoduls,
  • Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des Sicherheitsmodules.
Then there is a further procedure with the steps:
  • Reinitialization by means of the first functional unit of previously deleted sensitive data after proper use or replacement of the security module,
  • Recommissioning by activating the functional units of the safety module.

Gegebenenfalls muß ein Austausch des Sicherheitsmoduls vorgenommen werden. Mittels einer dritten Funktionseinheit kann sowohl ein Austausch- als auch ein Zerstörungszustand nach einem mechanischen oder chemischen Angriff detektiert werden, mit dem Schritt:

  • Sperren der Funktionalität mittels der dritten Funktionseinheit aufgrund eines Austausches des Sicherheitsmoduls oder aufgrund eines Zerstörungszustandes nach einem Angriff.
If necessary, the security module must be replaced. A third functional unit can be used to detect both an exchange and a destruction state after a mechanical or chemical attack, with the step:
  • Blocking of the functionality by means of the third functional unit due to an exchange of the security module or due to a state of destruction after an attack.

Es ist vorgesehen, daß das Reinitialisieren in Verbindung mit einer Kommunikation mittels einer entfernten Datenzentrale von der ersten Funktionseinheit vorgenommen wird, nachdem eine dynamische Gestecktsein-Detektion erfolgreich durchgeführt wurde, wobei während der Detektion von der ersten Funktionseinheit über eine Stromschleife der Interfaceeinheit Informationen ausgetauscht werden, deren fehlerfreie Übermittlung den Beweis für den sachgemäßen Einbau des Sicherheitsmodules erbringt. Das Freischalten von Funktionseinheiten des Sicherheitsmodules erfolgt durch deren Rücksetzen. Die erste Funktionseinheit ist ein mit den anderen Funktionseinheiten verbundener Prozessor, welcher programmiert ist, den jeweiligen Zustand festzustellen. Die zweite Funktionseinheit ist eine Spannungsüberwachungseinheit mit rücksetzbarer Selbsthaltung und die dritte Funktionseinheit ist eine Detektionsschaltung mit rücksetzbarer Selbsthaltung, die einen vorhergegangenen Ungestecktsein-Zustand und ebenso einen Zerstörungszustand nach einem mechanischen oder chemischen Angriff detektieren kann. Für diese statische Detektion ist die Vergußmasse mit zusätzlichen Mitteln ausgestattet, welche das Sicherheitsmodul bei einem Angriff warnen und ggf. schützen.Reinitialization is intended to be associated with communication by means of a remote data center from the first functional unit is made after a dynamic plug-in detection was successfully carried out during the detection from the first functional unit via a current loop of the interface unit Information is exchanged, its error-free transmission proof of the correct installation of the safety module he brings. The activation of functional units of the safety module is done by resetting them. The first functional unit is a with processor connected to the other functional units, which programs is to determine the respective state. The second functional unit is a voltage monitoring unit with resettable Self-holding and the third functional unit is a detection circuit with resettable self-retention, which is a previous unplugged state and also a state of destruction after a mechanical one or detect chemical attack. For this static Detection, the sealing compound is equipped with additional means, which warn and possibly protect the security module in the event of an attack.

Die Anordnung zur Durchführung des Verfahrens hat ein Sicherheitsmodul, mit einer Logik mit Mitteln zur Versorgung des Sicherheitsmoduls mit einer Systemspannung oder mit einer Spannung aus einer Batterie und mit einer Anzahl an Überwachungsmitteln. Sie ist gekennzeichnet durch mindestens eine erste und zweite Funktionseinheit sowie durch Mittel zum Laden mindestens eines von der Datenzentrale vorgegebenen Zeitkredits und durch ein Signalmittel, welches mit einer ersten Funktionseinheit verbunden ist, wobei das Laden bei der Installation und beim Nachladen in einen Speicher des Sicherheitsgerätes vorgenommen wird, und wobei die erste Funktionseinheit einen Tageskredit auf Zeitablauf auswertet und das Signalmittel ansteuert, mindestens um den Zeitablauf zu signalisieren, sowie durch Mittel der zweiten Funktionseinheit zum Löschen von sensitiven Daten im Speicher aufgrund eines unsachgemäßen Gebrauchs oder Austausches des Sicherheitsmoduls.The arrangement for performing the method has a security module, with logic with means for supplying the security module with a system voltage or with a voltage from a battery and with a number of monitoring means. It is marked by at least a first and second functional unit and by Means for loading at least one specified by the data center Time credits and by means of a signal which is linked to a first Functional unit is connected, loading during installation and made when reloading into a memory of the security device is, and wherein the first functional unit on a daily loan Evaluates the passage of time and controls the signaling means, at least by the To signal the passage of time, as well as by means of the second Functional unit for deleting sensitive data in the memory due to improper use or replacement of the Security module.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:

  • Figur 1, Blockbild und Interface des Sicherheitsmoduls,
  • Figur 2, Blockschaltbild der Frankiermaschine,
  • Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten,
  • Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante),
  • Figur 5, Schaltbild der Detektionseinheit,
  • Figur 6, Seitenansicht des Sicherheitsmoduls (1 .Variante),
  • Figur 7, Draufsicht auf das Sicherheitsmodul (1 .Variante),
  • Figur 8a, Ansicht des Sicherheitsmoduls von rechts (1 .Variante),
  • Figur 8b, Ansicht des Sicherheitsmoduls von links (1 .Variante),
  • Figur 9, Tabelle für Statussignalisierung,
  • Figur 10, Darstellung der Prüfungen im System für statische und dynamisch änderbare Zustände,
  • Figur 11, Seitenansicht des Sicherheitsmoduls (2.Variante),
  • Figur 12, Draufsicht auf das Sicherheitsmodul (2.Variante),
  • Figur 13a, Ansicht des Sicherheitsmoduls von rechts (2.Variante),
  • Figur 13b, Ansicht des Sicherheitsmoduls von links (2.Variante).
  • Advantageous developments of the invention are characterized in the subclaims or are shown in more detail below together with the description of the preferred embodiment of the invention with reference to the figures. Show it:
  • FIG. 1, block diagram and interface of the security module,
  • FIG. 2, block diagram of the franking machine,
  • FIG. 3, perspective view of the franking machine from behind,
  • FIG. 4, block diagram of the security module (second variant),
  • FIG. 5, circuit diagram of the detection unit,
  • FIG. 6, side view of the security module (1st variant),
  • FIG. 7, top view of the security module (1st variant),
  • FIG. 8a, view of the security module from the right (1st variant),
  • FIG. 8b, view of the security module from the left (1st variant),
  • FIG. 9, table for status signaling,
  • FIG. 10, representation of the tests in the system for static and dynamically changeable states,
  • FIG. 11, side view of the security module (2nd variant),
  • FIG. 12, top view of the security module (2nd variant),
  • FIG. 13a, view of the security module from the right (2nd variant),
  • Figure 13b, view of the security module from the left (2nd variant).
  • In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den Kontaktgruppen 101, 102 zum Anschluß an ein Interface 8 sowie mit den Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces für eine Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer harten Vergußmasse vergossen ist, ist die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse auf einer Leiterplatte auswechselbar angeordnet. Die Leiterplatte trägt die Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134. Mittels der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt. Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuereinrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Über die Pins P3,P5-P19 der Kontaktgruppe 101 laufen Adreßund Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen und dynamischen Überwachung des Angestecktseins des Sicherheitsmoduls 100 ausgebildet. Über die Pins P23 und P25 der Kontaktgruppe 102 wird die Versorgung des Sicherheitsmodul 100 mit der Systemspannung der Hauptplatine 9 realisiert und über die Pins P1, P2 bzw. P4 wird eine dynamische und statische Ungestecktsein-Detektion durch das Sicherheitsmodul 100 realisiert. Letztere erfordert eine Detektionseinheit 13, welche über über eine Leiterschleife 192, 194 mit dem Pin P4 der Kontaktgruppe 102 verbunden ist. Die Leiterschleife kann als Bestandteil des besonders zu sichernden Teils des Sicherheitsmoduls 100 ausgebildet und in Vergußmasse so eingebettet sein, das bei einem mechanisch oder chemischen Angriff auf den vorgenannten Teil des Sicherheitsmoduls 100 der Kontakt zum Pin P4 unterbrochen wird.
    Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten Festwertspeicher (internal ROM) mit dem speziellen Anwendungsprogramm enthält, was für die Frankiermaschine von der Postbehörde bzw. vom jeweiligen Postbeförderer zugelassen ist. Alternativ kann an den internen Datenbus 126 ein üblicher Festwertspeicher ROM oder FLASHSpeicher angeschlossen werden.
    Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine ResetSchaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine Logik PAL 160 auf, die für den ASIC als Steuersignalgenerator dient. Die Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher werden über die Leitungen 191 bzw. 129 mit Systemspannung Us+ versorgt, welche bei eingeschalteter Frankiereinrichtung von der Hauptplatine 9 geliefert wird. In der EP 789 333 A2 wurden bereits die wesentlichen Teile eines postalischen Sicherheitsmoduls PSM erläutert, die die Funktionen Abrechnen und Absichern der Postgebührendaten realisieren.
    1 shows a block diagram of the security module 100 with the contact groups 101, 102 for connection to an interface 8 and with the battery contact terminals 103 and 104 of a battery interface for a battery 134. Although the security module 100 is encapsulated with a hard casting compound, the battery 134 of the security module 100 is exchangeably arranged outside of the encapsulating compound on a printed circuit board. The circuit board carries the battery contact terminals 103 and 104 for the connection of the poles of the battery 134. The safety module 100 is plugged into a corresponding interface 8 of the main board (motherboard) 9 by means of the contact groups 101, 102. The first contact group 101 is in communication with the system bus of a control device and the second contact group 102 is used to supply the safety module 100 with the system voltage. Address and data lines 117, 118 and control lines 115 run via the pins P3, P5-P19 of the contact group 101. The first and / or second contact group 101 and / or 102 are / is designed for the static and dynamic monitoring of the connection of the security module 100. The supply of the safety module 100 with the system voltage of the main board 9 is realized via the pins P23 and P25 of the contact group 102, and a dynamic and static disconnection detection is realized by the safety module 100 via the pins P1, P2 and P4. The latter requires a detection unit 13 which is connected to the pin P4 of the contact group 102 via a conductor loop 192, 194. The conductor loop can be designed as a component of the part of the security module 100 that is to be particularly secured and can be embedded in potting compound in such a way that the contact to the pin P4 is interrupted in the event of a mechanical or chemical attack on the aforementioned part of the security module 100.
    The security module 100 has, in a manner known per se, a microprocessor 120 which contains an integrated read-only memory (internal ROM) (not shown) with the special application program, which is approved for the franking machine by the postal authority or by the respective mail carrier. Alternatively, a conventional read-only memory ROM or FLASH memory can be connected to the internal data bus 126.
    In a manner known per se, the security module 100 has a reset circuit unit 130, a user circuit ASIC 150 and a logic PAL 160 which serves as a control signal generator for the ASIC. The reset circuit unit 130 or the user circuit ASIC 150 and the logic PAL 160 and possibly further memories (not shown) are supplied with system voltage Us + via the lines 191 and 129, which is supplied by the main board 9 when the franking device is switched on. EP 789 333 A2 has already explained the essential parts of a postal security module PSM which implement the functions of billing and securing the postage fee data.

    Die Systemspannung Us+ liegt außerdem über eine Diode 181 und die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 an. Am Ausgang der Spannungsüberwachungseinheit 12 wird eine zweite Betriebsspannung Ub+ geliefert, welche über die Leitung 138 zur Verfügung steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die Systemspannung Us+, sondern nur die Batteriespannung Ub+ zur Verfügung. Die am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse verbunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103 wird Batteriespannung über eine Leitung 193, über eine zweite Diode 182 und die Leitung 136 an den Eingang der Spannungsüberwachungseinheit geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handelsüblicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden.The system voltage Us + is also via a diode 181 and Line 136 at the input of the voltage monitoring unit 12. At the The output of the voltage monitoring unit 12 becomes a second operating voltage Ub + supplied, which is available via line 138 stands. The system voltage is not at a standstill when the franking device is switched off Us +, but only the battery voltage Ub + available. The Battery contact terminal 104 located at the negative pole is connected to ground. From the battery contact terminal 103 on the positive pole becomes battery voltage via a line 193, via a second diode 182 and line 136 to the input of the voltage monitor delivered. As an alternative to the two diodes 181, 182, a commercially available one Circuit can be used as a voltage switch 180.

    Der Ausgang der Spannungsüberwachungseinheit 12 ist über eine Leitung 138 mit einem Eingang für diese zweite Betriebsspannung Ub+ des Prozessors 120 verbunden, welcher mindestens auf einen RAMSpeicherbereich 122, 124 führt und dort eine nichtflüchtige Speicherung solange garantiert, wie die zweite Betriebsspannung Ub+ in der erforderlichen Höhe anliegt. Der Prozessor 120 enthält vorzugsweise einen internen RAM 124 und eine Echtzeituhr (RTC) 122.The output of the voltage monitoring unit 12 is connected via a line 138 to an input for this second operating voltage U b + of the processor 120, which leads to at least one RAM memory area 122, 124 and guarantees non-volatile storage there for as long as the second operating voltage U b + in the required one Height is applied. Processor 120 preferably includes internal RAM 124 and real time clock (RTC) 122.

    Die Spannungsüberwachungseinheit 12 im Sicherheitsmodul weist eine rücksetzbare Selbsthaltung auf, die vom Prozessor 120 über eine Leitung 164 abgefragt und über eine Leitung 135 zurückgesetzt werden kann. Für eine Rücksetzung der Selbsthaltung weist die Spannungsüberwachungseinheit 12 Schaltungsmittel auf. Die Rücksetzung ist erst auslösbar, wenn die Batteriespannung über die vorbestimmte Schwelle angestiegen ist. Die Leitungen 135 and 164 sind je mit einem Pin (Pin1 und 2) des Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an den Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die Spannungsüberwachungseinheit 12. The voltage monitoring unit 12 in the security module has one Resettable latching on by processor 120 via a line 164 can be queried and reset via a line 135. For the voltage monitoring unit shows a reset of the self-holding 12 circuit means. The reset can only be triggered if the battery voltage has risen above the predetermined threshold. The lines 135 and 164 are each with a pin (Pin1 and 2) of the Processor 120 connected. Line 164 provides a status signal to the Processor 120 and line 135 provide a control signal to the Voltage monitoring unit 12.

    Die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 versorgt zugleich eine Ungestecktsein-Detektionseinheit 13 mit Betriebsoder Batteriespannung. Die Ungestecktsein-Detektionseinheit 13 gibt auf der Leitung 139 ein Statussignal an einen Pin 5 des Prozessors 120 ab, das eine Aussage über den Zustand der Schaltung gibt. Vom Prozessor 120 wird der Zustand der Ungestecktsein-Detektionseinheit 13 über die Leitung 139 abgefragt. Der Prozessor kann mit einem vom Pin 4 des Prozessors 120 über die Leitung 137 abgegebenen Signal die Ungestecktsein-Detektionseinheit 13 zurücksetzen. Nach dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des interfaces 8 des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am Anschluß P4 des Interfaces 8 über die Leitung 192 von der Ungestecktsein-Detektionseinheit 13 abfragbar.The line 136 at the input of the voltage monitoring unit 12 also supplies an unplugged detection unit 13 with operating or Battery voltage. The unplugged detection unit 13 gives up a status signal from line 139 to a pin 5 of processor 120, which gives a statement about the state of the circuit. From the processor 120 the state of the unplugged detection unit 13 via the Line 139 polled. The processor can be used with a pin 4 of the Processor 120 signal issued via line 137 the unplugged detection unit 13 reset. After placing a static connection test carried out. This is done via a line 192 Ground potential queried, which is at connection P4 of the interface 8 of the postal security module PSM 100 and can only be queried is when the security module 100 is properly inserted. At inserted safety module 100 becomes the ground potential of the negative pole 104 of the battery 134 of the postal security module PSM 100 the port P23 of the interface 8 is placed and is thus at the port P4 of interface 8 via line 192 from the unplugged detection unit 13 can be queried.

    An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, welche über die Pins P1 und P2 der Kontaktgruppe 102 des Interfaces 8 zum Prozessor 120 zurückgeschleift wird. Zur dynamischen Prüfung des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine 9 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.
    Das postalische Sicherheitsmodul PSM 100 ist mit einer Long-LiveBatterie bestückt, welches auch eine Überwachung des Gebrauchs ermöglicht, ohne das das Sicherheitsmodul an einer Systemspannung eines Postverabeitungseinrichtung liegt. Der sachgemäße Gebrauch, Betrieb, Installation oder Einbau in der geeigneten Umgebung sind solche von den Funktionseinheiten des Sicherheitsmoduls zu prüfende Eigenschaften. Eine Erstinstallation wird vom Hersteller des postalischen Sicherheitsmoduls vorgenommen. Es ist also nach dieser Erstinstallation zunächst lediglich zu prüfen, ob das postalische Sicherheitsmodul von ihrem Einsatzfeld (Postverabeitungseinrichtung) getrennt wird, wobei dies in der Regel bei einem Austausch erfolgt.
    Die Überwachung dieses Zustandes wird von der UngestecktseinDetektionseinheit 13 vorgenommen. Hierbei wird über die Masseverbindung am Pin 4 der interfaceeinheit 8 ein Spannungspegel überwacht. Beim Austausch der Funktionseinheit wird diese Masseverbindung unterbrochen und die Ungestecktsein-Detektionseinheit 13 registriert diesen Vorgang als Information. Da bei einem mechanisch oder chemischen Angriff auf das Sicherheitsmodul 100 und für jede Trennung des Sicherheitsmoduls 100 von der Interfaceeinheit 8, die Speicherung dieser Information durch den speziellen batteriegetriebenen Schaltungsaufbau gewährleistet ist, kann eine Auswertung dieser Information zu jeder Zeit erfolgen, falls eine Wiederinbetriebnahme gewünscht ist. Die regelmäßige Auswertung dieses Trennungs- bzw. Ungestecktsein-Signals auf der Leitung 139 der Detektionseinheit 13 ermöglicht es dem Prozessor 120 sensitive Daten zu löschen, ohne jedoch damit die Abrechnungs- und Kundendaten in den NVRAM-Speichern zu verändern. Der momentane Zustand des postalischen Sicherheitsmoduls mit den gelöschten sensitiven Daten kann als Wartungszustand aufgefaßt werden, in welchem in der Regel der Austausch, eine Reparatur oder sonstiges vorgenommen wird. Da die sensitiven Daten der Funktionseinheit gelöscht sind, ist ein Fehler aufgrund einer unsachgemäßen Handhabung des postalischen Sicherheitsmoduls ausgeschlossen. Die sensitiven Daten sind beispielsweise kryptographische Schlüssel. Der Prozessor 120 verhindert im Wartungszustand eine Kernfunktionalität des postalischen Sicherheitsmoduls, welche beispielweise in der Abrechnung und/oder Berechnung eines Sicherheitscodes für die Sicherheitsmarkierung in einem Sicherheitsabdruck besteht.
    There is a line loop at pins 6 and 7 of processor 120, which is looped back to processor 120 via pins P1 and P2 of contact group 102 of interface 8. For dynamic testing of the connection of the postal security module PSM 100 to the main board 9, changing signal levels are applied to the pins 6, 7 by the processor 120 at very irregular intervals and looped back over the loop.
    The postal security module PSM 100 is equipped with a long-live battery, which also enables monitoring of use without the security module being connected to a system voltage of a post processing device. Proper use, operation, installation or installation in a suitable environment are such properties to be checked by the functional units of the safety module. An initial installation is carried out by the manufacturer of the postal security module. After this initial installation, all that needs to be done is to check first whether the postal security module is separated from its field of application (postal processing facility), this usually taking place during an exchange.
    This condition is monitored by the unplugged detection unit 13. Here, a voltage level is monitored via the ground connection at pin 4 of the interface unit 8. When the functional unit is replaced, this ground connection is interrupted and the unplugged detection unit 13 registers this process as information. Since in the event of a mechanical or chemical attack on the security module 100 and for each separation of the security module 100 from the interface unit 8, the storage of this information is ensured by the special battery-operated circuit structure, this information can be evaluated at any time if a restart is desired . The regular evaluation of this disconnection or unplugged signal on the line 139 of the detection unit 13 enables the processor 120 to delete sensitive data, but without changing the billing and customer data in the NVRAM memories. The current state of the postal security module with the deleted sensitive data can be understood as a maintenance state, in which the exchange, repair or otherwise is usually carried out. Since the sensitive data of the functional unit is deleted, an error due to improper handling of the postal security module is excluded. The sensitive data are, for example, cryptographic keys. In the maintenance state, processor 120 prevents a core functionality of the postal security module, which for example consists in the billing and / or calculation of a security code for the security marking in a security imprint.

    Zur Wiederinbetriebnahme wird das postalische Sicherheitsmodul PSM zunächst gesteckt und elektrisch mit der entsprechenden Interfaceeinheit 8 eines Postbearbeitungsgerätes verbunden. Anschließend wird das Gerät eingeschaltet und somit das postalische Sicherheitsmodul wieder mit Systemspannung Us+ versorgt. Aufgrund des speziellen Zustandes muß nun der sachgemäße Einbau des postalischen Sicherheitsmoduls durch ihre Funktionseinheit erneut geprüft werden. Hierfür wird eine zweite Stufe einer Prüfung (dynamische Gestecktsein-Detektion) vorgesehen. Über eine zwischen der ersten Funktionseinheit (Prozessor 120) und der Stromschleife 18 der Interfaceeinheit 8 hergestellten operative Verbindung werden Informationen ausgetauscht, deren fehlerfreie Übermittlung den Beweis für den sachgemäßen Einbau erbringt. Dies ist Voraussetzung für eine erfolgreiche Wiederinbetriebnahme.The postal security module PSM will be used again first plugged in and electrically with the appropriate interface unit 8 connected to a mail processing device. Then that will Device switched on and thus the postal security module again supplied with system voltage Us +. Because of the special condition must now properly install the postal security module be checked again by their functional unit. For this, a second stage of a test (dynamic plug-in detection) is provided. Via a between the first functional unit (processor 120) and the current loop 18 of the interface unit 8 operative Connection, information is exchanged, its error-free Transmission provides proof of proper installation. This is Prerequisite for a successful restart.

    Für den Zustandswechsel in den normalen Betriebszustand ist nun noch eine Reinitialisierung der sensitiven Daten erforderlich. Zwischen dem postalischen Sicherheitsmodul und einer dritten Instanz wird eine Kommunikation vorgenommen, wobei letztere diese sensitiven Daten übermittelt. Nach erfolgreicher Übermittlung wird die UngestecktseinDetektionseinheit 13 zurückgesetzt und das postalische Sicherheitsmodul nimmt wieder seinen normalen Betriebszustand ein. Die Wiederinbetriebnahme ist abgeschlossen.For the change of state in the normal operating state is now still Reinitialization of sensitive data is required. Between the postal security module and a third party becomes a Communication made, the latter this sensitive data transmitted. After successful transmission, the unplugged detection unit 13 reset and the postal security module returns to its normal operating state. The restart is closed.

    Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungsdaten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung 1 weist eine mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattete Hauptplatine 9 auf.FIG. 2 shows a block diagram of a postage meter machine that uses a chip card read / write unit 70 for reloading change data by chip card and with a printing device 2, which by a Control device 1 is controlled, is equipped. The control device 1 has a memory 92 with a microprocessor 91, 93, 94, 95 equipped motherboard 9.

    Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum Drucken und wenigstens sicherheitsrelevante Bestandteile des Programms für eine vorbestimmte Format-Änderung eines Teils der Nutzdaten.
    Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von statistischen Daten, die nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nichtflüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten Programmteilen (beispielsweise für den DES-Algorithmus). Es ist vorgesehen, daß die Steuereinrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle üblichen Postbefördererleistungen entsprechend des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln.
    The program memory 92 contains an operating program for printing at least and at least security-relevant components of the program for a predetermined change in format of part of the useful data.
    The RAM 93 is used for the temporary storage of intermediate results. The non-volatile memory NVM 94 is used for the non-volatile temporary storage of data, for example statistical data, which are arranged according to cost centers. The calendar / clock module 95 likewise contains addressable but non-volatile memory areas for the non-volatile intermediate storage of intermediate results or also known program parts (for example for the DES algorithm). It is provided that the control device 1 is connected to the chip card read / write unit 70, the microprocessor 91 of the control device 1 being programmed, for example, to load the useful data N from the memory area of a chip card 49 for use in corresponding memory areas of the franking machine . A first chip card 49 inserted into an insertion slot 72 of the chip card read / write unit 70 allows a data record to be reloaded into the franking machine for at least one application. The chip card 49 contains, for example, the postage fees for all the usual postal carrier services in accordance with the tariff of the postal authority and a postal carrier identifier in order to generate a stamp image with the franking machine and to stamp the postal items in accordance with the tariff of the postal authority.

    Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen für die Signale CE, RD und WR zwischen dem Sicherheits-modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100 abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88, eine serielle Schnittstelle SI-1 für den Anschluß der ChipkartenSchreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den optionalen Anschluß eines MODEMs auf Mittels des MODEMs kann beispielsweise das im nichtflüchtigen Speicher des postalischen Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.The control device 1 forms the actual meter with the means 91 to 95 of the aforementioned main board 9 and also includes a keyboard 88, a display unit 89 and an application-specific circuit ASIC 90 and interface 8 for the postal security module PSM 100. The safety module PSM 100 is connected to the aforementioned ASIC 90 and the microprocessor 91 and via the parallel µC bus with at least the means 91 to 95 of the main board 9 and connected to display unit 89. The control bus carries cables for the signals CE, RD and WR between the safety module PSM 100 and the aforementioned ASIC 90. The microprocessor 91 points preferably a pin for one from the PSM 100 security module issued interrupt signal i, further connections for the keyboard 88, a serial interface SI-1 for the connection of the chip card read / write unit 70 and a serial interface SI-2 for the optional connection of a MODEM to means of the MODEM can for example in the non-volatile memory of the postal Security funds PSM 100 stored credit can be increased.

    Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchgeführt. Die Abrechnung erfolgt unabhängig von Kostenstellen. Das postalische Sicherheitsmittel PSM 100 kann intern so ausgeführt sein, wie in der europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde. Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung 98 zu einem im Poststrom vorschalteten Gerät, eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.The postal security device PSM 100 is secured by a Enclosed housing. Before each franking imprint is made in the postal Security module PSM 100 performed a hardware accounting. Billing takes place independently of cost centers. The postal Safety equipment PSM 100 can be designed internally as in the European application EP 789 333 A3 has been described in more detail. The ASIC 90 is intended to be a serial interface circuit 98 to a device upstream in the post stream, a serial Interface circuit 96 to the sensors and actuators of the Printing device 2, a serial interface circuit 97 for Print control electronics 16 for the print head 4 and a serial Interface circuit 99 to one of the printing device 20 in the mail stream downstream device. DE 197 11 997 is one Design variant for the peripheral interface can be removed, which is suitable for several peripheral devices (stations). It is entitled: Arrangement for communication between a base station and others Stations of a mail processing machine and for its emergency shutdown.

    Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung.
    Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brieftransport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über die Leitung 19 ein Encodersignal an die Hauptplatine 9 ab.
    Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahldrucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.
    Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Das Einschalten der Stromversorgung erfolgt mittels einem an der Hauptplatine angeschlossenen Schalter 71. Nach Einschalten der Stromversorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
    The interface circuit 96 coupled to the interface circuit 14 located in the machine base provides at least one connection to the sensors 6, 7, 17 and to the actuators, for example to the drive motor 15 for the roller 11 and to a cleaning and sealing station RDS 40 for the ink jet print head 4 , as well as the label dispenser 50 in the machine base. The basic arrangement and the interaction between inkjet print head 4 and the RDS 40 can be found in DE 197 26 642 C2, with the title: Arrangement for positioning an inkjet print head and a cleaning and sealing device.
    One of the sensors 7, 17 arranged in the guide plate 20 is the sensor 17 and is used to prepare for the triggering of pressure when transporting letters. The sensor 7 is used to detect the start of a letter for the purpose of triggering pressure when transporting letters. The transport device consists of a conveyor belt 10 and two rollers 11, 11 '. One of the rollers is the drive roller 11 equipped with a motor 15, another is the idler roller 11 '. The drive roller 11 is preferably designed as a toothed roller, and accordingly the conveyor belt 10 is also designed as a toothed belt, which ensures the unambiguous power transmission. An encoder 5, 6 is coupled to one of the rollers 11, 11 '. Preferably, the drive roller 11 with an incremental encoder 5 is firmly seated on an axis. The incremental encoder 5 is designed, for example, as a slotted disc which interacts with a light barrier 6 and outputs an encoder signal to the main board 9 via the line 19.
    It is provided that the individual print elements of the print head are connected to print electronics within its housing and that the print head can be controlled for purely electronic printing. The print control takes place on the basis of the path control, taking into account the selected stamp offset, which is entered via the keyboard 88 or, if necessary, via a chip card and is stored in the non-volatile memory NVM 94. A planned imprint thus results from stamp offset (without printing), the franking print image and, if necessary, further print images for advertising slogan, shipping information (optional prints) and additional editable messages. The NVM 94 non-volatile memory has a plurality of memory areas. These include those that store the loaded postage fee tables in a non-volatile manner.
    The chip card read / write unit 70 consists of an associated mechanical carrier for the microprocessor card and contacting unit 74. The latter allows the chip card to be securely mechanically held in the reading position and unambiguously signaled that the reading position of the chip card has been reached in the contacting unit. The microprocessor card with the microprocessor 75 has a programmed reading ability for all types of memory cards or chip cards. The interface to the franking machine is a serial interface according to the RS232 standard. The data transfer rate is min. 1.2 K baud. The power supply is switched on by means of a switch 71 connected to the main board. After the power supply is switched on, a self-test function with a readiness message is carried out.

    In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.FIG. 3 is a perspective view of the franking machine from FIG shown at the back. The franking machine consists of a meter 1 and a base 2. The latter is with a chip card read / write unit 70 equipped, which is arranged behind the guide plate 20 and from the Upper housing edge 22 is accessible. After switching on the franking machine by means of the switch 71, a chip card 49 is turned upwards inserted into the slot 72 below. A fed on the edge standing letter 3, with its surface to be printed on the The guide plate is in contact with the input data a franking stamp 31 printed. The letter feed opening is through a transparent plate 21 and the guide plate 20 laterally limited. The Status display of the plugged onto the main board 9 of the meter 1 Security module 100 is visible from the outside through an opening 109.

    Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer ersten Technologie wird.
    Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen und vom Prozessor 120 überprüft. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
    Die Systemspannung liegt am Versorgungseingang eines zweiten Speichers NV-RAM 114 an. Bei letzterem handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOWRAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.
    FIG. 4 shows a block diagram of the postal security module PSM 100 in a preferred variant. The negative pole of the battery 134 is grounded and a pin P23 of the contact group 102. The positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180. As a battery 134, the type SL389 / P is suitable for a service life of up to 3.5 years or the type SL-386 / P for a service life of up to 6 years with maximum power consumption by the PSM 100. As a voltage switch 180, a commercially available circuit can be used type ADM 8693ARN can be used. The output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136. The battery monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor 120 via the lines 135, 164 and 137, 139. The output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM, which becomes a non-volatile memory NVRAM of a first technology due to the existing battery 134.
    The security module is connected to the franking machine via the system bus 115, 117, 118. Processor 120 can communicate with a remote data center through the system bus and modem 83. The billing is performed by the ASIC 150 and checked by the processor 120. The postal accounting data are stored in non-volatile memories of different technologies.
    The system voltage is present at the supply input of a second memory NV-RAM 114. The latter is a non-volatile memory NVRAM of a second technology, (SHADOWRAM). This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure. The NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112, 113.

    Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 für Daten-, Adreß- und Steuersignale enthält.
    Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modulinternen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte- FLASH-Speicher vom Typ AM29F0I0-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine 9 in Kommunikationsverbindung.
    The ASIC 150 contains at least one hardware accounting unit for the calculation of the postal data to be stored. An access logic to the ASIC 150 is accommodated in the programmable array logic (PAL) 160. The ASIC 150 is controlled by the PAL 160 logic. An address and control bus 117, 115 from the main board 9 is connected to corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one control signal 119 for the program memory FLASH 128. The processor 120 processes a program stored in the FLASH 128. The processor 120, FLASH 28, ASIC 150 and PAL 160 are connected to one another via an internal module system bus, which contains lines 110, 111, 126, 119 for data, address and control signals.
    The processor 120 of the security module 100 is connected to a FLASH 128 and to the ASIC 150 via an internal data bus 126. The FLASH 128 is supplied with system voltage Us +. For example, it is a 128 Kbyte FLASH memory of the type AM29F0I0-45EC. The ASIC 150 of the postal security module 100 delivers the addresses 0 to 7 to the corresponding address inputs of the FLASH 128 via an internal address bus 110. The processor 120 of the security module 100 delivers the addresses 8 to 15 to the corresponding address inputs of the FLASH 128 via an internal address bus 111 The ASIC 150 of the security module 100 is in communication via the contact group 101 of the interface 8 with the data bus 118, with the address bus 117 and the control bus 115 of the main board 9.

    Es ist vorgesehen, daß der Prozessor 120 Speicher 122, 124 aufweist, an welche über die Leitung 138 eine Betriebsspannung Ub+ von einer Spannungsüberwachungseinheit 12 zugeführt wird. Insbesondere eine Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Die Spannungsüberwachungseinheit (Battery Observer) 12 liefert außerdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für den Battery Observer 12 und Speicher 116 diejenige seiner Eingangsspannungen als Versorgungsspannung weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.It is contemplated that processor 120 has memory 122, 124 on which via line 138 has an operating voltage Ub + of one Voltage monitoring unit 12 is supplied. In particular one Real time clock RTC 122 and memory RAM 124 are from one Operating voltage supplied via line 138. The voltage monitoring unit (Battery Observer) 12 also provides a status signal 164 and responds to a control signal 135. The voltage switch 180 gives as output voltage on line 136 for the Battery Observer 12 and memory 116 that of its input voltages as Supply voltage that is greater than the other. Through the Possibility of the circuit described depending on the height the voltages Us + and Ub + automatically with the larger of both to feed, the battery 134 can without Data loss can be changed.

    Die Batterie 134 des Sicherheitsmoduls 100 speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr (RTC) 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der Spannungsüberwachungseinheit 12 der Speisepunkt für die RTC und SRAM bis zum Rücksetzen mit Masse verbunden. Die Spannung an der RTC und am SRAM liegt dann bei 0V. Das führt dazu, daß der SRAM 124, der z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß der Angreifer Sicherheitsmaßnahmen, wie beispielsweise Long Time Timer oder Watchdogs umgeht. Die vorgenannten Sicherheitsmaßnahmen werden anhand der Figuren 9 und 10 ausführlich erläutert. The battery 134 of the security module 100 feeds during the idle times the real-time clock in the aforementioned manner outside of normal operation (RTC) 122 with date and / or time registers and / or the static RAM (SRAM) 124, which holds security-relevant data. The tension drops the battery during battery operation below a certain Limit, the voltage monitoring unit 12 becomes the feed point for the RTC and SRAM connected to ground until reset. The voltage on the RTC and SRAM is then 0V. Leading the SRAM 124, e.g. important cryptographic keys contains, is deleted very quickly. At the same time, the registers the RTC 122 deleted and the current time and date get lost. This action prevents a possible Attackers manipulate the battery voltage inside the franking machine Clock 122 stops without losing security-related data go. This prevents the attacker from taking security measures, such as long time timers or watchdogs. The aforementioned Security measures are based on FIGS. 9 and 10 explained in detail.

    Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit 130 zurückgesetzt.The RESET unit 130 is connected via line 131 to pin 3 of the Processor 120 and connected to a pin of the ASIC's 150. The Processor 120 and the ASIC 150 are when the Supply voltage through a reset generation in the RESET unit 130 reset.

    Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d.h. "schart" machen.Changes simultaneously with the indication of the undervoltage of the battery the circuit described in a self-holding state, in which it also if the voltage is increased afterwards. At the next Turning on the module, the processor can change the state of the circuit query (status signal) and thus and / or via the evaluation of the Contents of the deleted memory indicate that the Battery voltage has fallen below a certain value in the meantime Has. The processor can reset the monitoring circuit, i.e. make "schart".

    Die Ungestecktsein-Detektionseinheit 13 hat zur Messung der Eingangsspannung eine Leitung 192, die über den Stecker des Sicherheitsmoduls und Interface 8, vorzugsweise über einen Sockel auf der Mutterplatine 9 der Frankiermaschine mit Masse verbunden ist. Diese Messung dient zur statischen Überwachung des Gesteckseins und bildet die Grundlage für eine Überwachung auf einer ersten Stufe. Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 Schaltungsmittel für eine rücksetzbare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelöst wird, wenn der Spannungspegel auf einer Meßspannungsleitung 192 von einem vorbestimmten Potential abweicht. Zugleich umfaßt die AuswerteLogik den mit den anderen Funktionseinheiten verbundenen Prozessor 120, welcher programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls 100 festzustellen und zu verändern. Der Zustand der Selbsthaltung ist über die Leitung 139 vom Prozessor 120 des Sicherheitsmoduls 100 abfragbar. Das Meßspannungspotential auf der Leitung 192 entspricht Massepotential, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Auf der Leitung 139 liegt Betriebsspannungspotential. Massespannungspotential liegt auf der Leitung 139 an, wenn der Sicherheitsmodul 100 ungesteckt ist. Der Prozessor 120 weist einen fünften Pin5 auf, an welchem die Leitung 139 angeschlossen ist, um den Zustand der Ungestecktsein-Detektionseinheit 13 abzufragen, ob sie auf Massepotential mit Selbsthaltung geschaltet ist. Um den Zustand der Selbsthaltung der Ungestecktsein-Detektionseinheit 13 über die Leitung 137 zurückzusetzen, weist der Prozessor 120 einen vierten Pin 4 auf.The unplugged detection unit 13 has for measuring the input voltage a line 192 through the connector of the security module and interface 8, preferably via a base on the motherboard 9 the franking machine is connected to ground. This measurement is used for static monitoring of being plugged in and forms the basis for monitoring at a first level. It is envisaged that the Unplugged detection unit 13 circuit means for a resettable Exhibits self-retention, whereby self-retention is triggered, when the voltage level on a measuring voltage line 192 of deviates from a predetermined potential. At the same time, the evaluation logic includes the processor connected to the other functional units 120, which is programmed, the respective state of the security module 100 determine and change. The state of the Latching is via line 139 from processor 120 of the Security module 100 can be queried. The measuring voltage potential on the Line 192 corresponds to ground potential when the security module 100 is properly inserted. Operating voltage potential is on line 139. Ground voltage potential is present on line 139, if the security module 100 is not plugged in. The processor 120 points a fifth pin 5, to which line 139 is connected, to query the status of the unplugged detection unit 13 whether it is switched to ground potential with latching. To the state the latching of the unplugged detection unit 13 via the To reset line 137, processor 120 has a fourth pin 4 on.

    Weiterhin ist eine Stromschleife 18 vorgesehen, die die Pins 6 und 7 des Prozessors 120 ebenfalls über den Stecker des Sicherheitsmoduls und über den Sockel auf der Hauptplatine 9 der Frankiermaschine miteinander verbindet. Die Leitungen an den Pins 6 und 7 des Prozessors 120 sind nur bei einem an die Hauptplatine 9 gesteckten PSM 100 zu einer Stromschleife 18 geschlossen. Diese Schleife bildet die Grundlage für eine dynamische Überwachung des Angestecktseins des Sicherheitsmoduls auf einer zweiten Stufe.Furthermore, a current loop 18 is provided which pins 6 and 7 of the Processor 120 also via the connector of the security module and with each other via the base on the main board 9 of the franking machine connects. The lines on pins 6 and 7 of processor 120 are only with a PSM 100 plugged into the main board 9 Current loop 18 closed. This loop forms the basis for dynamic monitoring of the security module being connected on a second level.

    Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf Der Prozessor 120 ist mit Pin's 8, 9 zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 100 ausgestattet. An den Pins 8 und 9 liegen I/O-Ports der Ein/AusgabeEinheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z.B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.The processor 120 internally has a processing unit CPU 121, one Real time clock RTC 122, a RAM unit 124 and an input / output unit 125 on The processor 120 is with pins 8, 9 for output at least a signal for signaling the state of the safety module 100 equipped. I / O ports of the input / output unit are located at pins 8 and 9 125, to which module-internal signaling means are connected, for example colored light emitting diodes LED's 107, 108, which the Signal the status of the safety module 100. The security modules can assume various states in their life cycle. So e.g. be detected whether the module is valid cryptographic Contains key. It is also important to differentiate whether that Module works or is defective. The exact type and number of Module states depend on the functions implemented in the module and on the Implementation dependent.

    Anhand der Figur 5 wird das Schaltbild der Detektionseinheit 13 erläutert. Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 einen Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerständen 1310, 1312, 1314 besteht und zwischen einem von einem Kondensator 1371 abgreifbaren Versorgungsspannungspotential und einem Meßspannungspotential auf der Leitung 192 gelegt ist. Die Schaltung wird über die Leitung 136 mit der System- oder Batteriespannung versorgt. Die jeweilige Versorgungsspannung von der Leitung 136 gelangt über eine Diode 1369 auf den Kondensator 1371 der Schaltung. Ausgangsseitig der Schaltung liegt ein Negator 1320, 1398. Im Normalzustand ist der Transistor 1320 des Negators gesperrt und die Versorgungsspannung wird über den Widerstand 1398 auf der Leitung 139 wirksam, welche deshalb logisch '1', d.h. H-Pegel im Normalzustand führt. Ein L-Pegel auf der Leitung 139 ist vorteilhaft als Statussignal für ein Ungestecktsein, weil dann in den Pin 5 des Prozessors 120 kein Strom hineinfließt, was die Batterielebensdauer erhöht. Die Diode 1369 sorgt vorzugsweise in Zusammenhang mit einem Elektrolytkondensator 1371 dafür, daß die dem Negator vorgeschaltete Schaltung über einen relativ langen Zeitraum (>2 s) mit einer Spannung versorgt wird, bei der deren Funktion gewährleistet ist, obwohl die Spannung auf der Leitung 136 bereits abgeschaltet wurde.
    Der Spannungsteiler 1310, 1312, 1314 weist einen Abgrift 1304 auf, an welchem ein Kondensator 1306 und der nichtinvertierende Eingang eines Komparators 1300 angeschlossen sind. Der invertierende Eingang des Komparators 1300 ist mit einer Referenzspannungsquelle 1302 verbunden. Der Ausgang des Komparators 1300 ist einerseits über den Negator 1324,1398 mit der Leitung 139 und andererseits mit dem Steuereingang eines Schaltmittels 1322 für die Selbsthaltung verbunden. Das Schaltmittel 1322 ist zum Widerstand 1310 des Spannungsteilers parallel geschaltet und das Schaltmittel 1316 für eine Rücksetzung der Selbsthaltung ist zwischen dem Abgriff 1304 und Masse geschaltet. Der Abgriff 1304 des Spannungsteilers liegt am Verbindungspunkt der Widerstande 1312 und 1314. Der zwischen dem Abgriff 1304 und Masse geschaltete Kondensator 1306 verhindert Schwingungen. Die Spannung am Abgriff 1304 des Spannungsteilers wird im Komparator 1300 mit der Referenzspannung der Quelle 1302 verglichen. Ist die zu vergleichende Spannung am Abgriff 1304 kleiner als die Referenzspannung der Quelle 1302, 50 bleibt der Komparatorausgang auf L-Pegel geschaltet und der Transistor 1320 des Negators ist gesperrt. Dadurch erhält die Leitung 139 nun Betriebsspannungspotential und das Statussignal führt logisch '1'. Der Spannungsteiler ist so dimensioniert, daß bei Massepotential auf der Leitung 192 der Abgriff 1304 eine Spannung führt, welche sicher unterhalb der Schaltschwelle des Komparators 1300 liegt. Wird die Verbindung unterbrochen und die Leitung 192 ist nicht mehr mit Masse verbunden, weil das Sicherheitsmodul 100 vom Sockel auf der Hauptplatine 9 bzw. Interfaceeinheit 8 der Frankiermaschine gelöst wurde, so wird die Spannung am Abgriff 1304 über die Spannung der Referenzspannungsquelle 1302 gezogen und der Komparator 1300 schaltet um. Der Komparatorausgang wird auf H-Pegel geschaltet und folglich ist der Transistor 1320 durchgeschaltet. Dadurch wird die Leitung 139 mit Massepotential verbunden und das Statussignal führt logisch '0. Mit Hilfe eines Transistors 1322, welcher dem Widerstand 1310 des Spannungsteilers parallelgeschaltet ist, wird eine Selbsthalteschaltung der Ungestecktsein-Detektionseinheit 13 realisiert. Der Steuereingang des Transistors 1322 wird vom Komparatorausgang auf H-Pegel geschaltet. Dadurch schaltet der Transistor 1322 durch und überbrückt den Widerstand 1310. Infolgedessen wird der Spannungsteiler nur noch durch die Widerstände 1312 und 1314 gebildet. Dadurch wird die Umschaltschwelle so weit erhöht, daß der Komparator auch im geschalteten Zustand bleibt, wenn die Leitung 192 wieder Massepotential führt, weil das Sicherheitsmodul wieder gesteckt wurde.
    Der Zustand der Schaltung kann über das Signal auf der Leitung 139 vom Prozessor 120 abgefragt werden.
    Es ist vorgesehen, daß die Ungestecktsein-Detektionseinheit 13 als Schaltungsmittel eine Leitung 137 und ein Schaltmittel 1316 für eine Rücksetzung der Selbsthaltung aufweist, wobei die Rücksetzung vom Prozessor 120 über ein Signal auf der Leitung 137 auslösbar ist. Der Prozessor 120 kann jederzeit über einen Anwenderschaltkreis ASIC 150, über eine erste Kontaktgruppe 101, über einen Systembus der Steuereinrichtung 1 und beispielsweise über den Mikroprozessor 91 per Modem 83 den Kontakt zu einer entfernten Datenzentrale aufnehmen, welche die Abrechnungsdaten überprüft und gegebenenfalls weitere Daten an den Prozessor 120 übermittelt. Der Anwenderschaltkreis ASIC 150 des Sicherheitsmoduls 100 ist mit dem Prozessor 120 über einen modulinternen Datenbus 126 verbunden.
    Der Prozessor 120 kann die Ungestecktsein-Detektionseinheit zurücksetzen, wenn mittels der übermittelten Daten eine Reinitialisation erfolgreich abgeschlossen werden konnte. Dazu wird über das Rücksetzsignal auf der Leitung 137 der Transistor 1316 durchgeschaltet und somit die Spannung am Abgriff 1304 unter die Referenzspannung der Quelle 1302 gezogen und die Transistoren 1320 und 1322 sperren. Ist der Transistor 1322 im Normalzustand gesperrt, so bilden die Widerstände 1310 und 1312 in Serie den oberen Teil des oben genannten Spannungsteilers und die Umschaltschwelle wird wieder auf den Ursprungszustand abgesenkt.
    5, the circuit diagram of the detection unit 13 is explained. It is provided that the unplugged detection unit 13 has a voltage divider which consists of a series connection of resistors 1310, 1312, 1314 and is connected between a supply voltage potential tapped by a capacitor 1371 and a measuring voltage potential on line 192. The circuit is supplied with the system or battery voltage via line 136. The respective supply voltage from line 136 reaches the capacitor 1371 of the circuit via a diode 1369. A negator 1320, 1398 is located on the output side of the circuit. In the normal state, the transistor 1320 of the negator is blocked and the supply voltage is effective via the resistor 1398 on the line 139, which therefore leads to logic '1', ie H level in the normal state. An L level on line 139 is advantageous as a status signal for being unplugged because then no current flows into pin 5 of processor 120, which increases battery life. The diode 1369, preferably in conjunction with an electrolytic capacitor 1371, ensures that the circuit upstream of the negator is supplied with a voltage over a relatively long period (> 2 s) at which its function is guaranteed, even though the voltage on line 136 is already was switched off.
    The voltage divider 1310, 1312, 1314 has a tap 1304, to which a capacitor 1306 and the non-inverting input of a comparator 1300 are connected. The inverting input of the comparator 1300 is connected to a reference voltage source 1302. The output of the comparator 1300 is connected on the one hand via the negator 1324, 1398 to the line 139 and on the other hand to the control input of a switching means 1322 for the self-holding. The switching means 1322 is connected in parallel to the resistor 1310 of the voltage divider and the switching means 1316 for resetting the latching is connected between the tap 1304 and ground. The tap 1304 of the voltage divider lies at the connection point of the resistors 1312 and 1314. The capacitor 1306 connected between the tap 1304 and ground prevents vibrations. The voltage at tap 1304 of the voltage divider is compared in comparator 1300 with the reference voltage of source 1302. If the voltage to be compared at tap 1304 is less than the reference voltage of source 1302, 50, the comparator output remains at L level and transistor 1320 of the negator is blocked. As a result, line 139 now receives the operating voltage potential and the status signal is logically '1'. The voltage divider is dimensioned such that, at ground potential on line 192, tap 1304 carries a voltage which is safely below the switching threshold of comparator 1300. If the connection is interrupted and the line 192 is no longer connected to ground because the security module 100 has been detached from the base on the main board 9 or interface unit 8 of the franking machine, the voltage at the tap 1304 is drawn via the voltage of the reference voltage source 1302 and the Comparator 1300 switches. The comparator output is switched to H level and consequently transistor 1320 is switched on. As a result, line 139 is connected to ground potential and the status signal is logically '0'. With the help of a transistor 1322, which is connected in parallel with the resistor 1310 of the voltage divider, a self-holding circuit of the unplugged detection unit 13 is realized. The control input of transistor 1322 is switched to H level by the comparator output. As a result, the transistor 1322 turns on and bridges the resistor 1310. As a result, the voltage divider is only formed by the resistors 1312 and 1314. As a result, the switchover threshold is increased to such an extent that the comparator also remains in the switched state when the line 192 is again at ground potential because the safety module has been plugged in again.
    The state of the circuit can be queried by the processor 120 via the signal on line 139.
    It is provided that the unplugged detection unit 13 has a line 137 as a switching means and a switching means 1316 for resetting the latching, the resetting being able to be triggered by the processor 120 via a signal on the line 137. The processor 120 can contact a remote data center at any time via a user circuit ASIC 150, a first contact group 101, a system bus of the control device 1 and, for example, the microprocessor 91 via modem 83, which checks the accounting data and, if necessary, further data to the Processor 120 communicates. The user circuit ASIC 150 of the security module 100 is connected to the processor 120 via an internal data bus 126.
    The processor 120 can reset the unplugged detection unit if a reinitialization could be successfully completed using the transmitted data. For this purpose, the transistor 1316 is switched through via the reset signal on the line 137 and thus the voltage at the tap 1304 is drawn below the reference voltage of the source 1302 and the transistors 1320 and 1322 are blocked. If the transistor 1322 is blocked in the normal state, the resistors 1310 and 1312 form the upper part of the above-mentioned voltage divider in series and the switching threshold is lowered again to the original state.

    Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß Signalmittel 107, 108 aus dem Vergußmaterial an einer ersten Stelle herausragen und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leuchtdioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse untergebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmesser der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grün, orange). Zur Zustandsunterscheidung werden die LED's auch blinkend benutzt, so daß 8 verschiedene Zustandsgruppen unterschieden werden können, die durch folgende LED-Zustände charakterisiert werden: LED grün leuchtend, LED rot leuchtend, LED Orange leuchtend, LED rot blinkend, LED grün blinkend, LED orange blinkend, LED rot leuchtend und orange blinkend sowie LED grün leuchtend und orange blinkend.FIG. 6 shows the mechanical structure of the security module in side view. The security module is designed as a multi-chip module, i.e. several functional units are on a printed circuit board 106 interconnected. The security module 100 is with a hard potting compound 105 potted, the battery 134 of the security module 100 outside the sealing compound 105 on a printed circuit board 106 is interchangeably arranged. For example, with one Potting material 105 potted that signaling means 107, 108 from the Potting material protrude in a first place and that the Printed circuit board 106 with the inserted battery 134 on the side of a second one Spot protrudes. Circuit board 106 also has battery contact terminals 103 and 104 for connecting the poles of the battery 134, preferably on the component side above the circuit board 106. It it is provided that for plugging in the postal security module PSM 100 on the main board of meter 1, the contact groups 101 and 102 below the printed circuit board 106 (conductor track side) of the security module 100 are arranged. The ASIC 150 user circuit has stopped via the first contact group 101 - in a manner not shown - with the System bus of a control device 1 in communication connection and the second contact group 102 is used to supply the security module 100 with the system voltage. If the security module on the Main board plugged in, then it is preferably inside the meter housing arranged in such a way that the signaling means 107, 108 are close an opening 109 or protrudes into this. The meter case is thus advantageously constructed so that the user can view the status of the Security module can still see from the outside. The two LEDs 107 and 108 of the signaling means are via two output signals of the I / O ports on pins 8, 9 of processor 120 are controlled. Both LEDs are housed in a common component housing (Bicolor LED), which is why the dimensions or diameter the opening can remain relatively small and of the order of magnitude Signal means is. In principle, three different colors can be displayed (red, green, orange). The LEDs are also used to differentiate the status used flashing, so that 8 different status groups can be distinguished can be characterized by the following LED states: LED glowing green, LED glowing red, LED orange glowing, LED red flashing, LED flashing green, LED flashing orange, LED flashing red and flashing orange and LED green and flashing orange.

    In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt. FIG. 7 is a top view of the postal security module shown.

    Die Figuren 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 8a und 8b in Verbindung mit Figur 6 deutlich.FIGS. 8a and 8b each show a view of the security module from the right or from the left. The location of contact groups 101 and 102 below the printed circuit board 106, FIGS. 8a and 8b in Connection with Figure 6 clearly.

    Gemäß einer in der Figur 9 gezeigten - sich selbst erläuternden - Tabelle für Statussignalisierung geht eine Vielzahl möglicher Zustandsanzeigen hervor. Eine grün leuchtende LED 107 signalisiert einen OK-Zustand 220, aber eine leuchtende LED 108 signalisiert einen Fehler-Zustand 230 im Ergebnis eines mindestens statischen Selbsttestes. Das Ergebnis eines solchen an sich bekannten Selbsttestes kann wegen der direkten Signalisierung über die LED's 107,108 nicht verfälscht werden. Beispielsweise für den Fall, daß zwischenzeitlich die im Sicherheitsmodul gespeicherten Schlüssel verlohren gingen, würde die laufende Überprüfung im dynamischen Betrieb den Fehler feststellen und als den Zustand 240 mit orange leuchtenden LED's signalisieren. Nach einem Aus/Einschalten ist ein Booten erforderlich, da anderenfalls keine andere Operation mehr ausgeführt werden kann. Der Fall, daß bei der Herstellung die Installation eines Schlüssels vergessen wurde, wird als Zustand 260 beispielsweise mit einer grün blinkenden LED 107 signalisiert.
    Die erste Funktionseinheit ist der Prozessor 120. Dieser wertet ständig einen zweiten Tageskredit daraufhin aus, ob letzterer erschöft ist. Das ist der Fall, wo ein long time Timer abgelaufen ist. Der long time Timer ist abgelaufen, wenn eine zu lange Zeit die Datenzentrale nicht mehr kontaktiert wurde, beispielsweise dazu um ein Guthaben nachzuladen. Als Zeitkredit können von der Datenzentrale beispielsweise 90 Tage vorgegeben und bei der Installation oder beim Nachladen in einen Speicher 124 des Sicherheitsgerätes geladen werden. Nach Ablauf dieser 90 Tage wird ein LOST" -Zustand 250 durch eine rot blinkende LED signalisiert. Der long time Timer ist vorzugsweise ein Rückwärtszähler, der im Prozessor 120 realisiert wird. Da bei Zeitablauf der Zählerstand Null erreicht wird bleibt der Zustand 250 ebenfalls bestehen, wenn das Sicherheitsmodul vom Meter getrennt wurde, nachdem der LOST"Zustand erreicht wurde. Wenn der letzte Kontakt zur Datenzentrale solange zurückliegt, daß dies bereits verdächtig erscheint, wird der suspekte Zustand 270 signalisiert, vorzugsweise ein Rückwärtszähler, der ebenfalls im Prozessor 120 realisiert ist, der ständig einen ersten Tageskredit von beispielsweise 30 Tagen daraufhin auswertet, ob letzterer erschöft ist.
    According to a - self-explanatory - table for status signaling shown in FIG. 9, a large number of possible status displays are shown. A green lit LED 107 signals an OK state 220, but a lit LED 108 signals an error state 230 as a result of an at least static self-test. The result of such a self-test known per se cannot be falsified because of the direct signaling via the LEDs 107, 108. For example, in the event that the keys stored in the security module have been lost in the meantime, the ongoing check in dynamic operation would determine the error and signal it as status 240 with orange LEDs. Booting is required after switching off / on, otherwise no other operation can be carried out. The case that the installation of a key was forgotten during manufacture is signaled as state 260, for example with a flashing green LED 107.
    The first functional unit is the processor 120. This constantly evaluates a second daily credit to determine whether the latter has been exhausted. That is the case where a long time timer has expired. The long time timer has expired if the data center has not been contacted for too long, for example to reload a credit. The data center can, for example, specify 90 days as a time credit and load it into a memory 124 of the security device during installation or during reloading. After these 90 days, a LOST "state 250 is signaled by a flashing red LED. The long time timer is preferably a downward counter which is implemented in processor 120. Since the count reaches zero when the time expires, state 250 also remains when the safety module has been disconnected from the meter , after the LOST "state has been reached. If the last contact to the data center was made so long that this already appears suspicious, the suspicious state 270 is signaled, preferably a down counter, which is also implemented in the processor 120 and which continuously provides a first daily credit of, for example, 30 days thereafter evaluates whether the latter is exhausted.

    Weitere Zustandsanzeigen für die Zustände 280 und 290 sind optional für verschiedene weitere Prüfungen vorgesehen. Dazu können weitere Funktionseinheiten, insbesondere ein Temperaturfühler, im Sicherheitsmodul vorgesehen sein. Wurde zum Beispiel eine Temperatur überschritten, welche zu Schäden im Sicherheitsmodul führen konnte, so kann dieser Zustand 280 mit den LED's 107, 108 signalisiert werden, die rot leuchten und orange blinken und somit die Gesamtwirkung des abwechselnd rot/orange Blinkens hervorrufen. Die zweite Funktionseinheit kann die Batteriespannung gegebenenfalls daraufhin überwachen, ob deren Kapazität erschöpft ist. Vorteilhaft kann ein Zustand 290 für einen erforderlichen Batteriewechsel mit den LED's 107, 108 signalisiert werden, die grün leuchten und orange blinken und somit die Gesamtwirkung des abwechselnd grün/orange Blinkens hervorrufen.Additional status displays for status 280 and 290 are optional for various other tests are planned. You can do more Functional units, in particular a temperature sensor, in the safety module be provided. For example, if a temperature was exceeded, which could lead to damage in the safety module this state 280 can be signaled with the LEDs 107, 108 which are red light up and flash orange and thus the overall effect of the alternately cause red / orange flashing. The second functional unit can if necessary, monitor the battery voltage to determine whether its Capacity is exhausted. A state 290 can be advantageous for one Required battery change is signaled by LEDs 107, 108 that glow green and blink orange, and thus the Generate the overall effect of the alternating green / orange flashing.

    Die Figur 10 zeigt eine Darstellung der Prüfungen im System für statisch und dynamisch änderbare Zustände. Ein ausgeschaltetes System im Zustand 200 geht nach dem Einschalten über die Transition Start 201 in den Zustand 210 über, in welchem vom Sicherheitsmodule ein statischer Selbsttest durchgeführt wird sobald die Betriebsspannung anliegt. Bei der Transition 202, bei der der Selbsttest ein OK bei ordnungsgemäßem Ergebnis ergibt, wird der Zustand 220 mit LED 107 grün leuchtend erreicht. Ausgehend von letzterem Zustand sind bei Bedarf ein wiederholter statischer Selbsttest, ein dynamischer Dauer-Test, mindestens ein periodischer Zeitkredit-Test und andere Teste durchführbar. Eine solche Tests veranschaulichende Transition 203 führt zurück auf den Zustand 220 LED grün bei OK. Eine Transition 206 führt auf den Zustand 240 und die LED's leuchten orange bei einem während des dynamischen Selbsttest festgestellten Fehler. Letzterer ist durch einen Recover-Versuch evtl. durch Ausschalten (Transition 211) und Wiedereinschalten des Gerätes (Transition 201) behebbar. Statische Fehler sind aber nicht behebbar. Vom Zustand 210, in welchem das eingeschaltete Gerät einen statischen Selbsttest ausführt, existiert bei einem Fehler eine Transition 204 zum Zustand 230 und die LED 108 leuchtet rot. Zu jeder Zeit, wenn sich das Gerät im Zustand 220 (LED grün) befindet, kann ein on demand ausgeführter statischer Selbsttest bei einem Fehler über eine Transition 205 zum Zustand 230 (LED rot) führen. Ausgehend vom Zustand 220 (LED grün) führen weitere Transitionen 207, 208, 209 zu den weiteren Zuständen 270, 250, 260. Im Zustand 270 wird mit orange blinkenden LED's 107, 108 signalisiert, daß die Verbindung zur Datenzentrale aufgenommen werden soll, da das Sicherheitsgerät bereits als suspekt gilt. Über die Transition 212, die das Nachladen ergibt, wird wieder der Zustand 210 erreicht.
    Im Zustand 250 wird mit der rot blinkenden LED 108 der Zustand LOST" signalisiert. Bei der Transition 209 bei der ein weiterer Selbsttest des Prozessors 120 ein Erfordernis des Nachladens eines Schlüssels ergibt, wird der Zustand 260 mit LED 107 grün blinkend erreicht.
    Ausgehend vom Zustand 220 (LED 107 grün) können optionale weitere Transitionen entweder zu dem weiteren Zustand 280 mit rot leuchtend/orange blinkenden LED's oder dem Zustand 290 mit grün leuchtend/orange blinkenden LED's führen. Bei der ersten optionalen Transition ergibt eine Temperaturmessung ein Erfordernis des Auswechseins des ganzen Sicherheitsmoduls. Bei der letzteren Transition ergibt eine Kapazitätsmessung der Batterie ein Erfordernis des Batteriewechselns.
    FIG. 10 shows a representation of the tests in the system for statically and dynamically changeable states. A switched-off system in state 200 changes after switching on via transition start 201 to state 210, in which the safety modules carry out a static self-test as soon as the operating voltage is present. With transition 202, in which the self-test gives an OK if the result is correct, state 220 is reached with LED 107 glowing green. Starting from the latter state, a repeated static self-test, a dynamic endurance test, at least one periodic time credit test and other tests can be carried out if necessary. Transition 203 illustrating such tests leads back to state 220 LED green when OK. A transition 206 leads to state 240 and the LEDs light up orange in the event of an error being detected during the dynamic self-test. The latter can be remedied by trying to recover it by switching it off (transition 211) and then on again (transition 201). However, static errors cannot be corrected. From state 210, in which the switched-on device carries out a static self-test, there is a transition 204 to state 230 in the event of an error and LED 108 lights up red. At any time when the device is in state 220 (LED green), a static self-test carried out on demand can lead to state 230 (LED red) in the event of an error via a transition 205. Starting from state 220 (LED green), further transitions 207, 208, 209 lead to further states 270, 250, 260. In state 270, LEDs 107, 108 flashing orange indicate that the connection to the data center is to be established, since the Security device is already considered suspect. The state 210 is reached again via the transition 212, which results in the reloading.
    In state 250, the state flashes with red flashing LED 108 LOST "signaled. In transition 209, in which a further self-test of processor 120 reveals a need to reload a key, state 260 is reached with LED 107 flashing green.
    Starting from state 220 (LED 107 green), optional further transitions can either lead to further state 280 with LEDs flashing red / orange or to state 290 with LEDs flashing green / orange. In the first optional transition, a temperature measurement indicates that the entire safety module has to be replaced. In the latter transition, a capacity measurement of the battery reveals a need to change the battery.

    Die Figur 11 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls nach einer zweiten Variante in Seitenansicht. Das Sicherheitsmodul ist wieder als Multi-Chip-Modul ausgebildet und mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Aus Kostengründen erfolgt der Verguß an einer ersten Stelle so mit einem Vergußmaterial 105, dass das Signalmittel 107, 108 und die gesteckte Batterie 134 extern vom Vergußmaterial an einer zweiten Stelle auf der Oberseite der Leiterplatte 106 montiert sind. Die Leiterplatte 106 hat wieder Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Die beiden Leuchtdioden 107 und 108 des Signalmittels sind bei dieser Variante separate Bauelemente. Die beiden Leuchtdioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Zur Zustandsunterscheidung können die LED's wiederum auch blinkend gesteuert werden, so daß verschiedene Zustandsgruppen unterschieden werden können. Das Metergehäuse ist ebenfalls wieder so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls von außen, beispielsweise durch ein Sichtfenster oder eine Öffnung 109 sehen kann.
    Es ist ebenfalls vorgesehen, dass zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 des Sicherheitsmoduls 100 angeordnet sind. Vorteilhaft enthält ein Verbinder 127 die Kontaktgruppen 101 und 102, wobei ein Verbinder 127 auf der Leiterbahnseite der Leiterplatte 106 angeordnet ist.
    FIG. 11 shows a side view of the mechanical structure of the security module according to a second variant. The security module is again designed as a multi-chip module and encapsulated with a hard potting compound 105, the battery 134 of the security module 100 being interchangeably arranged outside the encapsulating compound 105 on a printed circuit board 106. For reasons of cost, the potting takes place at a first point with a potting material 105 such that the signaling means 107, 108 and the inserted battery 134 are mounted externally from the potting material at a second point on the upper side of the printed circuit board 106. The circuit board 106 again has battery contact terminals 103 and 104 for connecting the poles of the battery 134, preferably on the component side above the circuit board 106. In this variant, the two light-emitting diodes 107 and 108 of the signaling means are separate components. The two light-emitting diodes 107 and 108 of the signaling means are controlled via two output signals of the I / O ports on the pins 8, 9 of the processor 120. To differentiate the status, the LEDs can also be controlled flashing so that different status groups can be distinguished. The meter housing is also again designed so that the user can see the status display of the security module from the outside, for example through a viewing window or an opening 109.
    It is also provided that the contact groups 101 and 102 are arranged below the printed circuit board 106 of the security module 100 in order to connect the postal security module PSM 100 to the main board of the meter 1. A connector 127 advantageously contains the contact groups 101 and 102, a connector 127 being arranged on the conductor track side of the printed circuit board 106.

    In der Figur 12 ist eine Draufsicht auf das postalische Sicherheitsmodul der zweiten Variante dargestellt. Die Vergußmasse 105 umgibt quaderförmig den ersten Teil der Leiterplatte 106, während der zweite Teil der Leiterplatte 106 für die beiden Leuchtdioden 107 und 108, die auswechselbar angeordnete Batterie 134 und für den Verbinder 127 (hier nicht sichtbar) frei von Vergußmasse bleibt. Die Batteriekontaktklemmen 103 und 104 werden in der Figur 12 von der Batterie verdeckt, sind aber ebenso wie der Verbinder 127 in der Seitenansicht nach Fig.13a sichtbar.FIG. 12 is a top view of the postal security module the second variant. The potting compound 105 surrounds cuboid the first part of the circuit board 106, while the second part of the Printed circuit board 106 for the two light-emitting diodes 107 and 108, the replaceable battery 134 and for the connector 127 (here not visible) remains free of potting compound. The battery contact terminals 103 and 104 are covered by the battery in FIG. 12, but are as well as the connector 127 visible in the side view according to Fig. 13a.

    Der Verguß des ersten Teils der Leiterplatte 106 zeigt weder Öffnungen noch Erhebungen und bietet somit weniger Angriffspunkte für ein Manipulation in krimineller Absicht. Das Vergußmaterial 105 ist vorzugsweise ein Zweikomponenten-Epoxitharz oder Polymer bzw. Kunststoff. Geeignet ist eine Vergußmasse aus STYCAST ®2651-40 FR von der Firma EMERSON & CUMING mit vorzugsweise CATALYST 9 als zweite Komponente. Bei der Herstellung des Vergusses werden beide Komponenten gemischt und auf beide Seiten der Leiterplatte 106 in deren ersten Teil aufgebracht. Letzteres kann beispielsweise durch Eintauchen in die frische Mischung erfolgen. Nun kann eine - nach einem abschließend äusserem Verguß von aussen nicht sichtbare - Schutz-und/oder Sensorschicht angebracht werden, welche während des Aushärtens des Vergußmaterials 105 mit letzterem eine feste Verbindung eingeht. Nach dem abschließenden äusseren Verguß härtet die Vergussmasse zu dem festen undurchsichtigen Vergußmaterials 105 aus.The potting of the first part of the circuit board 106 shows neither openings still surveys and thus offers fewer points of attack for one Manipulation with criminal intent. The potting material 105 is preferably a two-component epoxy resin or polymer or Plastic. A potting compound made of STYCAST ®2651-40 FR is suitable from EMERSON & CUMING with preferably CATALYST 9 as second component. When making the potting both Components mixed and on both sides of the circuit board 106 in the first part applied. The latter can be done, for example, by immersion into the fresh mix. Now one - after one finally, external potting not visible from the outside - protection and / or Sensor layer are attached, which during the Hardening the potting material 105 with the latter a firm connection comes in. After the final external potting, the potting compound hardens to the solid opaque potting material 105.

    Die Figuren 13a bzw. 13b zeigen eine Ansicht des Sicherheitsmoduls der zweiten Variante jeweils von rechts bzw. von links. Die Lage des Verbinders 127 mit den Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 13a und 13b in Verbindung mit Figur 12 deutlicher sichtbar.
    Alternativ kann beispielsweise ein Verbinder 127 - in nicht gezeigter Weise - auf der Oberseite des zweiten Teils der Leiterplatte 106 angebracht werden.
    FIGS. 13a and 13b show a view of the security module of the second variant from the right and from the left, respectively. The position of the connector 127 with the contact groups 101 and 102 below the circuit board 106 can be seen more clearly from FIGS. 13a and 13b in connection with FIG.
    Alternatively, for example, a connector 127 may be attached to the top of the second portion of the circuit board 106 in a manner not shown.

    Prinzipiell kann natürlich auch ein anderes Signalmittel in Verbindung mit einem postalischen Gerät eingesetzt werden.
    Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankiermaschine. Das Sicherheitsmodul kann dann als postalisches Sicherheitsgerät PSD (POSTAL SECURITY DEVICE) durch die jeweilige Postbehörde zugelassen werden.
    In principle, of course, another signaling means can also be used in connection with a postal device.
    According to the invention, the postal device, in particular a franking machine. The security module can then be approved as a postal security device PSD (POSTAL SECURITY DEVICE) by the respective postal authority.

    Das Sicherheitsmodul bzw. PSD auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf die Hauptplatine eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.The security module or PSD also have a different design, which allows it to be, for example, on the motherboard of a Personal computer can be plugged in as a PC franking machine controls conventional printer.

    Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.The invention is not limited to the present embodiment, since obviously other arrangements or designs of the Invention can be developed or used, the - of the same Basic ideas of the invention starting from the adjacent Claims are included.

    Claims (16)

    Verfahren zum Schutz eines Sicherheitsmoduls, mit den folgenden Schritten: Überwachung des Zustandes, des sachgemäßen Gebrauchs oder Austausches des Sicherheitsmoduls mindestens mittels zweier Funktionseinheiten (120, 12, 13), Signalisieren mindestens eines Zustandes (220, 230, 240, 250, 260, 270, 280, 290) gesteuert mittels einer ersten Funktionseinheit (120) und Löschen von sensitiven Daten aufgrund eines unsachgemäßen Gebrauchs oder Austausches mindestens mittels einer zweiten Funktionseinheit (12). Procedure for protecting a security module, with the following steps: Monitoring the condition, correct use or replacement of the security module by means of at least two functional units (120, 12, 13), Signaling at least one state (220, 230, 240, 250, 260, 270, 280, 290) controlled by means of a first functional unit (120) and Deleting sensitive data due to improper use or exchange at least by means of a second functional unit (12). Verahren, nach Ansprunch 1, gekennzeichnet dadurch, daß mittels der ersten Funktionseinheit (120) ein Zeitablauf detektiert wird und daß zur Wiederherstellung der Funktionen ein weiterer Verfahrensablauf erfolgt, mit den Schriften: Reinitialisieren mittels der ersten Funktionseinheit (120) von zuvor gelöschten sensitiven Daten nach sachgemäßem Gebrauch oder Austausch des Sicherheitsmoduls, und Wiederinbetriebnahme durch Freischalten der Funktionseinheiten (12, 13) des Sicherheitsmodules (100). Procedure according to Claim 1, characterized in that a time lapse is detected by means of the first functional unit (120) and that a further procedure is carried out to restore the functions, with the writings: Reinitializing by means of the first functional unit (120) previously deleted sensitive data after proper use or replacement of the security module, and Recommissioning by activating the functional units (12, 13) of the safety module (100). Verfahren, nach Anspruch 1, gekennzeichnet dadurch, daß mittels der zweiten Funktionseinheit (12) eine Überwachung des sachgemäßen Einsatzes oder Zustandes der Batterie (134) vorgenommen wird.Method according to claim 1, characterized in that the proper use or condition of the battery (134) is monitored by means of the second functional unit (12). Verfahren, nach Anspruch 1, gekennzeichnet dadurch, daß ein Sperren der Funktionalität mittels einer dritten Funktionseinheit (13) aufgrund eines Austausches des Sicherheitsmoduls oder aufgrund eines Zerstörungszustandes nach einem Angriff erfolgt. Method according to claim 1, characterized in that the functionality is blocked by means of a third functional unit (13) due to an exchange of the security module or due to a state of destruction after an attack. Verfahren, nach Anspruch 4, gekennzeichnet dadurch, daß mittels der dritten Funktionseinheit (13) ein Zerstörungszustand nach einem mechanischen oder chemischen Angriff detektiert wirdMethod according to claim 4, characterized in that a destruction state after a mechanical or chemical attack is detected by means of the third functional unit (13) Verfahren, nach Anspruch 2, gekennzeichnet dadurch, daß die erste Funktionseinheit ständig einen ersten Tageskredit auswertet, wobei ein suspekter Zustand signalisiert wird, wenn der Tageskredit erschöft ist.Method according to claim 2, characterized in that the first functional unit continuously evaluates a first day loan, a suspicious condition being signaled when the day loan is exhausted. Verfahren, nach Anspruch 6, gekennzeichnet dadurch, daß durch eine Kontaktaufnahme mit der Datenzentrale der normale Arbeitszustand wiederhergestellt werden, ohne daß eine Inspektion vor Ort durch einen Service erforderlich wird.Method according to claim 6, characterized in that the normal working state is restored by contacting the data center without an on-site inspection by a service being required. Verfahren, nach Anspruch 2, gekennzeichnet dadurch, daß der Zeitkredit variabel und von Sicherheitsgerät zu Sicherheitsgerät unterschiedlich ist und bei der Installation in einen Speicher des Sicherheitsgerätes geladen werden kann.Method according to claim 2, characterized in that the time credit is variable and differs from security device to security device and can be loaded into a memory of the security device during installation. Verahren, nach Anspruch 2, gekennzeichnet dadurch, daß die erste Funktionseinheit (120) ständig einen zweiten Tageskredit auswertet, welcher länger als der erste Tageskredit läuft, wobei der Zustand
    Figure 00310001
    LOST" signalisiert wird, wenn der zweite Tageskredit erschöft ist.
    Procedure according to claim 2, characterized in that the first functional unit (120) continuously evaluates a second day loan, which runs longer than the first day loan, the state
    Figure 00310001
    LOST "is signaled when the second daily credit is exhausted.
    Anordnung zur Durchführung des Verfahrens nach Anspruch 1, wobei ein Sicherheitsmodul, mit einer Logik (120, 150, 160), Mitteln zur Versorgung des Sicherheitsmoduls mit einer Systemspannung oder mit einer Spannung aus einer Batterie (134) und mit einer Anzahl an Überwachungsmitteln ausgestattet ist, gekennzeichnet durch mindestens eine erste (120) und zweite Funktionseinheit (12) sowie durch Mittel zum Laden mindestens eines von der Datenzentrale vorgegebenen Zeitkredits und durch ein Signalmittel (107, 108), welches mit einer ersten Funktionseinheit (120) verbunden ist, wobei das Laden bei der Installation und beim Nachladen in einen Speicher (124) des Sicherheitsgerätes vorgenommen wird, und wobei die erste Funktionseinheit (120) einen Tageskredit auf Zeitablauf auswertet und das Signalmittel (107, 108) ansteuert, mindestens um den Zeitablauf zu signalisieren, sowie durch Mittel der zweiten Funktionseinheit (12) zum Löschen von sensitiven Daten im Speicher (124) aufgrund eines unsachgemäßen Gebrauchs oder Austausches des Sicherheitsmoduls.Arrangement for carrying out the method according to claim 1, wherein a security module is equipped with logic (120, 150, 160), means for supplying the security module with a system voltage or with a voltage from a battery (134) and with a number of monitoring means , characterized by at least a first (120) and a second functional unit (12) and by means for loading at least one time credit specified by the data center and by a signal means (107, 108) which is connected to a first functional unit (120), the Loading during installation and reloading is carried out in a memory (124) of the security device, and wherein the first functional unit (120) evaluates a daily credit for the passage of time and controls the signaling means (107, 108), at least to signal the passage of time, and by Means of the second functional unit (12) for deleting sensitive data in the memory (124) due to an un proper use or replacement of the security module. Anordnung, nach Anspruch 10, gekennzeichnet dadurch, daß die zweite Funktionseinheit (12) eine Spannungsüberwachungseinheit (12) ist, welche über eine Leitung (136) mit Mitteln zur Versorgung des Sicherheitsmoduls mit einer Systemspannung oder mit einer Batteriespannung verbunden ist, wobei die die zweite Funktionseinheit (12) über eine Leitung (138) eine Betriebsspannung an einen Speicher (122, 124) abgibt.Arrangement according to claim 10, characterized in that the second functional unit (12) is a voltage monitoring unit (12) which is connected via a line (136) to means for supplying the safety module with a system voltage or with a battery voltage, the second Functional unit (12) outputs an operating voltage to a memory (122, 124) via a line (138). Anordnung, nachAnspruch 10, gekennzeichnet dadurch, daß eine dritte Funktionseinheit (13) eine Detektionseinheit mit Schaltungsmitteln (1310, 1316, 1322, 1324) für eine rücksetzbare Selbsthaltung vorhanden ist, wobei die Selbsthaltung ausgelöst wird, wenn der Spannungspegel auf einer Meßspannungsleitung (192) von einem vorbestimmten Potential abweicht und daß der mit den Funktionseinheiten (12, 13) verbundene Prozessor (120) programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) festzustellen und zu signalisieren. Arrangement according to Claim 10, characterized in that a third functional unit (13) has a detection unit with circuit means (1310, 1316, 1322, 1324) for resettable self-holding, the self-holding being triggered when the voltage level on a measuring voltage line (192) deviates from a predetermined potential and that the processor (120) connected to the functional units (12, 13) is programmed to determine and signal the respective state of the security module (100). Anordnung, nach den Ansprüchen 10 bis 12, gekennzeichnet dadurch, daß der Prozessor (120) Speicher (122, 124) aufweist, an welche über die Leitung (138) eine Betriebsspannung Ub+ von einer Spannungsüberwachungseinheit (12) geführt wird, daß der Prozessor (120) mit Systemspannung Us+ versorgt wird und einen vierten Anschluß (Pin 4) aufweist, um den Zustand der Selbsthaltung der Detektionseinheit (13) über die Leitung (137) zurückzusetzen und einen fünften Anschluß (Pin 5) aufweist, an welchem die Leitung (139) angeschlossen ist, um den Zustand der Detektionseinheit (13) abzufragen.Arrangement according to claims 10 to 12, characterized in that the processor (120) has memories (122, 124) to which an operating voltage Ub + is fed via the line (138) from a voltage monitoring unit (12), that the processor ( 120) is supplied with system voltage Us + and has a fourth connection (pin 4) in order to reset the state of self-retention of the detection unit (13) via the line (137) and a fifth connection (pin 5) to which the line (139 ) is connected to query the state of the detection unit (13). Anordnung, nach einem der Ansprüche 10 bis 13, gekennzeichnet dadurch, daß das Sicherheitsmodul (100) mit einer harten Vergußmasse (105) vergossen ist, daß die Batterie (134) des Sicherheitsmoduls (100) außerhalb der Vergußmasse (105) auf einer Leiterplatte (106) auswechselbar angeordnet ist, daß die Leiterplatte (106) die Batteriekontaktklemmen (103 und 104) für den Anschluß der Pole der Batterie (134) und eine zweite Kontaktgruppe (102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist und daß die Vergußmasse mit Mitteln ausgestattet sind, welche des Sicherheitsmodul (100) vor einem Angriff warnen und ggf. schützen sowie daß mindestens eine der Kontaktgruppen (101, 102) zur statischen und dynamischen Überwachung des Angestecktseins und des Angegriffenseins des Sicherheitsmoduls (100) ausgebildet ist.Arrangement according to one of claims 10 to 13, characterized in that the security module (100) is encapsulated with a hard potting compound (105), that the battery (134) of the security module (100) outside the potting compound (105) on a printed circuit board ( 106) is arranged so that the circuit board (106) has the battery contact terminals (103 and 104) for connecting the poles of the battery (134) and a second contact group (102) for supplying the safety module (100) with the system voltage and that Potting compound are equipped with means which warn the security module (100) of an attack and possibly protect it, and that at least one of the contact groups (101, 102) is designed for the static and dynamic monitoring of the presence and attack of the security module (100). Anordnung, nach einem der Ansprüche 10 bis 14, gekennzeichnet dadurch, daß der Prozessor (120) des Sicherheitsmoduls mit Anschlüssen (Pin's 8, 9) zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls (100) ausgestattet ist. Arrangement according to one of claims 10 to 14, characterized in that the processor (120) of the security module is equipped with connections (pins 8, 9) for outputting at least one signal for signaling the state of the security module (100). Anordnung, nach Anspruch 15, gekennzeichnet dadurch, daß an den I/O-Ports einer Ein/Ausgabe-Einheit (125) des Prozessors (120) modulinterne Signalmittel (107,108) angeschlossen sind.Arrangement according to Claim 15, characterized in that signal means (107, 108) internal to the module are connected to the I / O ports of an input / output unit (125) of the processor (120).
    EP00250065A 1999-03-12 2000-02-25 Arrangement for the protection of a security module Expired - Lifetime EP1035518B1 (en)

    Applications Claiming Priority (4)

    Application Number Priority Date Filing Date Title
    DE19912781A DE19912781A1 (en) 1999-03-12 1999-03-12 Method for protecting a security module and arrangement for carrying out the method
    DE19912781 1999-03-12
    DE19928057A DE19928057B4 (en) 1999-06-15 1999-06-15 Security module and method for securing the postal registers from manipulation
    DE19928057 1999-06-15

    Publications (3)

    Publication Number Publication Date
    EP1035518A2 true EP1035518A2 (en) 2000-09-13
    EP1035518A3 EP1035518A3 (en) 2000-12-20
    EP1035518B1 EP1035518B1 (en) 2008-06-25

    Family

    ID=26052507

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP00250065A Expired - Lifetime EP1035518B1 (en) 1999-03-12 2000-02-25 Arrangement for the protection of a security module

    Country Status (5)

    Country Link
    US (2) US7194443B1 (en)
    EP (1) EP1035518B1 (en)
    CN (1) CN1156800C (en)
    AU (1) AU2080500A (en)
    DE (1) DE50015220D1 (en)

    Cited By (5)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1209631A1 (en) * 2000-11-28 2002-05-29 Francotyp-Postalia AG & Co. KG Power supply arrangement for a security part of an apparatus
    DE10116703A1 (en) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Method for recording a consumption value and consumption counter with a sensor
    US6512376B2 (en) 2000-12-11 2003-01-28 Francotyp-Postalia Ag & Co. Kg Method for determining a requirement to replace a component part and arrangement for the implementation of the method
    DE10136608B4 (en) * 2001-07-16 2005-12-08 Francotyp-Postalia Ag & Co. Kg Method and system for real-time recording with security module
    EP1967976A2 (en) 2007-03-06 2008-09-10 Francotyp-Postalia GmbH Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine

    Families Citing this family (10)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US7440914B2 (en) * 2001-07-27 2008-10-21 Promontory Interfinancial Networks, Llc Method and apparatus for fully insuring large bank deposits
    US20040257102A1 (en) * 2003-06-20 2004-12-23 Wong Hong W. Secure content protection for board connections
    DE202006008952U1 (en) * 2006-05-31 2006-08-03 Francotyp-Postalia Gmbh Arrangement for changing the customer data of a franking machine for tranmsitting data serially to a customer card
    US8308819B2 (en) * 2006-12-19 2012-11-13 Pitney Bowes Inc. Method for detecting the removal of a processing unit from a printed circuit board
    US8522043B2 (en) * 2007-06-21 2013-08-27 Microsoft Corporation Hardware-based computer theft deterrence
    WO2009115864A1 (en) * 2008-03-19 2009-09-24 Freescale Semiconductor, Inc. A method for protecting a cryptographic module and a device having cryptographic module protection capabilities
    US8060453B2 (en) 2008-12-31 2011-11-15 Pitney Bowes Inc. System and method for funds recovery from an integrated postal security device
    US8055936B2 (en) * 2008-12-31 2011-11-08 Pitney Bowes Inc. System and method for data recovery in a disabled integrated circuit
    US9046570B2 (en) 2012-08-03 2015-06-02 Freescale Semiconductor, Inc. Method and apparatus for limiting access to an integrated circuit (IC)
    US20160308889A1 (en) * 2015-04-16 2016-10-20 Temporal Defense Systems, Llc Methods and systems for self-detection of post-production external hardware attachments

    Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4746234A (en) 1983-07-23 1988-05-24 Francotyp-Postalia Gmbh Relating to postal franking machines
    EP0660269A2 (en) 1993-12-21 1995-06-28 Francotyp-Postalia GmbH Method for enhancing franking machines security
    EP0660270A2 (en) 1993-12-21 1995-06-28 Francotyp-Postalia GmbH Method and device for generating and checking security imprints
    US5490077A (en) 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
    US5606508A (en) 1992-04-16 1997-02-25 Francotyp Postalia Gmbh Assembly for franking postal matter
    DE19605015C1 (en) 1996-01-31 1997-03-06 Francotyp Postalia Gmbh Device for printing on print carrier standing on edge e.g. letter in franking or addressing machine
    EP0789333A2 (en) 1996-01-31 1997-08-13 Francotyp-Postalia Aktiengesellschaft & Co. Franking machine
    EP0417447B1 (en) 1989-09-12 1997-10-29 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies

    Family Cites Families (21)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4217484A (en) * 1977-02-07 1980-08-12 Gerst William J Taximeter
    CA1160744A (en) * 1979-05-09 1984-01-17 Jesse T. Quatse Electronic postage meter having improved security and fault tolerance features
    US4575621A (en) * 1984-03-07 1986-03-11 Corpra Research, Inc. Portable electronic transaction device and system therefor
    JPS6227843A (en) 1985-07-29 1987-02-05 Sharp Corp Electronic equipment
    US4804957A (en) 1985-11-27 1989-02-14 Triad Communications, Inc. Utility meter and submetering system
    US5097253A (en) * 1989-01-06 1992-03-17 Battelle Memorial Institute Electronic security device
    MY107292A (en) * 1989-10-03 1995-10-31 Univ Sydney Technology Electro-active cradle circuits for the detection of access or penetration.
    US5091938B1 (en) * 1990-08-06 1997-02-04 Nippon Denki Home Electronics Digital data cryptographic system
    US5515540A (en) * 1990-08-27 1996-05-07 Dallas Semiconducter Corp. Microprocessor with single pin for memory wipe
    DE4217830C2 (en) 1992-05-29 1996-01-18 Francotyp Postalia Gmbh Method for operating a data processing system
    DE4333156C2 (en) 1993-09-29 1995-08-31 Siemens Ag Circuit arrangement for connecting an electronic assembly to an operating voltage
    US5548163A (en) * 1993-12-13 1996-08-20 Blade Technologies Inc. Device for securing car audio equipment
    US5805711A (en) * 1993-12-21 1998-09-08 Francotyp-Postalia Ag & Co. Method of improving the security of postage meter machines
    GB9514096D0 (en) * 1995-07-11 1995-09-13 Homewood Clive R Security device
    DE19610070A1 (en) 1996-03-14 1997-09-18 Siemens Ag Smart card
    US6065679A (en) * 1996-09-06 2000-05-23 Ivi Checkmate Inc. Modular transaction terminal
    CA2271097A1 (en) * 1996-11-07 1998-05-14 Edward Naclerio System for protecting cryptographic processing and memory resources for postal franking machines
    US5960084A (en) * 1996-12-13 1999-09-28 Compaq Computer Corporation Secure method for enabling/disabling power to a computer system following two-piece user verification
    DE19711998A1 (en) * 1997-03-13 1998-09-17 Francotyp Postalia Gmbh Mail processing system with a printing machine base station controlled by a personal computer
    US6019281A (en) * 1997-12-22 2000-02-01 Micro General Corp. Postal security device with display
    US6097606A (en) * 1998-05-28 2000-08-01 International Verifact Inc. Financial transaction terminal with limited access

    Patent Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4746234A (en) 1983-07-23 1988-05-24 Francotyp-Postalia Gmbh Relating to postal franking machines
    EP0417447B1 (en) 1989-09-12 1997-10-29 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
    US5606508A (en) 1992-04-16 1997-02-25 Francotyp Postalia Gmbh Assembly for franking postal matter
    US5490077A (en) 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
    EP0660269A2 (en) 1993-12-21 1995-06-28 Francotyp-Postalia GmbH Method for enhancing franking machines security
    EP0660270A2 (en) 1993-12-21 1995-06-28 Francotyp-Postalia GmbH Method and device for generating and checking security imprints
    DE19605015C1 (en) 1996-01-31 1997-03-06 Francotyp Postalia Gmbh Device for printing on print carrier standing on edge e.g. letter in franking or addressing machine
    EP0789333A2 (en) 1996-01-31 1997-08-13 Francotyp-Postalia Aktiengesellschaft & Co. Franking machine

    Cited By (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1209631A1 (en) * 2000-11-28 2002-05-29 Francotyp-Postalia AG & Co. KG Power supply arrangement for a security part of an apparatus
    US7610501B2 (en) 2000-11-28 2009-10-27 Francotyp-Postalia Ag & Co. Kg Arrangement for the power supply for a security domain of a device
    US6512376B2 (en) 2000-12-11 2003-01-28 Francotyp-Postalia Ag & Co. Kg Method for determining a requirement to replace a component part and arrangement for the implementation of the method
    DE10116703A1 (en) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Method for recording a consumption value and consumption counter with a sensor
    DE10136608B4 (en) * 2001-07-16 2005-12-08 Francotyp-Postalia Ag & Co. Kg Method and system for real-time recording with security module
    US7222238B2 (en) 2001-07-16 2007-05-22 Francotyp Postalia Ag & Co, Kg Method and system for real-time registration of transactions with a security module
    EP1967976A2 (en) 2007-03-06 2008-09-10 Francotyp-Postalia GmbH Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine
    DE102007011309A1 (en) 2007-03-06 2008-09-11 Francotyp-Postalia Gmbh Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine

    Also Published As

    Publication number Publication date
    EP1035518A3 (en) 2000-12-20
    EP1035518B1 (en) 2008-06-25
    CN1156800C (en) 2004-07-07
    DE50015220D1 (en) 2008-08-07
    AU2080500A (en) 2000-09-14
    US7194443B1 (en) 2007-03-20
    CN1271145A (en) 2000-10-25
    US6954149B2 (en) 2005-10-11
    US20020194017A1 (en) 2002-12-19

    Similar Documents

    Publication Publication Date Title
    EP0969422B1 (en) Method for improving the security of franking machines
    EP1035517B1 (en) Method for the protection of a security module and arrangement for implementing said method
    EP1035516B1 (en) Arrangement for a security module
    EP0762337A2 (en) Method and device for enhancing manipulation-proof of critical data
    EP1035518B1 (en) Arrangement for the protection of a security module
    DE3613007B4 (en) System for determining unbilled print
    DE69828331T3 (en) Electronic postage meter with multiple clock systems for improved security
    DE3729342A1 (en) SECURITY PRINTER FOR A VALUE PRINTING SYSTEM
    EP1103924B1 (en) Method for protecting a device against operating with unauthorised articles of consumption and apparatus for carrying out the method
    EP1063619B1 (en) Security module and method for protecting the postal register against manipulation
    DE19534530A1 (en) Process for securing data and program code of an electronic franking machine
    EP1035513B1 (en) Security module with status signalization
    EP0927971A2 (en) Method and postal apparatus with a chipcard read/write unit for reloading change data into a chipcard
    EP1103923A2 (en) Method for the automatic ordering of articles of consumption and apparatus for carrying out the method
    EP1061479A2 (en) Arrangement and method for generating a security imprint
    DE3040532C2 (en) Reloadable electronic franking machine
    DE19928061C2 (en) Security module to monitor system security and procedures
    DE19534529C2 (en) Process for increasing the security against manipulation of critical data
    DE19534527C2 (en) Process for increasing the security against manipulation of critical data
    EP1213817A2 (en) Method for the determination of a need to exchange a component and device for carrying out the method
    EP0717379A2 (en) Method for improving the security from franking machines at a credit transfer
    EP0996097A9 (en) Method for improving the security of franking machines during the credit transfer

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): CH DE FR GB IT LI

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    RIC1 Information provided on ipc code assigned before grant

    Free format text: 7G 07B 17/00 A, 7G 07B 17/04 B

    17P Request for examination filed

    Effective date: 20010417

    AKX Designation fees paid

    Free format text: CH DE FR GB IT LI

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA GMBH

    17Q First examination report despatched

    Effective date: 20060926

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    RTI1 Title (correction)

    Free format text: ARRANGEMENT FOR THE PROTECTION OF A SECURITY MODULE

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): CH DE FR GB IT LI

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REF Corresponds to:

    Ref document number: 50015220

    Country of ref document: DE

    Date of ref document: 20080807

    Kind code of ref document: P

    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20090326

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R081

    Ref document number: 50015220

    Country of ref document: DE

    Owner name: FRANCOTYP-POSTALIA GMBH, DE

    Free format text: FORMER OWNER: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

    Effective date: 20150330

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 17

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 18

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 19

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: CH

    Payment date: 20190218

    Year of fee payment: 20

    Ref country code: GB

    Payment date: 20190218

    Year of fee payment: 20

    Ref country code: IT

    Payment date: 20190225

    Year of fee payment: 20

    Ref country code: DE

    Payment date: 20190110

    Year of fee payment: 20

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: FR

    Payment date: 20190219

    Year of fee payment: 20

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R071

    Ref document number: 50015220

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: PE20

    Expiry date: 20200224

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

    Effective date: 20200224