EP1061479A2 - Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes - Google Patents

Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes Download PDF

Info

Publication number
EP1061479A2
EP1061479A2 EP00250186A EP00250186A EP1061479A2 EP 1061479 A2 EP1061479 A2 EP 1061479A2 EP 00250186 A EP00250186 A EP 00250186A EP 00250186 A EP00250186 A EP 00250186A EP 1061479 A2 EP1061479 A2 EP 1061479A2
Authority
EP
European Patent Office
Prior art keywords
data
security
processing unit
dac
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP00250186A
Other languages
English (en)
French (fr)
Other versions
EP1061479A3 (de
Inventor
Dirk Rosenau
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP1061479A2 publication Critical patent/EP1061479A2/de
Publication of EP1061479A3 publication Critical patent/EP1061479A3/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00322Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/0037Calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board

Definitions

  • the invention relates to an arrangement for generating a security imprint with a security module, according to the in the preamble of Claim 1 specified type and for a method for generation a security imprint according to the preamble of claim 9 specified type.
  • a postal security module is part of a Arrangement that is particularly suitable for use in a Franking machine or mail processing machine or computer with Mail processing function is suitable. The procedure serves as a backup manipulation with unpaid frankings on postal items.
  • a security imprint has a machine-readable marker with variable data and a crypto or authentication code.
  • a crypto or authentication code formed from the variable data is compared with the printed crypto or authentication code.
  • the franking machine has a single microprocessor that calculates both a cryptocode or a DAC (DATA AUTHENTIFICATION CODE) to secure the print data, as well as the print image itself.
  • the latter consists of fixed frame pixel data and the window pixel data.
  • Window pixel data is variable and semi-variable print data.
  • the print data must be embedded in advance. If the changes extend over several printing columns, with more than half of the printing columns of the entire printed image having to be changed, this results in a corresponding increase in the computing time. Then, before each franking image printout, a recalculation of the print image with other variable window data and with new DAC print data is necessary. The throughput during franking is significantly reduced in the case of such print images for a security imprint.
  • the invention is based, a method and a task Arrangement to develop the throughput of mail when franking with to increase a security footprint.
  • One technique is used for franking machines with high throughput (system cycle) to develop the franking imprint after each successful settlement is signed by a security code.
  • the Signature can be calculated quickly enough to make it dependent on the system clock the franking machine quickly enough for the print image calculation To make available. Even if the changes in the print data from The throughput is not intended to be a maximum of print to print reduced that a security print is printed.
  • the object is with the features of claim 1 for an arrangement and solved with the features of claim 9 for a method.
  • the security code is calculated by a Separate security module made while the print image data preparation is carried out by the franking machine processor.
  • a recalculation of the security code SC or DAC using a module processor is triggered if the new system data from the module processor of the security module are recognized as valid, the recalculation of the security code is based on preset values.
  • the serial number and the key indicator KI are the fixed system data.
  • the print date, postage value and ascending register value are the variable System data. The print date remains constant for bulk frankings. It is envisaged the first to generate the data authorization code (DAC) require eight bytes according to an algorithm in one to calculate the first round for each day. At a stack equivalent post, the postage remains unchanged. Of the Data for a security imprint changes at least the increasing Value tab.
  • DAC data authorization code
  • the Security footprint meets particularly strict security requirements, because the printed data is verifiable and therefore unmanipulable.
  • a data processing time period T alt is required per franking with a security imprint.
  • the time / control diagram according to the invention - shown in FIG. 1b - for a franking machine requires a data processing time period T new per franking with a security imprint that is shorter than the old data processing time period T alt per franking. This is only possible because in the invention there is a division of tasks for two data processing units, a microprocessor in the meter being provided for the printing tasks and a security module for the security tasks.
  • the printing tasks include an input routine 401 for the postage value a sensor routine 402 to determine the letter system, a prompt routine 403 for billing, a calculation routine 404 for the print image and a print routine 405.
  • the security tasks include a subroutine 406-411 for DAC calculation, a subroutine 412, 413 for accounting and one Deploy subroutine to DAC.
  • the calculation routine 404 for the print image is particularly complex for a security imprint, therefore the print image build-up begins before the end of the billing.
  • the microprocessor in the meter executes the print routine 405, while the security module is already calculating the security code for the next print image as soon as the creation of a further letter at the entrance of the transport route is detected by a letter sensor. This is particularly useful for mass frankings of mail items, especially letters, with the same postage value.
  • the creation of another letter which is detected by a letter sensor at the entrance of the transport route, triggers an interrupt for the microprocessor in the meter, which forwards the letter system to the security module and then continues the calculations that have started for the print image construction.
  • the patent US 5,710,721 under the title: INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT, describes in principle how an interrupt for the microprocessor is triggered when a sensor signal is triggered and how the pressure control works.
  • the microprocessor is still working on the print image construction (step 404) or is busy carrying out the print routine (step 405) while the forwarding 412 of another letter system to the security module SM, whereupon the latter already carries out further calculations 316-321 for a next mail piece ( Letter).
  • the security module is prompted to carry out an accounting.
  • the security module SM now carries out the billing (steps 322, 323) and sends (step 324) the security code DAC to the microprocessor 91 of the meter, which is now able to complete the print image construction for the further print image (step 414).
  • FIG. 2 shows a block diagram of a franking machine.
  • the Control device 1 has a microprocessor 91 associated memories 92, 93, 94, 95 equipped motherboard 9.
  • the program memory 92 contains an operating program for printing at least and at least security-relevant components of the program for a predetermined change in format of part of the useful data.
  • the RAM 93 is used for the temporary storage of intermediate results.
  • the non-volatile memory NVM 94 is used for the non-volatile temporary storage of data, for example statistical data, which are arranged according to cost centers.
  • the calendar / clock module 95 likewise contains addressable but non-volatile memory areas for the non-volatile intermediate storage of intermediate results or also known program parts.
  • control device 1 is connected to a chip card read / write unit 70, the microprocessor 91 of the control device 1 being programmed, for example, to load the useful data N from the memory area of a chip card 49 for use in corresponding memory areas of the franking machine .
  • a first chip card 49 inserted into an insertion slot 72 of the chip card read / write unit 70 allows a data record to be reloaded into the franking machine for at least one application.
  • the chip card 49 contains, for example, the postage fees for all the usual postal carrier services in accordance with the tariff of the postal authority and a postal carrier identifier in order to generate a stamp image with the franking machine and to stamp the postal items in accordance with the tariff of the postal authority.
  • the control device 1 forms the actual meter with the means 91 to 95 of the aforementioned main board 9 and also includes a keyboard 88, a display unit 89 and an application-specific circuit ASIC 90 and interface 8 for the postal security module PSM 100.
  • the safety module PSM 100 is connected to the aforementioned ASIC 90 and the microprocessor 91 and via the parallel ⁇ C bus with at least the means 91 to 95 of the main board 9 and connected to display unit 89.
  • the control bus carries cables for the signals CE, RD and WR between the safety module PSM 100 and the aforementioned ASIC 90.
  • the microprocessor 91 points preferably a pin for one from the PSM 100 security module issued interrupt signal i, further connections for the keyboard 88, a serial interface SI-1 for the connection of the chip card read / write unit 70 and a serial interface SI-2 for the optional connection of a MODEM.
  • Using the MODEM can for example in the non-volatile memory of the postal Security funds PSM 100 stored credit can be increased.
  • the postal security device PSM 100 is enclosed in a secure housing. Hardware-based billing is carried out in the PSM 100 postal security module before each franking imprint. Billing takes place independently of cost centers.
  • the ASIC 90 has a serial interface circuit 98 to a device upstream in the mail stream, a serial interface circuit 96 to the sensors and actuators of the printing device 2, a serial interface circuit 97 to the pressure control electronics 16 for the print head 4 and a serial interface circuit 99 to one the printing device 20 in the mail stream downstream device.
  • DE 197 11 997 shows an embodiment variant for the peripheral interface, which is suitable for several peripheral devices (stations). It has the title: Arrangement for communication between a base station and other stations of a mail processing machine and for their emergency shutdown.
  • Interface circuit 96 coupled to that in the machine base located interface circuit 14 provides at least one connection to the sensors 6, 7, 17 and to the actuators, for example to Drive motor 15 for the roller 11 and a cleaning and Sealing station RDS 40 for the inkjet print head 4, as well as for Labeler 50 in the machine base.
  • the basic arrangement and the interaction between inkjet printhead 4 and the RDS 40 can be found in DE 197 26 642 C2, with the title: arrangement for Positioning an inkjet printhead and cleaning and Sealing device.
  • the transport device consists of a conveyor belt 10 and two rollers 11, 11 '.
  • One of the reels is that equipped with a motor 15 drive roller 11, another is idler roller 11 '.
  • the drive roller 11 is as Toothed roller executed
  • the conveyor belt 10 is accordingly as Toothed belt executed, which ensures the clear power transmission.
  • Encoder 5 6 is coupled to one of the rollers 11, 11 '.
  • the drive roller 11 with an incremental encoder 5 sits firmly on one Axis.
  • the incremental encoder 5 is, for example, a slotted disc executed, which interacts with a light barrier 6, and passes line 19 sends an encoder signal to motherboard 9.
  • the individual print elements of the print head are connected to printhead electronics within its housing and that the print head can be controlled for purely electronic printing is.
  • the pressure control is based on the path control, the selected stamp offset is taken into account, which is by keyboard 88 or if necessary, entered via chip card and stored in NVM 94 memory is stored non-volatile.
  • a planned imprint therefore results from Stamp offset (without printing), the franking print image and if necessary additional print images for advertising slogan, shipping information (election prints) and additional editable messages.
  • the non-volatile Memory NVM 94 has a large number of memory areas. Underneath are those that the loaded postage fee tables are non-volatile to save.
  • the chip card read / write unit 70 consists of an associated one mechanical support for the microprocessor card and contact unit 74. The latter allows a secure mechanical mounting of the chip card in reading position and clear signaling of reaching the Reading position of the chip card in the contacting unit.
  • the microprocessor card with the microprocessor 75 has a programmed Readability for all types of memory cards or chip cards.
  • the interface to the franking machine is a serial interface according to RS232 standard.
  • the data transfer rate is min. 1.2 K baud.
  • the power supply is switched on using a on the main circuit board connected switch 71. After switching on the power supply there is a self-test function with readiness message.
  • FIG. 3 is a perspective view of the franking machine from FIG shown at the back.
  • the franking machine consists of a meter 1 and a base 2.
  • the latter is with a chip card read / write unit 70 equipped, which is arranged behind the guide plate 20 and from the Upper housing edge 22 is accessible.
  • a chip card 49 is turned upwards inserted into the slot 72 below.
  • the guide plate is in contact with the input data printed a security imprint 31.
  • the letter feed opening is through a transparent plate 21 and the guide plate 20 laterally limited.
  • the Status display of the plugged onto the main board 9 of the meter 1 Security module 100 is visible from the outside through an opening 109.
  • FIG. 4 shows a representation of a security imprint as it is from the American USPS is required.
  • the security imprint is arranged to the right of the advertising cliché and shows in the upper half Carrier logo and postage value and the date in the lower half, the postage value, a key indicator and a data authentication code DAC in a first line and a manufacturer ID, a machine ID, one Model ID and the ascending register value in a second line, where both lines are machine readable. Both machine readable lines are laterally delimited by marking bars, which the detection and improve the evaluation of the characters using the OCR method. On appropriate evaluation procedure for the aforementioned data, which the Play characters, was already in the European application EP 862 143 A2 proposed for checking a security imprint.
  • the calculation of the DAC for the security imprint performed in the security module.
  • Another acceleration The calculation of the security code is done by choosing one Assembler algorithm chosen and certified for the DES calculation educates.
  • a left out value is defined for these special date values. This is used instead of the date entry. For example, the value 0 is used if the corresponding date parts are not available.
  • Table 1 shows another example of the data resulting from a security imprint.
  • # information Value range Left out Leading zeroes 1.
  • Key indicator 0 9 7.
  • Vendor ID FP 9. Machine ID 0000001 9999999 YES 10th Model ID JMB01 JMB99 11. Ascending register 00000000 FFFFFF YES
  • Table 2 shows the length of the required bytes of individual and all system data that are included in the calculation of the security code.
  • element Byte length Range of values (decimal) 1.
  • 3rd Post date Total 3
  • Table 3 shows an example of system data for a security code.
  • FIG. 5 shows a block diagram of the postal security module PSM 100 in a preferred variant.
  • the negative pole of the battery 134 is grounded and a pin P23 of the contact group 102.
  • the positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180.
  • the SL-389 / P is suitable as a battery 134 for a lifespan of up to 3.5 years or the SL-386 / P for a lifespan of up to 6 years with a maximum power consumption by the PSM 100 commercially available circuit type ADM 8693ARN can be used.
  • the output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136.
  • the battery monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor 120 via the lines 135, 164 and 137, 139.
  • the output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM 116, which becomes a non-volatile memory NVRAM of a first technology due to the existing battery 134.
  • the security module is connected to the franking machine via the system bus 115, 117, 118.
  • Processor 120 can communicate with a remote data center through the system bus and modem 83.
  • the ASIC 150 does the billing.
  • the postal accounting data are stored in non-volatile memories of different technologies.
  • System voltage is present at the supply input of a second memory NV-RAM 114.
  • This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure.
  • the NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112, 113.
  • the ASIC 150 contains at least one hardware accounting unit for the Calculation of the postal data to be saved.
  • PAL 160 is access logic to the ASIC 150 housed.
  • the ASIC 150 is controlled by the PAL 160 logic.
  • An address and control bus 117, 115 from the main board 9 is on corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one Control signal 119 for the program memory FLASH 128.
  • the processor 120 executes a program that is stored in the FLASH 128.
  • the Processor 120, FLASH 28, ASIC 150 and PAL 160 are one internal system bus interconnected, the lines 110, 111, 126, 119 for data, address and control signals.
  • the RESET unit 130 is connected via line 131 to pin 3 of the Processor 120 and connected to a pin of the ASIC's 150.
  • the Processor 120 and the ASIC 150 are when the Supply voltage through a reset generation in the RESET unit 130 reset.
  • Lines are connected to pins 6 and 7 of processor 120, which only applies to a PSM 100 plugged into the main board 9 Form conductor loop 18.
  • the processor 120 internally has a processing unit CPU 121, one Real time clock RTC 122, a RAM unit 124 and an input / output unit 125 on. I / O ports of the input / output unit are located at pins 8 and 9 125, to which module-internal signaling means are connected, for example colored light emitting diodes LED's 107, 108, which the Signal the status of the safety module 100.
  • the security modules can assume various states in their life cycle. So e.g. be detected whether the module is valid cryptographic Contains key. It is also important to differentiate whether that Module works or is defective. The exact type and number of Module states depend on the functions implemented in the module and on the Implementation dependent.
  • the processor 120 of the security module 100 is via an internal module Data bus 126 with a FLASH 128 and with the ASIC 150 connected.
  • the FLASH 128 serves as program memory and is included System voltage Us + supplied. For example, it is a 128 Kbyte FLASH memory type AM29F010-45EC.
  • the ASIC 150 of the postal security module 100 delivers via an internal module Address bus 110 addresses 0 through 7 to the corresponding address inputs of the FLASH 128.
  • the processor 120 of the security module 100 delivers the addresses 8 to 15 to the via an internal address bus 111 corresponding address inputs of the FLASH 128.
  • the ASIC 150 of the Security module 100 is located above contact group 101 of interface 8 with data bus 118, with address bus 117 and control bus 115 the motherboard 9 in communication connection.
  • the real-time clock RTC 122 and the memory RAM 124 are from one Operating voltage supplied via line 138. This tension will generated by the voltage monitoring unit (Battery Observer) 12. The latter also provides a status signal 164 and responds to one Control signal 135.
  • the voltage switch 180 outputs the output voltage on line 136 for voltage monitoring unit 12 and memory 116 further that of its input voltages that is bigger than the other.
  • the battery of the postage meter machine feeds the real-time clock 122 with date and / or time registers and / or the static RAM (SRAM) 124, which holds security-relevant data, in the aforementioned manner in the aforementioned manner. If the voltage of the battery falls below a certain limit during battery operation, the circuit described in the exemplary embodiment connects the feed point for RTC and SRAM to ground. Ie the voltage at the RTC and the SRAM is then 0V. The result of this is that the SRAM 124, which contains important cryptographic keys, for example, is deleted very quickly. At the same time, the registers of the RTC 122 are also deleted and the current time and date are lost.
  • SRAM static RAM
  • This action prevents a possible attacker from manipulating the battery voltage to stop the postage meter machine internal clock 122 without losing security-relevant data. This prevents him from bypassing security measures such as long time watchdogs.
  • the circuit described changes to a self-holding state, in which it remains even when the voltage is subsequently increased.
  • the processor can query the status of the circuit (status signal) and thus and / or, by evaluating the contents of the deleted memory, conclude that the battery voltage has in the meantime fallen below a certain value.
  • the processor can reset the monitoring circuit, ie make it "armed".
  • the first data processing unit 120 is programmed by a program stored in the program memory 128 of the security module to precalculate the data authorization code DAC and to transmit it to the separate data processing unit ⁇ P, 91, which is parallel to and approximately simultaneously with the operation of the pre-calculation by a program in its program memory 92 Print data preparation and programmed to calculate a print image. It is provided that the first data processing unit 120 of the security module 100 has an internal non-volatile memory 124, in which at least one key for the calculation of the data authorization code (DAC) is stored in a manner protected against access.
  • DAC data authorization code
  • a second data processing unit 150 is provided in the security module 100 for billing the postal registers, so that the data processing unit separate from the security module 100 forms a third data processing unit ⁇ P, 91 in particular for processing the printing tasks.
  • the second data processing unit ASIC 150 contains a hardware accounting unit for carrying out the accounting, which stores the new postal register record with the accounting data in the non-volatile memory 114, 116.
  • the first data processing unit is a module processor 120 of the Security module, which is preferably programmed, the first 8 Bytes of the data authorization code (DAC) according to an algorithm in to calculate a first round for every day.
  • the algorithm for the data authorization code (DAC) includes a DES algorithm, in particular a triple DES algorithm (3DES).
  • the module processor 120 of the security module is programmed at Single mail processing after entering a postage value the data authorization code (DAC) in advance or in bulk mail processing after settlement of the previous postage value predict the next data authorization code (DAC), if the postage value is not changed and after advance calculation the Data authorization code (DAC) to the third data processing unit ⁇ P, 91 to be transmitted immediately.
  • DAC data authorization code
  • DAC Data authorization code
  • the internal non-volatile memory 124 is a battery 134 supported SRAM memory of the module processor 120 and is with Areas for protected storage of at least part of the Data of a postal register record formed, which in a pre-billing arises. In one of the memory areas is that for Calculation of a data authorization code (DAC) required at least one key is saved protected.
  • DAC data authorization code
  • the module processor 120 of the security module 100 is programmed with the postage value the increasing register value R2 (ascending register) in To be determined in advance and taking into account the determined value Data authorization code (DAC) for the data of the security imprint to calculate in advance.
  • Data authorization code (DAC) for the data of the security imprint to calculate in advance.
  • the data authorization code (DAC) can be calculated in advance of the security imprint are: machine identification, OCR key indicator, Date, post value and register value R2 for the rising register, the was determined in advance billing.
  • the microprocessor CPU 121 is programmed by a corresponding program stored in the flash 128 to carry out the aforementioned self-tests, a power-on self-test being carried out in a first step 300 after the start 299 and then a question being asked in step 301 as to whether the power on Self-test has given an OK. If this is the case, in step 302 the green LED 107 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up. Otherwise, in step 303, the red LED 108 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up.
  • Step 302 branches to query 304, in which it is checked whether a further static check is required. If this is the case, the method branches back to step 300. Otherwise, a branch is made to query 305, in which it is checked whether a letter system is detected by a letter sensor or whether an input of a new postage value is recognized by module processor 120. If neither of these is the case, a branch is made back to step 302 and a queue is thus continued until a letter system / new entry has been determined. In the latter case, a branch is made to step 306 in order to finish entering the data. Beginning simultaneously or shortly after time t 0 , a step 307 for MAC calculation is started on the basis of the postal register data P ' to available at time t 0 .
  • a MAC (P to ) formed earlier by the module processor 120 is valid at time t 0 .
  • the MAC calculation is completed at time t 1 .
  • the calculated MAC (P ' to ) is compared in step 308 with the old MAC (P to ) valid at time t 0 (already formed earlier by module processor 120) at time t 1 . If they do not match, a branch is made to step 315 in order to control the LEDs 107, 108 with an orange light. Otherwise the program branches to step 309. There, at time t 2 in module processor 120, the ascending register value R2 t2 is calculated in advance and a new DAC calculation is carried out.
  • step 310 the postal register set P t2 is precalculated, a MAC is newly formed , possibly with storage in NVRAM_P 124.
  • the precalculation of the data authorization code (DAC) includes the ascending register value R2 and further data from a point in time t i + 1 , which after the end of data entry and / or in the case of mass frankings from the creation of a further item of mail and before the actual settlement (312).
  • the other data which includes at least the postage value p and the date, at least the machine ID and, if applicable, the date can be included in the DAC forecast after the creation of another mail item (time t 0 ), if it is for the respective franking stack of letters remains unchanged.
  • the generation in the security module is completed by time t 5 .
  • time t 3 when in step 311 the storage of the MAC (P t2 ) in NVRAM_P has been completed by one data processing unit 120, the other data processing unit, namely the hardware accounting unit - shown in FIG. 5 - in ASIC 150 a calculation of the new postal register record was carried out in step 312.
  • the results P ' t3 and MAC (P t2 ) are stored in the NVRAM_A.
  • a number of further steps can then be carried out serially or parallel to the aforementioned steps, which include at least one sub-step for generating a security code DAC and which conclude with a step 314 for providing print data for franking the letter.
  • the latter at least includes sending the security code DAC to the microprocessor 91 of the meter.
  • the method then branches back to step 302.
  • a basically the same MAC formation procedure is also used, but the DAC is composed of the ascending register value R2 and other data (machine ID, OCR key indicator, date, postage value p) and the generation takes place at a different time t i + 1, for example from the end of data input.
  • system data such as the OCR key indicator, the machine ID and the date
  • DAC data authorization code
  • at least the machine ID and optionally the date from the end of the data input are included in a pre-calculation of n bytes of the data authorization code (DAC).
  • changeable system data such as the postage value and the ascending register value can also be included later at the time of billing.
  • the module processor 120 works together with the control processor ⁇ P 91 of the meter shown in FIG. 5, the latter receiving at least the security code DAC (R2 t (i + 1) , further data), compiling the print data and transmitting it to the print head.
  • the security module is for use in postal Devices determined, especially for use in a franking machine.
  • the security module can also have a different design, which allows it to work with a personal computer can, which acts as a third data processing unit. It can for example connected to the main board of a personal computer who controls a commercially available printer as a PC franking device.

Abstract

Die Erfindung betrifft eine Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes, der einen Sicherheitscode, z.B. DAC enthält. Bei Änderung von für den Sicherheitscode benötigten Systemdaten wird eine Neuberechnung des Sicherheitscodes, Vorausberechnung (306-311, 316-322) des aufsteigenden Registerwertes R2 und eines Sicherheitscodes sowie seine Übermittlung (314, 324) an eine separate Datenverarbeitungseinheit (µP) ausgelöst. Die Anordnung hat einen Sicherheitsmodul (SM), der einen Programmspeicher (128), mindestens eine erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114, 116) einschließt, wobei die erste Datenverarbeitungseinheit (120) zur Generierung eines Sicherheitscodes programmiert ist, a) eine Neuberechnung des Sicherheitscodes zu starten, sofern die neuen Systemdaten vom Sicherheitsmodul als gültig erkannt werden, b) den Sicherheitscode nach einem Algorithmus in einer ersten Runde vorauszuberechnen und in einer weiteren Runde für mindestens einen Sicherheitsabdruck fertig zu berechnen, c) in der weiteren Runde zu veranlassen, dass eine Abrechnung für ein zu frankierendes Poststück durchgeführt wird sowie dass der Sicherheitscode für das zu frankierende Poststück an die separate Datenverarbeitungseinheit (µP, 91) übermittelt wird. <IMAGE>

Description

Die Erfindung betrifft eine Anordnung zur Generierung eines Sicherheitsabdruckes mit einem Sicherheitsmodul, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art und für ein Verfahren zur Generierung eines Sicherheitsabdruckes, gemäß der im Oberbegriff des Anspruchs 9 angegebenen Art. Ein postalischer Sicherheitsmodul ist ein Teil einer Anordnung, die sich insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion eignet. Das Verfahren dient der Sicherung vor einer Manipulation mit nichtbezahlten Frankierungen auf Postgütern.
In EP 862 143 A2 wurde eine Frankiermaschine für die Erzeugung und Überprüfung eines Sicherheitsabdruckes vorgeschlagen. Ein Sicherheitsabdruck weist eine maschinenlesbare Markierung mit variablen Daten und einen Krypto- bzw. Authentisierungscode auf.
Zur Überprüfung des Sicherheitsabdruckes wird ein aus den variablen Daten gebildeter Kryto- bzw. Authentisierungscode mit dem aufgedruckten Kryto- bzw. Authentisierungscode verglichen. Die Frankiermaschine hat einen einzigen Mikroprozessor, der sowohl einen Krytocode bzw. einen DAC (DATA AUTHENTIFICATION CODE) zur Absicherung der Druckdaten, als auch das Druckbild selbst berechnet. Letzteres besteht aus festen Rahmenpixeldaten und den Fensterpixeldaten. Fensterpixeldaten sind variable und semivariable Druckdaten.
Dabei wurde vorgeschlagen, um die Rechenzeit optimal auszunutzen, die Druckdaten für den Krytocode bzw. einen DAC und diejenigen variablen Daten, die sich relativ häufig ändern, erst kurz vor dem Drucken in das berechnete Druckbild einzufügen. Bei Frankiermaschinen mit spaltenweisen Druck auf ein bewegtes Postgut, wobei die Druckzeile im Druckkopf orthogonal zur Transportrichtung des Briefes angeordnet ist, kann sich eine Möglichkeit ergeben, die vorgenannten variablen Daten direkt in das Druckregister der Drucksteuerung für den Druckkopf zu übertragen, wobei die Übertragung sequentiell mit den Rahmenpixeldaten erfolgt. Damit wird eine Möglichkeit geschaffen, erst spät fertigberechnete DAC-Druckdaten auch noch nachträglich während des Druckens einzubetten. Beispielsweise bei der Frankiermaschine T1000 der Anmelderin, welche nach einem Thermo-transferdruckverfahren arbeitet, ergibt sich bei Lauflängencodierung der Druckdaten, eine solche Möglichkeit unter der Voraussetzung, daß bereits einige der festen Rahmenpixeldaten und der zuvor eingebetteten Fensterpixeldaten bereits gedruckt werden, so daß die DAC-Druckdaten erst spät eingebettet können, weil das entsprechende Fenster erst später gedruckt werden muß. Wenn jedoch seitens eines Postbeförderers die Forderung besteht, das betreffende Fenster zuerst zu drucken, muß die Einbettung der Druckdaten im Vorab erfolgen. Wenn die Änderungen sich über mehrere Druckspalten erstrecken, wobei mehr als die Hälfte der Druckspalten des gesamten Druckbildes verändert werden müssen, resultiert daraus eine entsprechende Verlängerung der Rechenzeit. Dann ist aber vor jedem Frankierbildausdrucken eine Neuberechnung des Druckbildes mit anderen variablen Fensterdaten und mit neuen DAC-Druckdaten nötig. Der Durchsatz beim Frankieren wird bei solchen Druckbildern für einen Sicherheitsabdruck deutlich verringert.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung zu entwickeln, um den Durchsatz an Post beim Frankieren mit einem Sicherheitsabdruck zu erhöhen.
Bei Frankiermaschinen mit hohem Durchsatz (Systemtakt) ist eine Technik zu entwickeln, bei der nach jeder erfolgreichen Abrechnung der Frankierabdruck durch einen Sicherheitscode signiert wird. Hierbei muß die Signatur schnell genug errechnet werden, um sie abhängig vom Systemtakt der Frankiermaschine schnell genug für die Druckbildberechnung zur Verfügung zu stellen. Auch wenn die Änderungen in den Druckdaten von Abdruck zu Abdruck maximal sind, soll dadurch der Durchsatz nicht verringert werden, daß ein Sicherheitsabdruck gedruckt wird.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für eine Anordnung und mit den Merkmalen des Anspruchs 9 für ein Verfahren gelöst.
Eine Lösung des Problems wurde in der Durchführung von zwei zeitlich versetzten Berechnungen durch unterschiedliche Rechner gefunden. Die Berechnung des Sicherheitscodes wird erfindungsgemäß von einem seperaten Sicherheitsmodul vorgenommen, während die Druckbilddatenaufbereitung vom Frankiermaschinen-Prozessor vorgenommen wird. Durch geschicktes Verschachteln der beiden Aufgaben und spezielle Auswahl von Algorithmen und Datenstrukturen wird eine hohe Systemtaktleistung erzielt, insbesondere wenn ein Stapel an gleichwertiger Post oder Mischpost bearbeitet werden soll.
Das Sicherheitsmodul wird so implementiert, daß alle für den Sicherheitscode benötigten Systemdaten über Nachrichten von der Frankiermaschine voreingestellt werden. Jede Nachricht, die solche Systemdaten verändert, startet sofort, sofern die neuen Systemdaten vom Sicherheitsmodul als gültig erkannt werden, eine Neuberechnung des Sicherheitscodes. Eine über eine separate Nachricht an das Sicherheitsmodul gemeldete Aufforderung zur Abrechnung startet die Abrechnung. Das Sicherheitsmodul sendet den Sicherheitscode an die Frankiermaschine, wobei letztere die Druckdatenaufbereitung und Berechnung des Druckbildet vornimmt. Für Massenfrankierungen mit hohem Systemtakt ergibt sich eine zeitliche Verschachtelung der Operationen beider Datenverarbeitungseinheiten, d.h. des Sicherheitsmoduls und der Frankiermaschine, was zu einer hohen Systemleistung führt. Die zeitliche Verschachtelung läßt sich nur durch folgende zwei Maßnahmen ermöglichen:
  • 1. Zwei Verarbeitungseinheiten intern und extern des Sicherheitsmoduls,
  • 2. Vorberechnung des Sicherheitscodes aufgrund voreingestellter Werte.
    • Eine Neuberechnung des Sicherheitscodes SC oder DAC mittels Modulprozessor wird ausgelöst, sofern die neuen Systemdaten vom Modulprozessor des Sicherheitsmoduls als gültig erkannt werden, wobei die Neuberechnung des Sicherheitscodes aufgrund voreingestellter Werte erfolgt. Die Seriennummer und der Key-Indicator KI sind die festen Systemdaten. Das Druckdatum, Portowert und Ascending Register Wert sind die variablen Systemdaten. Das Druckdatum bleibt bei Massenfrankierungen konstant. Es ist vorgesehen, die ersten zur Erzeugung des Datenautorisierungscodes (DAC) nötigen acht Bytes nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen. Bei einem Stapel an gleichwertiger Post bleibt der Portowert unverändert gleich. Von den Daten für einen Sicherheitsabdruck ändert sich mindestens der steigende Register Wert. Er kann für mindestens eine Frankierung im Voraus berechnet werden, was bei Massenfrankierungen berücksichtigt wird, wo der Portowert unverändert gleichbleibt. Es ist vorgesehen, unter Einbeziehung des ermittelten steigenden Registerwertes den Datenautori-sierungscode (DAC) für mindestens ein Poststück fertig zu berechnen. Während das Abrechnen des Portowertes im Sicherheitsmodul durch eine Hardware-einheit vorgenommen wird, erfolgt die Druckbilddatenaufbereitung extern vom Sicherheitsmodul durch einen Frankiermaschinen-Prozessor. Der Sicherheitsabdruck genügt besonders strengen Sicherheitsforderungen, weil die aufgedruckten Daten verifizierbar und somit unmanipulierbar sind.
    Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
    Figur 1a,
    Zeit/Steuerungsdiagramm für eine Frankiermaschine bekannter Art mit einem Mikroprozessor,
    Figur 1b,
    Zeit/Steuerungsdiagramm für eine Frankiermaschine nach der Erfindung mit einem Mikroprozessor im Meter für die Druckaufgaben und einem Sicherheitsmodul für die Sicherheitsaufgaben,
    Figur 2,
    Blockschaltbild einer Frankiermaschine mit Sicherheitsmodul,
    Figur 3,
    Perspektivische Ansicht der Frankiermaschine von hinten,
    Figur 4,
    Darstellung eines Sicherheitsabdrucks,
    Figur 5,
    Blockschaltbild des Sicherheitsmoduls,
    Figur 6,
    Flußdiagramm für das Erzeugen von Sicherheitsabdrucken beim Frankieren.
    In der Figur 1a ist ein Zeit/Steuerungsdiagramm für eine Frankiermaschine dargestellt, die in bekannter Art mit einem Mikroprozessor ausgestattet ist, der für das Erzeugen von Sicherheitsabdrucken beim Frankieren folgende Schritte ausführt:
    • Eingaberoutine 401, um den Portowert einzustellen,
    • Sensorroutine 402, um die Briefanlage festzustellen, mit
    • Subroutine 406-411 zur DAC-Berechnung,
    • Aufforderungsroutine 403 zum Abrechnen, mit
    • Subroutine 412, 413 zum Abrechnen und mit
    • Subroutine zum DAC bereitstellen,
    • Berechnungsroutine 404 für das Druckbild sowie
    • Druckroutine 405.
    Aufgrund der sequentiellen Verarbeitung der Daten bei der Durchführung der einzelnen Routinen und Subroutinen wird eine Datenverarbeitungszeitdauer Talt je Frankierung mit einem Sicherheitsabdruck benötigt.
    Das erfindungsgemäße ― in der Figur 1b gezeigte - Zeit/Steuerungsdiagramm für eine Frankiermaschine benötigt eine Datenverarbeitungszeitdauer Tneu je Frankierung mit einem Sicherheitsabdruck, welche kürzer ist, als die alte Datenverarbeitungszeitdauer Talt je Frankierung. Das ist nur möglich, weil bei der Erfindung eine Aufgabenteilung für zwei Datenverabeitungseinheiten stattfindet, wobei ein Mikroprozessor im Meter für die Druckaufgaben und ein Sicherheitsmodul für die Sicherheitsaufgaben vorgesehen ist.
    Die Druckaufgaben umfassen eine Eingaberoutine 401, um den Portowert einzustellen, eine Sensorroutine 402, um die Briefanlage festzustellen, eine Aufforderungsroutine 403 zum Abrechnen, eine Berechnungsroutine 404 für das Druckbild sowie eine Druckroutine 405.
    Die Sicherheitsaufgaben umfassen eine Subroutine 406-411 zur DAC-Berechnung, eine Subroutine 412, 413 zum Abrechnen und eine Subroutine zum DAC bereitstellen.
    Die Berechnungsroutine 404 für das Druckbild ist besonders aufwendig für einen Sicherheitsabdruck, deshalb wird mit dem Druckbildaufbau schon vor dem Ende der Abrechnung begonnen. Außerdem führt der Mikroprozessor im Meter die Druckroutine 405 durch, während der Sicherheitsmodul bereits den Sicherheitscode für das nächste Druckbild berechnet, sobald das Anlegen eines weiteren Briefes am Eingang des Transportweges von einem Briefsensor erfaßt wird.
    Das ist besonders bei Massenfrankierungen von Poststücken, insbesondere von Briefen, mit dem gleichen Portowert sinnvoll. Das Anlegen eines weiteren Briefes, welches am Eingang des Transportweges von einem Briefsensor erfaßt wird, löst einen Interrupt für den Mikroprozessor im Meter aus, welcher die Briefanlage an das Sicherheitsmodul weitermeldet und dann die begonnenen Berechnungen zum Druckbildaufbau fortsetzt. In dem Patent US 5,710,721 wurde unter dem Titel: INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT prinzipiell beschrieben, wie bei einem Sensorsignal ein Interrupt für den Mikroprozessor ausgelöst wird und wie die Drucksteuerung arbeitet.
    Erfindungsgemäß arbeitet der Mikroprozessor noch am Druckbildaufbau (Schritt 404) oder ist mit der Durchführung der Druckroutine (Schritt 405) beschäftigt, während die Weitermeldung 412 einer weiteren Briefanlage an das Sicherheitsmodul SM erfolgt, woraufhin letzteres bereits weiterer Berechnungen 316-321 für ein nächstes Poststück (Brief) durchführt.
    Sobald der Mikroprozessor mit der Durchführung der Druckroutine (Schritt 405) fertig ist, ergeht eine Aufforderung an das Sicherheitsmodul, eine Abrechnung durchzuführen. Das Sicherheitsmodul SM führt nun die Abrechnung (Schritte 322, 323) durch und sendet (Schritt 324) den Sicherheitscode DAC an den Mikroprozessor 91 des Meters, welches nun in der Lage ist den Druckbildaufbau für das weitere Druckbild zuende zu führen (Schritt 414).
    Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine. Die Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf.
    Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum Drucken und wenigstens sicherheitsrelevante Bestandteile des Programms für eine vorbestimmte Format-Änderung eines Teils der Nutzdaten.
    Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von statistischen Daten, die nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nichtflüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten Programmteilen. Es ist vorgesehen, daß die Steuereinrichtung 1 mit einer Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle üblichen Postbefördererleistungen entsprechend des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln.
    Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen für die Signale CE, RD und WR zwischen dem Sicherheitsmodul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100 abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88, eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten-Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann beispielsweise das im nichtflüchtigen Speicher des postalischen Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.
    Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchgeführt. Die Abrechnung erfolgt unabhängig von Kostenstellen.
    Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung 98 zu einem im Poststrom vorschalteten Gerät, eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.
    Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung.
    Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brieftransport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über die Leitung 19 ein Encodersignal an das Motherboard 9 ab.
    Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahldrucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.
    Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Das Einschalten der Stromversorgung erfolgt mittels einem an der Hauptplatine angeschlossenen Schalter 71. Nach Einschalten der Stromversorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
    In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Sicherheitabdruck 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.
    Die Figur 4 zeigt eine Darstellung eines Sicherheitsabdrucks, wie er von der amerikanischen USPS gefordert wird. Der Sicherheitsabdruck ist rechts vom Werbeklischee angeordnet und weist in der oberen Hälfte ein Beförderer-Logo und den Portowert und in der unteren Hälfte das Datum, den Portowert, einen Key-Indicator und einen Datenauthentisierungscode DAC in einer ersten Zeile und eine Hersteller-ID, eine Maschinen-ID, eine Modell-ID und den Ascendungregisterwert in einer zweiten Zeile auf, wobei beide Zeilen maschinenlesbar sind. Beide maschinenlesbare Zeilen sind durch Markierungsbalken seitlich begrenzt, welche die Erkennung und Auswertung der Zeichen nach dem OCR-Verfahren verbessern. Ein entsprechendes Auswerteverfahren für die vorgenannten Daten, die die Zeichen wiedergeben, wurde bereits in der europäischen Anmeldung EP 862 143 A2 zur Überprüfung eines Sicherheitsabdruckes vorgeschlagen.
    Erfindungsgemäß wird die Berechnung des DAC für den Sicherheitsabdruck im Sicherheitsmodul durchgeführt. Eine weitere Beschleunigung der Berechnung des Sicherheitscodes wird durch die Wahl eines eigens für die DES-Berechnung gewählten und zertifizierten Assembler-Algorithmus erziehlt.
    Um auch Druckdaten, die lediglich Teile eines Datums angeben, durch eine OCR-Lesestation authentifizieren zu können, wird für diese speziellen Datums-Werte ein Left out-Wert definiert. Dieser wird anstelle des Datumeintrages verwendet. Beispielsweise wird der Wert 0 verwendet, wenn die entsprechende Datumsteile nicht vorliegen.
    Um das Druckdatum auf Gültigkeit zu prüfen, ist die Speicherung des aktuellen Datums in zwei unterschiedlichen Formaten und Speicherplätzen notwendig, da das Format der SM-internen Echtzeituhr RTC sich vom Format des im Druckbild verwendeten Datums unterscheidet und ein Vergleich zum Zeitpunkt der Abrechnung entsprechend Zeit benötigt.
    Der Aufbau und die Interpretation der Systemdaten, die in den Sicherheitscode eingehen, sowie die Systemdaten, die von der FM für den Druck genutzt werden ermöglicht eine weitere Beschleunigung. Da bei Massenfrankierungen das Druckdatum in der Regel konstant bleibt, lassen sich die ersten 8 Bytes des Sicherheitscodes in einer ersten 3DES-Runde für jeden Tag vorabrechnen.
    In der Tafel 1 wird ein weiteres Beispiel für die Daten gezeigt, die aus einem Sicherheitsabdruck hervorgehen.
    # Information Value range Left out Leading zeroes
    1. Lower Upper
    2. Date of mailing Month: JAN DEC '---'
    3. Day: 01 31 '--' YES
    4. Year: 1999 '----'
    5. Postage 00000 99999 YES
    6. Key-Indicator 0 9
    7. Data 00000 65535 YES
    Authentication
    Code
    8. Vendor ID FP
    9. Machine ID 0000001 9999999 YES
    10. Model ID JMB01 JMB99
    11. Ascending Register 00000000 FFFFFFFF YES
    Die Tafel 2 verdeutlicht die Länge der benötigten Bytes einzelner und aller Systemdaten, die in die Berechnung des Sicherheitscodes eingehen.
    Element Byte-Länge Wertebereich (dezimal)
    1. Maschinen- ID 4 7 digit -Wertebereich für Francotyp-Postalia
    2. OCR Key Indicator 1 0..9
    3. Postdatum Total: 3
    Subelemente: Detail:
    Jahr 1 0..99,
    Monat 1 0..12,
    Tag 1 0..31,
    4. Portowert 4 0..99999 (unit is 1/10 cents)
    5. Ascending Register 4 0..4294967295 (unit is 1/10 cents)
    TOTAL: 16
    Die Tafel 3 zeigt ein Beispiel an Systemdaten für ein Sicherheitscode.
    Figure 00120001
    Die Figur 5 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM 116 an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer ersten Technologie wird.
    Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
    Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.
    Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.
    Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit 130 zurückgesetzt.
    An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine Leiterschleife 18 bilden.
    Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z.B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.
    Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul-internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine 9 in Kommunikationsverbindung.
    Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt. Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.
    Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC und am SRAM liegt dann bei 0V. Das führt dazu, daß der SRAM 124, der z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs umgeht.
    Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die bechriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d.h. "scharf" machen.
    Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: Anordnung für ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anordnung für den Zugriffsschutz für Sicherheitsmodule, sowie 199 12 780. 8 mit dem Titel: Anordnung für ein Sicherheitsmodul, 199 12 781.6 mit dem Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens und die deutsche Gebrauchsmusteranmeldung 299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisierung vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem Lebenszyklus verschiedene Zustände einnehmen. Es kann nun unterschieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist. Dabei wird auf die Nichtmanipulierbarkeit der hardwaremäßigen Abrechnung vertraut, ohne dies noch einmal zu kontrollieren. Jede andere softwaregesteuerte Arbeitsweise gilt nur mit den Orginalprogrammen als fehlerfrei, welche deshalb vor einer Manipulation geschützt werden müssen.
    Die erste Datenverarbeitungseinheit 120 ist erfindungsgemäß durch ein im Programmspeicher 128 des Sicherheitsmoduls gespeichertes Programm programmiert, den Datenautorisierungscode DAC vorauszuberechnen und an die separate Datenverarbeitungseinheit µP, 91 zu übermitteln, die parallel und annähernd zeitgleich zur Operation der Vorausberechnung durch ein Programm in ihrem Programmspeicher 92 zu einer Druckdatenaufbereitung und zur Berechnung eines Druckbildes programmiert ist. Es ist vorgesehen, daß die erste Datenverarbeitungseinheit 120 des Sicherheitsmoduls 100 einen internen nichtflüchtigen Speicher 124 aufweist, in welchem mindestens ein Schlüssel für die Berechnung des Datenautorisierungscodes (DAC) vor einem Zugriff geschützt gespeichert ist. Im Sicherheitsmodul 100 ist eine zweite Datenverarbeitungseinheit 150 für eine Abrechnung der Postregister vorgesehen, so daß die vom Sicherheitsmodul 100 separate Datenverarbeitungseinheit im Meter eine dritte Datenverarbeitungseinheit µP, 91 insbesondere für die Bearbeitung der Druckaufgaben bildet.
    In der zweiten Datenverarbeitungseinheit ASIC 150 ist eine Hardware-abrechnungseinheit zur Durchführung der Abrechnung enthalten, welche den neuen Postregistersatz mit den Abrechnungsdaten in den nichtflüchtigen Speicher 114, 116 einspeichert.
    Die erste Datenverarbeitungseinheit ist ein Modulprozessor 120 des Sicherheitsmoduls, welcher vorzugsweise programmiert ist, die ersten 8 Bytes des Datenautorisierungscode (DAC) nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen. Der Algorithmus für den Datenautorisierungscode (DAC) schließt einen DES-Algorithmus, insbesondere einen Tripel-DES-Algorithmus (3DES) ein.
    Der Modulprozessor 120 des Sicherheitsmoduls ist programmiert, bei Einzelpostverarbeitung nach Eingabe eines Portowertes den Datenautorisierungscode (DAC) vorauszuberechnen bzw. bei Massenpostverarbeitung nach Abrechnung des vorhergehenden Portowertes den nächstfolgenden Datenautorisierungscode (DAC) vorauszuberechnen, wenn der Portowert nicht geändert wird und nach Vorausberechnung den Datenautorisierungscode (DAC) an die dritte Datenverarbeitungseinheit µP, 91 sofort zu übermitteln.
    Der interne nichtflüchtigen Speicher 124 ist ein durch eine Batterie 134 gestützter SRAM-Speicher des Modulprozessors 120 und ist mit Bereichen zur geschützten Speicherung von mindestens einen Teil der Daten eines Postregistersatzes ausgebildet, welcher bei einer Vorausabrechnung entsteht. In einem der Speicherbereiche ist der für die Berechnung eines Datenautorisierungscodes (DAC) erforderliche mindestens eine Schlüssel geschützt gespeichert.
    Der Modulprozessor 120 des Sicherheitsmoduls 100 ist programmiert, mit dem Portowert den steigenden Registerwert R2 (ascending register) im Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den Datenautorisierungscode (DAC) für die Daten des Sicherheitsabdruckes vorauszuberechnen. Beispielsweise unter Einbeziehung folgender Daten des Sicherheitsabdruckes kann der Datenautorisierungscode (DAC) vorausberechnet werden: Maschinen-Identifikation, OCR-Key-Indikator, Datum, Postwert und Registerwertes R2 für das steigende Register, der bei der Vorausabrechnung ermittelt wurde.
    Das Verfahren zur Generierung eines Sicherheitsabdruckes besteht im Wesentlichen in den Schritten:
    • Vorausberechnung des aufsteigenden Registerwertes R2,
    • Vorausberechnung des Datenautorisierungscodes,
    • Übermittlung des Datenautorisierungscodes an eine separate Datenverarbeitungseinheit µP, 91, welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls 100 aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
    Anhand des - in der Figur 6 dargestellten - Flußdiagramms werden nun die Routinen näher erläutert, welche im System vor dem Frankieren ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im Flash 128 gespeichertes Programm programmiert, solche vorgenannten Selbsttests auszuführen, wobei nach dem Start 299, in einem ersten Schritt 300 ein Power on-Selbsttest durchgeführt und dann im Schritt 301 gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der Fall, so wird im Schritt 302 die grüne LED 107 vom Mikroprozessor CPU 121 über ein I/O-Port 125 leuchtend gesteuert. Anderenfalls wird im Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 über ein I/O-Port 125 leuchtend gesteuert.
    Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprüft wird, ob eine weitere statische Prüfung verlangt wird. Ist das der Fall, so wird zum Schritt 300 zurückverzweigt. Anderenfalls wird auf die Abfrage 305 verzweigt, in welcher geprüft wird, ob durch einen Briefsensor eine Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird auf den Schritt 302 zurückverzweigt und somit eine Warteschleife solange durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im letzteren Fall wird auf den Schritt 306 verzweigt, um das Eingeben der Daten zu beenden. Gleichzeitig oder kurz nach dem Zeitpunkt t0 beginnend, wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der zum Zeitpunkt t0 verfügbaren Postregisterdaten P'to gestartet. Ein vom Modulprozessor 120 bereits früher gebildeter MAC(Pto) ist zum Zeitpunkt t0 gültig. Die MAC-Berechnung ist zum Zeitpunkt t1 abgeschlossen. Der berechnete MAC(P'to) wird mit dem alten zum Zeitpunkt t0 gültigen (vom Modulprozessor 120 bereits früher gebildeten) MAC(Pto) zum Zeitpunkt t1 im Schritt 308 verglichen. Bei Nichtübereinstimmung wird zum Schritt 315 verzweigt, um die LED's 107, 108 orange leuchtend zu steuern. Anderenfalls wird zum Schritt 309 verzweigt. Dort erfolgt zum Zeitpunkt t2 im Modulprozessor 120 eine Vorausberechnung des aufsteigenden Registerwertes R2t2 und eine DACneu-Berechnung. Anschließend erfolgt im Schritt 310 eine Vorausberechnung des Postregistersatzes Pt2 eine MACneu-Bildung, ggf. mit Speicherung im NVRAM_P 124. Die Vorausberechnung des Datenautorisierungscodes (DAC) bezieht den aufsteigenden Registerwert R2 und weitere Daten ab einem Zeitpunkt ti+1 ein, der nach dem Dateneingabe-Ende und/oder bei Massenfrankierungen ab Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung (312) liegt. Von den weiteren Daten, die mindestens den Portowert p und das Datum einschließen, kann mindestens die Maschinen-ID und ggf. das Datum in die DAC-Vorausberechnung ab Anlage eines weiteren Poststücks (Zeitpunkt t0) einbezogen werden, wenn es für den jeweiligen zu frankierenden Briefstapel unverändert bleibt. Bis zum Zeitpunkt t5 ist die Generierung im Sicherheitsmodul abgeschlossen.
    Zum Zeitpunkt t3, wenn im Schritt 311 die Speicherung des MAC(Pt2) im NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen worden ist, wird von der anderen Datenverarbeitungseinheit, nämlich von der ― in der Figur 5 gezeigten ― Hardware-Abrecheneinheit im ASIC 150 im Schritt 312 eine Berechnung des neuen Postregistersatzes durchgeführt.
    In einem abschließenden Schritt 313 erfolgt eine Abspeicherung der Ergebnisse P't3 und MAC(Pt2) im NVRAM_A. In Vorbereitung eines Frankierens können dann noch eine Anzahl von weiteren Schritten seriell oder parallel zu den vorgenannten Schritten durchlaufen werden, die mindestens einen Subschritt zum Generieren eines Sicherheitscodes DAC einschließen und die mit einem Schritt 314 zur Druckdatenbereitstellung zum Frankieren des Briefes abschließen. Letzterer beinhaltet mindestens jedoch das Senden des Sicherheitscodes DAC an den Mikroprozessor 91 des Meters. Anschließend wird zum Schritt 302 zurückverzweigt.
    Zum Generieren eines DAC-Sicherheitscodes wird zwar ebenfalls eine prinzipiell gleiche MAC-Bildungsprozedure genutzt, der DAC setzt sich aber aus dem Ascending-Registerwert R2 und aus weiteren Daten zusammen (Maschinen-ID, OCR-Key-Indikator, Datum, Portowert p) und das Generieren erfolgt zu einem anderem Zeitpunkt ti+1 zum Beispiel ab Dateneingabe-Ende. Wenn Systemdaten, wie OCR-Key-Indikator, die Maschinen-ID und das Datum, ab Dateneingabe-Ende für den jeweiligen zu frankierenden Briefstapel unverändert bleiben, können diese ab Dateneingabe-Ende in eine Vorausberechnung von 8 Bytes des Datenautorisierungscodes (DAC) einbezogen werden. Es ist vorgesehen, dass mindestens die Maschinen-ID und optional das Datum ab Dateneingabe-Ende in eine Vorausberechnung von n Bytes des Datenautorisierungscodes (DAC) einbezogen werden. Zur weiteren Berechnung des Datenautorisierungscodes (DAC) können veränderliche Systemdaten wie der Portowert und der Ascending Registerwert auch später zum Zeitpunkt der Abrechnung einbezogen werden. Bei Massenfrankierungen ist im Anschluß der Übermittlung des Datenautorisierungscodes an die separate Datenverarbeitungseinheit µP 91 vorgesehen, daß vom Modulprozessor 120 der nächstfolgende Datenautorisierungscode (DAC) mindestens unter Einbeziehung des vorausberechneten aufsteigenden Registerwertes R2 und der vorausberechneten n Bytes fertig berechnet wird.
    Der Modulprozessor 120 arbeitet mit dem - in der Figur 5 gezeigten - Steuerungsprozessor µP 91 des Meters zusammen, wobei letzterer mindestens den Sicherheitscode DAC(R2t(i+1), weitere Daten) empfängt, die Druckdaten zusammenstellt und zum Druckkopf übermittelt.
    Erfindungsgemäß ist das Sicherheitsmodul zum Einsatz in postalischen Geräten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine. Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es mit einem Personalcomputer zusammenarbeiten kann, der als dritte Datenverarbeitungseinheit fungiert. Es kann beispiels-weise mit die Hauptplatine eines Personalcomputers verbunden werden, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
    Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.

    Claims (12)

    1. Anordnung zur Generierung eines Sicherheitsabdruckes, mit einem Sicherheitsmodul, der einen Programmspeicher (128), mindestens eine erste Datenverarbeitungseinheit (120) und nichtflüchtige Speicher (114, 116) einschließt, wobei die erste Datenverarbeitungseinheit (120) zur Generierung eines Sicherheitscodes programmiert ist und mit einer separaten Datenverarbeitungseinheit extern des Sicherheitsmoduls, die durch ein Programm in ihrem Programmspeicher (92) zu einer Druckdatenaufbereitung und zur Berechnung eines Druckbildes programmiert ist, das den Sicherheitscode enthält, gekennzeichnet dadurch, - dass die erste Datenverarbeitungseinheit (120) durch ein Programm im Programmspeicher (128) programmiert ist,
      a) bei jeder Nachricht für neue Systemdaten sofort eine Neuberechnung des Sicherheitscodes zu starten, sofern die neuen Systemdaten vom Sicherheitsmodul als gültig erkannt und für den Sicherheitscode benötigt werden,
      b) den Sicherheitscode nach einem Algorithmus in einer ersten Runde vorauszuberechnen und in einer weiteren Runde für mindestens einen Sicherheitsabdruck fertig zu berechnen,
      c) in der weiteren Runde zu veranlassen, dass eine Abrechnung für ein zu frankierendes Poststück durchgeführt wird sowie dass der Sicherheitscode für das zu frankierende Poststück an die separate Datenverarbeitungseinheit (µP, 91) übermittelt wird.
    2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, dass der Sicherheitscode ein Datenautorisierungscode (DAC) ist, dass die erste Datenverarbeitungseinheit (120) des Sicherheitsmoduls einen internen nichtflüchtigen Speicher (124) aufweist, in welchem mindestens ein Schlüssel für die Berechnung des Datenautorisierungscodes (DAC) vor einem Zugriff geschützt gespeichert ist und daß der Sicherheitsmodul eine zweite Datenverarbeitungseinheit (150) für eine Abrechnung der Postregister aufweist sowie daß die separate Datenverarbeitungseinheit eine dritte Datenverarbeitungseinheit (µP, 91) bildet.
    3. Anordnung, nach den Ansprüchen 1 bis 2, gekennzeichnet dadurch, daß die erste Datenverarbeitungseinheit ein Modulprozessor (120) des Sicherheitsmoduls (100) ist, welcher programmiert ist, die ersten acht Bytes des Datenauthorisierungscode (DAC) nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen und dass die zweite Datenverarbeitungseinheit (150) eine Hardwareabrechnungseinheit zur Durchführung der Abrechnung ist, welche den neuen Postregistersatz mit den Abrechnungsdaten in den nichtflüchtigen Speicher (114, 116) einspeichert.
    4. Anordnung, nach einem der vorhergehenden Ansprüche 1 bis 3, gekennzeichnet dadurch, daß der Modulprozessor (120) programmiert ist, mit dem Portowert für mindestens ein Poststück den steigenden Registerwert im Voraus zu bestimmen und unter Einbeziehung des ermittelten Registerwertes den Datenauthorisierungscode (DAC) für mindestens ein Poststück fertig zu berechnen.
    5. Anordnung, nach den Ansprüchen 1 bis 4, gekennzeichnet dadurch, daß der Algorithmus für den Datenautorisierungscode (DAC) einen DES-Algorithmus oder einen Tripel-DES-Algorithmus (3DES) einschließt.
    6. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, daß der Modulprozessor (120) programmiert ist, bei Massenpostverarbeitung nach Abrechnung des vorhergehenden Portowertes den nächstfolgenden Datenautorisierungscode (DAC) vorauszuberechnen, wenn der Portowert nicht geändert wird und den Datenautorisierungscode (DAC) an die dritte Datenverarbeitungseinheit (µP, 91) sofort zu übermitteln.
    7. Anordnung, nach den Ansprüchen 2 und 3, gekennzeichnet dadurch, daß der interne nichtflüchtigen Speicher (124) ein durch eine Batterie (134) gestützter SRAM-Speicher des Modulprozessors (120) ist und mit Bereichen zur geschützten Speicherung von mindestens einen Teil der Daten eines Postregistersatzes ausgebildet ist, der bei einer Vorausabrechnung entsteht, daß in einem der Speicherbereiche der mindestens eine Schlüssel für die Berechnung des Datenautorisierungscodes (DAC) geschützt gespeichert ist.
    8. Anordnung, nach Anspruch 7, gekennzeichnet dadurch, daß der Modulprozessor (120) des Sicherheitsmoduls programmiert ist, unter Einbeziehung einer Maschinen-Identifikation, eines OCR-Schlüssel-Indikators, eines Datums, des Postwertes und eines bei der Vorausabrechnung ermittelten Registerwertes für das steigende Register R2 den Datenautorisierungscode (DAC) vorauszuberechnen.
    9. Verfahren zur Generierung eines Sicherheitsabdruckes, mit einer Berechnung eines Sicherheitscodes zur Sicherung der Postregister vor Manipulation durch eine erste Datenverarbeitungseinheit und mit einer Abrechnung durch eine zweite Datenverarbeitungseinheit im Sicherheitsmodul, gekennzeichnet durch die Schritte:
      Voreinstellung aller für den Sicherheitscode benötigten Systemdaten, wobei jede Nachricht, die solche Systemdaten verändert, eine neue Berechnung des Sicherheitscodes sofort startet, sofern die neuen Systemdaten vom Sicherheitsmodul als gültig erkannt werden,
      Berechnung des aufsteigenden Registerwertes R2,
      Berechnung eines Sicherheitscodes,
      Übermittlung des Sicherheitscodes an eine separate Datenverarbeitungseinheit (µP, 91), welche ausgebildet ist, die Druckdaten extern des Sicherheitsmoduls (100) aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
    10. Verfahren, nach Anspruch 9, gekennzeichnet dadurch, dass der Sicherheitscode ein Datenautorisierungscode (DAC) ist, wobei dessen Berechnung den aufsteigenden Registerwert R2 und weitere Systemdaten einbezieht und daß das Generieren eines Sicherheitsabdruckes zu einem Zeitpunkt ti+1 ab Dateneingabe-Ende und/oder bei Massenfrankierungen ab Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung erfolgt.
    11. Verfahren, nach Anspruch 10, gekennzeichnet dadurch, daß die weiteren Systemdaten mindestens die Maschinen-ID, den Portowert p und das Datum einschließen, wobei mindestens die Maschinen-ID und optional das Datum ab Dateneingabe-Ende in eine Vorausberechnung von n Bytes des Datenautorisierungscodes (DAC) einbezogen werden, wenn letztere ab Dateneingabe-Ende für den jeweiligen zu frankierenden Briefstapel unverändert bleiben.
    12. Verfahren, nach den Ansprüch 9 bis 11, gekennzeichnet dadurch, daß bei Massenfrankierungen im Anschluß der Übermittlung des Datenautorisierungscodes an die separate Datenverarbeitungseinheit (µP, 91), vom Modulprozessor (120) der nächstfolgende Datenautorisierungscode (DAC) mindestens unter Einbeziehung des vorausberechneten aufsteigenden Registerwertes R2 und der vorgenannten vorausberechneten n Bytes fertig berechnet wird.
    EP00250186A 1999-06-15 2000-06-09 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes Withdrawn EP1061479A3 (de)

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    DE19928058 1999-06-15
    DE19928058A DE19928058B4 (de) 1999-06-15 1999-06-15 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes

    Publications (2)

    Publication Number Publication Date
    EP1061479A2 true EP1061479A2 (de) 2000-12-20
    EP1061479A3 EP1061479A3 (de) 2001-02-07

    Family

    ID=7911799

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP00250186A Withdrawn EP1061479A3 (de) 1999-06-15 2000-06-09 Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes

    Country Status (3)

    Country Link
    US (1) US6853986B1 (de)
    EP (1) EP1061479A3 (de)
    DE (1) DE19928058B4 (de)

    Cited By (3)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1454259A2 (de) * 2001-05-03 2004-09-08 Pitney Bowes Inc. Verfahren zur berechnung von frankierungsstempeln für poststücke
    EP1488361A1 (de) * 2002-03-12 2004-12-22 Pitney Bowes Inc. Optimierung des durchsatzes von mailing-maschinen
    US7613654B2 (en) 2002-10-30 2009-11-03 Neopost Technologies Use of electronic devices for money transfer

    Families Citing this family (4)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE10051818A1 (de) * 2000-10-18 2002-06-20 Deutsche Post Ag Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken
    DE102004027517B4 (de) * 2004-06-03 2007-05-10 Francotyp-Postalia Gmbh Anordnung und Verfahren zur Ansteuerung eines Thermotransferdruckkopfes
    US8902251B2 (en) 2009-02-10 2014-12-02 Certusview Technologies, Llc Methods, apparatus and systems for generating limited access files for searchable electronic records of underground facility locate and/or marking operations
    CA2710189C (en) 2009-08-20 2012-05-08 Certusview Technologies, Llc Methods and apparatus for assessing marking operations based on acceleration information

    Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US5710721A (en) 1994-12-07 1998-01-20 Francotyp-Postalia Ag & Co. Internal postage meter machine interface circuit
    EP0862143A2 (de) 1997-02-11 1998-09-02 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    DE19726642C1 (de) 1997-06-18 1998-09-03 Francotyp Postalia Gmbh Vorrichtung zur Positionierung eines Tintendruckkopfes und einer Reinigungs- und Dichtvorrichtung
    DE19711997A1 (de) 1997-03-13 1998-09-17 Francotyp Postalia Gmbh Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung
    DE29905219U1 (de) 1999-03-12 1999-06-17 Francotyp Postalia Gmbh Sicherheitsmodul mit Statussignalisierung
    DE19816572A1 (de) 1998-04-07 1999-10-14 Francotyp Postalia Gmbh Anordnung für einen Sicherheitsmodul
    DE19912780A1 (de) 1999-03-12 2000-09-14 Francotyp Postalia Gmbh Anordnung für ein Sicherheitsmodul
    DE19912781A1 (de) 1999-03-12 2000-11-23 Francotyp Postalia Gmbh Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

    Family Cites Families (24)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4217484A (en) * 1977-02-07 1980-08-12 Gerst William J Taximeter
    US4422148A (en) * 1979-10-30 1983-12-20 Pitney Bowes Inc. Electronic postage meter having plural computing systems
    US4516209A (en) * 1983-02-09 1985-05-07 Pitney Bowes Inc. Postage metering system having weight checking capability
    US4649266A (en) * 1984-03-12 1987-03-10 Pitney Bowes Inc. Method and apparatus for verifying postage
    US4725718A (en) * 1985-08-06 1988-02-16 Pitney Bowes Inc. Postage and mailing information applying system
    US4775246A (en) * 1985-04-17 1988-10-04 Pitney Bowes Inc. System for detecting unaccounted for printing in a value printing system
    US4831555A (en) * 1985-08-06 1989-05-16 Pitney Bowes Inc. Unsecured postage applying system
    US4809185A (en) * 1986-09-02 1989-02-28 Pitney Bowes Inc. Secure metering device storage vault for a value printing system
    US4858138A (en) * 1986-09-02 1989-08-15 Pitney Bowes, Inc. Secure vault having electronic indicia for a value printing system
    GB8804689D0 (en) * 1988-02-29 1988-03-30 Alcatel Business Systems Franking system
    US5448641A (en) * 1993-10-08 1995-09-05 Pitney Bowes Inc. Postal rating system with verifiable integrity
    US5548163A (en) * 1993-12-13 1996-08-20 Blade Technologies Inc. Device for securing car audio equipment
    DE4344471A1 (de) * 1993-12-21 1995-08-17 Francotyp Postalia Gmbh Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
    US5572429A (en) * 1994-12-05 1996-11-05 Hunter; Kevin D. System for recording the initialization and re-initialization of an electronic postage meter
    US5801944A (en) * 1995-10-11 1998-09-01 E-Stamp Corporation System and method for printing postage indicia directly on documents
    US5696829A (en) * 1995-11-21 1997-12-09 Pitney Bowes, Inc. Digital postage meter system
    US5835689A (en) * 1995-12-19 1998-11-10 Pitney Bowes Inc. Transaction evidencing system and method including post printing and batch processing
    US5970150A (en) * 1996-12-19 1999-10-19 Pitney Bowes Inc. System for producing verifiable kiosk receipts and records
    US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
    US6125357A (en) * 1997-10-03 2000-09-26 Pitney Bowes Inc. Digital postal indicia employing machine and human verification
    DE19748954A1 (de) * 1997-10-29 1999-05-06 Francotyp Postalia Gmbh Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    DE19757652B4 (de) * 1997-12-15 2005-03-17 Francotyp-Postalia Ag & Co. Kg Frankiermaschine mit einer Chipkarten-Schreib-/Leseeinheit
    US6019281A (en) * 1997-12-22 2000-02-01 Micro General Corp. Postal security device with display

    Patent Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US5710721A (en) 1994-12-07 1998-01-20 Francotyp-Postalia Ag & Co. Internal postage meter machine interface circuit
    EP0862143A2 (de) 1997-02-11 1998-09-02 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    DE19711997A1 (de) 1997-03-13 1998-09-17 Francotyp Postalia Gmbh Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung
    DE19726642C1 (de) 1997-06-18 1998-09-03 Francotyp Postalia Gmbh Vorrichtung zur Positionierung eines Tintendruckkopfes und einer Reinigungs- und Dichtvorrichtung
    DE19816572A1 (de) 1998-04-07 1999-10-14 Francotyp Postalia Gmbh Anordnung für einen Sicherheitsmodul
    DE29905219U1 (de) 1999-03-12 1999-06-17 Francotyp Postalia Gmbh Sicherheitsmodul mit Statussignalisierung
    DE19912780A1 (de) 1999-03-12 2000-09-14 Francotyp Postalia Gmbh Anordnung für ein Sicherheitsmodul
    DE19912781A1 (de) 1999-03-12 2000-11-23 Francotyp Postalia Gmbh Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

    Cited By (5)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1454259A2 (de) * 2001-05-03 2004-09-08 Pitney Bowes Inc. Verfahren zur berechnung von frankierungsstempeln für poststücke
    EP1454259A4 (de) * 2001-05-03 2007-03-28 Pitney Bowes Inc Verfahren zur berechnung von frankierungsstempeln für poststücke
    EP1488361A1 (de) * 2002-03-12 2004-12-22 Pitney Bowes Inc. Optimierung des durchsatzes von mailing-maschinen
    EP1488361A4 (de) * 2002-03-12 2009-08-19 Pitney Bowes Inc Optimierung des durchsatzes von mailing-maschinen
    US7613654B2 (en) 2002-10-30 2009-11-03 Neopost Technologies Use of electronic devices for money transfer

    Also Published As

    Publication number Publication date
    DE19928058A1 (de) 2000-12-28
    EP1061479A3 (de) 2001-02-07
    US6853986B1 (en) 2005-02-08
    DE19928058B4 (de) 2005-10-20

    Similar Documents

    Publication Publication Date Title
    EP0660269B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
    EP0660270B1 (de) Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    DE69737782T2 (de) Von einem elektronischen Frankiermaschinensystem trennbarer Drucker und Abrechnungsanordnung mit Trennung der Information über Zeichen und Abrechnung
    EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
    DE69729409T2 (de) Elektronisches Frankiermaschinensystem mit internem Abrechnungssystem und entfernbarem externem Abrechnungssystem
    DE69636375T2 (de) System zur kontrollierten Annahme der Bezahlung und des Nachweises von Postgebühren
    DE69636617T2 (de) Verfahren und System zum Nachweisen von Transaktionen mit hinterherigem Drucken und Verarbeiten des Postens
    EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
    CH674098A5 (de)
    DE3729342A1 (de) Sicherheitsdrucker fuer ein wertdrucksystem
    EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
    DE3613007A1 (de) System zur ermittlung von nicht-abgerechneten drucken
    EP1035517B1 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
    DE3613025C2 (de) Nichtgesichertes Portogebühren-Aufbringungssystem
    EP0866427B1 (de) Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation
    EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
    DE19757653C2 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
    DE69932605T2 (de) System und verfahren zur verwaltung von frankiermaschinenlizenzen
    DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
    EP1063619B1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
    EP1061479A2 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
    DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
    DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
    DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): CH DE FR GB IT LI

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    17P Request for examination filed

    Effective date: 20010531

    AKX Designation fees paid

    Free format text: CH DE FR GB IT LI

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA GMBH

    17Q First examination report despatched

    Effective date: 20061221

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

    18D Application deemed to be withdrawn

    Effective date: 20131211