Der
Erfindung liegt daher die Aufgabe zugrunde, ein möglichst
manipulationssicheres Ausdrucken von Frankiervermerken in einer
Bedieneinheit auch dann zu ermöglichen,
wenn die Bedieneinheit nicht über
eine spezielle Ausrüstung
zum Erstellen und Ausdrucken von druckbaren Frankiervermerken verfügt. Insbesondere
soll dabei das Ausdrucken von Dubletten verhindert werden.
Erfindungsgemäß wird diese
Aufgabe durch ein Verfahren nach dem Patentanspruch 1 gelöst.
Erfindungsgemäß wird diese
Aufgabe zudem durch eine Vorrichtung nach dem Patentanspruch 18
gelöst.
Zweckmäßige Weiterbildungen
des Verfahrens und der Vorrichtung sind Gegenstand der Unteransprüche.
Die
Erfindung sieht dabei insbesondere vor, dass ein Verfahren zum Frankieren
von Postsendungen, bei dem ein Frankiervermerk von einer Bedieneinheit
angefordert, in einem Sicherungsmodul erzeugt, der Bedieneinheit
zugänglich
gemacht und mittels der Bedieneinheit und/oder einer Druckeinheit ausge druckt
wird, so durchgeführt
wird, dass eine Druckvorlage des Frankiervermerks erzeugt und verschlüsselt wird,
dass die Druckvorlage zum Ausdrucken des Frankiervermerks in der
Bedieneinheit entschlüsselt
wird, und dass nach dem Ausdrucken des Frankiervermerks eine Angabe über das
Ausdrucken gespeichert wird, wobei das Ausdrucken des Frankiervermerks
bei einem Vorhandensein der Angabe über das Ausdrucken blockiert
wird.
Ein
derartiges Verfahren hat den Vorteil, dass der Bedieneinheit eine
den Frankiervermerk enthaltende Druckvorlage zum Ausdrucken des Frankiervermerks
zur Verfügung
gestellt werden kann, und ein wiederholtes Ausdrucken des Frankiervermerks
durch das Vorhandenseins der nach dem ersten Ausdrucken hinterlegten
Angabe über
das Ausdrucken verhindert wird. Durch die Verschlüsselung
kann dabei vorteilhaft sichergestellt werden, dass der Frankiervermerk
nur im Bereich solcher Bedieneinheiten ausgedruckt wird, welche
die Angabe über
das Ausdrucken als Steuerbefehl zum Blockieren des Ausdruckens beachten.
Der Begriff Verschlüsselung
ist dabei in seiner weitesten Bedeutung zu verstehen und umfasst
neben kryptografischen Verfahren insbesondere auch steganografische
Verfahren.
Es
ist bei dem Verfahren besonders zweckmäßig, dass vor dem Ausdrucken
des Frankiervermerks überprüft wird,
ob die Angabe über
das Ausdrucken vorhanden ist. Damit wird zuverlässig sichergestellt, dass ein
wiederholtes Ausdrucken des Frankiervermerks nicht möglich ist.
Eine
vorteilhafte Durchführungsform
des Verfahrens sieht vor, dass die Angabe über das Ausdrucken des Frankiervermerks
in die Druckvorlage eingebracht wird. Damit ist die Angabe fest mit
der Druckvorlage verknüpft
und ein wiederholtes Ausdrucken wird auch dann zuverlässig verhindert,
wenn die Druckvorlage nach dem Ausdrucken gespeichert wird und zu
einem späteren
Zeitpunkt erneut ein Druckvorgang angestoßen wird.
Um
zu gewährleisten,
dass ein mehrfaches Ausdrucken auf mehreren Bedieneinheiten auch dann
verhindert wird, wenn die Druckvorlage vor dem Ausdrucken vervielfältigt wird,
ist es vorteilhaft vorgesehen, dass die Druckvorlage in dem sicheren
Bereich derart verschlüsselt
wird, dass sie nur in der Bedieneinheit entschlüsselt werden kann, von welcher der
Frankiervermerk angefordert wird.
In
einer besonders bevorzugten Durchführungsform des Verfahrens ist
es vorgesehen, dass die Angabe über
das Ausdrucken des Frankiervermerks in einer Datenbank gespeichert
wird.
Dadurch
wird es möglich,
die Angabe über das
Ausdrucken getrennt von der Druckvorlage zentral zu hinterlegen,
wodurch die Manipulationssicherheit des Verfahrens weiter erhöht wird.
So wird die Angabe des Ausdruckens in dieser Durchführungsform
von allen Bedieneinheiten beachtet, die grundsätzlich zum Ausdrucken des Frankiervermerks
in der Lage sind.
Zudem
ist eine so genannte personalisierte Verschlüsselung nicht erforderlich,
bei der die Druckvorlage nur von einer bestimmten Bedieneinheit
entschlüsselt
werden kann. Es genügt
hier, die Druckvorlage derart zu verschlüsseln, dass sie nur von Bedieneinheiten
entschlüsselt
werden kann, die so ausgebildet sind, dass sie die das Ausdrucken
blockierende Angabe über
das Ausdrucken nach dem Ausdrucken speichern und dass sie die Angabe
beachten.
Mit
Vorteil werden zur Durchführung
des Verfahrens Bedieneinheiten eingesetzt, die nicht in spezieller
Weise zum Ausdrucken von Postsendungen ausgerüstet sind.
Daher
ist es in der weiteren vorteilhaften Durchführungsform der Erfindung vorgesehen,
dass die Druckvorlage zusammen mit einer Aufforderung darüber an die
Bedieneinheit übermittelt
wird, dass nach dem Ausdrucken eine das Ausdrucken blockierende
Angabe über
das Ausdrucken gespeichert werden soll.
Zweckmäßigerweise
ist vorgesehen, dass in Abhängigkeit
der Aufforderung nach dem Ausdrucken des Frankiervermerks die Angabe über das Ausdrucken
in die Druckvorlage eingebracht wird und/oder eine Benachrichtigung über das
Ausdrucken an die Datenbank übermittelt
wird. Vorzugsweise wird dabei in Abhängigkeit der Benachrichtigung über das
Ausdrucken die Angabe über
das Ausdrucken in der Datenbank gespeichert.
Um
eine Manipulation der Aufforderung zu verhindern, wird die Aufforderung
vorzugsweise in dem sicheren Bereich verschlüsselt und in einem sicheren
Bereich in der Bedieneinheit entschlüsselt.
Zweckmäßigerweise
wird die Aufforderung in einer Durchführungsform des Verfahrens in
den Frankiervermerk eingebracht.
In
einer weiteren zweckmäßigen Durchführungsform
des Verfahrens wird die Aufforderung in eine verschlüsselte Lizenz
eingebracht, die in der Bedieneinheit entschlüsselt wird. Der Einsatz der
Lizenz hat dabei insbesondere den Vorteil, dass es möglich wird,
dass die Druckvorlage im Bereich der Bedieneinheit mit einem Schlüssel entschlüsselt wird,
der in die Lizenz eingebracht wird. Zudem kann die Angabe über das
Aus drucken des Frankiervermerks vorteilhaft in die Lizenz eingebracht
werden.
In
einer bevorzugten Durchführungsform
des Verfahrens werden die Druckvorlage und/oder die Lizenz anhand
eines so genannten asymmetrischen Verschlüsselungsverfahrens verschlüsselt. Vorzugsweise
ist es dabei vorgesehen, dass die Druckvorlage und/oder die Lizenz
mit einem öffentlichen
Schlüssel
der Bedieneinheit verschlüsselt
werden. Vorzugsweise ist es dabei weiterhin vorgesehen, dass die Druckvorlage
und/oder die Lizenz mit einem privaten Schlüssel der Bedieneinheit entschlüsselt werden. Dabei
kann es sich um einen individuellen privaten Schlüssel der
bestimmten Bedieneinheit oder um eine privaten Schlüssel einer
Mehrzahl von Bedieneinheiten handeln, die so ausgestaltet sind,
dass sie die das Ausdrucken blockierende Angabe über das Ausdrucken des Frankiervermerks
nach dem Ausdrucken speichern und dass sie die Angabe beachten.
In
einer weiteren Durchführungsform
des Verfahrens wird ein symmetrisches Verfahren zum Verschlüsseln der
Druckvorlage und/oder der Lizenz durchgeführt. Vorzugsweise werden die
Druckvorlage und/oder die Lizenz dabei mit identischen Schlüsseln verschlüsselt und
entschlüsselt.
Um
die Manipulationssicherheit des Verfahrens noch weiter zu erhöhen, ist
es in einer vorteilhaften Durchführungsform
des Verfahrens vorgesehen, dass der Frankiervermerk nach dem Ausdrucken
in der Bedieneinheit entwertet wird. Sollte es gelingen, den Inhalt
der Druckvorlage wiederholt auszudrucken, wird hierdurch verhindert,
dass der Ausdruck einen gültigen
Frankiervermerk enthält.
Die
Erfindung stellt neben dem Verfahren zudem eine Vorrichtung bereit.
Die
Vorrichtung zum Frankieren von Postsendungen mit einer Frankiereinheit,
die ein Sicherungsmodul zum Erstellen eines Frankiervermerks umfasst,
einer mit der Frankiereinheit verbundenen Bedieneinheit und einer
mit der Bedieneinheit verbundenen Druckeinheit zum Ausdrucken des
Frankiervermerks zeichnet sich insbesondere dadurch aus, dass das
Sicherungsmodul mit einer Berechtigungseinheit zum Erstellen einer
verschlüsselten, den
Frankiervermerk enthaltenden Druckvorlage verbunden ist, dass die
Bedieneinheit einen sicheren Bereich umfasst, dass der sichere Bereich
ein Mittel zum Entschlüsseln
der Druckvorlage aufweist, dass der sichere Bereich ein Steuerungsmittel
zum Steuern der Druckeinheit aufweist, dass der sichere Bereich
ein Mittel zum Speichern einer Angabe über das Ausdrucken des Frankiervermerks
aufweist und dass der sichere Bereich ein Mittel zum Überprüfen des Vorhandenseins
der Angabe über
das Ausdrucken des Frankiervermerks aufweist, das bei Vorhandensein
der Angabe über
das Ausdrucken des Frankiervermerks das Steuerungsmittel zum Steuern
der Druckeinheit blockiert.
Mit
Vorteil wird dabei insbesondere ein sicherer Bereich innerhalb der
Bedieneinheit bereitgestellt, mit dem sichergestellt werden kann,
dass innerhalb der Bedieneinheit die das Ausdrucken blockierende Angabe über das
Ausdrucken nach dem Ausdrucken gespeichert wird, und dass die Angabe
beachtet wird. Der Begriff sicherer Bereich ist dabei in seiner
weitesten Bedeutung zu verstehen und umfass insbesondere eine Realisierung
als ein kryptografisches Modul oder als ein Bereich in dem Daten
durch eine verschleierte Bearbeitung vor Zugriffen und Manipulationen
geschützt
werden.
Der
sichere Bereich ist vorzugsweise Bestandteil eines universellen
Standardprogramms zum Darstellen und/oder Ausdrucken von Text- und/oder
Grafikelementen, so dass die Bedieneinheit zum Frankieren von Postsendungen
ohne eine spezielle Ausrüstung
betrieben werden kann.
In
einer besonders bevorzugten Ausführungsform
der Vorrichtung enthält
die Berechtigungseinheit eine Datenbank zum Speichern der Angabe über das
Ausdrucken des Frankiervermerks.
Die
Berechtigungseinheit wird dabei vorzugsweise mit den bereits genannten
Vorteilen zentral betrieben und ist somit mit einer Mehrzahl von Bedieneinheit
verbunden. Zweckmäßigerweise
wird die Berechtigungseinheit, ebenso wie die Frankiereinheit, von
dem Anbieter des Frankiervermerks betrieben; sie kann dabei auch
in die Frankiereinheit integriert sein.
In
einer besonders zweckmäßigen Ausgestaltung
der Vorrichtung sendet das Mittel zum Speichern der Angabe über das
Ausdrucken des Frankiervermerks eine Benachrichtigung über das
Ausdrucken an die Datenbank.
In
einer weiteren zweckmäßigen Ausgestaltung
der Vorrichtung führt
das Mittel zum Überprüfen des
Vorhandenseins der Angabe über
das Ausdrucken des Frankiervermerks eine Abfrage des Vorhandenseins
der Angabe über
das Ausdrucken des Frankiervermerks im Bereich der Datenbank durch.
Weitere
Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung
ergeben sich aus den Unteransprüchen
und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele
anhand der einzigen Figur.
Diese
zeigt eine schematische Darstellung der Komponenten zur Durchführung eines
erfindungsgemäßen Verfahrens
und ihres Zusammenwirkens.
Die
Bezugsziffer 10 in der Figur bezieht sich auf eine Frankiereinheit,
die ein Sicherungsmodul 20, ein so genanntes kryptografisches
Modul, zum Erzeugen kryptografisch abgesicherter Informationen umfasst,
die in den zu erstellenden Frankiervermerk eingebracht werden und
eine zuverlässige Überprüfung der
Gültigkeit
des Frankiervermerks erlauben. Die Frankiereinheit 10 wird
zentral von einem Anbieter von Frankiervermerken betrieben und ermöglicht die
Erzeugung von Frankiervermerken für eine Vielzahl von Kunden,
die jeweils über
eine Bedieneinheit 30 auf Funktionen der Frankiereinheit 10 zugreifen.
In
dem Sicherungsmodul 20 der Frankiereinheit 10 werden
Portokonten der Kunden verwaltet, die einen Portobetrag umfassen,
der von einem Wertübertragungszentrum
eines Postunternehmens geladen wird, und zum Erzeugen von Frankiervermerken
eingesetzt werden kann. Bei dem Ladevorgang wird von dem Wertübertragungszentrum
insbesondere ein Cryptostring an das Sicherungsmodul 20 übertragen,
der Daten enthält,
die derart verschlüsselt
sind, dass sie nur in einem Prüfzentrum
des Postunternehmens entschlüsselt
werden können.
Unter Einsatz des geladenen Portobetrages werden unter Verwendung
des Cryptostrings und weiterer noch anzugebender Daten Frankiervermerke
erzeugt, die mittels der Bedieneinheit 30 und/oder einer
Druckeinheit 40 von dem Kunden ausgedruckt werden. Insbesondere
anhand des Cryptostrings kann dabei überprüft werden, ob ein Frankiervermerk
authentisch ist und die Portogebühren
für den
Frankiervermerk entrichtet worden sind.
Ein
geeignetes Verfahren, zum Erzeugen des Cryptostrings und zum Erzeugen
sicherer Frankiervermerke anhand des Cryptostrings, auf das hier beispielhaft
Bezug genommen wird, ist in der deutschen Patentschrift
DE 100 20 566 C2 der
Anmelderin beschrieben. Bei dem Verfahren wird in dem Sicherungsmodul
20 eine
geheime Information, beispielsweise eine Zufallszahl, generiert
und über
eine sichere Datenverbindung an das Wertübertragungszentrum übermittelt,
welches die Zufallszahl und eine Ladevorgangsidentifikationsnummer
in den Cryptostring einbringt. Der Cryptostring und die Ladevorgangsidentifikationsnummer
werden über
die sichere Datenverbindung an das Sicherungsmodul
20 zurückgesandt
und dort zusammen mit der Zufallszahl zum Erzeugen von Frankiervermerken
gespeichert.
Die
Frankiereinheit 10 und die Bedieneinheit 30 sind
innerhalb eines Weitverkehrsnetzwerks WAN, wie beispielsweise dem
Internet, miteinander verbunden, über das ein Datenaustausch
in einer Weise erfolgt, die dem Fachmann bekannt ist.
Bei
der Bedieneinheit 30 handelt es sich um einen Personal
Computer (PC), der insbesondere über
einen Prozessor zum Durchführen
von Berechnungen, über
ein Eingabe- und ein Anzeigemittel, über einen flüchtigen
Speicher und im Allgemeinen auch über einen nicht-flüchtigen
Speicher verfügt. Die
Druckeinheit 40 ist über
ein Datenkabel oder ein Computernetzwerk mit der Bedieneinheit 30 verbunden.
Sie ist mit dem Fachmann bekannten Mitteln zum Ausdrucken von Text-
und Grafikelementen ausgestattet, die durch Steuerbefehle gesteuert werden, die
von der Bedieneinheit 30 an die Druckeinheit 40 übermittelt
werden.
Die
Bedieneinheit 30 stellt einen so genannten Browser 50 bereit,
der in der Lage ist, Inhalte von Webseiten an dem Anzeigemittel
der Bedieneinheit 10 darzustellen, das Ausdrucken von Inhalten
von Webseiten in der Druckeinheit 40 zu steuern und in Webseiten
enthaltene Steuerbefehle auszuführen. Der
Browser ist ebenfalls in einer dem Fachmann bekannten Art ausgeführt.
Die
Bedieneinheit 30 stellt zudem einen Reader 60 zur
Verfügung,
der in der Lage ist, in Druckvorlagen eines Standardformats enthaltene
Text- und Grafikelemente an dem Anzeigemittel der Bedieneinheit 30 darzustellen
und ihr Ausdrucken in der Druckeinheit 40 zu steuern. Beispiele
für Standardformate, die
von dem Reader 60 interpretiert werden können, sind
beispielsweise das bekannte Portable Document Format (PDF) oder
das bekannte Postscript-Format. Zudem kann die Druckvorlage in einem
Standardformat ausgeführt
werden, das von einem Standardprogramm zur Textverarbeitung, wie beispielsweise
dem Programm "Word" der Firma Microsoft,
verwendet wird.
Darüber hinaus
ist der Reader 60 in der Lage, Angaben über Zugriffsrechte, die mit
der Druckvorlage verknüpft
sind und in Form von vorgegebenen Parametern und/oder vorgegebenen
Werten von Parametern angegeben werden, zu erfassen und zu beachten.
Dafür stellt
der Reader 60 einen durch Soft- und/oder Hardware geschützten sicheren
Bereich in Form eines eigenen kryptografischen Moduls 70 in
der Bedieneinheit 30 zur Verfügung, in dem bei jedem Schritt
zur Be- bzw. Verarbeitung der Druckvorlage die Parameter überprüft werden,
welche die Rechte zur Durchführung
dieses Schritts betreffen.
Anstelle
eines kryptografischen Moduls im eigentlichen Sinne, kann dabei
von dem Reader 60 auch ein Bereich zur Verfügung gestellt
werden, in dem Daten durch eine verschleierte Bearbeitung vor Zugriffen
und Manipulationen geschützt
werden. Im Folgenden wird jedoch der Begriff des kryptografischen
Moduls für
den sicheren Bereich des Readers 60 verwendet.
Die
Be- bzw. Verarbeitungsschritte werden ebenfalls durch das kryptografische
Modul 70 gesteuert, um den Zugriff auf von dem Reader 60 zur Verfügung gestellte
Funktionen zu verhindern, für
die keine Berechtigungen bestehen.
Die
Beachtung der mit der Druckvorlage verknüpften Zugriffsrechte ist ausschließlich innerhalb des
kryptografischen Moduls 70 in zuverlässiger Weise sichergestellt.
Die Möglichkeit
eines Zugriffs auf die Druckvorlage außerhalb des kryptografischen Moduls 70 wird
daher verhindert, indem diese derart verschlüsselt wird, dass sie ausschließlich in
dem kryptografischen Modul 70 entschlüsselt werden kann.
Bei
dem Reader 60 handelt es sich vorzugsweise um ein universelles
Standardprogramm, das nicht in spezieller Weise zum Ausdrucken von
Frankiervermerken ausgerüstet
ist. Die zum manipulationssicheren Ausdrucken von Frankiervermerken
notwendigen Rechte sind daher nicht fest in dem Reader 60 implementiert,
sondern die Angaben über
diese Rechte werden in die Druckvorlage eingebracht oder sie werden
getrennt von der Druckvorlage innerhalb einer Lizenz an die Bedieneinheit 30 übermittelt.
Das kryptografische Modul 70 des Readers 60 liest
diese Angaben und insbesondere die in den Angaben enthaltenen Parameter
und/oder die Werte von Parametern aus. Um eine Zuordnung zwischen
der Lizenz und der Druckvorlage zu ermöglichen, wird sowohl in die
Druckvorlage als auch in die Lizenz ein Merkmal eingebracht, das
die Druckvorlage eindeutig identifiziert. Um Manipulationen auszuschließen, wird
dieses Merkmal ebenfalls so verschlüsselt, dass es nur in dem kryptografischen
Modul 70 entschlüsselt
werden kann.
Um
dabei eine Manipulation der Angaben über die Zugriffsrechte zu verhindern,
ist es vorgesehen, diese ebenfalls derart zu verschlüsseln, dass
sie nur in dem kryptografischen Modul 70 entschlüsselt werden
können.
In
einer anderen Ausführungsform
der Erfindung ist es vorgesehen, dass die verschlüsselte Druckvorlage
oder die Lizenz lediglich einen Hinweis auf eingeschränkte Zugriffsrechte
enthält,
und die entsprechenden Parameter und/oder die entsprechende Werte
von Parametern werden im einem sicheren Bereich einer vorzugsweise
zentral betriebenen Berechtigungsdatenbank 80 gespeichert,
die beispielsweise in einer Berechtigungseinheit 90 enthalten
ist. Um seine Manipulation zu vermeiden, ist der Hinweis dabei ebenfalls
derart verschlüsselt, dass
er nur in dem kryptografischen Modul 70 entschlüsselt werden
kann.
In
dieser Ausführungsform
greift das kryptografische Modul 70 auf die zentral gespeicherten
Angaben über
die Zugriffsrechte zu, wobei jedem Schritt zur Be- oder Verarbeitung
der Druckvorlage eine Anfrage der Berechtigung zur Durchführung dieses Schritts
von dem kryptografischen Modul 70 an die Berechtigungseinheit 90 gesendet
wird. Die Berechtigungseinheit 90 überprüft aufgrund der Anfrage in der
Berechtigungsdatenbank 80, ob der Schritt ausgeführt werden
darf oder nicht, und sendet eine das Ergebnis der Überprüfung beinhaltende
Nachricht an das kryptografische Modul 70 des Readers 60,
welches das Ergebnis beachtet. Die Anfrage wird dabei unter Angabe eines
Merkmals übermittelt,
das die Druckvorlage eindeutig identifiziert und die Berechtigungseinheit 90 überprüft die Berechtigung
anhand einer in der Berechtigungsdatenbank 80 gespeicherten
Zuordnung zwischen dem Identifikationsmerkmal und den Angaben über die
mit der entsprechenden Druckvorlage verknüpften Zugriffsrechte.
Bezüglich der
Verschlüsselung
der Druckvorlage und/oder der Lizenz kann in dieser Ausführungsform
ferner ein öffentlicher
Schlüssel
eines für alle
Reader der Art des Readers 60 einheitlichen Schlüsselpaares
zur asymmetrischen Verschlüsselung
verwendet werden, da die mit der Druckvorlage verknüpften Zugriffsrechte
zentral in der Berechtigungsdatenbank 80 verwaltet werden.
Falls keine Berechtigungsdatenbank 80 verwendet wird, muss eine
individuelle Verschlüsselung
für jeden
individuellen Reader 60 vorgenommen werden, um sicherzustellen,
dass der Inhalt der Druckvorlage lediglich einmal ausgedruckt wird.
Ansonsten wäre
es möglich, die
Druckvorlage vor dem Ausdrucken zu vervielfältigen und mehreren Readern 60 zur
Verfügung
zu stellen, welche den Inhalt der Druckvorlage unabhängig voneinander
jeweils einmal auszudrucken.
Es
ist weiterhin ebenfalls möglich,
die Angaben über
mit Frankiervermerke enthaltenden Druckvorlagen verknüpfte Zugriffsrechte
in dem Reader 60 zu implementieren und die verschlüsselte Druckvorlage
mit dem Frankiervermerk durch einen entsprechenden Vermerk als eine
Druckvorlage kenntlich zu machen, die einen Frankiervermerk enthält. Dabei werden
die Angaben über
die Zugriffsrechte in dem nicht-flüchtigen Speicher der Bedieneinheit 30 hinterlegt,
wobei die Angaben wiederum so verschlüsselt gespeichert werden, dass
sie nur in dem kryptografischen Modul 70 des Readers 60 entschlüsselt werden
können.
In gleicher Weise wird in dieser Ausführungs form der Erfindung der
Vermerk verschlüsselt, der
den Inhalt der Druckvorlage als Frankiervermerk kenntlich macht.
Zur
Verschlüsselung
der die Angaben über die
Zugriffsrechte oder den Vermerk enthaltende Druckvorlage wird vorzugsweise
ein asymmetrisches Verschlüsselungsverfahren
eingesetzt. Dabei wird ein Schlüsselpaar
eingesetzt, das aus einem geheimen, so genannten privaten Schlüssel und
einem Dritten zugänglichen,
so genannten öffentlichen Schlüssel besteht.
Die Schlüssel
stehen derart im Verhältnis
zueinander, dass eine mit dem öffentlichen Schlüssel verschlüsselte Datei
ausschließlich
mit dem privaten Schlüssel
entschlüsselt
werden kann. Der private Schlüssel
ist dem Reader 60 zugeordnet und wird derart in diesem
implementiert, dass er nicht ausgelesen werden kann und nur in dem
kryptografischen Modul 70 des Readers 60 zum Entschlüsseln verfügbar ist.
Die Schlüssel
können
anhand von dem Fachmann bekannten Verfahren, wie beispielsweise dem
RSA(Rivest-Shamir-Adleman)-Verfahren oder auf elliptischen Kurven
basierenden Verfahren, erzeugt werden
Die
Verschlüsselung
anhand eines symmetrischen Verfahrens zum Verschlüsseln der
die Angaben über
die Zugriffsrechte enthaltenden Druckvorlage, bei dem das Verschlüsseln und
das Entschlüsseln
anhand desselben Schlüssels
erfolgt, ist ebenfalls möglich,
wobei der entsprechende Schlüssel auch
in diesem Fall in der vorbeschriebenen Art und Weise in dem Reader
implementiert ist.
Falls
eine Lizenz zur Angabe der mit der Druckvorlage verknüpften Zugriffsrechte
vorgesehen ist, wird diese vorzugsweise ebenfalls anhand des asymmetrischen
Verfahrens unter Verwendung eines Schlüsselpaares verschlüsselt, dessen
privater Schlüssel
in dem Reader 60 implementiert ist. Eine Ver schlüsselung
anhand eines symmetrischen Verfahrens mit einem Schlüssel, der
insbesondere in dem Reader 60 implementiert ist, kann jedoch
wiederum gleichfalls durchgeführt
werden.
In
einer weiteren Ausführungsform
der Erfindung, die auf der Verwendung der Lizenz basiert, besteht
die Möglichkeit,
die Lizenz in der vorbeschriebenen Weise zu verschlüsseln und
zusätzlich
einen Schlüssel
zum Entschlüsseln
der Druckvorlage in die Lizenz einzubringen. Die Druckvorlage wird
in dieser Ausführungsform
vorzugsweise anhand eines symmetrischen Verfahrens unter Einsatz
eines Schlüssels
verschlüsselt,
welcher dem Reader 60 zunächst nicht bekannt ist. Der
Schlüssel
wird erst nach dem Entschlüsseln
der Lizenz aus dieser ausgelesen. Der Einsatz eines asymmetrischen
Verfahrens zum Verschlüsseln
der Druckvorlage ist jedoch ebenfalls möglich. Die Verschlüsselung
erfolgt dabei unter Verwendung eines Schlüsselpaares, dessen zum Entschlüsseln erforderlicher
privater Schlüssel
dem Reader 60 zunächst
nicht bekannt ist und von diesem erst nach dem Entschlüsseln der
Lizenz aus dieser ausgelesen wird.
Bezüglich der
Zugriffsrechte wird die den Frankiervermerk enthaltende Druckvorlage
mit Angaben darüber
verknüpft,
dass ein einmaliges Ausdrucken ihres Inhaltes erfolgen kann. Dabei
wird diese Angabe anhand eines entsprechenden Parameters und/oder
eines entsprechenden Wertes eines Parameters in die Druckvorlage
oder die Lizenz eingebracht oder in der Berechtigungsdatenbank 80 hinterlegt.
Nach dem Ausdrucken des Frankiervermerks wird der Parameter oder
der Wert eines Parameters jedoch verändert, wobei der geänderte Parameter bzw.
der geänderte
Wert einer Angabe darüber
entspricht, dass das Ausdrucken des Inhaltes der Druckvorlage nicht
gestattet ist. Das Ausdrucken wird dabei durch das kryptografische
Modul 70 des Readers 60 gesteuert und durch das
kryptografische Modul 70 erfasst. Das Verändern des
Parameters oder des Wertes wird nach dem erfassten Ausdrucken von dem
kryptografischen Modul 70 vorgenommen, oder es wird eine
Benachrichtigung über
das Ausdrucken an die Berechtigungseinheit 90 gesendet
und der Parameter oder der Wert eines Parameters wird im Bereich
der Berechtigungsdatenbank 80 geändert.
In
einer Ausführungsform
der Erfindung kann es zudem vorgesehen sein, dass zusätzlich der
Frankiervermerk zumindest teilweise durch das kryptografische Modul 70 aus
der Druckvorlage entfernt wird.
In
weiteren Ausführungsformen
der Erfindung kann es zudem zur Erhöhung der Manipulationssicherheit
vorgesehen sein, dass die Druckvorlage zusätzlich mit Angaben darüber verknüpft wird, dass
ein Speichern der Druckvorlage in dem nichtflüchtigen Speicher der Bedieneinheit 30,
ein Kopieren der Druckvorlage, eine Entnahme von Inhalten der Druckvorlage
und/oder ein Exportieren der Druckvorlage oder von Inhalten der
Druckvorlage in ein anderes Dateiformat nicht gestattet sind. Diese Angaben
werden gleichfalls als entsprechende Parameter und/oder als entsprechende
Werte von Parametern in die Druckvorlage oder die Lizenz eingebracht
oder in der Berechtigungsdatenbank 80 der Berechtigungseinheit 90 hinterlegt.
Eine Veränderung
der Parameter und/oder der Werte von Parametern während des
Frankiervorgangs erfolgt nicht.
Zum
Angeben der Zugriffsrechte und zum Verschlüsseln der Druckvorlage und
gegebenenfalls der Lizenz ist eine Berechtigungseinheit 90 vorgesehen.
Diese verfügt
dafür über die
notwendigen Schlüssel
und gegebenenfalls über
Mittel zum Erzeugen von Schlüsseln
und zum Erzeugen von die Druckvorlagen eindeutig identifizierenden
Merkmalen. Falls diese vorgesehen ist, steuert die Berechtigungseinheit 90 ebenfalls
die Berechtigungsdatenbank 80.
Die
Berechtigungseinheit 90 stellt dabei einen sicheren Bereich
zur Verfügung,
in dem die erforderlichen Angaben, Hinweise und/oder Merkmale in die
Druckvorlage eingebracht und die notwendigen Verschlüsselungen
vorgenommen werden. Sie ist über
eine sichere Datenverbindung mit der Frankiereinheit 10 verbunden
oder in diese integriert und wird ebenfalls zentral von dem Anbieter
des Frankiervermerks betrieben.
Zum
Anfordern einer Frankierung werden eine oder mehrere Webseiten von
der Frankiereinheit 10 bereitgestellt, die von dem Browser 50 an
dem Anzeigemittel der Bedieneinheit 30 dargestellt werden. Über diese
Webseiten wählt
der Benutzer eine Sendungsart der Postsendung, die frankiert werden
soll, sowie ein Dokument, in das der Frankiervermerk eingebracht
werden soll und gibt einen Namen und eine Anschrift des Empfängers der
Postsendung an. Die Webseiten sind dabei als ein so genanntes Formular ausgeführt, das
Eingaben ermöglicht,
die an dem Eingabemittel der Bedieneinheit 30 vorgenommen werden,
und eine Übertragung
der Eingaben an die Frankiereinheit 10 steuert.
Das
Dokument, in das der Frankiervermerk eingebracht werden soll, enthält zumindest
den Namen und die Anschrift des Empfängers der Postsendung in Klarschrift,
da es sich hierbei um Angaben handelt, die zur Erstellung und Überprüfung des Frankiervermerks
benötigt
werden. Das Einbringen weiterer Text- und/oder Grafikelemente, die durch den
Kunden ebenfalls über
Webseiten angegeben werden, ist ebenfalls möglich. Als Dokumente, in die der
Frankiervermerk eingebracht werden soll, kommen beispielsweise Briefe,
Briefumschläge,
Adressetiketten oder sonstige Label zum Aufbringen auf eine Postsendung
in Frage.
Nach
der Auswertung der von dem Kunden eingegeben Daten kann im Bereich
der Frankiereinheit 10 eine Vorschau auf das Dokument mit
dem gültigen
Frankiervermerk erstellt werden, um dem Benutzer insbesondere die
Möglichkeit
zur Überprüfung der
Daten zu geben. Dabei kann ein Muster des Frankiervermerks in die
Vorschau eingebracht werden, das einen Musterbarcode enthält, in den
keine Gültigkeitsinformationen
eingebracht werden und das beispielsweise durch ein Durchstreichen
als Muster kenntlich gemacht ist.
Die
Vorschau kann dem Kunden über
eine mittels des Browsers 50 an dem Anzeigemittel darstellbare
und druckbare Webseite oder anhand einer mittels des Readers 60 darstellbaren
und druckbaren Druckvorlage übermittelt
werden. Eine Einschränkung
von Zugriffsrechten ist für
die Vorschau nicht vorgesehen.
In
einem nächsten
Schritt, der in der Figur anhand der Bezugsziffer A1 verdeutlicht
ist, fordert ein Kunde die Druckvorlage mit dem gültigen Frankiervermerk
an. Dies geschieht über
eine von der Frankiereinheit 10 bereitgestellte und mittels
des Browsers 50 an dem Anzeigemittel der Bedieneinheit 30 dargstellte
Webseite, die beispielsweise eine entsprechende Schaltfläche beinhaltet,
nach deren Betätigung
eine Anforderung der Druckvorlage mit dem Frankiervermerk von der
Bedieneinheit 30 an die Frankiereinheit 10 übermittelt
wird.
Zum
Anfordern der Druckvorlage mit dem gültigen Frankiervermerk gibt
der Kunde zudem ein Identifizierungs- und ein zugehörigen Authentifizierungsmerkmal
an, bei denen es sich bei spielsweise um einen Benutzernamen und
ein zugehöriges
nur dem Kunden bekanntes Kennwort handelt. Dies geschieht ebenfalls über eine
von der Frankiereinheit 10 bereitgestellte Webseite, die
zur Eingabe der Merkmale als Formular ausgeführt ist. Nach der Übertragung
der Merkmale an das Sicherungsmodul 20 wird dort die Identität des Kunden
anhand einer in einer Datenbank gespeicherten Zuordnung zwischen den
Identifizierungs- und Authentifizierungsmerkmalen festgestellt und überprüft. Ferner
wird bei erfolgreicher Überprüfung der
Identität
das Portokonto des Kunden anhand seines Identifizierungsmerkmals
ermittelt.
Alternativ
zu der vorbeschriebenen Ausführungsform
der Erfindung kann es bezüglich
der Identifizierung und Authentifizierung des Kunden auch vorgesehen,
diese in einem früheren
Schritt, beispielsweise vor der Wahl der Sendungsart, durchzuführen.
Aufgrund
der Anforderung der Druckvorlage wird nach erfolgreicher Authentifizierung
des Kunden und der Identifizierung seines Portokontos in dem Sicherungsmodul 20 der
Frankiereinheit 10 ein Datensatz des Frankiervermerks erstellt
und zur Erzeugung des Frankiervermerks ausgegeben. Dies ist anhand
des Bezugszeichens A2 verdeutlicht. Dabei beinhaltet der Datensatz
lediglich eine Bytefolge; das Ausdrucken des Datensatzes liefert
keinen gültigen Frankiervermerk.
Beispielhaft
wird hier davon ausgegangen, dass der Frankiervermerk nach dem in
der deutschen Patentschrift
DE 100 20 566 C2 beschriebenen kryptografischen
Verfahren erstellt wird. Der Fachmann erkennt jedoch, dass die Erfindung
in ähnlicher
Weise auch in Verbindung mit anderen Verfahren zum Erstellen von
digitalen Frankiervermerken genutzt werden kann.
Zum
Erzeugen des Datensatzes des Frankiervermerks in dem Schritt A2
werden die zur Erstellung des Frankiervermerks notwendigen sendungsspezifischen
Daten, d.h. insbesondere die Sendungsart, der Portobetrag sowie
der Name und die Anschrift des Empfängers aufgrund der Anforderung der
Druckvorlage innerhalb der Frankiereinheit 10 an das Sicherungsmodul 20 übergeben.
Nach der Identifizierung des Portokontos überprüft dieses anhand der sendungsspezifischen
Daten, ob das Portokonto ein ausreichendes Guthaben aufweist.
Zum
Erstellen des Datensatzes wird dann eine Prüfsumme aus der Zufallszahl,
der Ladevorgangsidentifikationsnummer, zumindest auszugsweise aus
den sendungsspezifischen Daten und aus dem aktuellen Datum erzeugt.
In den Datensatz werden die Prüfsumme,
der Cryptostring und die sendungsspezifischen Daten aufgenommen,
die zum Erzeugen der Prüfsumme
herangezogen worden sind. Ferner wird das Guthaben des Portokontos
des Kunden während
oder nach der Erstellung des Datensatzes um den Portobetrag verringert.
Der
von dem Sicherungsmodul 20 ausgegebene Datensatz, sowie
die übrigen
von dem Kunden zur Erstellung des Dokuments mit dem Frankiervermerk
angegebenen Daten, wie beispielsweise eine Dokumentenvorlage und
die in das Dokument einzubringenden Text- und/oder Grafikelemente
werden nachfolgend von der Frankiereinheit 10 an die Berechtigungseinheit 90 übermittelt.
Darauf wird anhand der Bezugsziffer A3 Bezug genommen.
In
dem folgenden Schritt A4 wird aus dem Datensatz und den übrigen Daten
in einem sicheren Bereich der Berechtigungsein heit 90 eine
Druckvorlage erstellt, die auf eine der bereits beschriebenen Arten
mit den bereits beschriebenen Rechten versehen und verschlüsselt wird.
Beispielhaft wird dies im Folgenden anhand der Ausführungsform
der Erfindung beschrieben, bei welcher auf eine separate Lizenz
zur Angabe der Zugriffsrechte und des Schlüssels zum Entschlüsseln der
Druckvorlage verzichtet wird, und bei der die Rechte in der Berechtigungsdatenbank 80 gespeichert
und verwaltet werden. Der Fachmann erkennt, wie dies auf die übrigen genannten
Ausführungsformen
zu übertragen
ist.
Zur
Erstellung der Druckvorlage wird zunächst anhand des in dem Sicherungsmodul 20 erzeugten
Datensatzes ein zweidimensionaler Barcode erzeugt, der vorzugsweise
als Matrixcode ausgebildet ist. Die Regeln zum Erzeugen des Matrixcodes aus
dem Datensatz sind dabei in der Berechtigungseinheit 90 anhand
entsprechender spezieller Steuerbefehle hinterlegt. Der Matrixcode
wird als Grafikelement in das von dem Kunden gewählte Dokument eingebracht und
aus dem Dokument wird eine Druckvorlage in einem Standardformat
erstellt.
In
die Druckvorlage wird ein zudem Identifikationsmerkmal eingebracht,
das die Druckvorlage eindeutig identifiziert und sie wird gegebenenfalls
mit einer Angabe darüber
versehen, dass eingeschränkte
Rechte für
den Zugriff bestehen.
Nachfolgend
wird die Druckvorlage derart verschlüsselt, dass sie nur in dem
kryptografischen Modul 70 des Readers 60 entschlüsselt werden kann.
Dies geschieht beispielsweise anhand des der Berechtigungseinheit 90 bekannten öffentlichen Schlüssels des
Readers 60, der durch die Berechtigungseinheit 90 von
der Bedieneinheit 30 abgefragt oder in einem der vorangegangenen
Schritte, wie etwa der Anforderung der Druck vorlage in Schritt A1, von
der Bedieneinheit 30 an die Frankiereinheit 10 übertragen
und von dieser an die Berechtigungseinheit 90 weitergeleitet
worden ist. Bei Verwendung eines einheitlichen öffentlichen Schlüssels aller
Reader 60 ist der Schlüssel
der Berechtigungseinheit 90 in der Regel bereits bekannt.
In
der Berechtigungsdatenbank 80 wird von der Berechtigungseinheit 90 eine
Zuordnung zwischen dem Identifikationsmerkmal der Druckvorlage und
Angaben darüber
hinterlegt, dass der Inhalt der Druckvorlage nicht dauerhaft gespeichert,
kopiert oder exportiert werden darf und dass ein einmaliges Ausdrucken
gestattet ist. Dabei werden in die Berechtigungsdatenbank 80 insbesondere
die entsprechenden Parameter und/oder entsprechende Werte von Parametern
eingetragen.
Anschließend wird
die verschlüsselte
Druckvorlage von der Berechtigungseinheit 90 an die Bedieneinheit 30 übermittelt,
wie in der Figur anhand der Bezugsziffer A5 verdeutlicht ist.
Im
Bereich der Bedieneinheit 30 wird die verschlüsselte Druckvorlage
in dem flüchtigen
Speicher gespeichert und dem Reader 60 zur Verfügung gestellt.
Im kryptografischen Modul 70 des Readers 60 wird
die Druckvorlage nachfolgend anhand des privaten Schlüssels des
Readers 60 entschlüsselt,
es wird erkannt, dass es sich um eine Druckvorlage handelt, die
mit Zugriffsrechten verknüpft
ist, und die Zugriffsrechte werden ermittelt. Dies ist in der Figur
anhand der Bezugsziffer A6 verdeutlicht.
In
der betrachteten Ausführungsform
der Erfindung wird dann eine unter Angabe des von dem kryptografischen
Modul 70 ausgelesenen Identifikationsmerkmals eine Abfrage
der Angaben über
die Zugriffsrechte von dem kryptografischen Modul 70 an die
Berechtigungseinheit 90 gesendet. Diese ermittelt anhand
des Eintrags in der Berechtigungsdatenbank 80 die Angaben über die
Zugriffsrechte und übermittelt
sie an den Reader 60, der daraufhin die Bedienelemente
sperrt, die zum Ausführen
von Funktionen vorgesehen sind, die nicht durchgeführt werden
dürfen.
Auf diese Weise sperrt der Reader im vorliegenden Fall Bedienelemente
zum dauerhaften Speichern, zum Kopieren und zum Exportieren der Druckvorlage
sowie zum Entnehmen von Inhalten.
Ferner
ist es vorgesehen, dass das kryptografische Modul 70 bei
jedem Aufruf einer Funktion eine Anfrage über die Berechtigung zum Ausführen der
Funktion an die Berechtigungseinheit 90 sendet, die Berechtigung
durch die Berechtigungseinheit 90 in der Berechtigungsdatenbank 80 überprüft und das Ergebnis
dieser Überprüfung an
das kryptografische Modul 70 zurückgesendet wird. Das kryptografische Modul 70 des
Readers 60 beachtet nachfolgend dieses Ergebnis und führt somit
keine Funktionen aus, für
die keine Berechtigungen bestehen.
Dies
wird insbesondere auch beim Ausdrucken des Inhalts der den Frankiervermerk
enthaltenden Druckvorlage durchgeführt: Das Ausdrucken des Inhalts
der den Frankiervermerk enthaltenden Druckvorlage erfolgt unter
Beachtung der Zugriffsrechte durch das kryptografische Modul 70 gesteuert
in der Druckeinheit 40 und wird in der Figur anhand der
Bezugsziffer A7 veranschaulicht.
In
der betrachteten Ausführungsform
der Erfindung stößt der Kunde
das Ausdrucken über
ein entsprechendes Bedienelement an. Daraufhin sendet das kryptografische
Modul 70 des Readers 60 eine Anfrage über die
Berechtigung zum Ausdrucken des In halts der Druckvorlage unter Angabe
des Identifikationsmerkmals der Druckvorlage an die Berechtigungseinheit 90.
Diese erkennt bei einer ersten Anfrage anhand des Eintrags mit der
Zuordnung zwischen dem das Ausdrucken betreffenden Parameter und/oder
des Wertes eines das Ausdrucken betreffenden Parameters in der Berechtigungsdatenbank 80,
dass ein erstes Ausdrucken durchgeführt werden kann, und sendet
eine Benachrichtigung darüber, dass
das Ausdrucken gestattet ist, an das kryptografische Modul 70 des
Readers 60.
Der
Inhalt der Druckvorlage wird aufgrund der Benachrichtigung in der
Druckeinheit 40 ausgedruckt, wobei die Druckeinheit 40 durch
das kryptografische Modul 70 des Readers 60 gesteuert
wird. Nach dem Ausdrucken des Inhalts der Druckvorlage bzw. nach
der Übermittlung
des Steuerbefehls zum Ausdrucken von dem kryptgrafischen Modul 70 des Readers 60 an
die Druckeinheit 40 wird von diesem unter Angabe des Identifikationsmerkmals
der Druckvorlage eine Benachrichtigung über das Ausdrucken des Inhalts
der Druckvorlage an die Berechtigungseinheit 90 übermittelt,
die aufgrund der Benachrichtigung den das Ausdrucken betreffenden
Parameter und/oder den Wert eines das Ausdrucken betreffenden Parameters
in der Berechtigungsdatenbank 80 verändert, wobei der geänderte Parameter
oder der geänderte
Wert einer Angabe darüber
entspricht, dass ein Ausdrucken des Inhalts der Druckvorlage nicht
gestattet ist.
Bei
einer erneuten Anfrage über
die Berechtigung zum Ausdrucken des Inhalts der Druckvorlage unter
Angabe des Identifikationsmerkmals der Druckvorlage von einem kryptografischen
Modul 70 irgendeines Readers 60 an die Berechtigungseinheit 90 erkennt
diese somit in der Berechtigungsdatenbank 80, dass ein
Ausdrucken nicht durchgeführt werden
kann, und sendet eine Benachrichtigung darüber, dass das Ausdrucken nicht
ges tattet ist, an das kryptografische Modul 70 des Readers 60,
von dem die Anfrage stammt. Das Ausdrucken des Inhalts der Druckvorlage
wird daraufhin von dem kryptografischen Modul 70 dieses
Readers 60 blockiert.
Damit
das kryptografischen Modul 70 eine Benachrichtigung über das
Ausdrucken des Inhalts der Druckvorlage an die Berechtigungseinheit 90 übermittelt,
ist es vorgesehen, dass diese eine Aufforderung zur Übermittlung
dieser Benachrichtigung zusammen mit der Benachrichtigung darüber, dass das
Ausdrucken gestattet ist, an das kryptografische Modul 70 sendet.
Diese Aufforderung wird von dem kryptografischen Modul 70 beachtet.
In
einer Abwandlung dieser Ausführungsform
der Erfindung ist es vorgesehen, dass der das Ausdrucken betreffende
Parameter und/oder der Wert eines das Ausdrucken betreffenden Parameters in
der vorbeschriebenen Weise bereits aufgrund der Anfrage über die
Berechtigung zum Ausdrucken des Inhalts der Druckvorlage verändert wird,
die von dem kryptografischen Modul 70 an die Berechtigungseinheit 90 gesendet
wird. Diese Abwandlung hat den Vorteil, dass auch ein unmittelbar
auf die Übermittlung
des Steuerbefehls zum Ausdrucken an die Druckeinheit 40 folgendes
Abtrennen der Bedieneinheit 30 von der Spannungsversorgung
oder von dem Netzwerk, über
das diese mit der Berechtigungseinheit 90 verbunden ist,
nicht verhindern kann, dass der das Ausdrucken betreffende Parameter
und/oder der Wert eines das Ausdrucken betreffenden Parameters aufgrund
des Ausdruckens verändert
wird.
In
weiteren Ausführungsformen
der Erfindung ist es, wie vorher bereits dargestellt, vorgesehen,
auf die Abfrage der Berechtigungsdatenbank 80 zu verzichten.
In diesen Ausführungs formen
ist der das Ausdrucken betreffende Parameter und/oder der Wert eines
das Ausdrucken betreffenden Parameters in der Druckvorlage oder
einer Lizenz enthalten. Analog zu der vorbeschriebenen Änderung
des Parameters und/oder des Werts in der Berechtigungsdatenbank 80 werden
diese dabei beim Ausdrucken des Inhalts der Druckvorlage innerhalb
des Dokuments oder der Lizenz verändert. Dies geschieht im Bereich des
kryptografischen Moduls 70, in dem die damit hinerlegte
Angabe über
das Ausdrucken bei folgenden Druckversuchen beachtet wird.
Die
dargestellten Ausführungsbeispiele
der Erfindung zeigen, dass die Erfindung eine sichere Erstellung
von Frankiervermerken ermöglicht,
bei der die Produktion des Frankiervermerks und sein Ausdrucken
vollständig
entkoppelt werden können,
so dass die Bedieneinheit 60 keine spezialisierte Ausrüstung zum
Erzeugen und Ausdrucken von Frankiervermerken benötigt.