DE19534527A1 - Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten - Google Patents
Verfahren zur Erhöhung der Manipulationssicherheit von kritischen DatenInfo
- Publication number
- DE19534527A1 DE19534527A1 DE1995134527 DE19534527A DE19534527A1 DE 19534527 A1 DE19534527 A1 DE 19534527A1 DE 1995134527 DE1995134527 DE 1995134527 DE 19534527 A DE19534527 A DE 19534527A DE 19534527 A1 DE19534527 A1 DE 19534527A1
- Authority
- DE
- Germany
- Prior art keywords
- code word
- new
- franking machine
- data
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/00395—Memory organization
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/00395—Memory organization
- G07B2017/00403—Memory zones protected from unauthorized reading or writing
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/00395—Memory organization
- G07B2017/00411—Redundant storage, e.g. back-up of registers
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/00427—Special accounting procedures, e.g. storing special information
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
Description
Die Erfindung betrifft ein Verfahren zur Erhöhung der
Manipulationssicherheit von kritischen Daten, welche in
informationsverarbeitenden Einrichtungen vor einer
Manipulation geschützt werden müssen, insbesondere von
kritischen Registerdaten in elektronischen Frankier
maschinen oder in einer anderen elektronischen
Einrichtung, in welcher sicherheitsrelevante Daten
gehändelt werden bzw. in der eine Abrechnung von
geldwerten Daten vorgenommen wird.
Frankiermaschinen sind, mit mindestens einem Eingabe
mittel, einem Steuermodul und einem Druckermodul ausge
rüstet. In einem Speichermittel werden nichtflüchtig
Daten gespeichert, welche zum Betrieb der Frankierma
schine erforderlich sind sowie Daten, welche Geld
mitteln entsprechen.
Die Frankiermaschinentypen unterscheiden sich in Form
und Ausstattung entsprechend des zu bearbeitenden
Postaufkommens. Sollen aber verschiedene Typen an
Frankiermaschinen produziert werden dann müssen eine
Vielzahl an Schaltkreisen (ASIC′s oder/und andere
Bauelemente) vorgesehen werden. Gerade die Vielzahl an
Bauelementen und Schaltkreisen bietet dann Ansatzpunkte
für eine Manipulation, wenn kein alternativer Aufwand
getrieben oder ein Sicherheitsgehäuse eingesetzt wird.
Aus dem EP 465 236 A2 ist ein ASIC bekannt, welches
eine Schaltung zur Drucksteuerung zur Motorsteuerung
und zur Abrechnung umfaßt. Die Schaltung zur Druck
steuerung umfaßt einen Speicher für feste und einen
anderen für variable Daten, weiche mit den festen Daten
überlagert werden. Ein Motorcontroller ist für ein
Aktuieren eines Motorantriebes in Abhängigkeit von der
Poststückzuführung vorgesehen. Ein Vorteil ist zweifel
los die hohe Manipulationssicherheit aufgrund der
Verwendung eines einzigen ASIC, d. h. resultierend
allein bereits aus der eingeschränkten Anzahl an An
satzpunkten für eine Manipulation. Ein Nachteil der
Verwendung eines einzigen ASICs ist die schlechte
Verwendbarkeit für unterschiedliche Frankiermaschinen,
welche einen unterschiedlichen Drucker und Steuermodul
entsprechend eines realisierten Frankiermaschinensystem
bzw. Poststraße aufweisen.
Aus der US 4 858 138 ist ein modulares System für eine
Frankiermaschine mit Meter/Base-Trennung bekannt, wobei
ein Sicherheitsmodul (Meter) mit einem Drucksteuermodul
(Base) gekoppelt ist. Das Sicherheitsmodul kann
Kreditkartenform aufweisen. Als elektrische Verbin
dungseinrichtung zum Drucksteuermodul dient hierbei ein
als parallele CPU-Schnittstelle ausgebildeter Hochge
schwindigkeitskommunikationsbus. Der Drucksteuermodul
weist einen Hochgeschwindigkeitsdrucker auf. Von der
Tastatur des Drucksteuermoduls eingegebene Portobetrag
wird zum Sicherheitsmodul übertragen. Der Sicherheits
modul liefert eine digitale Darstellung des festen
Teils des Postwertzeichens und eine verschlüsselte
Gültigkeitsnummer. Die Gültigkeitsnummer umfaßt den
Portobetrag und ggf. weitere Informationen, wie die
Frankiermaschinenseriennummer und das Datum. Die ver
schlüsselte Gültigkeitsnummer ist geeignet, um ein
illegales Drucken eines Geldbetrages, der nicht
berechnet wurde, festzustellen. Die Fälschungssicherheit
beruht auf einer in einer Sicherheitslogik vorgenom
menen Verschlüsselung einer Gültigkeitsnummer, die über
eine CPU-Schnittstelle übertragen wird. Diese Lösung
bringt aber keinen Vorteil bei Manipulationen, welche
im Sicherheitsmodul bzw. am aus zwischen den
Postwertspeichern und der Sicherheitslogik vorgenommen
werden. Ein Nachteil ist hier, daß als einziger Schutz
nur das Sicherheitsgehäuse des Sicherheitsmoduls vorge
sehen ist. Nachteilig ist auch die hohe Anzahl der
Leitungen der Meter/Base-Verbindung an der Schnittstel
le zur Base und daß eine teure Hochgeschwindigkeits
schnittstelle erforderlich ist.
Eine weitere Manipulationsmöglichkeit besteht während
der Dateneingabe beim Nachladen der Frankiermaschine
mit einem Guthaben. In üblicher Weise wird von einer
Datenzentrale bzw. von einem Speicher eines
Übertragungsmittels, vorzugsweise einer Chipkarte, ein
Guthaben geladen. Davon werden die durch die
Frankiermaschine verbrauchten Portobeträge abgebucht.
Zur Sicherheit gegen betrügerische Manipulationen ist
bereits weiterhin aus der DE 38 23 719 bekannt, ein
repräsentatives Zeichenmuster ab einem bestimmten Datum
auszudrucken. Bei der Prüfung der Post wird im Postamt
das Druckdatum und das Zeichen mit dem Muster vergli
chen, das für dieses Datum berechtigt ist. Zum Drucken
dient eine Berechtigungsvorrichtung, die eine Speicher
vorrichtung zur Speicherung einer Anzahl Zeichenmuster-
und Datumsdaten aufweist. Die Daten, die das repräsen
tative Zeichenmuster einem definierten Datum zuordnen,
werden über eine Fernwertvorgabe mittels einer externen
Wahlvorrichtung dann aktualisiert, wenn die Anwender
der Frankiermaschinen um eine Rekreditierung nach
suchen. Die Sicherheit der Daten beruht auf dem Prüfen
der Daten in der Datenzentrale bevor ein Nachladen
erfolgt und im Prüfen der Frankierabdrucke seitens der
Postbehörde. Die Datenzentrale trägt somit zur Erhöhung
der Manipulationssicherheit von kritischen Register
daten bei. Dieses Sicherheitssystem ist jedoch auf
Festnetze beschränkt und für tragbare Frankiermaschi
nen, die von einem Ort zu einem anderen Ort mitgeführt
werden (mobiles Büro) nicht anwendbar. Eine Selbst
prüfung seitens der Frankiermaschine auf Manipulation
ist nicht vorgesehen.
Einer Portogebührentabelle ist die für das Poststück
erforderliche Portogebühr entnehmbar. Der Portorechner,
welcher aus dem Gewicht des Poststückes den gültigen
Portobetrag bestimmt, ist gewöhnlich bereits in der an
die Frankiermaschine angeschlossenen Waage integriert.
Jedoch wurden auch schon Lösungen mit einem in die
Frankiermaschine integrierten Portorechner vorge
schlagen.
Beispielsweise weist eine aus der DE 42 13 278 A1 be
kannte transportierbare Frankiermaschine Speichermittel
und mit dienen in Verbindung stehende Empfangsmittel
für über ein Übertragungsmittel übertragbare Daten auf.
Das Speichermittel der Frankiermaschine weist aktuali
sierbare Abschnitte für an bestimmte Bedingungen
geknüpfte Tabellen auf, beispielsweise für mindestens
eine aktuelle Portogebührentabelle, anhand derer die
jeweilige Portogebühr ermittelt wird. Die Frankier
maschine weist im Steuermodul erste Mittel auf, die bei
Inbetriebnahme der Frankiermaschine mindestens eine
Portogebührentabelle für die Frankiermaschine aus dem
Speicher des Übertragungsmittels über die Empfangs
mittel in einen vorbestimmten Speicherraum des
Speichermittels laden. Sie enthält zweite Mittel im
Steuermodul, die mittels der über dritte Mittel
eingegebenen Bedingungen anhand des bereits
eingegebenen Absendelandes bzw. -ortes und des Datums
die aktuelle in Kraft befindliche Portogebührentabelle
auswählen, um diese zu laden. Diese ersten und zweiten
Mittel sind hardware- und/oder softwaremäßig als ein
fest- oder freiprogrammierbarer Logikmodul bzw.
Programm einer Mikroprozessorsteuerung ausgebildet und
bewirken bei jedem Einschalten eine Verbindungsaufnahme
zum externen Speicher.
Solche aktualisierbaren Abschnitte des Speichermittels
sind ebenfalls für andere Informationen und/oder
Zusatzinformationen vorgesehen. Insbesondere kann die
Sicherheit vor betrügerischen Manipulationen dadurch
erhöht werden, daß bei der Aktualisierung eine dem
Aktualisierungsdatum zugeordnete Anzahl von Funktionen
in die Frankiermaschine ladbar sind und die weiteren
zu ladenden auslösbaren Funktionen vielfältig und nicht
wählbar vorgegeben sind. Zur Sicherheit gegen betrü
gerische Manipulationen kann von der nationalen Post
behörde, zu der der jeweilige Absendeort gehört, ein
nur von der jeweiligen nationalen Postbehörde maschi
nenlesbarer Ausdruck vorgegeben sein. Dieser Ausdruck
kann beispielsweise die Transaktionsnummer für eine
Berechtigungsprüfung in Strichcodedarstellung sein oder
ein anderes vereinbartes Zeichen, welches unter
Verwendung des gleichen oder weiteren Druckers an einer
definierten Stelle auf dem Postgut abgedruckt wird.
Solche Sicherheitsmaßnahmen sind geeignet den Einsatz
eines Farbkopierers zur unerlaubten Vervielfältigung
eines Frankierabdruckes zu vereiteln. Sie können jedoch
nicht die innere Manipulationssicherheit der Daten in
der Frankiermaschine erhöhen.
Damit nicht die Speicherinhalte geklont wiederverwertet
werden, müßte aber die Abrechnungseinheit wieder mit
einem Sicherheitsgehäuse ausgerüstet werden. Anderer
seits ist dann aber dadurch weiterhin der Austausch
defekter Bauelemente erschwert.
In der EP 560 714 A2 sind die Montageeinheiten durch
ein Sicherheitsgehäuse gekapselt. Zur fälschungs
sicheren Übertragung von Abrechnungsdaten von einem
Speicher in einer defekten Montageeinheit auf den
Speicher einer in die Frankiermaschine neu eingesetz
ten Montageeinheit wird jede Montageeinheit mit zwei
Steckereinheiten ausgerüstet. Zunächst wird der
Datenfluß durch eine besondere Übertragungsleitung
einer ersten Steckereinheit geschlauft, wobei aber an
der gleichen ersten Steckereinheit der alten Monta
geeinheit die Schlaufung entfernt und der normale
Datenfluß unterbrochen und umgeleitet ist. Vom Speicher
der alten Montageeinheit wird über die letztgenannte
Stechereinheit und mittels einer zweiten Steckereinheit
der neuen Montageeinheit der Datenfluß auf die neue
Montageeinheit umgeleitet. Es sind mechanische Verrie
gelungsglieder vorgesehen, welche in Wirkverbindung mit
einem eine elektronische Erkennungsmarke (Flag)
setzenden Schalters stehen, welcher beim Herausnehmen
der defekten Montageeinheit betätigt wird. Nach dem
Übertragen der Daten auf die neue Montageeinheit wird
ein zweites unlöschbares Flag gesetzt, so daß eine
zweite Datenübertragung unmöglich gemacht ist. Die
Sicherheit beruht im wesentlichen auf der Kapselung von
CPU und nichtflüchtigem Speicher auf der Montageeinheit
und dem vorgenannten Schalter zum Setzen der Flags. Bei
Kenntnis der Lage bzw. Anordnung des Schalters kann ein
Eindringen und eine Manipulation in Fälschungsabsicht
aber nicht verhindert werden.
Aus der DE 41 29 302 A1 ist die Verwendung eines
Sensors bekannt, welcher beim Öffnen des Frankier
maschinengehäuses die Postregister löscht. Jedoch kann
damit nicht verhindert werden, daß neue Daten in das
Postregister von einem geschickten Manipulator
eingeschrieben werden können, wenn das Gehäuse erst
einmal geöffnet ist.
Aus der EP 231 452 A2 ist das periodische Abfragen von
Sensoren entsprechend einer Softwareroutine einer CPU
bekannt. Der Nachteil dieser Lösung besteht in einer
hohen Rechenzeit bedingt durch das periodische Abtasten
der Sensoren. Dieser Nachteil wird noch vergrößert,
wenn es sich um eine besonders zeitkritische Abfrage
handelt. Um möglichst schnell auf eine Zustandsänderung
reagieren zu können, muß die Abfragefrequenz hoch
gewählt werden. Somit verbringt der Mikroprozessor
einen großen Anteil seiner Rechenzeit mit der Abfrage.
Außerdem kann nicht die Manipulation einer ausge
schalteten Maschine verhindert werden.
Es wurde bereits in der DE 42 17 830 A1 ein Verfahren
zum Betreiben einer Datenverarbeitungsanlage mit einem
ersten nichtflüchtigen Speicher, einem Zustandsspeicher
und einem zweiten nichtflüchtigen Speicher vorge
schlagen. Eine Modulkennung ermöglicht die Fortsetzung
des Programms und eine Zustandskennung ermöglicht die
Bearbeitung und Fortsetzung des Programmsabschnitts bei
dem eine Programmunterbrechung eintrat, d. h. ggf. die
Korrektur fehlerhaft eingeschriebener Daten in einem
NVM aufgrund redundant vorliegender Daten in dem
anderen NVM. Diese Lösung kann aber nicht den Daten
inhalt, auf Vorliegen einer Manipulation überprüfen.
Beim Klonen von Speicherinhalten werden korrekte Daten
auf externe Speicher überspielt. Beim Rückübertragen
dieser Speicherinhalte bzw. beim Einsatz dieser exter
nen Speicher in die Frankiermaschine zu einem späteren
Zeitpunkt wird ein von der Frankiermaschine selbst
nicht als fehlerhaft erkennbarer Zustand wiederher
gestellt, der zu einem früheren Zeitpunkt einmal
korrekt war.
Es ist bereits ein Verfahren zur Verbesserung der
Sicherheit von Frankiermaschinen vorgeschlagen worden
(DE 43 44 476 A2) indem die Frankiermaschine zwischen
autorisierten und unautorisierten Eingriff bzw. Öffnen
ihres Gehäuses unterscheiden kann. Das Verfahren setzt
aber voraus, daß die Frankiermaschine ständig mit
Energie für die Selbstprüfung versorgt wird. In diesem
Fall können keine sicherheitsrelevanten Daten aus der
Frankiermaschine unerlaubt herausgeladen, abgenommen
oder eingespeist werden, ohne daß dies im Rahmen der
Selbstprüfung bemerkt würde. Dennoch sind zusätzliche
Gehäuse, Siegel und/oder weitere Sicherheitsmaßnahmen
erforderlich zum Schutz der ausgeschalteten Maschine.
Vielfach wird die Forderung erhoben, daß für
Reparaturzwecke die Speicherbausteine leicht austausch
bar sind, also weder gekapselt noch fest eingelötet
sondern gesockelt werden. Nun wäre es damit aber nicht
möglich, die tragbaren, d. h. die nicht fest über ein
Telefonnetz installierten Frankiermaschinen im ausge
schalteten Zustand gegenüber betrügerischen Manipula
tionen abzusichern. Im Interesse der Manipulations
sicherheit von kritischen Registerdaten muß bisher auf
Verbesserungen beim Service für die Maschine verzichtet
werden.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren
zur Erhöhung der Manipulationssicherheit von kritischen
Registerdaten zu entwickeln, welche die Nachteile des
Standes der Technik vermeidet und für eine Vielzahl an
Frankiermaschinenvarianten kostengünstig realisierbar
ist, ohne dabei die Manipulationssicherheit zu vermin
dern.
Eine weitere Aufgabe ist es, bei einer Anordnung zum
Frankieren von Postgut, vorzugsweise einer tragbaren
ortsunabhängig betreibbaren Frankiermaschine der ein
gangs genannten Gattung eine Sicherheit gegen betrü
gerische Manipulationen jeder Art und ein Frankieren
nach gültigen Posttarifen in Abhängigkeit von dem ein
gebbaren Gewicht und Format des Postgutes zu gewähr
leisten. Auch bei ausgeschalteter Frankiermaschine und
ohne Stromversorgung soll die frankiermaschineninterne
Sicherheitsschaltung für Postregisterdaten und andere
sicherheitsrelevante Daten wirksam sein.
Die Aufgabe wird mit den kennzeichnenden Merkmalen der
Ansprüche 1, 10 bzw. 16 gelöst.
Die Erfindung geht davon aus, daß ein Duplizieren bzw.
Klonen des zu schützenden NVMs nicht verhindert werden
braucht, sondern auch ein Duplikat des Speicherinhalts,
welches gegen den Speicherinhalt des Originals ausge
tauscht wird, weiterverwendet werden kann. Im Repara
turfall wird oft ein Kopieren und Rücktausch der
Speicherinhalte erforderlich wobei allerdings voraus
gesetzt wird, daß zwischenzeitlich keine gültigen
Frankierungen vorgenommen werden.
Erfindungsgemäß wird ein interner Prozessorspeicher
verwendet, um ein Codewort nichtflüchtig zu speichern.
Es ist vorgesehen, daß den nichtflüchtigen Speichern
oder Speicherbereichen jeweils ein separates Codewort
zugeordnet wird, wobei mindestens eines der
vorgenannten separaten Codewörter in einem weiteren
internen Speicher eines Prozessorsystem nichtflüchtig
gespeichert worden ist und daß eine Bildung von neuen
Codewörtern ab einem vorbestimmten Zeitpunkt und danach
eine Einspeicherung der neuen Codewörter in
nichtflüchtigen Speichern vorgenommen wird.
Die erfindungsgemäße Lösung verhindert also nicht, daß
die Postregister einschließlich Inhalt entfernt werden,
um beliebig viele Kopien anzufertigen, sondern sie
verhindert, daß mit Hilfe dieser Kopien Postgüter
frankiert werden können, ohne daß eine adäquate
Abrechnung bei der Datenzentrale bzw. Bezahlung bei der
Post vorgenommen wird. Eine Verkapselung der Bau
elemente für die Postregister mit einem Sicherheits
gehäuse oder andere zusätzliche Maßnahmen zum Schutz
vor Entnahme, wie Aufkleben auf die Leiterplatte,
Versiegeln oder Vergießen mit Epoxidharz sind nun nicht
erforderlich.
Die frankiermaschineninterne Sicherheitsschaltung für
Postregisterdaten und andere sicherheitsrelevante Daten
beruht auf nichtflüchtigen Speicherbausteinen. Bei der
ausgeschalteten Frankiermaschine bzw. bei ausgefallener
Stromversorgung bleiben die Daten gespeichert. Solche
beispielsweise mit einer Lithiumbatterie gestützten
CMOS-SRAM′s sind während ihrer Lebensdauer von ca. 10
Jahren beliebig oft beschreibbar. Die Batterie kann
weder nachgeladen noch entladen werden, ohne den
Speicherbaustein zu zerstören. Es wird davon ausgegan
gen, daß im Leben einer Frankiermaschine bis zu 150 000
Abdrucke möglich sind und daß die Lithiumbatterie
während dieser Zeit nicht ausgewechselt werden muß.
Ebenfalls können Speichermittel von anderer Speicher
technologie durch die Sicherheitsschaltung entsprechend
vor Mißbrauch geschützt werden, wenn zu vorbestimmten
Ereignissen sicherheitsrelevante Daten in diese nicht
flüchtigen Speicher gespeichert werden.
Vom Herstellerwerk der Frankiermaschine wird in die
nichtflüchtigen Speicherbausteine (Bat-NV-CMOS-SRAM′ s
und E²PROM) ein Codewort eingespeichert, welches einer
vorbestimmten Frankiermaschine zugeordnet ist. Das
Codewort kann beispielsweise die Seriennummer der
Frankiermaschine umfassen oder kann ein Teil einer
Nummer sein. Außerdem werden die Registerspeicherplätze
mit Anfangswerten vom Herstellerwerk vorbesetzt.
Das Verfahren zur Erhöhung der Manipulationssicherheit
von kritischen Registerdaten umfaßt die Schritte:
- - Laden eines Codewortes in einen internen Prozessor speicher (NVM 6d) zur nichtflüchtigen Speicherung und in zweite die Postregisterdaten enthaltenden nicht flüchtigen Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine zugeordnet, das heißt im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine beziehungsweise vor dem Ausschalten beziehungsweise vor Spannungsaus fall oder vor einer Stillstandszeit (Stand by) beziehungsweise vor Programmunterbrechung zugeordnet gebildet wird,
- - Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und
- - Ersetzen des alten Codewortes durch ein vorbe stimmtes neues Codewort, denn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes erkennt oder
- - Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozes sor nach Gültigkeitsprüfung mit Bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) ge speicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
Das Programm für die Bildung des jeweils neuen
Codewortes ist im Programmspeicher (internen ROM bzw.
EPROM) gespeichert. Die Bildung des neuen Codewort ist
vom vorherigen abhängig. Jedem nichtflüchtigem Speicher
oder Speicherbereich kann ein separates Codewort zuge
ordnet werden, wobei (vorher oder gleichzeitig)
mindestens eines der vorgenannten Codeworte erfindungs
gemäß im internem Prozessorspeicher nichtflüchtig
gespeichert worden ist.
Es ist vorgesehen, daß in einem Schritt zur Bildung
eines neuen veränderbaren ersten Codewortes auch die
Bildung des neuen zweiten Codewortes identisch zur
Bildung des neuen ersten Codewortes erfolgt, um ein
identisches neues zweites Codewort in die zu
schützenden nichtflüchtigen Speicher zu laden.
Alternativ ist in einer weiteren Variante vorgesehen,
daß in einem Schritt zur Bildung eines neuen
veränderbares ersten Codewortes auch die Bildung des
neuen zweiten Codewortes als komplementärer Schatten
zum neuen ersten Codewortes erfolgt, um ein
komplementäres neues zweites Codewort in die zu
schützenden nichtflüchtigen Speicher zu laden.
Es ist in einer anderen Variante vorgesehen, daß in
einem Schritt zur Bildung eines neuen veränderbares
ersten Codewortes auch die Bildung des neuen zweiten
Codewortes als zu dem veränderbaren neuen ersten
Codewort identischen Codewort und als komplementärer
Schatten zum neuen ersten Codewortes erfolgt, um
mindestens ein neues zweites Codewort in die zu
schützenden nichtflüchtigen Speicher zu laden oder daß
beim Schutz eines entsprechenden Speichers in
mindestens einem der Speicherbereiche auch mit dem
komplementären Schatten gearbeitet wird.
Vorteilhafte Weiterbildungen der Erfindung sind in den
Unteransprüchen gekennzeichnet bzw. werden nachstehend
zusammen mit der Beschreibung der bevorzugten Ausfüh
rung der Erfindung anhand der Figuren näher darge
stellt. Es zeigen:
Fig. 1 Blockschaltbild einer Frankiermaschine
mit erfindungsgemäß erhöhter Sicherheit,
Fig. 2 Variante mit OTP-Prozessor,
Fig. 3 Gesamtablaufplan für die Frankiermaschine,
Fig. 4 Details des Ablaufplans nach Fig. 3,
Fig. 5 Ablaufplan für den Frankiermodus,
Fig. 6 Details des Ablaufplans nach Fig. 4,
Fig. 7 Flußplan für das erfindungsgemäße Verfahren
zur Erhöhung der Manipulationssicherheit.
Die Fig. 1 zeigt ein Blockschaltbild der
erfindungsgemäßen Frankiermaschine mit einem Drucker
modul 1 für ein vollelektronisch erzeugtes Frankier
bild, mit mindestens einem mehrere Betätigungselemente
aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3,
einem die Kommunikation mit einer Datenzentrale
herstellenden MODEM 23, welche über einen Ein/Ausgabe-
Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt
sind und mit mindestens einem nichtflüchtigen Speicher
5a bzw. 5b für die variablen und einen Speicher 10, 11
für die konstanten Teile des Frankierbildes.
Ein Charakterspeicher 9 liefert die nötigen Druckdaten
für einen flüchtigen Arbeitsspeicher 7. Der flüchtige
Arbeitsspeicher 7 umfaßt beispielsweise einen externen
RAM in Verbindung mit einem im Prozessor angeordneten
internen RAM 6b. Die Steuereinrichtung 6 weist einen
entsprechend ausgebildeten Mikroprozessor µP auf und
ist mit dem Ein/Ausgabe-Steuermodul 4, dem Charakter
speicher 9, dem flüchtigen Arbeitsspeicher 7, mit einem
nichtflüchtigen Kostenstellenspeicher NVM 5a und mit
einem nichtflüchtigen Arbeitsspeicher NVM 5b, mit einem
anwendungsspezifischen Programmspeicher ASP 10
(Klischee-EPROM), einem Programmspeicher PSP 11
(Programm-EPROM), mit dem Motor einer Transport- bzw.
Vorschubvorrichtung ggf. mit Streifenauslösung 12,
einem Encoder (Codierscheibe) 13, einem Briefsensor 16
sowie mit einem Uhren/Datums-Baustein 8 verbunden. Ein
entsprechendes Verfahren zum Steuern eines spalten
weisen Drucks eines Postwertzeichenbildes ist bei
spielsweise in der EP 578 042 A2 oder in der EP 576 133 A2
ausführlicher beschrieben.
Die - in der Fig. 2 naher dargestellte -
Steuereinrichtung 6 weist einen Mikroprozessor oder
einen OTP-Prozessor (ONE TIME PROGRAMMABLE) auf. Im OTP
sind neben einem Mikroprozessor CPU 6a auch interne
nichtflüchtige Speicher NVM 6d und weitere Schaltungen
in einem gemeinsamen Bauelementgehäuse untergebracht.
Der vorgenannte interne nichtflüchtige Speicher NVM 6d
und weitere Schaltungen und/oder Programme bzw. Daten
im internen OTP-ROM 6c bzw. internen OTP-RAM 6b in dem
gemeinsamen Prozessorgehäuse bilden eine Sicherheits
schaltung bzw. ein Sicherheitsmittel 20 gegen unbefugte
Manipulation.
Die übrigen einzelnen Speicher können in mehreren
physikalisch getrennten oder in gemäß der Fig. 2
gezeigten Weise in wenigen Bausteinen zusammengefaßt
verwirklicht sein. Vorzugsweise sind die Festwert
speicher CSP 9 und PSP 11 in einem EPROM und die
nichtflüchtigen Speicher NVM 5a und 5b in einem Post
registerspeicher zusammengefaßt. Letzterer ist vorzugs
weise doppelt vorhanden und wird in seinen Speicher
bereichen redundant mit Daten beschrieben. Ein
Verfahren zum Speichern sicherheitsrelevanter Daten ist
beispielsweise in der EP 615 211 A1 näher ausgeführt.
Ein interner nichtflüchtiger Speicher NVM 6d im
Sicherheitsmittel 20 des OTP-Prozessors (CPU) 6
arbeitet mit dem Programmspeicher 6c (internes EPROM
oder ROM) und dem flüchtigen Datenspeicher RAM 6b
zusammen. Durch die Möglichkeit, Sicherungsbits zu
setzen (bei internen EPROM) bzw. während der
Herstellung eine Maskenprogrammierung (bei internen
ROM) vorzunehmen, kann das Auslesen des internen
nichtflüchtigen Speichers von außen verhindert werden.
Die Sicherungsbits werden durch Programmierung des
internen EPROM während der Herstellung der
Frankiermaschine im OTP-Prozessor gesetzt. Das
Observieren solcher sicherheitsrelevanter Routinen, wie
beispielsweise Abrechnungsroutinen, mit einem
Emulator/Debugger würde ebenfalls zu einem veränderten
Zeitablauf führen, was durch den OTP feststellbar ist.
Dieser umfaßt auch eine Taktgeber/Zähler-Schaltung für
die Vorgabe von Zeitintervallen bzw. Taktzyklen
beispielsweise für die Time-out-Generierung oder
Druckersteuerung. Vorteilhaft wird die
Taktgeber/Zähler-Schaltung für eine Programm
laufzeitüberwachung eingesetzt, welche in der Anmeldung
EP 660 269 A2 genauer beschrieben ist. Wenn eine
bestimmte Zeit abgelaufen und das erwartete Ereignis
nicht eingetreten ist, wird vom der Taktgeber/Zähler-
Schaltung ein Interrupt generiert, der dem Mikroprozes
sor den ergebnislosen Ablauf der Zeitspanne meldet,
woraufhin der Mikroprozessor weitere Maßnahmen veran
laßt. Die Überwachungsfunktion wird in vorgenannter
Weise durch von Mittel 6a und 20 gebildete Sicherheits
schaltung übernommen, die Bestandteil des Prozessors
(OTP) ist und die in Verbindung mit einer entsprechen
den Software während des Betriebes der Frankiermaschine
wirksam wird. Bei einer vorteilhaften weiteren Variante
der Zeitkontrolle wird das Codewort im internen NVM 6d
des Sicherheitsmittels 20 gelöscht. Das kann durch
Überschreiben mit einem vorbestimmten anderen Wort,
beispielsweise 0000 erfolgen. Der Vorteil liegt insbe
sondere darin, daß die Sicherheitsschaltung während des
Betriebes auf eine Manipulation durch unbefugten
Eingriff in die Frankiermaschine reagiert.
Die frankiermaschineninterne Sicherheitsschaltung für
Postregisterdaten und andere sicherheitsrelevante Daten
schützt den Dateninhalt von nichtflüchtigen Speichern,
beispielsweise von mit einer Lithiumbatterie gestützten
CMOS-SRAM′s, gegenüber einer Verwendung unerlaubt
geklonter Kopien ohne Abrechnung.
Vorgenannte Lithiumbatterie gestützten CMOS-SRAM′s
haben eine Lebensdauer von mindestens 10 Jahren. Als
nichtflüchtige Speicherbausteine sind beispielsweise
von Dallas Semiconductor beim Typ DS1230Y/AB ein
Speicherbereich von 256 K oder ein Speicherbereich von
1024 K für ein NV-SRAM beim Typ DS1245Y/AB verfügbar.
Ebenfalls kann der Uhren/Datums-Baustein 8 nach dem
gleichen Verfahren geschützt werden. Dieser vorgenannte
Baustein ist ein nichtflüchtiger Zeitgeber-RAM und
enthält ebenfalls eine Lithiumbatterie für mindestens
10 Jahre. Der Baustein DS 1642 von Dallas Semiconductor
weist einen 2K × 8 NV-SRAM auf.
Zusätzlich sind auch Speichermittel von anderer
Speichertechnologie entsprechend ihrer Lebensdauer
einsetzbar. Die Sicherheitsschaltung speichert in diese
nichtflüchtigen Speicher beispielsweise nur Daten zum
Zeitpunkt des Einschaltens bzw. Wiederinbetriebnahme
der Frankiermaschine nach einem Stand by-Betrieb, also
zu Zeitpunkten, wo kein Abrechnungserfordernis vorliegt
und keine Frankierung erfolgt. Normale E²PROM-Speicher,
insbesondere vom Typ 28256 benötigen keine interne
Batterie und lassen mindestens 10 000 bis 100 000
Schreib-/Lese-Zyklen zu. Die frankiermaschineninterne
Sicherheitsschaltung für Postregisterdaten und andere
sicherheitsrelevante Daten steuert entsprechend die
vorgenannten nichtflüchtigen Speicherbausteine so an,
daß die Lebensdauer erhöht bzw. ausreichend ist.
Als Prozessor kann beispielsweise ein CMOS-Einchip-8-Bit-
Microcontroller Philips 80C851 bzw. 33C851 mit
einem nichtflüchtigen 256 × 8-bit E²PROM als internen
Prozessorspeicher eingesetzt werden. Das Codewort kann
im o.g. internen Prozessorspeicher über 50 000 mal
nichtflüchtig gespeichert werden. Der Datenerhalt wird
ebenfalls für 10 Jahre garantiert. Ein anderer
geeigneter Prozessor ist beispielsweise der TMS 370C010
von Texas Instruments, der ebenfalls einen internen
256 Byte E²PROM aufweist.
Wenn in den nichtflüchtigen Speichern 5a, 5b neben
einem Codewort der Dateninhalt der Postregister als
Checksumme verschlüsselt gespeichert wird, kann die
Manipulation der Postregister wirksam von Anfang an
verhindert werden. Beispielsweise wird bin OTP-Pro
zessor (ONE TIME PROGRAMMABLE) eingesetzt, der im
internen ROM einen gespeicherten Algorithmus für ein
solches Prüfsummenverfahren aufweist. Gesetzte Flags
verhindern ein Auslesen der sicherheitsrelevanten Daten
aus dem Prozessor. Ein bekanntes Prüfsummenverfahren
beruht auf einem MAC (MESSAGE AUTHENTIFICATION CODE)
der an die zu sichernden Daten angehängt wird. Eine
solche MAC-Absicherung wird vorteilhaft über die
Postregisterdaten gelegt. Im Regelfall genügt jedoch
ein Codewort, welches in Zeitabständen geändert wird,
um die Sicherheit zu garantieren.
Erfindungsgemäß ist nun vorgesehen, daß die die Post
registerdaten enthaltenden nichtflüchtigen Speicher,
insbesondere batteriegestützte CMOS-RAM′s (Bat-NV-CMOS-
RAM′s) ein Codewort enthalten, welches dem letzten
Betriebszustand der Frankiermaschine vor dem Ausschal
ten bzw. Spannungsausfall oder vor einer gewissen
Stillstandszeit (Stand by) bzw. vor Programmunter
brechung entspricht und daß mindestens zum Zeitpunkt
des Einschaltens der Frankiermaschine das alte Codewort
durch ein vorbestimmtes neues Codewort ersetzt wird.
Erfindungsgemäß wird also das Codewort zu vorbestimmten
Ereignissen durch die betriebsbereite Frankiermaschine
automatisch in allen nichtflüchtigen Speichern, welche
sicherheitsrelevante Daten händeln, geändert. Eine der
artige Maßnahme verhindert, daß ein geklonter Speicher
inhalt eines nichtflüchtigen Speichers (Bat-NV-CMOS-RAM′s)
öfter als einmal verwendet werden kann, weil das
Codewort im nichtflüchtigen Internen Prozessorspeicher
und im Postregister (Bat-NV-CMOS-RAM′s) geändert wird,
sobald ein vorbestimmter Betriebszustand der Frankier
maschine nach dem Einschalten der Maschine bzw. nach
Spannungswiederkehr nach einem Ausfall, nach Verlassen
des Kommunikationsmodus bzw. dem Nachladen der
Frankiermaschine mit einem Guthaben oder nach einer
gewissen Stillstandszeit (Stand by) erreicht ist oder
nach einer anderen Programmunterbrechung.
Dabei wird durch o.g. Maßnahme ein Duplizieren bzw.
Klonen eines Bat-NV-CMOS-RAM′s oder anderen NVRAM′s
nicht verhindert. Auch ein Duplikat des Speicher
inhalts, welches gegen den Speicherinhalt des Originals
ausgetauscht wird, kann weiterverwendet werden. In
diesem Fall wird das Codewort des Originals später
ungültig, d. h. ein Rücktausch der Speicherinhalte würde
vom Prozessor aufgrund des inzwischen ebenfalls
geänderten Codewortes im nichtflüchtigen internen
Prozessorspeicher bemerkt werden.
Die Veränderung der Codeworte bei gleichgebliebenen
Dateninhalt des Speichers kann ohne Kenntnis des
Schlüssels und der Parameterdaten vom Manipulator auch
nicht vorgenommen werden, wenn der Algorithmus zur
Bildung des neuen Codewortes bekannt wäre. Deshalb kann
ein bekanntes Verschlüsselungsverfahren, wie
beispielsweise DES, eingesetzt werden.
Das Verfahren zur Erhöhung der Manipulationssicherheit
von kritischen Registerdaten umfaßt weitere Sicherungs
schritte, die in der Fig. 7 dargestellt sind.
Im Schritt 106 werden nacheinander die in den zu
schützenden nichtflüchtigen Speichern gespeicherten
Codewörter gelesen und dann zum Prozessor übertragen.
Der Prozessor führt einen Sicherungsschritt 107 zur
Überprüfung des bisher gültigen Codewortes und einen
Schritt 108 zur entsprechenden Veränderung des Code
wortes aus, wenn die Überprüfung die Übereinstimmung
bzw. Fehlerfreiheit ergeben hat. Anderenfalls wird vom
Schritt 107 auf den Schritt 109 verzweigt, um ein Code
wort Y zu löschen oder um mindestens ein Kill-Mode-Flag
im prozessorinternen nichtflüchtigen Speicher 6d zu
setzen.
Im bevorzugten Ausführungsbeispiel wird für zwei
nichtflüchtige Speicher NVM 6d und NVM 5a im Schritt
107 zur Überprüfung des bisher gültigen Codewortes
V(-1), U(-1) ein für jeden physikalischen Speicher
baustein vorgesehenes separates Codewort W(-1), T(-1)
verwendet.
Für zwei nichtflüchtige Speicher NVM 6d und NVM 5a wird
nach Überprüfung des alten Codewortes im Schritt 107
und vor der entsprechenden Veränderung von Codewortern
V und U zunächst im Schritt 108 ein neues Codewort W′
und danach ein Codewort T′ für den zweiten prozessor
internen NVM 6d gebildet, nach den Gleichungen:
W′: = F {P1} (1)
und
T′: = F {P2} (2),
und
T′: = F {P2} (2),
wobei P1 und P2 verschiedene monoton stetig
veränderbare Parameter sind, beispielsweise die
aktuelle Zeit, Anzahl von Programmunterbrechungen bzw.
andere Programm-, Zeit- oder physikalische Parameter
oder gelistete Code sind. In einer Variante werden mit
internen Daten und nach einem internen Programm ein
neues Codewort mittels einer solchen mathematischen
Funktion F erzeugt, welche das externe Nachbilden von
Codewörtern wesentlich erschwert, so daß eine
Manipulation in Fälschungsabsicht praktisch unmöglich
gemacht wird.
Im einfachsten Fall wird im internen NVM 20 ein
Zählwert inkrementiert, bevor ein neues Codewort (W′,
T′, U′, V′) gebildet wird. Als mathematische Funktion F
kann beispielsweise eine kryptographische Funktion
verwendet werden, welche im internen OTP-ROM als
Algorithmus bzw. Programm gespeichert vorliegt. Zum
Beispiel kann der DES-Algorithmus (Data-Encryption-
Standard) oder eine Zufallsfunktion eingesetzt werden.
Das vorgenannte Bilden von Codewörtern umfaßt das
Berechnen und/oder das Auswählen aus einer Liste von
Codewörtern, welche im internen OTP-ROM gespeichert
vorliegt. Im Idealfall soll jedes Codewort nur ein
einziges mal zur Absicherung der externen nicht
flüchtigen Schreib/Lese-Speicher verwendet werden. Das
erfordert aber eine Vielzahl von Codewörtern, welche im
internen OTP-ROM gespeichert werden.
Bei der erfindungsgemäßen Variante kann auf die
Einbeziehung von Postregisterwerten als Prüfkennwert
und auf ein Aufkleben oder ein gesichertes Kapseln
mindestens eines der externen nichtflüchtigen Schreib/Lese-
Speicher verzichtet werden. Erst später, bei
spielsweise im Frankiermodus 400 (Fig. 5), wird bei der
Abrechnung der Dateninhalt überprüft, ob die Register
wertsumme R3 gleich der Summe aus ascending Register R1
(Restwert) und descending Register R2 ist und/oder ob
die Postregisterwerte gültig sind (z. B. durch
Authentizitätsprüfungen, Plausibilitätsprüfungen und
ähnliche Prüfungen).
Das erfindungsgemäße Verfahren ist in einem - in der
Fig. 3 dargestellten - Gesamtablaufplan der
Frankiermaschine eingebunden. Nach dem Start 100
erfolgen in einem die Startroutine und Initialisierung
umfassenden Schritt 101 Maßnahmen zur Sicherheitsüber
prüfung und zur Wiederherstellung eines definierten
Anfangszustandes.
Die weiteren Schritte 102 bis 105 erfolgen gegebenen
falls zur Wiederherstellung der Betriebsbereitschaft
beispielsweise nach einer Reparatur der Frankier
maschine und sind in der Fig. 7 näher dargestellt.
In den Schritten 106 bis 109 werden die gelesenen alten
Codewörter überprüft und gegen neue Codewörter
ausgetauscht. Anschließend wird das neue Codewort auch
in die NV-RAMs NVM 5a und NVM 5b übertragen und bildet
dort ein entsprechendes Codewort (V′, U′). Der Schritt
108 beinhaltet außerdem die Überprüfung des ordnungsge
mäßen Einspeicherns der Codewörter (U′, V′ bzw. W′, T′).
Wird bei der Überprüfung des bisher gültigen Codewortes
eine nicht plausible Abweichung festgestellt, wird zu
einem Schritt 109 verzweigt, der Maßnahmen umfaßt, die
letztlich weitere Frankierungen mit der Frankier
maschine verhindern. Beispielsweise kann ein drittes
von einer Datenzentrale vorgegebenes Codewort Y ge
löscht werden, dessen Fehlen die Manipulation belegt.
Nachfolgend wird auf die Systemroutine (Punkt s)
verzweigt.
Der in der Fig. 3 dargestellte Gesamtablaufplan für
die Frankiermaschine weist Schritte 201 bis 206 und 207
bis 208 für eine Überwachung weiterer Kriterien auf.
Bei einer Verletzung beispielsweise eines im Schritt
207 überprüften Sicherheitskriteriums tritt die
Frankiermaschine in einen entsprechenden Kill-Modus ein
(Schritt 208), Die Frankiermaschine tritt aufgrund
eines im Schritt 202 überprüften Sicherheitskriteriums
in einen Sleeping-(Warn)-Modus (203-206) ein, wenn nach
Verbrauch einer vorbestimmten Stückzahl noch keine
Verbindung zur Datenzentrale aufgenommen wurde.
Die Frankiermaschine und die Datenzentrale verabreden
jeweils eine vorbestimmte Stückzahl S, d. h. die Menge,
die bis zur nächsten Verbindungsaufnahme frankiert
werden kann. Falls eine Kommunikation nicht zustande
kommt (Stückzahlkontrolle), verlangsamt die Frankier
maschine ihre Arbeitsweise (Sleeping Modus-Variante 1),
damit bis zu einer nächsten Stückzahlgrenze ohne
Anzeige einer Warnung weiter gearbeitet werden kann.
Jedoch ist es möglich in immer kürzeren Abständen, d. h.
nach einer vorbestimmten Anzahl an Frankierungen, eine
erneute Warnung auszugeben, welche so immer dringlicher
auf das Erfordernis einer Kommunikation mit der
Datenzentrale aufmerksam macht (Sleeping Modus-Variante
2). Schließlich ist es möglich (Sleeping Modus-Variante
3), eine ständige Warnung für ein bevorstehendes
Schlafenlegen der Frankierfunktion im Schritt 203
auszugeben, wenn dieser aufgrund des erfüllten Abfrage
kriteriums in Schritt 202 ständig durchlaufen werden
muß, bevor Schritt 205 erreicht wird. Es ist weiterhin
vorgesehen, daß der Schritt 203 einen Subschritt zur
Fehlerstatistik entsprechend dem Statistik- und
Fehlerauswertungsmodus 213 umfaßt. Diese Variante kommt
ohne den vorgenannten Schritt 204 aus. Das Frankieren
wird durch den Sleeping Modus nicht beeinträchtigt.
Solange die Überprüfung im Schritt 205 ergibt, daß die
Stückzahl S noch größer Null ist, wird der Schritt 207
erreicht. Lediglich die Warnung erscheint immer öfter
in der Anzeige. Anderenfalls wird auf den Schritt 206
verzweigt, wobei beispielsweise ein FLAG gesetzt wird,
welches später im Schritt 301 abgefragt und als
Kommunikationsersuchen gewertet wird. Im Schritt 206
kann ebenfalls eine zusätzliche Anzeige erfolgen, daß
nun automatisch die Kommunikation erfolgt und solange
die Frankierfunktion ruht, bis die Kommunikation
erfolgreich abgeschlossen ist. Natürlich kann jederzeit
der Frankiermaschinenbenutzer schon vorher den Kommu
nikationsmodus 300 aufrufen. In einem dem Kommuni
kationsmodus 300 vorausgehenden Schritt 207 werden
weitere für die Manipulationssicherheit relevante
Kriterien überprüft. Bei einer festgestellten Manipula
tion der Maschine, die in Fälschungsabsicht vorgenommen
wurde, wird zum Schritt 208 verzeigt, um ein Frankieren
mit der manipulierten Maschine zu verhindern. Die
Maschine würde in einem solchen Fall in den Kill-Mode
eintreten. Befindet sich die Frankiermaschine nur im
Sleeping-Mode wird ein Frankieren nicht verhindert.
Nach der Überprüfung der Kriterien für den Kill-Modus
(Schritte 207 bis 208) und für den Sleeping-Modus
(Schritte 202 bis 206) wird ein in der Fig. 3 gezeig
ter Punkt t erreicht. Im Schritt 209 können Eingaben
getätigt werden, bevor der Punkt e erreicht wird.
Mit dem Eintritt in den Kommunikationsmodus 300 besteht
für den Nutzer die Möglichkeit eine Kommunikation mit
der Datenzentrale herbeizuführen bzw. es wird
gegebenenfalls eine Kommunikation mit der Datenzentrale
automatisch - gemäß dem in der Fig. 3 gezeigten
Gesamtablaufplan - herbeigeführt.
Falls die Kommunikation erfolgreich war, wird im
Schritt 211 abgefragt, ob Daten übermittelt wurden.
Anschließend wird der Schritt 213 erreicht. Im Schritt
213 werden die aktuellen Daten ermittelt bzw. geladen,
welche im Schritt 201 aufgerufen und anschließend
wieder beim Vergleich im Schritt 202 benötigt werden.
Das übermittelte Entscheidungskriterium ist vorzugs
weise die neue Stückzahl S′.
Der Auswertemodus im Schritt 213 umfaßt erfindungsgemäß
auch die Bildung neuer Codewörter U′, V′ für die zu
schützenden nichtflüchtigen Speicher im Ergebnis eines
Nachladevorganges, der in Kommunikationsverbindung mit
einer Datenzentrale vorgenommen wurde. Hierbei laufen
die in der Fig. 7 für Codewort Y beispielhaft
gezeigten Schritte 106 bis 109 in analoger Weise auch
für die Codewörter U′, V′ ab.
Wurde zuvor bei der Datenzentrale eine Eingriffs
befugnis für die Frankiermaschine angefordert, wird ein
von der Datenzentrale vorgegebenes neues drittes
Codewort Y′ geladen, welches das alte dritte Codewort Y
ersetzen kann. Für Reparaturzwecke ist ein Öffnen der
Frankiermaschine und ein Austausch defekter Bauelemente
ggf. unvermeidlich. Deshalb sind vorausgehende Maßnah
men zur Erlangung einer Eingriffsbefugnis erforderlich,
welche den Betrieb der Frankiermaschine nach deren
Instandsetzung erlauben. Ein unbefugtes Öffnen der
Frankiermaschine wird dabei ausgeschlossen. Wenn die
Frankiermaschine nach dem Eingriff wieder in Betrieb
genommen wird, kann aufgrund der Eingriffsbefugnis für
die Frankiermaschine jenes von einer Datenzentrale
vorgegebenes neues dritte Codewort Y′ das alte dritte
Codewort Y ersetzen, wie dies beispielsweise in der
Anmeldung DE 43 44 476 A1 vorgeschlagen wurde.
Sollte also das von einer Datenzentrale vorgegebene
alte dritte Codewort Y gelöscht werden, weil die
Speicher vollständig ausgetauscht wurden und deren
veränderbares Codewort (V, U) nicht vorhanden ist, bzw.
nicht mit dem intern gespeicherten übereinstimmt, würde
die Frankiermaschine weiterbetrieben werden können.
Der Weiterbetrieb der Frankiermaschine ist möglich,
weil ein neues drittes Codewort Y′ verwendet wird, wobei
- wie in der Fig. 7 dargestellt ist - auf den Schritt
108 verzweigt wird, um ein neues veränderbares Codewort
(T′, W′) zu bilden und als Codewort (V′, U′) in die NV-RAMs
zu laden.
In einer - gegenüber dem in der Fig. 7 gezeigten
Flußplan - modifizierten Flußplanvariante kann anstatt
mit einem zu dem veränderbaren Codewort (W, T) identi
schen Codewort (V, U) auch mit dem komplementären
Schatten (V′′, U′′) in mindestens einem der Speicher
bereiche bzw. NVRAM′s gearbeitet werden. Entsprechend
verändern sich auch die Form der Überprüfung der bisher
gültigen Codewörter und deren Ersatz durch neuen Code
wörter in einem der Speicherbereiche des nichtflüch
tigen Speichers NVM 5a, 5b gemäß der - in den Fig.
3 und 5 gezeigten - Schritte 102 bis 105. Nach einem
Verifizieren der gegebenenfalls in einem Speicher
bereich E des NVM 5a, 5b gespeichert vorliegenden neuen
Codewörter V′, U′ und/oder Y′ werden die alten Code
wörter gelöscht und die neuen Codewörter entsprechend
abrufbar adressiert. Das kann vorteilhaft analog zum
Ablauf - wie er in der Fig. 7 in DE 43 44 476 A1
dargestellt ist - erfolgen, indem die neuen Codewörter
V′, U′ und/oder Y′ auf die Adresse der alten Codewörter
V, U und/oder Y gesetzt werden.
Nach einem vorausgehenden Ereignis bzw. einer Programm
unterbrechung (Stand by) wird ein Punkt p erreicht und
gemäß den - in der Fig. 4 dargestellten - Details des
Ablaufplanes wird über Schritte 102 bis 105 ein erster
Sicherungsschritt 106 des in der Fig. 7 gezeigten
Flußplanes des erfindungsgemäßen Verfahrens erreicht.
Nur bei einer Inbetriebnahme oder nach Spannungsausfall
wird nach einem Initialisieren in einem dem vorgenann
ten Punkt p vorgelagerten Schritt 1050 zuerst das
aktuelle Programmodul PM entsprechend der Modulkennung
aufgerufen, dessen Abschnitte anschließend weiter
bearbeitet werden sollen. Der in der Fig. 3 gezeigte
Schritt 101 umfaßt mehrere Subschritte, welche
nachfolgend anhand der Fig. 4 näher erläutert werden.
Zunächst laufen im Schritt 1010 übliche Hardware- und
Anzeige-Initialisierungsroutinen ab, bevor ein Schritt
1011 zum Timer- und Interrupt-Start erreicht wird. Das
interne Programm beginnt dann mit Startsicherheits
überprüfungen. In vorteilhafter Weise kann hier im
Schritt 1020 bereits geprüft werden, ob ein Codewort
oder Speicherinhalt gültig ist. Anschließend wird bei
Gültigkeit ein Schritt 1040 zur automatischen Eingabe
gespeicherter Daten mit Druckdatenaufbereitung und
Einbettung der Bilddaten erreicht.
Nach dem Aufruf des Merkers oder Zeigers im Schritt
1051 wird in einem weiteren Schritt 1052 getestet, ob
der Programmodul weiterabgearbeitet werden muß. Ist das
nicht der Fall wird im Schritt 1954 der nächste
Programmodul PM(+1) aufgerufen. Anderenfalls wird in
einem Schritt 1053 überprüft, ob Programmabschnitte
eines vorhergehenden Programmoduls PM(-1) zuende abge
arbeitet werden müssen und zu einem Schritt 1056
verzweigt oder zu einem Schritt 1055 verzweigt, denn
ein Programmabschnitt des aktuellen Programmoduls PM
weiter abgearbeitet werden muß. Nach Feststellung des
aktuellen Programmoduls gemäß den Schritten 1054, 1055
oder 1056 wird auf den Punkt p verzweigt.
Für eine Abarbeitung kritischer und unkritischer Pro
grammabschnitte innerhalb dieses Programmoduls werden
Merker, beispielsweise eine Phasenkennung gesetzt, wie
das aus DE 42 17 830 A1 bekannt ist, oder Zeiger
gestellt, welche nach Spannungsausfall und Wieder
einschalten eine Rekonstruktion definierter Zustände
für die weitere Programmabarbeitung ermöglicht.
Gemäß der Fig. 3 wird nach Ausführung der Schritte 102
bis 105 und 106 bis 109 der Punkt s und damit die
Systemroutine 200 erreicht. Außerdem wird der Punkt s
nach Ausführung der Schritte für einen Testmodus 216,
für einen Anzeigemodus 215 und für einen Frankiermodus 400
erreicht.
Die Erläuterung der Abläufe nach dem - in der Fig. 5
gezeigten - Frankiermodus 400 erfolgt in Verbindung mit
dem - in der Fig. 1 dargestellten - Blockschaltbild
und in dem - in der Fig. 3 dargestellten - Gesamtab
laufplan der elektronischen Frankiermaschine.
Die Erfindung geht davon aus, daß nach dem Einschalten
automatisch der Postwert im Wertabdruck entsprechend
der letzten Eingabe vor dem Ausschalten der Frankier
maschine und das Datum im Tagesstempel entsprechend dem
aktuellem Datum vorgegeben werden, daß für den Abdruck
die variablen Daten in die festen Daten für den Rahmen
und für alle unverändert bleibenden zugehörigen Daten
elektronisch eingebettet werden (Fig. 4, Schritt 1040).
Außerdem läuft die Zeit im batteriegestützten Uhren/Datums-
Baustein 8 ständig auch bei ausgeschalteter
Frankiermaschine weiter und wird ständig aktuell
mindestens als Datum gespeichert und im Schritt 1040
der Fig. 4 in der Initialisierungsroutine 101
eingebettet.
Wird also nach dem Einschalten der Frankiermaschine,
nach der durchgeführten Systemroutine 200 und während
des Betriebsmodus der Schritt 401 im Frankiermodus 400
erreicht, kann auch ohne Eingabe auf bereits gespei
cherte Daten zurückgegriffen werden. Diese Einstellung
betrifft insbesondere die letzte Einstellung der
Frankiermaschine hinsichtlich des Portowertes, welche
im Schritt 209 angezeigt wird, bevor ggf. eine erneute
Eingabe, Anzeige und Druckdatenaufbereitung erfolgt.
Hierbei werden die aktuellen variablen Pixelbilddaten
(Datum und Portowert) in die festen Rahmenpixel
bilddaten eingebettet. Anschließend erfolgt im Schritt
401 eine Abfrage der Eingabemittel auf eventuelle
weitere Eingaben. Liegen weitere Eingaben vor wird ein
Schleifenzähler im Schritt 403 zurückgesetzt und zum
Punkt t (Fig. 3) zurückverzweigt.
Die Eingabedaten, die mit einer Tastatur 2 oder aber
über eine an die Ein/Ausgabeeinrichtung 4 angeschlos
sene, den Portowert errechnende, elektronische Waage 22
eingegeben werden, werden automatisch im Speicher
bereich D des nichtflüchtigen Arbeitsspeichers NVM 5
gespeichert. Außerdem sind auch Datensätze der Sub
speicherbereiche, zum Beispiel Bj, C usw.,
nichtflüchtig gespeichert. Damit ist gesichert, daß die
letzten Eingabegrößen auch beim Ausschalten der
Frankiermaschine erhalten bleiben, so daß nach dem Ein
schalten automatisch der Portowert im Wertabdruck ent
sprechend der letzten Eingabe vor dem Ausschalten der
Frankiermaschine und das Datum im Tagesstempel entspre
chend dem aktuellem Datum vorgegeben wird. Im Schritt
209 wird die eventuelle Eingabe neuer Werte abgefragt.
Wenn beispielsweise kein neuer Portowert eingegeben
wurde, dann wird auf den im Speicherbereich gespeichert
vorliegenden bisherigen Portowert zurückgegriffen und
der Punkt e (Fig. 3) erreicht, um weitere Eingaben
abzufragen, bevor der Frankiermodus 400 (Fig. 5)
erreicht wird.
Bei einer im Schritt 401 festgestellten erneuten
Eingabeanforderung wird wieder auf den Schritt 209
zurückverzweigt. Anderenfalls wird auf den Schritt 402
verzweigt, um den Schleifenzähler zu inkrementieren.
Über den Schritt 404, in welchen die durchlaufenen
Schleifenanzahl überprüft wird, wird der Schritt 405
erreicht, um die Druckausgabeanforderung abzuwarten.
Durch einen Briefsensor wird ein Brief detektiert,
welcher frankiert werden soll. Dadurch wird ein Signal
für die Druckausgabeanforderung generiert.
Im Schritt 405 wird die Druckausgabeanforderung
abgewartet, um dann über die Schritte 407, 409 und 410
zur Abrechnungs- und Druckroutine im Schritt 406 zu
verzweigen. Liegt keine Druckausgabeanforderung
(Schritt 405) vor, wird - nach dem in der Fig. 3
gezeigten Gesamtablaufplan - zum Schritt 209 (Punkt t)
und gegebenenfalls, wenn kein Kommunikationsersuchen
vorliegt über die Schritte 211, 212 und 214 zum Schritt
401 des Frankiermodus 400 zurückverzweigt.
Wenn nach der - in der Fig. 5 dargestellten - Weise
nunmehr zum Punkt t zurückverzweigt und nach Schritt
209 der Schritt 301 erreicht wird, kann jederzeit durch
manuelle Eingabe ein Kommunikationsersuchen gestellt
oder eine andere Eingabe gemäß den Schritten
Testanforderung 212 und Registercheck 214 getätigt
werden. Wieder wird Schritt 401 erreicht. Wenn keine
Eingabeanforderung erkannt wird, werden weitere
Schritte 402 und 404 - wie in der Fig. 5 gezeigt -
durchlaufen. Ein weiteres Abfragekriterium kann in
einem Schritt 404 abgefragt werden, um im Schritt 408
ein Standby-Flag zu setzen, wenn nach einer
durchlaufenen Schleifenanzahl weder eine Eingabe
getätigt wurde, noch keine Druckausgabeanforderung
vorliegt.
Der Standby-Modus wird in einer anderen Variante auch
erreicht, wenn ein an sich bekannter - in der Fig. 1
dargestellter - Briefsensor 16 in vorbestimmter Zeit
keinen nächsten Briefumschlag ermittelt, welcher
frankiert werden soll. Der - in der Fig. 4 gezeigte -
Schritt 404 im Frankiermodus 400 umfaßt entweder eine
Abfrage nach einem Zeitablauf oder nach der Anzahl an
Durchläufen durch die Programmschleife, welche
letztendlich wieder auf die Eingaberoutine gemäß
Schritt 401 führt. Wird das Abfragekriterium erfüllt,
wird im Schritt 408 ein Standby-Flag gesetzt und direkt
auf den Punkt p oder alternativ dazu auf den Punkt s
zur Systemroutine 200 zurückverzweigt, ohne daß die
Abrechnungs- und Druckroutine im Schritt 406
durchlaufen wird. Bei einer Verzweigung auf den Punkt p
kann ein zusätzlicher Wechsel der Codewörter während
des Standby-Modus erzielt werden. Bei einer - in der
Fig. 5 nicht dargestellte - Variante mit einer
Verzweigung auf den Punkt s kann dagegen nur ein
Wechsel der Codewörter nur nach dem Einschalten erzielt
werden.
Das Standby-Flag wird während der Systemroutine 200 im
Schritt 211 abgefragt und gegebenenfalls nach der
Checksummenprüfung im Schritt 213 zurückgesetzt, falls
kein Manipulationsversuch erkannt wird.
Das Abfragekriterium im Schritt 211 wird dazu um die
Frage erweitert, ob das Standby-Flag gesetzt ist, d. h.
ob der Standby Modus erreicht ist. In diesem Fall wird
einmal auf den Schritt 213 verzweigt. Eine bevorzugte
Variante mit Manipulationsüberwachung während des
Standby-Modus besteht darin, ein Codewort Y in der
bereits beschriebenen Weise zu löschen, denn ein
Manipulationsversuch im Standby-Modus auf vorgenannte
Weise im Schritt 213 festgestellt worden ist. Das
Fehlen des Codewortes Y wird im Schritt 207 erkannt und
dann auf den Schritt 208 verzweigt. Der Vorteil dieses
Verfahrens in Verbindung mit dem ersten Modus besteht
darin, daß der Manipulationsversuch statistisch im
Schritt 213 erfaßt wird.
Somit kann das Standby-Flag im auf den Kommunika
tionsmodus 300 folgenden Schritt 211 abgefragt werden.
Damit wird nicht auf den Frankiermodus 400 verzweigt,
bevor nicht die Checksummenprüfung die Vollzähligkeit
und Gültigkeit aller oder mindestens einiger ausgewähl
ter sicherheitsrelevanter Programme ergeben hat.
Falls eine Druckausgabeanforderung im Schritt 405
erkannt wird, werden weitere Abfragen in den nachfol
genden Schritten 409 und 410 sowie im Schritt 406
getätigt. Beispielsweise kann im Schritt eine
Überprüfung der Registerwerte und zusätzlich des
Codewortes Y vorgenommen werden und im Schritt 409 wird
die Gültigkeit und zusätzlich das Vorhandensein eines
im Schritt 208 (Fig. 3) gesetzten Kill-Mode-Flag′s
festgestellt, um auf den Schritt 410 zu verzweigen.
Anderenfalls wird auf den Schritt 413 zur Statistik- und/oder
Fehlerauswertung und Schritt 415 zur Anzeige
des Fehlers verzweigt, wenn die Registerwerte nicht
authentisch waren.
Im Schritt 410 wird das Erreichen eines weiteren
Stückzahlkriterium abgefragt. War die zum Frankieren
vorbestimmte Stückzahl bei der vorhergehenden
Frankierung verbraucht, d. h. Stückzahl gleich Null,
wird automatisch zum Punkt e verzweigt, um in den
Kommunikationsmodus 300 einzutreten, damit von der
Datenzentrale eine neue vorbestimmte Stückzahl S wieder
kreditiert wird. War jedoch die vorbestimmte Stückzahl
noch nicht verbraucht, wird vom Schritt 410 auf die
Abrechnungs- und Druckroutine im Schritt 406 verzweigt.
Im Schritt 406 werden die in bekannter Weise zur
Abrechnung eingezogenen Registerdaten ggf. inhaltlich
überprüft und entsprechend geändert. Beispielsweise
wird bei einem gültigen Frankieren mit einem Wert < 0
der Stückzähler R4 inkrementiert. Der Registerwert R1
wird verringert und der Registerwert R2 entsprechend
erhöht, so daß der Registerwert R3 konstant bleibt.
Danach wird eine Prüfsumme (beispielsweise CRC) über
jeden der Registerwerte gebildet und im NVM 5a und/oder
NVM 5b zusammen mit den zugehörigen Registerwerten
gespeichert. Eine solche Absicherung, die über die
einzelnen Registerdaten gelegt wurde, um eine
Manipulation Verringern von R2 (Verbrauchssumme) und
Erhöhung von R1 (Restwert) bei gleichbleibenden R3
während des laufenden Betriebes zu verhindern, wurde
bereits in der Anmeldung DE 43 44 476 A1 vorgeschlagen.
Der MAC (Message Authentification Code) ist eine
verschlüsselte Checksumme, welche an den Registerwert
bei Abrechnung im Schritt 406 (Fig. 4) angehängt wird.
Geeignet ist beispielsweise eine DES-Verschlüsselung.
Im Frankiermodus 400 (Fig. 4) kann bei der Abrechnung
zusätzlich noch der Dateninhalt überprüft werden, ob
die Registerwertsumme R3 gleich der Summe aus
Ascending-Register R1 (Restwert) und Descending-
Register R2 ist. Aufgrund der Absicherung mit den
verschlüsselten Prüfsummen kann aber auf eine inhalt
liche Überprüfung völlig verzichtet werden, zumal eine
solche von der Datenzentrale bei jeder Kommunikation
mit der Frankiermaschine durchgeführt wird. Sind alle
Spalten eines Druckbildes gedruckt worden, wird wieder
zur Systemroutine 200 zurückverzweigt.
Die Anzahl von gedruckten Briefen, und die aktuellen
Werte in den Postregistern werden entsprechend der
eingegebenen Kostenstelle im nichtflüchtigen Speicher
5a der Frankiermaschine während der Abrechnungsroutine
406 registriert und stehen für eine spätere Auswertung
zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird
während der unmittelbar vor dem Druck erfolgenden
Abrechnungsroutine veranlaßt, einen Zählschritt weiter
zuzählen. Die Registerwerte können bei Bedarf im
Anzeigemodus 215 (Fig. 3) abgefragt werden. Von diesem
wird anschließend zur Systemroutine 200 zurückver
zweigt.
Für die frankiermaschineninterne Sicherheitsschaltung
eignet sich der TMS370 CO10 aus der Prozessor-Familie
von Texas Instrument. Dieser weist ein internes E²PROM
von 256 Bytes als NVM auf.
In einer Variante enthalten der nichtflüchtige interne
Prozessorspeicher und der zu schützende nichtflüchtige
Postregisterspeicher (Bat-NV-CMOS-RAM′s) nicht das
identische, sondern einer von beiden das komplementäre
Codewort. Das prozessorinterne Codewort ist nicht von
außen abfragbar.
In einer anderen Variante sind verschiedene Codeworter
einzelnen Speichern zugeordnet, wobei die verschiedenen
Codewörter jedoch einen gemeinsamen Stamm haben, aus
dem sie gebildet wurden und wobei der gemeinsame Stamm
vom Prozessor rekonstruiert wird, um die Gültigkeit der
einzelnen Codewörter zu überprüfen.
Die Routine zum Codewörter-Vergleich bzw. zur
Gültigkeitsprüfung wird im Prozessor jeweils nach dem
Einschalten bzw. bei Programmfortsetzung abgefragt.
Wird beim Vergleich eine Unstimmigkeit festgestellt,
wird die Frankiermaschine für den weiteren Betrieb
blockiert.
Es ist weiterhin vorgesehen, daß die Anzahl der Bildung
von neuen Codewörtern ab einem vorbestimmten Zeitpunkt
gezählt und nichtflüchtig prozessorintern gespeichert
wird. Zum Zeitpunkt einer Kommunikation mit der
Datenzentrale wird die vorgenannte Anzahl an in der
Vergangenheit gebildeten Codewörtern und das aktuell
gültige Codewort abgefragt. Das erlaubt bei einer
unabsichtlichen Blockierung der Frankiermaschine
aufgrund ungültiger Codewörter dann bei Bedarf die
nachträgliche Wiederherstellung des alten Zustandes
durch entsprechende Datenübermittlung seitens der
Datenzentrale an die Frankiermaschine.
Es ist vorgesehen, daß ein dem Codewort entsprechender
letzter Betriebszustand der Frankiermaschine einen
Zustand im Ergebnis der Herstellung oder einer
Nachladung der Frankiermaschine oder einen Zustand vor
dem Ausschalten der Frankiermaschine oder einen Zustand
vor einem Spannungsausfall oder vor einer Stillstands
zeit (Stand by) bzw. vor Programmunterbrechung ein
schließt. Ebenfalls können bei der Überwachung weiterer
Kriterien solche letzten Betriebszustände eintreten,
indem die Frankiermaschine zu einem entsprechenden
Modus übergeht. Solche Schritte 202 bzw. 207 für eine
Überwachung weiterer Kriterien weist der in der Fig. 3
dargestellte Gesamtablaufplan für die Frankiermaschine
auf. Bei einer Verletzung eines der Sicherheits
kriterien tritt die Frankiermaschine in einen ent
sprechenden Modus ein und führt zusätzlich in
entsprechenden Subroutinen die - in der Fig. 7
dargestellten - erfindungsgemäßen Schritte 106 bis 109
aus. Tritt die Frankiermaschine beispielsweise in einen
Sleeping-Modus ein, wenn nach Verbrauch einer
vorbestimmten Stückzahl noch keine Verbindung zur
Datenzentrale aufgenommen wurde, und wird keine
manuelle Auslösung einer Kommunikation durch den Nutzer
vorgenommen, erfolgt bei Erschöpfung des Stückzahl
kredites eine automatische Kommunikation mit der
Datenzentrale und eine Durchführung des Verfahrens zur
Erhöhung der Manipulationssicherheit von kritischen
Registerdaten.
Die Erfindung ist nicht auf die vorliegenden Ausfüh
rungsform beschränkt, da offensichtlich weitere andere
Anordnungen bzw. Ausführungen des Verfahrens für andere
informationsverarbeitende Einrichtungen entwickelt bzw.
eingesetzt werden können, die vom gleichen Grund
gedanken der Erfindung ausgehend, von den anliegenden
Ansprüchen umfaßt werden.
Claims (17)
1. Verfahren zur Erhöhung der Manipulationssicherheit
von kritischen Daten, insbesondere von Registerdaten in
Frankiermaschinen, gekennzeichnet, durch
die Schritte:
- - Laden eines Codewortes in einen internen Prozessor speicher (NVM 6d) zur nichtflüchtigen Speicherung und in zweite die Postregisterdaten enthaltenden nicht flüchtigen Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine ent spricht,
- - Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und
- - Ersetzen des alten Codewortes durch ein vorbe stimmtes neues Codewort, wenn der Prozessor nach Gültigkeitsprüfung mit bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes anerkennt oder
- - Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozes sor nach Gültigkeitsprüfung mit Bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) ge speicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
2. Verfahren, nach Anspruch 1, dadurch ge
kennzeichnet, daß ein dem Codewort
entsprechender letzter Betriebszustand der Frankier
maschine einen Zustand im Ergebnis der Herstellung oder
einer Nachladung der Frankiermaschine oder einen
Zustand vor dem Ausschalten der Frankiermaschine oder
einen Zustand vor einem Spannungsausfall oder vor einer
Stillstandszeit (Stand by) bzw. vor Programmunter
brechung einschließt.
3. Verfahren, nach Anspruch 2, dadurch ge
kennzeichnet, daß die Nachladung mit einem
monetären Guthaben, Stückzahl S und/oder anderen Daten
in einem Kommunikationsmodus (300) erfolgt, daß die
Anzahl der Bildung von neuen Codewörtern ab einem
vorbestimmten Zeitpunkt gezählt und nichtflüchtig
prozessorintern gespeichert wird und zum Zeitpunkt
einer Kommunikation mit der Datenzentrale die vorge
nannte Anzahl an in der Vergangenheit gebildeten
Codewörtern und das aktuell gültige Codewort abgefragt
wird, zum Überwinden einer unabsichtlichen Blockierung
der Frankiermaschine aufgrund ungültiger Codewörter
bzw. bei Bedarf die nachträgliche Wiederherstellung des
alten Zustandes durch entsprechende Datenübermittlung
seitens der Datenzentrale an die Frankiermaschine.
4. Verfahren, nach Anspruch 2, dadurch ge
kennzeichnet, daß eine Überwachung weiterer
Kriterien erfolgt und solche vorgenannten letzten
Betriebszustände eintreten, indem die Frankiermaschine
zu einem entsprechenden Modus bei einer Verletzung
eines der Sicherheitskriterien übergeht, daß die in
einen entsprechenden Modus eingetretene Frankiermaschi
ne in zusätzlichen entsprechenden Subroutinen die
Schritte (106 bis 109) zur Durchführung des Verfahrens
zur Erhöhung der Manipulationssicherheit von kritischen
Registerdaten ausführt.
5. Verfahren, nach Anspruch 1, dadurch ge
kennzeichnet, Laden eines Codewortes in den
internen Prozessorspeicher (NVM 6d) zur nichtflüchtigen
Speicherung und in eine Vielzahl an zweiten die
zusichernden Daten enthaltenden nichtflüchtigen
Speicher (NVM 5a, 5b), wobei das alte Codewort dem
vorletzten Betriebszustand der Frankiermaschine
entsprechend für die Vielzahl nichtflüchtiger Speicher
(NVM 6d, NVM 5a und NVM 5b) im Schritt 107 überprüft
wird und vor der entsprechenden Veränderung von
Codewörtern V und U zunächst im Schritt 108 ein neues
Codewort W′ und danach ein Codewort T′ für den zweiten
prozessorinternen nichtflüchtigen Speicher (NVM 6d)
gebildet wird, nach den Gleichungen:
W′: = f {P1} (1)
und
T′: = f {P2} (2)wobei P1 und P2 verschiedene monoton stetig ver änderbare Parameter sind, beispielsweise die aktuelle Zeit, Anzahl von Programmunterbrechungen bzw. andere Programm-, Zeit- oder physikalische Parameter.
und
T′: = f {P2} (2)wobei P1 und P2 verschiedene monoton stetig ver änderbare Parameter sind, beispielsweise die aktuelle Zeit, Anzahl von Programmunterbrechungen bzw. andere Programm-, Zeit- oder physikalische Parameter.
6. Verfahren, nach Anspruch 5, dadurch ge
kennzeichnet, daß vor dem Laden eines neuen
Codewortes ein Zählwert inkrementiert und dann das
neue Codewort (W′, T′, U′, V′) berechnet wird.
7. Verfahren, nach Anspruch 1, dadurch ge
kennzeichnet, daß die Bildung des neuen
Codewort vom vorherigen abhängig ist.
8. Verfahren, nach Anspruch 1, dadurch ge
kennzeichnet, daß ein Laden eines neuen
Codewortes erfolgt, wobei das Programm für die
Berechnung des jeweils neuen Codewortes im
Programmspeicher (PSP 11) gespeichert ist.
9. Verfahren, nach Anspruch 8, dadurch ge
kennzeichnet, daß als Programmspeicher ein
ROM bzw. EPROM verwendet wird.
10. Verfahren zur Erhöhung der Manipulationssicherheit
von kritischen Daten, dadurch gekenn
zeichnet, daß den nichtflüchtigen Speichern oder
Speicherbereichen jeweils ein separates Codewort
zugeordnet wird, wobei mindestens eines der
vorgenannten separaten Codewörter in einem weiteren
internen Speicher eines Prozessorsystem nichtflüchtig
gespeichert worden ist und daß eine Bildung von neuen
Codewörtern ab einem vorbestimmten Zeitpunkt und danach
eine Einspeicherung der neuen Codewörter in
nichtflüchtigen Speichern vorgenommen wird.
11. Verfahren, nach Anspruch 10, dadurch ge
kennzeichnet, daß die Bildung des neuen
Codewortes vom vorherigen abhängig ist.
12. Verfahren, nach Anspruch 10, dadurch ge
kennzeichnet, daß eine Nachladung mit einem
monetären Guthaben, Stückzahl S und/oder anderen Daten
in einem Kommunikationsmodus (300) erfolgt, daß die
Anzahl der Bildung von neuen Codewörtern ab einem
vorbestimmten Zeitpunkt gezählt und nichtflüchtig
prozessorintern gespeichert wird und zum Zeitpunkt
einer Kommunikation mit einer Datenzentrale die vorge
nannte Anzahl an in der Vergangenheit gebildeten
Codewörtern und das aktuell gültige Codewort abgefragt
wird, zum Überwinden einer unabsichtlichen Blockierung
der Frankiermaschine aufgrund ungültiger Codewörter
bzw. zur bedarfsweisen nachträglichen Wiederherstellung
des alten Zustandes durch entsprechende Datenübermitt
lung seitens der Datenzentrale an die Frankiermaschine.
13. Verfahren, nach Anspruch 10, dadurch ge
kennzeichnet, daß in einem Schritt (108) zur
Bildung eines neuen veränderbaren ersten Codewortes
(T′, W′) auch die Bildung des neuen zweiten Codewortes
(V′, U′) identisch zur Bildung des neuen ersten
Codewortes (T′, W′) erfolgt, um ein identisches neues
zweites Codewort (V′, U′) in die zu schützenden
nichtflüchtigen Speicher (NVMs 5a, 5b) zu laden.
14. Verfahren, nach Anspruch 10, dadurch ge
kennzeichnet, daß in einem Schritt (108) zur
Bildung eines neuen veränderbares ersten Codewortes
(T′, W′) auch die Bildung des neuen zweiten Codewortes
(V′′, U′′) als komplementärer Schatten (V′′, U′′) zum
neuen ersten Codewortes (T′, W′) erfolgt, um ein
komplementäres neues zweites Codewort (V′, U′) in die
zu schützenden nichtflüchtigen Speicher (NVMs 5a, 5b)
zu laden.
15. Verfahren, nach Anspruch 10, dadurch ge
kennzeichnet, daß in einem Schritt (108) zur
Bildung eines neuen veränderbares ersten Codewortes
(T′, W′) auch die Bildung des neuen zweiten Codewortes
(V′ U′′) als zu dem veränderbaren neuen ersten Codewort
(W′) identischen Codewort (V′) und als komplementärer
Schatten (U′′) zum neuen ersten Codewortes (T′)
erfolgt, um mindestens ein neues zweites Codewort (V′,
U′′) in die zu schützenden nichtflüchtigen Speicher
(NVMs 5a, 5b) zu laden oder daß beim Schutz eines
entsprechenden Speichers (NVM′s) in mindestens einem
der Speicherbereiche auch mit dem komplementären
Schatten (V′′ oder U′′) gearbeitet wird.
16. Verfahren zur Erhöhung der Manipulationssicherheit
von kritischen Daten in informationsverarbeitenden
Einrichtungen, gekennzeichnet, durch
die Schritte:
- - Laden eines Codewortes in einen internen Prozessor speicher (NVM 6d) zur nichtflüchtigen Speicherung und in zweite die kritischen Daten enthaltenden nicht flüchtigen Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der informationsverarbei tenden Einrichtung entspricht,
- - Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der informationsverarbei tenden Einrichtung, und
- - Ersetzen des alten Codewortes durch ein vorbe stimmtes neues Codewort, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes anerkennt oder
- - Blockierung der informationsverarbeitenden Einrich tung nach dem Zeitpunkt des Einschaltens, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
17. Verfahren, nach Anspruch 16, dadurch ge
kennzeichnet, daß eine Übertragung
kritischer Daten in einem Kommunikationsmodus (300)
erfolgt, daß die Anzahl der Bildung von neuen
Codewörtern ab einem vorbestimmten Zeitpunkt in der
informationsverarbeitenden Einrichtung gezählt und
nichtflüchtig prozessorintern gespeichert wird und zum
Zeitpunkt einer Kommunikation mit einer Datenzentrale
die vorgenannte Anzahl an in der Vergangenheit
gebildeten Codewörtern und das aktuell gültige Codewort
abgefragt wird, zum Überwinden einer unabsichtlichen
Blockierung der Frankiermaschine aufgrund ungültiger
Codewörter bzw. zur bedarfsweisen nachträglichen
Wiederherstellung des alten Zustandes durch ent
sprechende Datenübermittlung seitens der Datenzentrale
an die Frankiermaschine.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1995134527 DE19534527C2 (de) | 1995-09-08 | 1995-09-08 | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten |
EP96250191A EP0762337A3 (de) | 1995-09-08 | 1996-09-06 | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten |
US08/711,091 US5771348A (en) | 1995-09-08 | 1996-09-09 | Method and arrangement for enhancing the security of critical data against manipulation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1995134527 DE19534527C2 (de) | 1995-09-08 | 1995-09-08 | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19534527A1 true DE19534527A1 (de) | 1997-03-13 |
DE19534527C2 DE19534527C2 (de) | 1999-04-29 |
Family
ID=7772449
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1995134527 Expired - Fee Related DE19534527C2 (de) | 1995-09-08 | 1995-09-08 | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE19534527C2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111149341A (zh) * | 2017-08-03 | 2020-05-12 | 铠侠股份有限公司 | 网状架构上的高速nvm |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4447890A (en) * | 1980-07-14 | 1984-05-08 | Pitney Bowes Inc. | Remote postage meter systems having variable user authorization code |
EP0231452A2 (de) * | 1982-01-29 | 1987-08-12 | Pitney Bowes Inc. | Mikroprozessorsysteme für elektronische Frankiereinrichtungen |
US5124926A (en) * | 1990-03-02 | 1992-06-23 | Pitney Bowes Inc. | Carrier management system having accounting registers |
-
1995
- 1995-09-08 DE DE1995134527 patent/DE19534527C2/de not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4447890A (en) * | 1980-07-14 | 1984-05-08 | Pitney Bowes Inc. | Remote postage meter systems having variable user authorization code |
EP0231452A2 (de) * | 1982-01-29 | 1987-08-12 | Pitney Bowes Inc. | Mikroprozessorsysteme für elektronische Frankiereinrichtungen |
US5124926A (en) * | 1990-03-02 | 1992-06-23 | Pitney Bowes Inc. | Carrier management system having accounting registers |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111149341A (zh) * | 2017-08-03 | 2020-05-12 | 铠侠股份有限公司 | 网状架构上的高速nvm |
CN111149341B (zh) * | 2017-08-03 | 2022-07-29 | 铠侠股份有限公司 | 网状架构上的高速nvm |
Also Published As
Publication number | Publication date |
---|---|
DE19534527C2 (de) | 1999-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0762337A2 (de) | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
EP0660269B1 (de) | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen | |
DE3613007B4 (de) | System zur Ermittlung von nicht-abgerechneten Drucken | |
EP0660270B1 (de) | Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes | |
EP0944027B1 (de) | Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke | |
DE69433527T2 (de) | Postverarbeitungssystem für Poststücke mit Verifikation im Datenzentrum | |
DE69828331T3 (de) | Elektronische Frankiermaschine mit mehreren Taktsystemen zur verbesserten Sicherheit | |
EP0762335A2 (de) | Verfahren zur Veränderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine | |
EP1278164B1 (de) | Anordnung und Verfahren zum Andern der Funktionalität eines Sicherheitsmoduls | |
EP1035516B1 (de) | Anordnung für ein Sicherheitsmodul | |
EP1035517A2 (de) | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens | |
EP1063619B1 (de) | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation | |
EP1035518A2 (de) | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens | |
DE19534530A1 (de) | Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine | |
DE19757653C2 (de) | Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte | |
EP0969420B1 (de) | Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens | |
DE19534529C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
DE19534527C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
EP1061479A2 (de) | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes | |
EP0717379B1 (de) | Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung | |
DE19928061C2 (de) | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren | |
DE69926222T2 (de) | Betrugssichere frankiermaschinenvorrichtung mit langer nutzungsdauer der batterie |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE |
|
8339 | Ceased/non-payment of the annual fee |