-
Die
Erfindung betrifft ein Verfahren für ein servergesteuertes Sicherheitsmanagement
von erbringbaren Dienstleistungen gemäß des Oberbegriffs des Anspruchs
1 und eine Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement
für ein
Frankiersystem gemäß des Oberbegriffs
des Anspruchs 5. Die Erfindung kommt für Frankiermaschinen und für andere
Postverarbeitungsgeräte
und deren Peripheriegeräte zum
Einsatz, welche eine Dienstleistung eines entfernten Datenzentrums
nutzen.
-
Die
Frankiermaschine JetMail
® der Anmelderin ist mit
einer Base und mit einem abnehmbaren Meter ausgestattet. Letzterer
ist mit einer im Base-Gehäuse integrierten
statischen Waage betriebsmäßig verbunden und
wird u.a. auch zur Portoberechnung eingesetzt. Im Zusammenhang mit
einer Dienstleistung des Nachladens einer Portotariftabelle werden
keine besonderen Sicherheitsmaßnahmen
ergriffen, obwohl auf der vorgenannten Tabelle die Richtigkeit der
Portoberechnung beruht und obwohl das Meter ein Sicherheitsmodul
enthält,
wobei der Sicherheitsmodul neben einer Abrecheneinheit auch mit
einer kryptografischen Einheit ausgestattet ist. Letztere dient
aber nur zum Absichern der zu druckenden Postgebührendaten. Das Meter enthält außerdem eine
Steuerung zum Steuern des Druckens und zum Steuern von peripheren
Komponenten der Frankiermaschine. Die Base enthält eine Postguttransportvorrichtung
und eine Tintenstrahl-Druckvorrichtung zum Drucken des Postwertstempels
auf das Postgut. Ein Auswechseln des Druckkopfes ist unnötig, da
der Tintentank vom Druckkopf getrennt angeordnet ist und ausgewechselt
werden kann. Auch müssen
keine besonderen Sicherheitsmaßnahmen
für den
Druckkopf oder für
einen Schutz der Ansteuer- und Datensignale getroffen werden, wenn
mit einem speziellen Piezo-Tintenstrahl-Druckkopf ein Sicherheitsabdruck
mit einer Markierung gedruckt wird, die eine Nachprüfung der
Echtheit des Sicherheitsabdruckes (
US
6,041,704 ) gestattet. Neben der Dienstleistung des Nachladens
einer Portotariftabelle und einer bekannten Dienstleistung eines Teleportodatenzentrums,
wie die des Nachladens (
US 5699415 bzw.
EP 689170 A2 ) eines
Guthabens, von welchem jeweils vor dem Ausdrucken der frankierte
Postwert abgebucht wird, kann eine weitere Dienstleistung im Basetracking
bestehen. Zur Vorbeugung vor einer eventuellen Fälschung durch Manipulation
mittels der Druckeinheit, d.h. insbesondere dann, wenn die Base
mit der Druckeinheit vom Meter abtrennbar ist, ist die Postbehörde über eine
Information über
den Standort der Druckeinheit interessiert, wenn die Base mit einem Meter
wieder betrieben wird. Beim Basetracking erfolgt eine Freigabe nur
derjenigen Druckeinheit, welche durch einen Identifikationscode
von der Datenzentrale identifiziert werden kann (
EP 1154381 A1 ).
-
In
Frankiermaschinen der Anmelderin – beispielsweise in der mymail® und
ultimail® – werden
auch Bubble-jet-Druckköpfe
im Druckmodul eingesetzt.
-
Der
Tintentank und Bubble-jet-Druckkopf sind in einer auswechselbaren
Tintenkartusche integriert, wie es beispielsweise von den ½ Zoll
Tintenkartuschen der Firma Hewlet Packard (HP) vorbekannt ist. Die Kontaktierung
der elektrischen Kontakte des Druckkopfes der auswechselbaren Tintenkartusche
kann über
einen Connector eines handelsüblichen
Pen-Driver-Board's der Firma HP erfolgen.
Sowohl die Postbehörde
als auch der Kunde haben ein verstärktes Interesse an einer hohen
Auswertesicherheit der auf das Poststück aufgedruckten Markierung.
Eine weitere Dienstleistung der Datenzentrale kann deshalb im Piraterieschutz
bestehen. Über
den Connector können
zusätzliche
den Piraterieschutz ermöglichende
Daten. beispielsweise ein Code des Druckkopfes abgefragt und via
Modem zur Datenzentrale gesendet werden. Die Datenzentrale nimmt
dann einen Codevergleich mit einem in einer Datenbank gespeicherten
Referenzcode vor und übermittelt
eine Nachricht an die Frankiermaschine über das Ergebnis der Überprüfung (
EP 1103924 A2 ).
-
An
solchen Dienstleistungen ist das Sicherheitsmodul in unterschiedlicher
Weise beteiligt, mindestens jedoch dann, wenn bei der Kommunikation
sicherheitsrelevante Daten über
einen ungesicherten Datenübertragungsweg
mit einer entfernten Datenzentrale ausgetauscht werden müssen. Einerseits
bietet das Metergehäuse
bzw. das Gehäuse
einer Frankiermaschine einen ersten Schutz vor Manipulationen in
Fälschungsabsicht.
Eine Kapselung des Sicherheitsmoduls mittels eines speziellen Gehäuses bietet
einen zusätzlichen
mechanischen Schutz. Ein solcher gekapselter Sicherheitsmodul entspricht
den aktuellen postalischen Anforderungen und wird nachfolgend auch
als postisches Sicherheitsgerät
(PSD) bezeichnet. Die Guthabennachladung erfordert in einigen Ländern Sicherheitsmaßnahmen,
die nur ein PSD liefern kann. Die Frankiermaschinen der Anmelderin
werden zur telefonischen Guthabennachladung in an sich bekannter
Weise mit einem Teleportodatenzentrum verbunden und lassen sich
mit weiteren Geräten
zu einem Frankiersystem erweitern.
-
Neben
der positiven Fernwertvorgabe bei der oben genannte Guthabennachladung
ist auch eine negative Fernwertvorgabe bei der Rückzahlung des verbliebene Restguthabens
des Kunden bekannt (
EP 717379
B1 bzw.
US
6587843 B1 ).
-
Aus
der
US 5,233,657 ist
bereits außerdem
ein Laden von nicht einer Guthabennachladung dienenden Daten vor
einer Inbetriebnahme einer Frankiermaschine bekannt.
-
Aus
EP 1037172 A2 ist
die Bereitstellung und Übermittlung
eines maschinen- und kundenspeziellen Datensatzes von einer Datenzentrale
an eine Frankiereinrichtung bekannt. Der Datensatz umfaßt mindestens temporär und lokal
am Frankierort gültige
Daten, die in der Datenzentrale zugeordnet zu einem Nummerncode in
einer Datenbank abrufbar gespeichert sind. Der Kunde der eine vorinitialisierte
Frankiereinrichtung über
einen Händlervertrieb
erstanden hat, soll damit in die Lage versetzt werden, die Frankiereinrichtung
vollständig in
Betrieb zu nehmen, ohne daß ein
Kundendienst oder Servicetechniker gerufen werden muß und ohne
einen Besuch des Postamtes. Die in der Datenzentrale gespeicherten
Daten unterliegen alle der gleichen Sicherheitmaßnahme. Unabhängig davon
werden in der Frankiermaschine die Graphikdaten ohne weitere Sicherheitmaßnahmen
in einem Speicher des Mainboard's
der Frankiermaschine gespeichert. Die Graphikdaten können ein
Stempelbild, beispielsweise den Städtestempel betreffen.
-
Für das Wechseln
von Werbeklischees wird bereits in der
US 4,831,554 eine telefonische Kommunikation
vorgeschlagen.
-
Im
US 4,933,849 wird bereits
ein datumsabhängiges
Wechseln von Stempelbildern (mit Städtestempel und mit Wertstempel)
mitgeteilt, welche zu einem früheren
Zeitpunkt per Modem geladen wurden.
-
Gemäß der
EP 780 803 A2 wird
nach einer Initialisierung die Möglichkeit
bereitgestellt, daß von
einer Datenzentrale Neuigkeiten bzw. carrier- spezifische Werbung bereitgestellt werden,
wenn dazu ein Auftrag in der Datenzentrale vorliegt. Der Kunde muß dazu zuvor
einen Vertrag mit dem Dienstleister bzw. Betreiber der Datenzentrale
abgeschlossen haben.
-
Aus
dem
EP 1067482 ist es
bereits bekannt, unterschiedliche Sicherheitsstufen den Elementen
eines zu druckenden Druckbildes zuzuordnen. Diese unterschiedliche
Sicherheitsstufen entsprechen der unterschiedlich vergebbaren Berechtigung,
um einzelne der Elemente zu ändern.
Zur Authorisierung und Nachladung der Elemente zur Änderung
des Druckbildes werden Chipkarten eingesetzt, die die Elemente nach
einer speziellen Hierarchie gültig
machen.
-
Eine
andere Dienstleistung eines Postbeförderers steht in Verbindung
mit einer statistischen Erfassung der frankierten Post nach Statistikklassen
(
EP 892368 A2 ).
Zur Speicherung von Daten über
einen Benutzung eines Endgerätes
sind auch aus
EP 992947
A2 und
EP 101383
A2 bereits Lösungen
bekannt, nach welchen die Einträge
nach Statistikklassen (Class of Mail) gespeichert werden, bis die
entfernte Datenzentrale darauf zugreift, um das Benutzerprofil abzufragen
bzw. zu ermitteln.
-
Es
ist weiterhin bekannt, dass ein entferntes Datenzentrum via Modem
Sicherheitsdaten mit einem Frankiersystem austauschen kann, das
ein postisches Sicherheitsgerät
(PSD) enthält.
Solche Frankiersysteme der Anmelderin, sind beispielsweise unter
den Marken-Namen jetmail® und ultimail® bekannt.
-
Der
Erfindung liegt die Aufgabe zugrunde, eine Anordnung und ein Verfahren
zu entwickeln, welches es gewährleistet,
dass sowohl das Frankiersystem als auch das postalische Sicherheitsgerät Sicherheitsdaten speichern
und weiterverarbeiten können.
-
Die
Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 und
den Merkmalen der Anordnung nach Anspruch 5 gelöst.
-
Die
Erfindung geht davon aus, dass eine vom Hersteller authorisiert
betriebene Datenzentrale am sichersten gegenüber Manipulationen ist und
somit auch eine Sicherheit für
Ferndienstleistungen gegeben ist, welche ein Frankiersystem nutzen
kann. Für
die Zukunft ist nicht auszuschließen, dass neben einer Frankiermaschine
auch weitere bzw. andere Geräte
eines Frankiersystems ebenfalls Dienstleistungen einer entfernten Datenzentrale
nutzen werden. Wenn nun nachfolgend von Sicherheitsinformationen
gesprochen wird, die in Form von Datensätzen zu speichern und weiterzuverarbeiten
sind, soll mit umfasst und berücksichtigt
werden, dass die Sicherheitsanforderungen für die einzelnen Ferndienstleistungen
in den Ländern
sehr unterschiedlich sind oder zum Teil sogar fehlen.
-
Es
wird vorgeschlagen, dass ein entferntes Datenzentrum eine Liste
von Datensätzen
aufweist, die Sicherheitsinformationen und eine zugeordnete Sicherheitskategorie
enthalten. Letztere betrifft Informationen, die vom Sicherheitsmanagementsystem
des Datenzentrum gemäß einer
hinterlegten Sicherheitspolitik erfasst, verarbeitet, übertragen
und bereitgestellt werden, mindestens zu Sicherheitsmaßnahmen
und/oder zum Ort der Speicherung im Frankiersystem. Beide Informationen
sind typischerweise in einer Datenbank eines Datenbankmanagementsystems
(DBMS) abgelegt. Die Sicherheitspolitik definiert für jede Sicherheitskategorie:
- a) daß ein
Speicherort für
einen gewünschten
Datensatz innerhalb oder außerhalb
des PSD's des Frankiersystems
verwendet wird,
- b) auf welche Weise die übertragenen
Daten beim Datenaustausch gesichert werden, und/oder
- c) welche Elemente des Frankiersystems durch die übertragenen
Daten beeinflusst werden.
-
Der
Datensatz kann im Ergebnis der Anforderung einer Dienstleistung
vom entfernten Datenzentrum zum Frankiersystem übermittelt werden und enthält in seinem
Kopfteil (header) die Informationen zur zugehörigen Sicherheitspolitik. Ein
gewünschter
mit einem zur jeweiligen Sicherheitskategorie zugehörigen Kopfteil ausgestatteter
Datensatz kann mittels Übertragungsmittel,
beispielsweise drahtlos oder via Modem, vom Datenzentrum vom Frankiersystem übermittelt
und dort im PSD intern oder extern vom PSD gespeichert werden.
-
Ein
Verfahren für
ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen ist
durch folgende Schritte gekennzeichnet:
- A)
Rufannahme bei Kommunikationsverbindung zwischen Frankiermaschine
und Datenzentrum mit automatischer Einwahl durch die Frankiermaschine
bzw. -system in das Datenzentrum und Empfangen der Anforderung einer
gewünschten
Dienstleistung,
- B) Ermitteln der zu wählenden
Sicherheitsmerkmale in der Sicherheitspolitik dieser Dienstleistung
und Generierung eines Datensatzes mit Dienstleistungsdaten und Sicherheitsdaten.
- C) Auswahl des betreffenden logischen Kanals gesteuert durch
das Datenzentrum und Übermitteln
des Datensatzes entsprechend der gewünschten Dienstleistung über die
bereits aufgebaute Kommunikationsverbindung zwischen Frankiermaschine
bzw. -system und Datenzentrum,
- D) Abbau der logischen Verbindung zur Frankiermaschine durch
einen Server des Datenzentrums, sobald die Dienstleistung beendet
ist und Empfang einer entsprechenden von der Frankiermaschine bzw.
-system ausgegebenen Bestätigung
und
- E) Warten auf den Empfang einer weiteren Dienstleistungsanforderung
oder auf die Beendigung der Kommunikationsverbindung, wobei die
Beendigung durch die Frankiermaschine bzw. -system erfolgt.
-
Der
betreffende Datensatz kann beim Betrieb des Frankiersystems auch
wieder aufgerufen bzw. ausgelesen werden. Durch Angabe einer Sicherheitskategorie
kann dabei adressiert werden, ob der gewünschte Datensatz aus dem Frankiersystem
von innerhalb oder außerhalb
des PSD's gelesen
wird.
-
Vorteilhafte
Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet
bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten
Ausführung
der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
-
1,
Blockbild mit Baugruppen eines bekannten Frankiersystems,
-
2,
Blockschaltbild für
eine Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement
für ein
Frankiersystem,
-
3,
Frankierabdruck nach DPAG-Anforderungen,
-
4,
Flußplan
für ein
servergesteuertes Sicherheitsmanagement.
-
Die 1 zeigt
ein Blockbild mit Baugruppen eines bekannten Frankiersystems 1,
bestehend aus einer Frankiermaschine 2, an welche poststromabwärts eine
Ablagebox 4 und poststromaufwärts eine automatische Zuführstation 7 angeschlossen
ist. Bei dem Frankiersystem vom Typ Jetmail® wird
ein Stapel 6 an auf der Kante stehenden Poststücken der
zugeführt.
Der Ablagebox 4 ist ein Stapel 5 an liegenden
Poststücken entnehmbar.
An eine erste und zweite Schnittstelle der Frankiermaschine 2 sind über Kabel 71 und 91 die
automatische Zuführstation 7 und
ein Personalcomputer 9 elektrisch angeschlossen. Die Frankiermaschine 2 ist mit
einem entfernten Teleportodatenzentrum 8 zwecks Guthabennachladung
und mit einem entfernten Servicecenter 11 kommunikativ
verbindbar. Die Frankiermaschine 2 weist eine interne statische
Waage 22 auf und ist mit Mitteln zur Portogebührenberechnung
ausgestattet. Von dem entfernten Servicecenter 11 kann
eine aktuelle Portogebührentabelle
zur Frankiermaschine 2 bzw. zum Frankiersystem 1 übermittelt
werden. Das Frankiersystem kann optional eine – nicht gezeigte – dynamische
Waage aufweisen, welche zwischen der automatischen Zuführstation 7 und
der Frankiermaschine 2 anordenbar ist.
-
Ein
weiteres bekanntes Frankiersystems der Anmelderin vom Typ ultimail® entspricht
prinzipiell ebenfalls dem in der 1 gezeigten
Blockbild mit dem Unterschied, dass der Stapel 6 an liegenden
Poststücken der
automatische Zuführstation 7 zugeführt wird
und keine dynamische Waage nachrüstbar
ist.
-
Während nach
der bekannten Lösung
(1) die angewählte
Datenzentrale nur eine Dienstleistung bzw. nur eine minimale Anzahl
an Dienstleistung ohne Sicherheitsmerkmal erbringen kann, sind mit
einer erfindungsgemäßen Datenzentrale
eine Anzahl an Dienstleistung mit Sicherheitsmerkmal lieferbar.
Ein weiterer Vorteil ist die Vermeidung von mehreren Anrufen bei
unterschiedlichen Datenzentralen mit unterschiedlichen Telefonnummern.
-
Die
2 zeigt
ein Blockschaltbild für
eine Anordnung zur Bereitstellung von Daten entsprechend eines Sicherheitsmanagements
für ein
Frankiersystem. Neben den Baugruppen einer entfernten Datenzentrale
3 sind
die Baugruppen eines Frankiersystems
1 dargestellt, das
mindestens eine Frankiermaschine
2 und gegebenfalls eine
statische Waage
22 aufweist. Auch sind ggf. weitere – nicht
gezeigte – Postverarbeitungsstationen
anschließbar,
für die
ebenfalls Dienstleistungen über
die Frankiermaschine
2 bereitstellbar sind. Die statische
Waage
22 ist vorzugsweise ein optionaler Bestandteil der
Frankiermaschine
2. Die Frankiermaschine
2 umfaßt ein postalisches
Meter
20, welches mindestens ein Kommunikationsmittel
21,
ein Mainboard
24 und ein postalisches Sicherheitsgerät (PSD)
23 aufweist.
Das PSD
23 ist – in
nicht gezeigter Weise – über eine Schnittstelle
am Mainboard
24 angeschlossen und enthält u.a. einen Speicher
232 für Buchungsdaten
und sicherheitsrelevante Daten für
eine sichere Kommunikation mit der entfernten Datenzentrale. Weitere
Einzelheiten zum PSD sind den Druckschriften
EP 789333 B1 ,
EP 1035513 A1 ,
EP 1035516 A1 ,
EP 1035517 A1 ,
EP 1035518 A1 ,
EP 1063619 A1 ,
EP 1069492 A1 und
EP 1278164 A1 entnehmbar.
Das Mainboard
24 ist mit einem Speicher
241 und
mit einem Mikroprozessor
242 ausgestattet, der mit dem
PSD
23, dem Speicher
241 und dem Kommunikationsmittel
21 in
betriebsmäßiger Verbindung
steht. Das Kommunikationsmittel
21 ist beispielsweise ein
Modem, welches über
ein Telefonnetz
12 mit einem Modem
31 des Datenzentrums
3 kommunikationsmäßig verbindbar
ist. Damit sollen jedoch andere Kommunikationsmittel, wie beispielsweise
drahtlose Sender-/Empfängergeräte, Mobilfunkgeräte, Bluetooth-,
WAN-, LAN- u.a. Kommunikationsgeräte sowie andere Netze, wie
Internet, Ethernet u.a. nicht ausgeschlossen werden. Vielmehr kommen
eine Vielzahl an Kommunikationsmitteln und Netzen zur Datenübertragung
in Betracht.
-
Das
Datenzentrum 3 umfaßt
einen Server 30, der mit dem vorgenannten Server-Kommunikationsmittel 31 und
mit einem Datenbankmanagementsystem (DBMS) 32 in betriebsmäßiger Verbindung
steht. Das Server- Kommunikationsmittel 31 ist
in einer – nicht
gezeigten – Variante
Bestandteil eines Kommunikations-Servers, der eine Vielzahl an separaten
Anschlüssen
an das Netz 12 ermöglicht.
Auch das Datenbankmanagementsystem 32 kann in einem separaten
Server oder innerhalb des bestehenden Servers 30 realisiert sein.
Eine Steuereinheit 34 des Servers 30 ist mit einem
Selector 341 und mit einem Mikroprozessor 342 ausgestattet,
der mit dem Serversicherheitsmodul (SSM) 33, dem Selector 341 und
dem Server-Kommunikationsmittel 31 in betriebsmäßiger Verbindung
steht. Der Selector 341 ist hardware- und/oder softwaremäßig realisiert.
-
Die
Vielzahl an separaten Anschlüssen
des Kommunikations-Servers an das Netz 12 ermöglicht die Verbindung
mehrerer Frankiermaschinen 2 bzw. Frankiersystemen 1 mit
dem Datenzentrum 3 zu einem Sicherheitsmanagementsystem 10.
-
Das
Datenzentrum 3 hat eine Liste von Datensätzen, die
Sicherheitsinformationen und Informationen zur zugehörigen Sicherheitspolitik
enthalten. Beide Informationen sind typischerweise in einer Datenbank
eines Datenbankmanagementsystems (DBMS) 32 gespeichert.
Jedem Datensatz mit den die Sicherheitsinformationen ist eine Sicherheitskategorie
zugeordnet, beispielsweise eine Zahl auf der Skala 1 bis 10.
-
Durch
Angabe der Sicherheitskategorie kann wahlweise adressiert werden,
ob der gewünschte
Datensatz mit dem Frankiersystem 1 von innerhalb oder außerhalb
des PSD 23 ausgetauscht wird, auf welche Weise die übertragenen
Daten beim Datenaustausch gesichert werden, oder welche Elemente
des Frankiersystems die übertragenen
Daten beeinflussen. Die Sicherheitspolitik definiert beispielsweise,
welche Elemente des Frankierabdruckes durch die übertragenen Daten beeinflußt werden.
-
Es
ist vorgesehen, dass der gewünschte
Datensatz in einem innerhalb oder außerhalb des PSD's angeordneten nichtflüchtigen
Speicher einer Frankiermaschine des Frankiersystems gespeichert
wird. In Verbindung mit einer Ferndienstleistung kann es erforderlich
sein, dass Daten aus dem Frankiersystem 1 ausgelesen und
zum Datenzentrum 3 fernübertragen
werden. Liest also das Datenzentrum 3 die Sicherheitsdaten
aus dem Frankiersystem 1, so kann ebenfalls durch Angabe
einer Sicherheitskategorie adressiert werden, ob der gewünschte Datensatz
aus dem Frankiersystem 1 von innerhalb oder außerhalb
des PSD 23 gelesen wird. Die Steuereinheit 34 des
Datenzentrums 3 sorgt dafür, dass Datensätze gemäss ihrer
Sicherheitskategorie kommuniziert, gespeichert und verarbeitet werden.
Dafür benutzt
die Steuereinheit den Selector 341. Letzterer bietet die
Möglichkeit,
einen von zwei logischen Kommunikationskanälen zu wählen, um einen Speicher des
Frankiersystems innerhalb oder außerhalb des PSD's zu adressieren.
Jeder logische Kommunikationskanal wird durch individuelle Sicherheitsmechanismen
und -parameter geschützt,
die von einer Komponente der Steuereinheit 34 angewendet
werden. Diese Komponente der Steuereinheit 34 wird auch
als Serversicherheitsmodul (SSM) 33 bezeichnet. Für dessen
Steuerung wird ebenfalls die Sicherheitskategorie eines Datensatzes
berücksichtigt.
Der Datensatz enthält
in seinem Kopfteil (header) mindestens die Informationen zur zugehörigen Sicherheitspolitik.
-
Außer der
Adressierung im Frankiersystem kann die Steuereinheit diese Informationen
zur zugehörigen
Sicherheitspolitik auch dafür
verwenden, einen geeigneten Sicherheitsmechanismus zum Schutz während der
Kommunikation und/oder während
der anschliessenden Speicherung auszuwählen. Dies wird unten anhand
einiger Beispiele gezeigt.
-
Die 3 zeigt
einen Frankierabdruck nach den Frankit-Anforderungen der Deutschen
Post AG. Der Frankierabdruck weist links einen eindimensionalen
Balkencode (1D-Barcode) 15 für einen identcode auf, welcher
weiter unten noch erläutert
wird. Außerdem
weist der Frankierabdruck im Wertabdruck einen zwei-dimensionalen
Balkencode (2D-Barcode) 17 für die Verifizierung der ordnungsgemäßen Bezahlung
der Poststückes-Beförderungsgebühr auf.
-
Die 4 zeigt
einen Flußplan
für ein
servergesteuertes Sicherheitsmanagement. Das Datenzentrum 3 wartet
im Schritt A auf den Empfang einer Dienstleistungsanforderung. Für die Bearbeitung
eines Ferndienstes (Remote Service) wählt sich die Frankiermaschine
in Datenzentrum ein und fordert den gewünschten Ferndienst an. Nach
dem Empfang der Dienstleistungsanforderung ermittelt das Datenzentrum
im Schritt B in der Sicherheitspolitik dieses Ferndienstes die zu
wählenden
Sicherheitsmerkmale. Im Schritt C erfolgt eine Auswahl des logischen
Kanals und eine Datensatzübermittlung
vom Datenzentrum 3 zur Frankiermaschine 2 bzw. zum
Frankiersystem 1. Dabei wird der logischen Kanal zum Speicher
I des Mainbords oder zum Speicher II des PSD's ausgewählt. Die Datensatzübermittlung
erfolgt über
die bereits aufgebaute Modemverbindung vom Datenzentrum 3 zur
Frankiermaschine 2 bzw. zum Frankiersystem 1.
Im Schritt D erfolgt die Feststellung des Endes der angeforderten
Dienstleistung. Sobald der Ferndienst beendet ist, baut der Server
die logische Verbindung zur Frankiermaschine wieder ab und gibt
der Frankiermaschine eine entsprechende Bestätigung. Im Schritt E wird festgestellt,
ob die Kommmunikationsverbindung von der Frankiermaschine beendet
worden ist. Ist das der Fall, dann wird der Punkt e erreicht. Anderenfalls
wird auf einen Anfangspunkt a vor dem ersten Schritt A zurückverzweigt,
zum Empfangen einer weiteren Dienstleistungsanforderung.
-
Beispiele
für Sicherheitskategorien
sind in der folgenden Tabelle aufgezeigt:
-
Die
Tabellenspalten Schutzziel und logischer Kanal beschreiben für jede der
in der ersten Spalte genannten Sicherheitskategorien, auf welche
Weise die übertragenen
Daten beim Datenaustausch gesichert werden. Die übrigen Tabellenspalten kennzeichnen
der Speicherort, die beeinflußten
Komponenten des Frankiersystems und wo im Abdruck der Einfluß sichtbar
wird.
-
IdentCodes
-
IdentCodes
sind Referenznummern, die Poststücke
eindeutig bezeichnen, solange sie nicht erfolgreich zugestellt worden
sind. Anhand seines IdentCodes kann ein Poststück in einem Briefverteilzentrum
oder bei der Zustellung eindeutig wiedererkannt werden. Der IdentCode
kann genutzt werden, um Tracking-Information über Poststücke bereitzustellen und für den Absender
abfragbar zu machen. Jeder IdentCode darf während seiner Gültigkeitsdauer
nur höchstens
einmal (Einmaligkeit) für
höchstens
ein Poststück
(Eindeutigkeit) vergeben werden. Als Speicherort wird der nichtflüchtige Speicher
auf dem Mainboard der Frankiermaschine benutzt.
-
Preis-Produkt-Tabelle
-
Durch
die übertragenen
Daten werden ein Preisberechnungsmodul und der Abdruck beeinflußt. Eine Preis-Produkt-Tabelle
(bzw. Portotariftabelle) hat ein Gültigkeitsdatum, ab dem sie
gültig
ist. Die Einträge
einer Preis-Produkt-Tabelle
sollten gegen Manipulation geschützt
sein (Datenintegrität).
Die Quelle einer Preis-Produkt-Tabelle sollte authorisiert sein
(Ursprungsauthentifikation), und eine Preis-Produkt-Tabelle sollte
spätestens
an ihrem Gültigkeitstag
bereitgestellt sein (Timeliness). Als Speicherort wird der nichtflüchtige Speicher auf
dem Mainboard der Frankiermaschine benutzt.
-
Benutzerprofil
-
Die
Benutzerprofile werden in der Maschine passiv aufgezeichnet und
an das Datenzentrum übertrgen.
Die Einträge
eines Benutzerprofils sollten gegen Manipulation geschützt sein
(Datenintegrität).
Alternativ genügt
auch ein Integritätsschutz
des Gesamtvolumens eines Benutzerprofils. Ausserdem sollte der Ursprung authentisiert
sein (Ursprungsauthentikation). Dabei handelt es sich um einen speziellen
Buchungswert, der im Rahmen einer speziellen Dienstleistung (Class
of Mail) zur Datenzentrale übermittelt
werden kann. Dieser spezielle Buchungswert ist einen gewöhnlich nicht
ausdruckbarer MAC-gesicherter Summenwert aller summierten Postwerte,
welche während
einer Abrechnungsperiode frankiert wurden. Wird der vorgenannte
Wert auf eine Postkarte ausgedruckt, dann spricht man auch von einer
Abrechnungsfrankierung. Der vorgenannte MAC (Message Authorization
Code) wird vorzugsweise in Form eines Crypto Tags realisiert. Als
Speicherort wird der nichtflüchtige
Speicher auf dem Mainboard der Frankiermaschine benutzt. Nach dem Übertragen
der CoM-Daten an das Datenzentrum wird der nichtflüchtige Speicher
gelöscht,
um Speicherplatz für
neu aufgezeichnete Daten zu schaffen.
-
PVD
-
Die
Daten, die während
einer Guthabennachladung (Postage Value Download) übertragen
werden, sind teilweise entgeltrelevant. Das heisst, wenn zum Beispiel
ein Betrag von 50 EUR angefordert und im Datenzentrum verbucht und
bestaetigt wird, so dürfen
anschliessend im Sicherheitsmodul auch nur 50 EUR mehr Guthaben
stehen. Würden
dort 100 EUR zusätzlich
ankommen, so wäre
der Zusteller (also z.B. eine Postbehörde) um den Differenzbetrag
von 50 EUR betrogen. Daher müssen
die Nachrichten, die bei einem postage value download übertragen
werden, gegen Manipulation geschützt
sein und ihr jeweiliger Datenursprung muss authentisiert sein.
-
Zusätzlich kann
hier auch der Datenschutz des Empfängers ein Schutzziel sein.
Es soll für
Aussenstehende z.B. nicht zu erkennen sein, welchen Betrag ein Kunde
gerade vom Datenzentrum lädt.
Um dieses Schutzziel zu erreichen, werden bestimmte Nachrichten
zwischen Datenzentrum und Sicherheitsmodul verschlüsselt. Als
Speicherort dient der nichtflüchtige
Speicher des PSD's.
Die beeinflussten Komponenten des Frankiersystems sind PSD und dessen
postalische Register.
-
Withdraw
-
Die
Rückzahlung
(Withdraw) des verbliebene Restguthabens des Kunden ist ein wesentliches
Schutzziel beim Zurückgeben
einer Maschine. Als Speicherort dient der nichtflüchtige Speicher
des PSD's. Die beeinflussten
Komponenten des Frankiersystems sind das PSD und dessen postalische
Register.
-
MACKey
-
Wesentliches
Schutzziel bei der Übertragung
des MACKeys ist es, den Schlüssel
gegenüber
Aussenstehenden (einschliesslich dem Benutzer der Frankiermaschine)
geheimzuhalten. Daher wird dieser Schlüssel vor der Übertragung
verschlüsselt
und erst im Sicherheitsmodul wieder entschlüsselt. Als Speicherort dient
der nichtflüchtige
Speicher des PSD's.
Durch die übertragenen
Daten werden Komponenten des Frankiersystems, wie PSD, Schlüsselspeicher,
Cliché-Prüfung und
-generierung in der Frankiermaschine beeinflusst.
-
Als
logischer Kanal wird beispielhaft nur eine Klartextsitzung (plain
session) von einer Sicherheitstextsitzung (secure session) unterschieden.
-
Vereinfacht
ist eine Klartextsitzung eine zuverlässige Datenverbindung über eine
Telefonnetz, bei der die Daten ohne kryptographische Absicherung übertragen
werden. Wenn nötig
können
fehlerkorrigierende Codes eingesetzt werden, um die Zuverlässigkeit
der Übertragungsstrecke
zu verbessern.
-
Eine
Sicherheitstextsitzung ist eine zuverlässige Datenverbindung über ein
Telefonnetz, bei der die Daten kryptographisch abgesichert übertragen
werden. Wenn nötig,
können
auch hier fehlerkorrigierende Codes eingesetzt werden, um die Zuverlässigkeit
der Übertragungsstrecke
zu verbessern.
-
Die
im Rahmen einer Ferndienstleistung von dem Datenzentrum gelieferten
Sicherheitsinformationen können
sowohl von der Frankiermaschine als auch von anderen Geräten eines
Frankiersystems genutzt werden.
-
Unter
einem Frankiersystem kann auch ein sogenannter PC-Frankierer verstanden
werden, welcher mindestens aus einem Personalcomputer mit PSD und
einem handelsüblichen
Bürodrucker
besteht.
-
In
einer anderen – in
der 2 nicht gezeigten – Variante wird das Datenbankmanagementsystem (DBMS) 32 innerhalb
des Servers 30 realisiert. Außerdem ist vorgesehen, dass
der Selector 341 als Bestandteil des Mikroprozessors 342 hardware-
und/oder softwaremäßig ausgeführt ist.
-
Die
Erfindung ist nicht auf die vorliegende Ausführungsform beschränkt, da
offensichtlich weitere andere Anordnungen bzw. Ausführungen
der Erfindung entwickelt bzw. eingesetzt werden können, die – vom gleichen
Grundgedanken der Erfindung ausgehend – von den anliegenden Ansprüchen umfaßt werden.