Die Erfindung betrifft ein Verfahren und ein postalisches Gerät, insbesondere eine Frankiermaschine, mit einer Chipkarten-Schreib/Lese­ einheit zum Nachladen von Änderungsdaten per Chipkarte in eine Frankiermaschine oder in eine Waage, gemäß der im Oberbegriff der Ansprüche 1, 4 und 6 angegebenen Art. Beim erstmaligem Einstecken der Chipkarte erfolgt nach dem ersten Nachladen zusätzlich ein Einschreiben in die Chipkarte. Dabei werden Daten in der Chipkarte in vorbestimmter Weise verändert, so daß bei einem wiederholten Datenladen die Chipkarte nur noch in derselbem Gerät bzw. Frankiermaschine brauch­ bare Daten liefert. Die Änderungsdaten betreffen die Postbeförderer- Kennung und tarifliche Änderungen einer Portogebührentabelle.

Das Nachladen von Portogebührentabellen per Chipkarte an sich über eine Chipkarten-Schreib/Leseeinheit in eine Frankiermaschine ist bereits für Frankiermaschinen aus DE 42 13 278 C1 als auch für Waagen aus EP 724 141 A1 vorbekannt. Die Steuereinheit der Frankiermaschine übt dabei eine Überwachungsfunktion bezüglich der Bedingungen für eine Datenaktualisierung aus und steuert das Nachladen.

Moderne Frankiermaschinen, wie beispielsweise die aus US 4.746.234 bekannte Thermotransfer-Frankiermaschine, setzen vollelektronische digitale Druckvorrichtungen ein. Damit ist es prinzipiell möglich, beliebige Texte und Sonderzeichen im Frankierstempeldruckbereich und ein belie­ biges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu druc­ ken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikroprozessor, der von einem gesicherten Gehäuse umgeben ist, welches eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Briefzuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der Frankierab­ druck beinhaltet eine zuvor eingegebene und gespeicherte postalische Information zur Beförderung des Briefes. Für die oben genannte Thermo­ transfer-Frankiermaschine wurde in DE 42 13 278 C1 und US 5,490,077 eine Dateneingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine sollen damit bequemer und schneller als per Tastatureingabe möglich sein. Die Tastatur der Frankiermaschine bleibt klein und übersichtlich, weil keine zusätzlichen Tasten erforderlich sind, um zusätzliche Funktionen zu laden oder einzustellen. Auf der Rückseite der Frankiermaschine befindet sich ein Einsteckschlitz einer Chipkarten-Schreib/Leseeinheit, in welchen die jeweilige Chipkarte vom Kunden innerhalb eines Zeitfensters eingesteckt werden soll. Wegen des mangelnden unmittelbaren Sichtkontaktes gelingt es einem ungeübten Benutzer nicht immer sofort hintereinander die erforderlichen Chipkarten einzustecken, was dann zu unerwünschten Verzögerungen führt. Gut zugänglich ist der Einsteckschlitz einer Chipkarten-Schreib/Leseeinheit nur dann, wenn der Benutzer sich über die Maschine beugt. Bei größeren Maschinen wachsen die Probleme, um den Blickkontakt herzustellen. Oft verfügt der Benutzer über eine Vielzahl an weiteren einsteckbaren Chipkarten. Eine Chipkartenart, beispielsweise Telefonkarten, Kreditkarten u. a., werden von der Frankiermaschine zwar aufgenommen aber nicht akzeptiert. Ohne Sichtkontakt ist der Irrtum aber nicht sofort offensichtlich. Die Frankiermaschine arbeitet nur mit relativ teuren Chipkarten, welche selbst mit einem Mikroprozessor ausgestattet sind und somit in der Lage sind zu prüfen, ob die Frankiermaschine ein gültiges Datenwort zur Chipkarte übermittelt, bevor eine Antwort an die Frankiermaschine gesendet wird. Erfolgt aber keine Antwort bzw. Benutzeridentifikation, wird dies als Fehler in der Frankiermaschine re­ gistriert und angezeigt, bevor eine Aufforderung in der Anzeige angezeigt wird, die Chipkarte zu entfernen. Einerseits erscheint es unangemessen eine irrtümlich eingesteckte andere Karte, beispielsweise eine Telefon­ karte, als Betrugsversuch zu registrieren. Andererseits erscheint es als eine zu hohe Sicherheitsanforderung die Nachladekarte für Portotarife für jede Frankiermaschine personalisiert auszuliefern. Dies hat einen relativ hohen Verwaltungsaufwand auf der Herstellerseite zur Folge.

Ein modifizierter Vorschlag für Waagen wurde schon in EP 724 141 A1 unterbreitet. Hierbei wird die Chipkarten-Schreib/Leseeinheit der Fran­ kiermaschine einfach mitbenutzt, um neue Portogebührentabellen in die entsprechenden nichtflüchtigen Speicher der Waage zu laden. Hierbei können auch die unterschiedlichen Tarifstrukturen und Tarife von weite­ ren Postbeförderern geladen werden. Da der auf einer Chipkarte verfüg­ bare Speicherplatz nur begrenzt vorhandenen ist, werden alle erforder­ lichen Daten sequentiell mittels einer Reihe an aufeinanderfolgend zu steckenden Chipkarten über die Frankiermaschine in die Waage geladen.

Als alternativer Weg zur Lösung des vorgenannten Problems, wonach der auf einer Chipkarte verfügbare Speicherplatz nur begrenzt vorhandenen ist, wird in der US 4 802 218 vorgeschlagen, mehrere Chipkarten gleichzeitig zu verwenden, die in eine Vielzahl an Schreib-Leseeinheiten eingesteckt sind. Neben einer USER-Chipkarte für die Guthaben und für die Abrechnung, wobei der zu druckende Portogebührenwert vom Guthaben subtrahiert wird, ist auch eine Masterkarte und eine weitere Rate-Chipkarte mit einer gespeicherten Portogebührentabelle gleichzeitig eingesteckt. Durch den Zugriff auf eine Portogebührentabelle, kann entsprechend dem eingegebenen Gewicht und Versandziel ein Porto­ gebührenwert ermittelt werden, ohne eine ganze Tabelle in die Maschine zu laden. Da aber zu jeder Chipkarte je eine Schreib-Leseeinheit erforderlich ist, wird das Gerät zu groß und teuer. Außerdem ist ein separates Wiederauflade-Terminal erforderlich, um das Guthaben in der USER-Chipkarte wieder aufzufüllen, wobei zu dieser Wiederauflade- Funktion eine Masterkarte berechtigt. Eine Super-Visor-Karte hat Zugriff auf alle Masterkarten. Verschiedene Sicherheitslevel werden durch zugehörige Schlüsselcodes erschlossen. Ein solches System mit mehreren Slots für Chipkarten ist insgesamt sehr aufwendig.

In der DE 196 05 015 C1 ist bereits eine Ausführung für eine Druckvorrichtung (JetMail®) vorgeschlagen worden, die bei einem nicht­ waagerechten annähernd vertikalen Brieftransport einen Frankierdruck mittels einem hinter einer Führungsplatte in einer Ausnehmung stationär angeordneten Tintenstrahldruckkopf durchführt. Ein Drucksensor ist zur Briefanfangserkennung kurz vor der Ausnehmung für den Tintenstrahl­ druckkopf angeordnet und wirkt mit einem Inkrementalgeber zusammen. Durch die auf dem Transportband angeordneten Andruckelemente ist der Brieftransport schlupffrei und das während des Transportes abgeleitete Inkrementalgebersignal beeinflußt die Druckbildqualität positiv. Eine solche Maschine kann mit intergrierter Waage oder für größere Poststücke mit einer externen Waage arbeiten. Bei einer solchen Frankiermaschine, die höhere Abmaße aufweist, muß eine Chipkarten- Schreib/Leseeinheit so angeordnet und betrieben werden, daß mit sequentiell einsteckbaren Chipkarten problemlos gearbeitet werden kann. Dies ist insbesondere auch dann angebracht, wenn der Umfang der Änderungsdaten zu groß für nur eine Chipkarte ist bzw. wenn eine für einen solchen Datenumfang angepaßte Chipkarte teuerer wäre, als mehrere preisgünstige Chipkarten mit kleinem Datenumfang.

Die Chipkarten werden üblicherweise vom Chipkartenhersteller und Frankiermaschinenhersteller initialisiert. Es ist jedoch für den Frankier­ maschinenhersteller aufwendig, dabei spezielle Kunden-Chipkarten zu erzeugen. Eine den geltenden Tarifen angepaßte Information betreff der Portogebühren muß dem einzelnen Benutzer einer Frankiermaschine zwar mitgeteilt werden, betrifft aber alle Benutzer von Frankiermaschinen. Eine nichtpersonalisierte Chipkarte hätte den Vorteil einer auch kurzfristig durchführbaren Massenproduktion unmittelbar vor einer Tarifänderung. Bei einer frei verkäuflichen nichtpersonalisierten Nachladekarte besteht jedoch die Möglichkeit, daß Benutzer von Frankiermaschinen die Nach­ ladeinformation von anderen Benutzern erhalten haben, ohne den wirklichen Dienstleister adäquat zu vergüten. Einerseits kann eine Abnahmepflicht von Nachladekarten nicht durchgesetzt werden, weil dem Benutzer zugemutet würde, auch solche Informationen zu kaufen, die er gar nicht braucht. Das ist insbesonders der Fall, wenn die Nachlade­ information nur in Details geändert wurde, welche nicht für alle Benutzer relevant sind. Schließlich ist es auch technisch unnötig nur wegen einiger geänderter Details eine ganze Tabelle auszutauschen. Andererseits existieren bereits handelsübliche Programmiergeräte, mit welchen Chipkarten gebrannt werden können. Schließlich wäre eine Datenbank mit teuerer Datenbankpflege nur deswegen erforderlich, um einen Mißbrauch zu verhindern.

Für einige spezielle Chipkartenanwendungen besteht nur ein stark abge­ schwächtes Sicherheitsinteresse zum Schutz bzw. der Verwertung der auf der Chipkarte vorhandenen Daten. So ist grundsätzlich für jede Anwen­ dung eine Abschätzung des Angreiferpotentials bzw. der Angreiferklassen erforderlich, um mit geeigneten, vom Aufwand her angemessenen, Maßnahmen den erwünschten Sicherheitslevel zu erreichen. Dabei gilt das Motto: "so viel wie nötig, so wenig wie möglich". Eine eingeschriebe­ ne Frankiermaschinen-Benutzungs-Nummer würde einem Angreifer zu offensichtlich die Benutzerkennung offenbaren. Somit muß eine gewisse Hemmschwelle für Raubkopierer aufzubaut werden.

Chipkarten haben oft nur einen stark begrenzten Speicherplatz. Das gilt insbesondere für die preiswerten Chipkarten. So sind Speicherkarten üblicherweise nur mit einigen hundert Bits an Speichergröße ausgeführt. Dieser Speicherplatz reicht nicht aus, um tarifspezifische Daten im gesamten Umfang aufzunehmen. Zum Schutz von Dateninhalten und unbefugter Verwendung von Chipkarten gibt es zahlreiche Sicherungs­ verfahren, die zum Teil auf zugriffsgeschützten physikalischen Bereichen der Chipkarten und zum Teil auf unterschiedlichen kryptografischen Sicherungs-Algorithmen beruhen. Nachteil dieser Verfahren ist, daß ein hoher Initialisierungsaufwand z. B. zur Individualisierung der Karten mittels PIN-Vergabe oder zur Schlüsselverwaltung bei kryptografischen Verfahren getrieben werden muß. Bekannte Sicherungsverfahren sind ungeeignet, insofern sie viel zusätzlichen Speicherplatz auf der Chipkarte erfordern. Das Löschen der Daten auf der Chipkarte nach derer einmaligen Benutzung, erfordert zwar keinen zusätzlichen Speicherplatz auf der Chipkarte, muß aber dennoch außer Betracht bleiben, weil das Verfahren eine wiederholte Benutzung der Nachladekarte an derselben Frankiermaschine ausschließen würde. Eine erneute Benutzung der Nachladekarte an derselben Frankiermaschine ist im Fehlerfall zum Recovering erforderlich, wenn die betreffenden Daten in der Frankierma­ schine verlohren gegangen sind und wiederhergestellt werden müssen. Eine wiederholte Benutzung der Nachladekarte an derselben Frankier­ maschine kann bei Bedarf zum Zwecke einer Vordatierung von Post erforderlich werden, insbesondere wenn in der Zeitspanne zwischen normaldatierter Post und vordatierter Post ein Tarifwechsel gültig wird.

Bei der Vordatierung von Post auf ein zukünftiges Datum, welche durch einen ausgewählten Postbeförderer befördert werden soll, wird Post bereits mehrere Wochen oder Tage vor einer Beförderung massenhaft frankiert und bis zum Beförderungstermin in einem Vorratslager gelagert. Eine entsprechende befördererbezogene Chipkarte lädt befördererbe­ zogene Nachladedaten in die Frankiermaschine. Nach Beendigung der einen Frankieraufgabe ist eine neue Frankieraufgabe zu erledigen. Zu diesem Zweck kann eine andere befördererbezogene Chipkarte beför­ dererbezogene Nachladedaten in die Frankiermaschine laden. Weil die Frankiermaschine nicht alle Daten aller Beförderer laden und vorrätig halten kann, wird eine wiederholte Benutzung der Nachladekarte erforder­ lich, um eine vordatierte Postbearbeitung im Wechsel durchzuführen.

Der Erfindung liegt die Aufgabe zugrunde, ein betrugssicheres Verfahren und eine Frankiermaschine mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen tariflicher Änderungsdaten per Chipkarte in eine Frankier­ maschine oder in eine Waage zu schaffen. Einerseits sollen eine gut zu­ gängliche Chipkarten-Schreib/Leseeinheit und eine zugehörige Steuerung in der Frankiermaschine eingesetzt und dem Benutzer ein Satz an unpersonalisierten Chipkarten zur Verfügung gestellt werden, die eine Nachladung von Informationen zur Ausführung von Frankiermaschinen­ funktionen bzw. für deren kombinierte Anwendung so oft, wie erforderlich, erlauben. Andererseits soll bei Weitergabe der gebrauchten Chipkarte ein Schutz vor Mehrfachverwendung ein und derselben Chipkarte in anderen Frankiermaschinen geschaffen werden.

Die Aufgabe wird mit den Merkmalen der Ansprüche 1 bzw. 4 und 6 gelöst.

Erfindungsgemäß verändert ein postalisches Gerät, insbesondere eine Frankiermaschine, vor der Verwertung der auf einer ersten Chipkarte gespeicherten Daten dieselben Daten mit Hilfe eines bestimmten Krypto- Algorithmus und eines eigenen geräte-spezifischen ersten Schlüssels derart, daß nur noch mit Hilfe eben dieses Schlüssels die Daten dekryptifiziert werden können.

Die Nutzdaten sind in einem ersten Speicherbereich der vorgenannten Chipkarte gespeichert und umfassen die Restnutzdaten und veränder­ liche Daten bzw. nach der Erstbenutzung ein Krypto-Code. Alternativ können Teildaten derselben oder mindestens abgeleitete Funktionen aus diesen Daten oder Teildaten in vorbestimmter Weise verändert werden, um diese dann als Code in einem Speicherbereich wieder einzuschrei­ ben. Das Schreiben eines auf Ausgangsdaten basierenden Codes kann zum Zweck der Verifizierung der Authentizität der Chipkartendaten ver­ wendet werden, bevor die Chipkartendaten frankiermaschinenintern ein weiteres mal verwendet werden. In einem zweiten Speicherbereich der Chipkarte ist zur Autorisation der Nutzdaten ein Code bzw. nach der Erst­ benutzung ein anderer Code gespeichert. Ein zweiter Schlüssel ist in versteckter Form in der Chipkarte gespeichert. In allen Frankiermaschi­ nen wird ebenfalls ein gleicher zweiter Schlüssel auslesegesichert ge­ speichert. Beispielsweise kann der zweite Schlüssel mit der Daten-Check­ summe in vorbestimmter Art verwürfelt oder funktionell verknüpft sein, so daß mit jeder neuen Tariftabelle auch der Schlüssel ein anderes Erschei­ nungsbild bekommt. In jeder Frankiermaschine existiert ein dritter Schlüs­ sel, welcher zum zweiten Schlüssel ein vorbestimmtes Verhältnis hat.

Erfindungsgemäß wird dieser zweite Schlüssel - ähnlich einem rekursiven Verfahren - durch den dritten Schlüssel mit kodiert, wodurch der Über­ prüfungsvorgang zur Authentizität in gesicherter (Frankiermaschinen-)­ Geräteumgebung abläuft, ohne daß der zweite Schlüssel bei dem Vorgang die Frankiermaschine verläßt oder dessen Tarnung aufgehoben wird. Geräte-intern erfolgt nun nach Dekodierung der Daten, oder Datenteile oder Datenfunktionen die Verifikation der Datenauthentizität mindestens aufgrund der Überprüfung eines vorbestimmten Verhältnisses zwischen dem versteckten zweiten Schlüssel der Chipkarte und dem dritten Schlüssel der Frankiermaschine. Zusätzlich kann auch die über die uncodierten Chipkartendaten gebildete Checksumme in mit dem zweiten Schlüssel in vorbestimmter Weise modifizierter Form zur Authentizitäts­ prüfung herangezogen werden. Das erfordert eine verschachtelte Prüfung gegenseitig abhängiger Daten, die ein vorbestimmtes Verhältnis zuein­ ander haben. Nach Benutzung der Chipkarte verbleiben die Daten erfin­ dungsgemäß in einer durch den ersten frankiermaschinen-spezifischen Schlüssel modifizierten Form, was bei einer weiteren Benutzung der Chipkarte an einer anderen Frankiermaschine einerseits eine sinnvolle Datennutzung ausschließt und andererseits beim Versuch zur Sperrung der Chipkarte bzw. der Frankiermaschine führt.

Die Erfindung schafft insbesondere ein Chipkarten/Frankiermaschinen- System, so daß ein automatisches Nachladen einer Frankiermaschine einerseits nach dem Einstecken einer hinsichtlich ihres Types erkennbaren Nachlade-Chipkarte in eine Chipkarten-Schreib/Leseeinheit erreicht werden kann, ohne daß dieselbe Chipkarte nach dem Einstecken in eine Chipkarten-Schreib/Leseeinheit einer anderen Frankiermaschine dort ebenfalls ein Nachladen verursacht. Es ist vorgesehen, daß der Krypto-Code in der Frankiermaschine errechnet und in die Chipkarte eingeschrieben wird, so daß die Chipkarte nur noch für dieselbe Frankiermaschine brauchbare Daten liefert. Es ist weiterhin vorgesehen, daß ein MAC-Sicherungsverfahren eingesetzt wird, welches wenig Speicherplatz auf der Chipkarte erfordert und dennoch die Authentizität der Chipkartendaten maschinell zu überprüfen gestattet.

Das Chipkarten/Frankiermaschinen-System ist vorteilhaft beliebig erweiterbar bzw. modifizierbar. Ein anderer eingesteckter Chipkartentyp kann von der Frankiermaschine erkannt und entsprechend ausgewertet werden. Die Frankiermaschine kann somit vorteilhaft mit einem möglichst preiswerten Chipkartentyp je Anwendungsart betrieben werden.

Eine hinter der Führungsplatte angeordnete Chipkarten-Schreib/Leseein­ heit ist auch ausreichend gut zugänglich. Beim Einsteckvorgang ist die Chipkarte gut sichtbar und der Typ der gerade einzusteckenden Chipkarte kann somit auch vom Benutzer leicht anhand einer entsprechenden Kennzeichnung ermittelt werden.

Für eine Daten-Update-Anwendung im Frankiermaschinenbereich kann zum einen eine Auslieferung von inhaltsidentischen unpersonalisierten Chipkarten als Massenware erfolgen, wobei es dem Auslieferer obliegt, Maßnahmen zum Schutz der originären Chipkarten vor unerlaubten Kopierens bis zum ersten Nachladen zu treffen. Eine gewisse Hemm­ schwelle für Raubkopierer wird weiterhin dadurch aufgebaut, daß ein spezieller, insbesondere seltener und damit schwer beschaffbarer, Kartentyp zum Einsatz kommt. Zum anderen ist jedoch sichergestellt, daß nach erstmaliger Benutzung der Karte durch eine Frankiermaschine dieselbe nur noch an diesem spezifischen Gerät verwendet werden kann und daß eine Datennutzung an anderen Frankiermaschinen nicht mehr möglich ist. Die Weitergabe des Dateninhaltes einer einmalig zum Nachladen bereits benutzten Chipkarte zur Mehrfachnutzung an anderen Frankiermaschinen wird somit unterbunden.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:

Fig. 1a Details der Speicherbereiche der unpersonalisierten Chipkarte,

Fig. 1b Satz an Chipkarten unterschiedlichen Typs,

Fig. 2 Blockschaltbild der Frankiermaschine,

Fig. 3 Perspektivische Ansicht der Frankiermaschine von hinten,

Fig. 4a Darstellung der Datenstruktur vor der erstmaligen Nachladung,

Fig. 4b Darstellung der Datenstruktur nach der erstmaligen Nachladung,

Fig. 5a, b Ablaufplan für eine Steuerung durch den Mikroprozessor beim Datennachladen mittels einer Chipkarte.

In der Fig. 1a ist eine Chipkarte 49 mit Kontaktfeld dargestellt. Unter letzterem befindet sich bekanntlich der Speicherchip, dessen Speicher­ bereich in ungeschützte und geschützte Bereiche aufgeteilt ist. Die Nutz­ daten sind im ungeschützten Bereich und ein Message Authentification Code MAC ist im geschützten Bereich gespeichert. Diese Chipkarte 49 gehört zum Typ b. Es sind weitere Chipkarten die zu anderen Typen gehören für die Anwendung im postalischen Gerät, insbesondere in einer Frankiermaschine, vorgesehen. Die Frankiermaschine wird deshalb ausgestattet mit einer entsprechenden Chipkarten-Schreib/Leseeinheit für eine Vielzahl an Typen geliefert.

Das Verfahren zum Nachladen von Änderungsdaten per Chipkarte in eine Frankiermaschine, beginnt mit einem erstmaligen Einstecken einer ersten Chipkarte 49 in eine Chipkarten-Schreib/Leseeinheit, automatischer Typerkennung und Nachladen von Nutzdaten aus der ersten Chipkarte 49 in die Frankiermaschine. In der Frankiermaschine erfolgt ein Verändern von Daten aus den geladenen Nutzdaten in vorbestimmter Weise. Im Ergebnis des ersten Nachladens erfolgt ein Einschreiben von in vorbestimmter Weise in der Frankiermaschine veränderten Daten in die Chipkarte 49. Beim Einstecken einer zweiten Chipkarte 47 in die Chipkarten-Schreib/Leseeinheit erfolgt nach automatischer Typerkennung ebenfalls ein Nachladen von Daten aus der zweiten Chipkarte 47 in die Frankiermaschine. Dabei werden teilweise Daten überschrieben oder gelöscht. Das hat folgenden Hintergrund: Die Postbehörde kann die breite Palette an Leistungen selbst erbringen oder Subunternehmen bzw. private Postbeförderer beauftragen, eine Beförderung von Post, beispielsweise Kurierpost, vorzunehmen. Die Postabholung und/oder deren Eil-Zustellung erfolgt nun durch das Subunternehmen, das folglich auch eine Vergütung nach eigenen Tarifen für diese spezielle Dienstleistung verlangt. Die Postsendungen können bei Nachladung des Postbefördererkennzeichens und der entsprechenden Portogebühren des Subunternehmens bzw. privaten Postbeförderers dann weiterhin mit Frankiermaschinen freigestempelt werden.

Die vorgenannte erste Chipkarte 49 enthält für alle übrigen Postbeför­ dererleistungen die Portogebühren entsprechend des Tarifs der Post­ behörde und ein Postbefördererkennzeichen. Beim später wiederholten Einstecken der ersten Chipkarte 49 erfolgt eine automatische Typ­ erkennung und ein Datenladen von der Chipkarte 49 in die Frankiermaschine. Die Nachladung betrifft die Gebühren gemäß des gültigen Tarifes für diese spezielle Dienstleistung des Postbeförderers und sie betrifft Daten oder die Nummer des Postbefördererkennzeichens. Somit können die ursprünglichen Daten rekonstruiert werden, um anschließend wieder so, wie zu Beginn, mit der Frankiermaschine mit dem Stempelbild und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln. Solche Poststücke können weiterhin in jedem Postamt aufgegeben werden. Bei diesem später wiederholten Einstecken ist wieder ein anschließendes Einschreiben von in vorbestimmter Weise in der Frankiermaschine veränderten Daten in die Chipkarte vorgesehen, welche infolge dessen weiterhin nur für dieselbe Frankiermaschine brauchbare Daten liefert.

Für jeden Chipkartentyp ist mindestens eine Anwendung von möglichen Betriebsfunktionen einer Frankiermaschine vorgesehen und der Mikro­ prozessor ist programmiert, die Anwendungsart am Chipkartentyp zu unterscheiden.

Für eine Anzahl von Chipkarten vom Typ a besteht eine hierarchische Struktur, die - wie in der Fig. 1b gezeigt wird - ausgehend von einer ersten Chipkarte vom Frankiermaschinenbenutzer beliebig erweiter- und änderbar ist. Die erste Chipkarte 50 steht auf der obersten Hierarchie­ stufe und wird nachfolgend mit Master-Karte bezeichnet. Die in der Gruppe 51 bezeichneten zweiten Chipkarten stehen auf der ersten Hierarchiestufe, die in der Gruppe 52 bezeichneten weiteren Chipkarten stehen auf der zweiten Hierarchiestufe, die in der Gruppe 53 bezeich­ neten nachfolgenden Chipkarten stehen auf der dritten Hierarchiestufe, u. s. w., wobei solche Karten aus diesen Gruppen von Chipkarten auch als Folge-Karten bezeichnet werden, für welche stufenweise die Funktionen­ anwendungsberechtigung in wählbarer Weise limitiert und tabellarisch ge­ speichert ist. Die Karten der untersten Hierarchiestufe sind im Funk­ tionenanwendungsumfang am weitesten beschränkt. Jede Karte enthält eine fortlaufende Nummer zu der in der Frankiermaschine Funktionen­ anwendungsprogramme gespeichert sind, wobei die Zuordnung für den autorisierten Benutzer frei programmierbar ist. Der Schutz der Karten vor Auslesen der fortlaufenden Nummer ist in bekannter Weise durch PIN oder andere Sicherheitsalgorithmen möglich. Bei Verlust der Master-Karte ist nur über eine Information des Frankiermaschinenherstellers und bei entsprechenden Nachweis der Authentizität ein Ersatz möglich. Das Sperren bzw. die Freigabe aller anderen Karten ist durch die Master-Karte möglich. Eine weitere Sicherheit bei der Initialisierung des Systems mit Hilfe der Master-Karte ist dadurch möglich, daß nur physisch vorhandene Karten initialisierbar sind, dadurch werden die geheimen fortlaufenden Nummern der Karten geschützt. Bei einem Folgekarten-Verlust kann ein Sperren des entsprechenden Speicherbereiches in der Frankiermaschine erfolgen.

Die Chipkarten vom Typ b dienen zum Nachladen von Tabellendaten, insbesondere von tariflichen Änderungsdaten. Eine Chipkarte 49 kann die gegenwärtig gültige Version und eine Chipkarte 48 kann vorbestimmte Änderungsdaten für eine zukünftig gültige Version einer Portogebühren­ tabelle enthalten. Die zukünftig gültige Version kann beim Frankieren von Poststücken zur Erzeugung von vordatierten Poststücken erforderlich werden. Danach kann die Änderung mittels der Chipkarte 48 durch Laden mittels der Chipkarte 49 wieder rückgängig gemacht werden. In vorteil­ hafter Weise muß somit der Speicherplatz in der Frankiermaschine für Portogebührentabellen nicht erweitert werden, sondern kann auf eine optimale Größe beschränkt bleiben. Das ist besonders für eine Multi- Carrier-Frankiermaschine vorteilhaft, welche die Tarife von mehreren Postbeförderen zur Verfügung haben bzw. berücksichtigen soll. Dafür existieren weitere Chipkarten 47, mit Daten entsprechend der anderen Tarifstruktur anderer Postbeförderer usw. zum befördererbezogenen Nachladen tariflicher Änderungsdaten.

Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankier­ maschine, mit einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungsdaten per Chipkarte und mit einer Druckeinrichtung 20, welche von einer Steuereinrichtung 1 gesteuert wird, ausgestattet.

Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Daten­ satzes CK in die Frankiermaschine für mindestens eine Anwendung, wobei die Steuereinrichtung 1 ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Steuergerät 90 aufweist. Es ist vorgesehen, daß das Steuergerät 90 der Frankier­ maschine mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 des Steuergerätes 90 programmiert ist,

Es ist weiterhin vorgesehen, daß der Mikroprozessor programmiert ist, die Anwendungen am Chipkartentyp zu unterscheiden, wobei für jeden Chipkartentyp mindestens eine Anwendung von möglichen Betriebs­ funktionen einer Frankiermaschine vorgesehen ist. Der Mikroprozessor ist programmiert, zum Nachladen und zum Verändern von Daten N' aus den geladenen Nutzdaten N und zur Überprüfung der Autorisation der Nutzdaten, wobei die Nutzdaten in einem ersten Speicherbereich CC1 der Chipkarte gespeichert sind und die Restnutzdaten N* und veränderliche Daten N' bzw. nach der Erstbenutzung ein Krypto-Code KC umfassen, wobei in einem zweiten Speicherbereich CC2 der Chipkarte zur Autorisation der Nutzdaten ein Code MAC2 bzw. nach der Erstbenutzung ein anderer Code MAC1 gespeichert vorliegt. Der Krypto-Code KC wird in der Frankiermaschine errechnet und in die Chipkarte eingeschrieben, so daß die Chipkarte nur noch für dieselbe Frankiermaschine brauchbare Daten liefert.

Die Fig. 2 zeigt ein Blockschaltbild zur Einstellung der Funktion der Frankiermaschine und zur Ansteuerung der Druckeinrichtung 20 mit einer Chipkarten-Schreib/Lese-Einheit 70 und mit der Steuereinrichtung 1 der Frankiermaschine. Die Steuereinrichtung 1 bildet das eigentliche Meter und umfaßt ein erstes Steuergerät 90, eine Tastatur 88 und eine Anzeigeeinheit 89 sowie einen ersten und zweiten anwendungs­ spezifischen Schaltkreis ASIC 87 und 97. Das erste Steuergerät 90 enthält einen ersten Mikroprozessor 91 und an sich bekannte Speichermittel 92, 93, 94 sowie einen Uhren/Datumsschaltkreis 95. Im nichtflüchtigen Speicher 94 sind Bereiche zur Speicherung der Abrech­ nungsdaten vorgesehen, die den Kostenstellen zugeordnet sind.

Der erste anwendungsspezifische Schaltkreis ASIC 87 bildet zusammen mit einem zweiten Mikroprozessor 85 und einem nichtflüchtigen Speicher 84 ein postalisches Sicherheitsmittel PSM 86. Das postalische Sicher­ heitsmittel PSM 86 wird von einem gesicherten Gehäuse umschlossen und weist eine schnelle serielle Schnittstelle zur Druckersteuerung 16 auf. Vor jedem Frankierabdruck erfolgt eine hardwaremäßige Abrechnung im ersten anwendungsspezifischen Schaltkreis ASIC 87. Die Abrechnung erfolgt unabhängig von Kostenstellen. Der zweite Mikroprozessor 85 enthält einen - nicht gezeigten - integrierten Festwertspeicher int.ROM mit dem speziellen Anwendungsprogramm, was für die Frankiermaschine von der Postbehörde bzw. vom jeweiligen Postbeförderer zugelassen ist. Das postalische Sicherheitsmittel PSM 86 kann so ausgeführt sein, wie in der europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde.

Beide vorgenannten ASIC's sind über den parallelen µC-Bus mindestens mit dem Steuergerät 90 und der Anzeigeeinheit 89 verbunden. Der erste Mikroprozessor 91 weist vorzugsweise Anschlüsse für die Tastatur 88, eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten- Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann das im nichtflüchtigen Speicher 84 des postalischen Sicherheitsmittels PSM 86 gespeicherte Guthaben erhöht werden.

Es ist vorgesehen, daß der zweite ASIC 97 eine serielle Schnitt­ stellenschaltung 98 zu einem im Poststrom vorschalteten Gerät 13, eine serielle Schnittstellenschaltung 96 zur Druckeinrichtung 20 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät 18 aufweist. Der nicht vorveröffent­ lichten deutschen Anmeldung 197 11 997.2 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripherie­ geräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.

Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS für den Tintenstrahldruckkopf 4, sowie zum Tintenstrahl­ druckkopf 4 der Maschinenbasis her. Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf und der RDS sind der nicht vorveröffentlichten deutschen Anmeldung 197 26 642.8 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruck­ kopfes und einer Reinigungs- und Dichtvorrichtung.

Einer der in der Führungsplatte 2 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brief­ transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck­ auslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11, 11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt.

Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahl­ drucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit, beispielsweise nach dem Push/Push-Prinzip taktil durch Druckpunkt signalisiert, Eject- Taste oder Display/Beeper-Meldung der Frankiermaschine, eine zuver­ lässige elektrische Kontaktierung von kontaktbehafteten Chipkarten gemäß ISO 7816 für mindestens 100.000 Kontaktierungszyklen sowie eine leichte Benutzbarkeit beim Stecken und Ziehen der Chipkarte. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprogram­ mierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur FM ist eine serielle Schnittstelle gemäß RS232- Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Eine Selbsttestfunktion mit Bereitschaftsmeldung wird nach Einschalten der Stromversorgung mittels Schalter 71 selbsttätig ausgeführt.

In der Fig. 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine ist mit einer Chipkarten-Schreib/­ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 2 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführ­ öffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 2 seitlich begrenzt.

Mit dem Einstecken einer Chipkarte 50 vom Typ a, die mit der Frankiermaschine zusammen ausgeliefert worden ist, wird eine vorbe­ stimmte Kostenstelle eingestellt. Beispielsweise wird die Kostenstelle 1 voreingestellt, auf welche die Buchung erfolgt, wenn per Tastatur keine anderen vorbestimmten Eingaben getätigt werden, um den Zugriff auf andere Kostenstellen zu erlangen. Die Frankiermaschine enthält in ihrem Programmspeicher 92 ein entsprechendes Anwendungsprogramm, so daß eine in die Chipkarten-Schreib/Leseeinheit 70 eingesteckte Chipkarte 50 eine Einstellung der Frankiermaschine für mindestens eine Funktions­ anwendung auf der höchsten Hierarchieebene gestattet. Eine derartige Chipkarte vom Typ a mit nur geringem Speicherplatz ist kostengünstig. Beispielsweise kann eine Speicherkarte mit 256 Byte nach ISO7816, insbesondere OMC240SP von der Firma Orga, verwendet werden.

Eine andere Chipkarte mit viel Speicherplatz wird nachfolgend mit Typ b bezeichnet. Beispielsweise kann eine I²CBus Speicherkarte mit 32 Kbyte nach ISO 7816, insbesondere AM2C256 von der Firma AMMI, verwendet werden. Diese enthält einen Chip AT24C256 von der Firma Atmel. Weitere Chipkarten werden nachfolgend mit Typ n bezeichnet. Beispiels­ weise kann eine einen Mikroprozessor aufweisende Chipkarte mit 8 Kbyte verwendet werden. Die weiteren Chipkarten der Typen b bis n betreffen beispielsweise folgende Funktionsanwendungen:

In der Fig. 4a erfolgt eine Darstellung der Datenstruktur im Zustand A der Datenspeicherung in den Speicherbereichen CC1 und CC2 der Chipkarte vor der erstmaligen Nachladung. Die im ungeschützten Bereich CC1 gespeicherten Nutzdaten N betreffen vorzugsweise eine Tariftabelle. Ein Teil der Nutzdaten bleibt immer unverschlüsselt. Diese Daten werden nachfolgend als Restnutzdaten N* bezeichnet. Ein anderer Teil N' der Nutzdaten ist nur vor dem erstmaligen Nachladen unverschlüsselt. Dieser Teil wird anschließend ersetzt, so daß sich hinsichtlich der Datenstruktur ein Zustand B gemäß Fig. 4b ergibt. Dabei werden durch ein Einschrei­ ben eines neuen Datensatzes CK' in die Chipkarte die Daten im Speicherbereich CC1 der Chipkarte in vorbestimmter Weise verändert. Der neue Datensatz CK' schließt nun im Speicherbereich CC1 der Chipkarte einen Krypto-Code KC ein. Bei jedem wiederholten Datenladen liefert somit die Chipkarte nur noch dann brauchbare Daten, wenn sie in die Schreib/Leseeinheit derselben Frankiermaschine eingesteckt ist.

Ein Message Authentification Code MAC2 ist im geschützten Speicher­ bereich CC2 der Chipkarte gespeichert und enthält einen mit einem zweiten Schlüssel K2 verschlüsselten Datenteil. Letzterer umfaßt die CRC-Checksumme ausgewählter Nutzdaten N' und den Code des zweiten Schlüssels K2, wobei CRC-Checksumme der ausgewählten Nutzdaten N' und der vorgenannte Message Authentification Code in vorbestimmter Weise mit einer geeigneten Rechenoperation verknüpft werden, die durch das Semikolon symbolisiert wird. Die zu einem Datensatz CK zusammengestellten Daten aus dem Chipkartenspeicher­ bereichen CC1 und CC2 der in den Einsteckschlitz 72 eingesteckten Chipkarte 49 werden geladen und bearbeitet, was anhand der Fig. 5a und b näher erläutert wird.

Der in der Fig. 4b gezeigte Zustand B der Datenspeicherung eines neuen Datensatzes CK' in der Chipkarte betrifft eine nach der erstmaligen Nachladung neu in die Chipkarte geladene Datenstruktur, die in den bisherigen Chipkartenspeicherbereichen CC1, CC2 gespeichert ist. Die Rest-Nutzdaten N*, die im ersten Bereich CC1 gespeichert sind, betreffen vorzugsweise Teile einer Tariftabelle. Hinzu kommen verwürfelt eingefüg­ te Datenteile. Beim Verwürfeln werden die mit einem ersten Schlüssel K1 zu einem Krypto-Code KC verschlüsselten Datenteile zwischen den Restnutzdaten versteckt. Sie sind also auf den Chipkartenspeicherbereich CC1 verteilt. Im geschützten Bereich CC2 ist neue Message Authentification Code MAC1 gespeichert. Letzterer wird durch Verschlüs­ seln des vorher gespeicherten Message Authentification Code MAC2 gebildet. Das Verschlüsseln erfolgt mit dem ersten Schlüssel K1 in der Frankiermaschine vor dem Laden und Speichern in der Chipkarte.

In der Fig. 5a ist ein Ablaufplan für eine Steuerung durch den Mikroprozessor der Frankiermaschine beim Datennachladen mittels einer Chipkarte teilweise dargestellt.

Nach einem Einschalten eines - nicht dargestellten - Netzteiles der Frankiermaschine mit dem Schalter 71, was im Schritt 100 vom Mikroprozessor 91 der Frankiermaschine registriert wird, signalisiert ein mit einer Kontaktiereinrichtung 74 der Chipkarten-Schreib/Leseeinheit 70 verbundener Mikroprozessor 75 dem Mikroprozessor 91 der Frankier­ maschine, wenn eine Chipkarte in den Einsteckschlitz 72 eingesteckt ist, was im Schritt 101 vom Mikroprozessor 91 der Frankiermaschine registriert wird. Zwischen der Chipkarten-Schreib/Leseeinheit 70 und der Chipkarte erfolgt dann eine Kommunikation nach einem ersten vorbestimmten Protokoll und eine Auswertung im Schritt 102, ob die Chipkarte als Typ a lesbar ist. Ist das der Fall, wird vom Abfrageschritt 103 auf einen Schritt 111 verzweigt, um einen Teil I eines Kennungs­ strings in den nichtflüchtigen Speicher 94 der Frankiermaschine zu laden, wobei durch den Mikroprozessor 91 der Frankiermaschine eine Aus­ wertung der Firmen-Kennnummer (Firmen-ID) vorgenommen wird. Nach einer Zugangsberechtigungsprüfung werden dann die Anwendungen freigegeben (Schritte 111-121 und 125-127). Wenn aber die Chipkarte als Typ a nicht lesbar ist, wird vom Abfrageschritt 103 auf einen Schritt 104 verzweigt, um eine Kommunikation nach einem zweiten vorbestimmten Protokoll und eine Auswertung im Schritt 104, ob die Chipkarte als Typ b lesbar ist vorzunehmen. Ist also die Chipkarte als Typ b lesbar, wird vom Abfrageschritt 105 zur weiteren Datenverarbeitung durch den Mikro­ prozessor 91 der Frankiermaschine auf einen Schritt 106 verzweigt. In vergleichbarer Weise werden gegebenenfalls weitere Protokolle durch­ laufen (Schritt 107), zur Feststellung im Abfrageschritt 108, ob die Chip­ karte als Typ n lesbar ist, um dann zum Datenladen und zur weiteren Datenverarbeitung durch den Mikroprozessor 91 der Frankiermaschine auf einen entsprechenden Schritt 109 zu verzweigen. Anderenfalls, wenn der Typ der Chipkarte nicht erkannt wird, erfolgt nach einer Fehler­ meldung im Schritt 110 eine Rückverzweigung auf den Schritt 101.

Gegenüber dem bisherigen Stand der Technik resultiert eine bessere Adaption an die jeweilige Anwendung. Dagegen gibt es bei der Lösung gemäß DE 42 13 278 C1 oder US 5,490,077 keine Typenunterschiede, d. h. die Chipkarten sind alle technisch und funktionell gleich und ein Zeit­ fenster für das Einstecken einer Chipkarte ist eine unveränderliche feste Zeitperiode. Im Unterschied zum DE 42 13 278 C1 oder US 5,490,077, wo die Reihenfolge festliegt und eine Chipkarte A zum Portogebühren­ tabellenladen vor einer Chipkarte B gesteckt werden soll, welche beispielsweise eine Kostenstelle einstellt, ist nun die Reihenfolge für das sequentielle Einstecken einer Anzahl von Chipkarten beliebig.

Der erfindungsgemäße Ablaufplan nach Fig. 5a gestattet also der Fran­ kiermaschine eine Unterscheidung nach verschiedenen Chipkarten-Typen vorzunehmen. Ein teurer Chipkarten-Typ muß somit nur in den Fällen eingesetzt werden, wo keine Alternative besteht. In vorteilhafter Weise wird ein entsprechend der Anwendungsart geeigneter Chipkarten-Typ gewählt.

Wenn die Datenverarbeitung durch den Mikroprozessor 91 der Frankier­ maschine in der durch den Chipkarten-Typ vorbestimmten Art und Weise durchgeführt wird, werden Überwachungen nach bestimmten Kriterien vorgenommen und die ggf. vorkommenden Fehler angezeigt (Schritte 122-124, 128-130, 154), bevor die Weiterbenutzung der Frankiermaschine unterbunden wird (Schritt 131).

Wenn vom Abfrageschritt 105 auf einen Schritt 106 verzweigt wird, kommt ein Chipkarten-Typ b zum Einsatz. Dieser ist dazu vorgesehen, um den in der Chipkarte 49 gespeicherten Datensatz CK in einen ersten Speicher­ bereich C1 des nichtflüchtigen Speichers 94 der Frankiermaschine zu laden. Der Datensatz CK läßt sich wie folgt darstellen:

CK := N; MAC2 (1)

Der unverschlüsselte Teil des Datensatzes CK enthält die zu ladenden neuen Nutzdaten N. Der verschlüsselte Teil des Datensatzes CK ist ein Message Authentification Code MAC2, welcher ebenfalls in die Frankiermaschine geladen wird. Das Semikolon zwischen beiden in o. g. Gleichung (1) entspricht einer speziellen Verknüpfung. Nur im einfachsten Fall hängen beide Teile aneinander. Beispielsweise eine Frankier­ maschine, welche von einem Schutzgehäuse umschlossen wird, hat im Speicherbereich C3 des nichtflüchtigen Speichers 94 einen dritten Schlüssel K3 gespeichert, welcher den Message Authentification Code entschlüsseln kann. Der Verschlüsselungsalgorithmus kann in einem weiteren Speicherbereich C4 des nichtflüchtigen Speichers 94 der geschützten Frankiermaschine gespeichert vorliegen. Der dritte Schlüssel K3 und der Verschlüsselungalgorithmus können auslesegesichert ge­ speichert sein. Der Mikroprozessor 91 ist vorzugsweise ein OTP-Typ (One Time Programmable).

In einer besonders sicheren Ausführungsvariante sind der erste und dritte Schlüssel K1, K3 und der Verschlüsselungalgorithmus im nichtflüchtigen Speicher 84 des postalischen Sicherheitsmittels PSM 86 gespeichert. Die erforderlichen Rechenoperationen, wie Ver- und Entschlüsselung, nimmt im postalischen Sicherheitsmittel PSM der Mikroprozessor 85 vor. Dieser kann ebenfalls ein OTP-Typ (One Time Programmable) sein. Der Algorithmus und die Schlüssel können im OTP-internen Nurlesespeicher auslesesicher gespeichert sein.

Der weitere Ablauf ist in der Fig. 5b dargestellt.

In einem ersten Schritt 141 wird ein Zähler zurückgesetzt Z := 0. Der Zähler ist ein separater Rundenzählerbaustein oder wird in Speicher­ zellen vorzugsweise des Uhren/Datumsbausteins 95 realisiert, wobei die Speicherzellen miteinander entsprechend logisch verknüpft und programmierbar sind.

Im zweiten Schritt 142 werden die Nutzdaten N aus dem ersten Speicherbereich CC1 und ein verschlüsselter Datensatzteil aus dem zweiten Speicherbereich CC1 des Chipkartenspeichers entnommen. Ein entsprechendes Programm im Nurlesespeicher 92 steuert das Daten­ laden und die nachfolgenden weiteren Rechenoperationen. Der Zustand A der Speicherung von Daten in einer Chipkarte liegt nur vor dem erstmaligen Nachladen von Daten in die Frankiermaschine vor. Die Nutzdaten umfassen Restnutzdaten N* und spezielle Nutzdaten N' nach Gleichung (2):

N := N*; N' (2)

Die speziellen Nutzdaten N' werden mit einem ersten Schlüssel K1 zum Krypto-Code KC verschlüsselt (3):

K1[N'] = KC (3)

Der verschlüsselte Datensatzteil MAC2 ist vorzugsweise ein mit einem zweiten Schlüssel K2 verschlüsselter Datenteil M2 und wird wie in (4) geschrieben:

MAC2 := K2[M2] = K2[K2; CRC(N')] (4)

Der verschlüsselte Datensatzteil MAC2 wird ebenfalls mit dem ersten Schlüssel K1 zu einem MAC1 verschlüsselt (5):

K1[MAC2] = MAC1 (5)

Abschließend werden im zweiten Schritt 142 die Nutzdaten N und nach Gleichung (4) und (5) verschlüsselten Datensatzteile aus dem Speicherbereich C1 in einen Speicherbereich C2 des nichtflüchtigen Speichers 94 kopiert.

Im dritten Schritt 143 wird der Zählerstand des Rundenzählers inkrementiert, zu Z := Z + 1.

Im vierten Schritt 144 wird mittels des in der Frankiermaschine gespeicherten dritten Schlüssels K3 im Rahmen eines reversiblen Verschlüsselungsverfahrens ein Entschlüsselungsversuch unternommen. Dazu wird aus dem Speicherbereich C1 der Datensatzteil MAC2 entnommen, der zuvor aus dem zweiten Chipkartenspeicherbereich geladen worden ist. Dieser Datensatzteil MAC2 gemäß Zustand A ist mit dem zweiten Schlüssel K2 verschlüsselt. Mit einem reversiblen dritten Schlüssel K3 kann der verschlüsselte Datensatzteil MAC2 zum entschlüsselten Datenteil M2 entschlüsselt werden. Der entschlüsselte Datensatzteil wird im Arbeitsspeicher RAM zwischengespeichert. Bei einem reversiblen Verschlüsselungsalgorithmus kann der zweite Schlüssel K2 identisch mit dem dritten Schlüssel K3 sein. Vorzugsweise wird ein geheimes Zwischenergebnis im OTP-internen Arbeitsspeicher RAM auslesesicher zwischengespeichert. Für den entschlüsselten Datenteil M2 ergibt sich (3) somit:

M2 := K2; CRC(N') (6)

Letzterer umfaßt die CRC-Checksumme speziell ausgewählter Nutzdaten N' und den Code des zweiten Schlüssels K2. Das Semikolon zwischen beiden steht für eine bestimmte Rechenoperation zur Verknüpfung beider. Der Mikroprozessor 91 bzw. 85 ist zur Durchführung vorgenannter Rechenoperation und zur Durchführung einer entsprechenden Umkehr- Rechenoperation programmiert.

Auf den unverschlüsselten Teil des gespeicherten Datensatzes CK im Speicherbereich C1 des nichtflüchtigen Speichers 94 der Frankier­ maschine wird im fünften Schritt 145 zugegriffen. Dabei werden mittels einer Maske oder mittels der entsprechenden Rechenvorschrift vorbestimmte spezielle Nutzdaten N' ausgewählt sowie danach die ausgewählten Nutzdaten N' zu einer CRC-Checksumme verarbeitet.

Im sechsten Schritt 146 wird nun durch die entsprechende Umkehr- Rechenoperation die Checksumme CRC(N') vom Datenteil M2 abge­ trennt. Beispielsweise kann zur Abtrennung die berechnete Checksumme CRC(N') vom Datenteil M2 subtrahiert werden, wenn im Datenteil M2 der zweite Schlüssel K2 und die ursprüngliche Checksumme CRC(N') additiv verknüpft waren (7):

M2 - CRC(N') = K

{K2 + CRC(N')} - CRC(N') = K (7)

Im siebenten Schritt 147 wird der verbleibende Rest K mit dem frankier­ maschinen-intern gespeicherten dritten Schlüssel K3 verglichen. Dabei kann festgestellt werden, ob beide Schlüssel zueinander ein vorbestimmtes Verhältnis haben. Nur im einfachsten Fall wird auf Gleichheit geprüft (8):

K3 = K? (8)

Ist vorbestimmtes Verhältnis festgestellt, im o. g. Fall ist also der Rest identisch mit dem zweiten Schlüssel K2 und gleich dem frankier­ maschinen-intern gespeicherten Schlüssel K3, kann ein neuer Datensatz CK' gebildet werden. Anderenfalls wird im achten Schritt 148 geprüft, ob der Zählerstand des Zähler schon den Wert zwei ereicht hat. Im ersten Durchlauf ist dies noch nicht der Fall. Zur Erzielung eines zweiten Durchlaufes wird dann über einen neunten Schritt 149, in welchem der Speicherinhalt des Speicherbereiches C1 gewechselt wird, zum vor­ genannten zweiten Schritt 142 zurückverzweigt.

Im siebenten Schritt 147 wird für eine gültige erstmalig eingesteckte Chipkarte ein vorbestimmtes Verhältnis festgestellt und dann im Schritt 150 auf den zweiten internen Speicherbereich C2 zugegriffen, um den neuen Datensatz CK' zu bilden. Für den neuen Datensatz CK' gilt (9:

CK' := N*; KC; MAC1 (9)

Dieser kann nun im Schritt 151 in die Chipkarte geladen, d. h. im Chipkarten-internen Speicher nichtflüchtig gespeichert werden und repräsentiert zugleich den Zustand B gemäß Fig. 4b. Im Schritt 152 werden dann die Nutzdaten N aus dem ersten internen Speicherbereich C1 entsprechend dem jeweiligen Anwendungsfall in den Arbeitsspeicher oder in einen weiteren nichtflüchtigen Speicher der Frankiermaschine übernommen. Anschließend wird im Schritt 153 die Meldung über das erfolgreiche Updating abgegeben, beispielsweise in Form einer Anzeige oder durch einen Beeper signalisiert.

Der in Fig. 4b gezeigte Zustand B liegt bei jedem weiteren Nachladen vor.

Der unverschlüsselte Teil des Datensatzes CK' enthält Rest-Nutzdaten N*, d. h. die neuen Nutzdaten N ohne die vorbestimmten Nutzdaten N'. Diese Rest-Nutzdaten N* werden durch verschlüsselte Nutzdaten des Krypto Codes KC ergänzt und dann zusammen im Speicherbereich CC1 der Chipkarte 49 gespeichert. Auf bestimmte Weise werden die verschlüsselten Nutzdaten des Krypto Codes KC verwürfelt in die Restnutzdaten eingefügt. Dafür wird eine spezielle Rechenoperation oder Maske benutzt. Die spezielle Rechenoperation wird im neuen Datensatz CK' wieder durch ein Semikolon symbolisiert und beispielsweise so ausgeführt, daß ein verwürfelter Datenteil entsteht. Die Restnutzdaten N* im neuen Datensatz CK' sind für ein Frankieren nach gültigen Portogebührentarifen zwar notwendig aber nicht hinreichend.

Somit muß beim nächsten Einstecken der Karte ein verwürfelter Datenteil entwürfelt werden, um den Krypto Code KC zu erhalten. Aus letzterem können dann die unverschlüsselten vorbestimmten Nutzdaten durch Entschlüsselung zurückgewonnen werden. Die unter Verwendung des ersten Schlüssels K1 durch Entschlüsseln des Krypto Codes KC zurückgewonnenen vorbestimmten Nutzdaten N' können nun in der Frankiermaschine gespeichert und entsprechend verwendet werden.

Der verschlüsselte Teil des neuen Datensatzes CK' enthält einen weiteren Message Authentification Code MAC1. Letzterer wird nach der ersten Benutzung der Karte im Speicherbereich CC2 gespeichert. Mittels dieser Message Authentification Code kann die Chipkarte in Verbindung mit dem Stand des Rundenzählers und mit der Authentizitätprüfung auch auf ein Vorliegen des Zustandes A oder B geprüft werden.

Bei einer eingesteckten Chipkarte mit einem Datensatz gemäß Zustand B werden im ersten Durchlauf nachfolgende Rechenoperationen durchge­ führt. Im zweiten Schritt 142:

K1[KC] = N' (10)

K1[MAC1] = MAC2 (11)

mit Speicherung im Speicherbereich C2. Im vierten Schritt 144:

K3[MAC1] = M1 (12)

Im fünften und sechsten Schritt 145 und 146:

M1 - CRC(CK) = K (13)

Da im siebenten Schritt 147 kein vorbestimmtes Verhältnis zu K3 festgestellt wurde, werden für einen zweiten Durchlauf im neunten Schritt 149 die im Speicherbereich C2 gespeicherten Daten N*, N', MAC2 in den Speicherbereich C1 kopiert. Für den zweiten Durchlauf liegen also äquivalente Daten wie beim Zustand A vor und es werden nachfolgende Rechenoperationen durchgeführt. Im zweiten Schritt 142:

K1[N'] = KC (14)

K1[MAC2] = MAC1 (15)

mit Speicherung im Speicherbereich C2. Im vierten Schritt 144, aufgrund von Gleichung (6) und K3 reversibel zu K2 ergibt sich:

K3[MAC2] = M2 (16)

Im fünften und sechsten Schritt 145 und 146:

M2 - CRC(N') = K (17)

Im siebenten Schritt 147 wird nun ein vorbestimmtes Verhältnis des wertes K zu K3 festgestellt. In einer vereinfachten Ausführungsform wird die Gleichheit der Schlüssel K2 = K3 vorgesehen, dann ist K = K2 = K3. Somit kann also erst nach einer - in der ersten Runde - erfolgten Umwandlung des MAC1 in einen MAC2, in der zweiten Runde die Authentizität überprüft werden. Wird auch nach Durchlaufen der zweiten Runde, d. h. wieder im siebenten Schritt 147, die Authentizität nicht festgestellt und der Rundenzähler hat einen Zählstand = 2 erreicht, dann wird die Chipkarte als ungültig erkannt und es erfolgt im Schritt 154 eine Fehlermeldung: "ungültige Karte". Es ist somit vorgesehen, daß nach Durchlaufen von zwei Runden die Authentizität oder Nicht-Authentizität der Nutzdaten endgültig festgestellt werden kann. Die zweite Runde ist also bei einem in der Chipkarte vorliegenden Zustand B erforderlich, um im Schritt 142 erst den Code MAC1 und dann im Schritt 150 wieder den neuen Datensatz CK' bilden zu können, um im Schritt 151 letzteren in die Chipkarte laden zu können sowie um dann mit den in der ersten Runde im Schritt 142 aus dem Krypto-Code KC entschlüsselten und im Schritt 149 im ersten Speicherbereich C1 gespeicherten vorbestimmten Nutzdaten N' in Verbindung mit den Restnutzdaten N* arbeiten zu können (Schritt 152). In einer weiteren Ausführungsvariante können sich die Daten des Daten­ satzes CK' abhängig von der Benutzungsanzahl voneinander unter­ scheiden, wenn für den ersten Schlüssel ein gewechselter Code benutzt wird. Vor einer Fehlermeldung im Schritt 154 sind dann weitere Schritte durchzuführen, welche eine Entschlüsselung des Krypto-Codes bzw. die Authentifikation mit Hilfe anderer Code ausprobieren.

Mit den neuen Nutzdaten N der Chipkarte 49 können die nichtflüchtig gespeicherten Nutzdaten der Frankiermaschine aktualisiert werden. Letztere können nach ihrer Übernahme aus dem Speicherbereich C1 im Schritt 152 mindestens einem der weiteren Speicherbereiche Cn des nichtflüchtigen Speichers 94 der Frankiermaschine gespeichert werden und dort zur weiteren Verwendung vorliegen. Dabei können mit dem den Postbeförderer kennzeichnenden Teil der geladenen Nutzdaten N das Stempelbild befördererspezifisch geändert und mit dem tariflichen Teil der geladenen Nutzdaten N die gespeicherten Portogebührentabellen ganz oder teilweise aktualisiert werden.

Ebenso können mit dem tariflichen Teil der neuen Nutzdaten N der Chipkarte 47, 48 oder 49 die nichtflüchtig gespeicherten Nutzdaten einer Waage unter Leitung durch die Steuereinrichtung der Frankiermaschine aktualisiert werden, wie das bereits prinzipiell in der europäischen Anmeldung EP 724 141 A1 beschrieben worden ist. Das der Frankiermaschine im Poststrom vorgeschaltete Gerät 13 (Fig. 2) ist in diesem Fall eine portoberechnende Waage. Letztere enthält einen integrierten Portorechner mit nichtflüchtigen Speichern zur aktualisier­ baren Speicherung von Multicarrier-Portogebührentabellen. Das Aktuali­ sieren ist dann Bestandteil des in der Fig. 5b gezeigten Schrittes 152 zum Übernehmen der Nutzdaten. Der Mikroprozessor ist programmiert, den tariflichen Teil der Nutzdaten N aus dem Speicherbereich C1 zu deren Anwendung in entsprechende Speicherbereiche einer porto­ berechnenden Waage 13 zu laden.

Ein postalisches Gerät ist - ähnlich wie in Fig. 2 gezeigt - mindestens mit einer Steuereinrichtung 1, mit einer Chipkarten-Schreib/Leseeinheit 70 und mit einem postalischen Sicherheitsmittel 86 ausgestattet. Vorzugs­ weise kann ein mit entsprechenden Einschüben nachrüstbarer Computer zum postalischen Gerät nachgerüstet werden. Das Drucken erfolgt dann mit einem handelsüblichen Drucker.

Eine alternative Ausführungsvariante kann einen in oben genannter Weise nachgerüsteten Computer und einen angeschlossenen speziellen Frankierdrucker umfassen. In der nicht vorveröffentlichten deutschen Anmeldung 197 11 997.2 ist eine geeignete Ausführungsvariante vorgeschlagen worden, mit dem Titel: Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation. Der Personalcomputer müßte nur noch mit Chipkarten-Schreib/Lese­ einheit 70 und einem entsprechenden Anwendungsprogramm ausgestat­ tet werden. Hierzu könnte zum Beispiel der Einschub für das Modem genutzt werden.

Das postalisches Gerät ist mit einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungsdaten per Chipkarte und mit einer Steuer­ einrichtung 1 ausgestattet, an welcher eine Druckeinrichtung 20 ange­ schlossen ist, welche von der Steuereinrichtung 1 gesteuert wird. Die in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 einge­ steckte erste Chipkarte 49 gestattet das Nachladen eines Datensatzes CK in das postalische Gerät für mindestens eine Anwendung. Die Steuereinrichtung 1 weist einen Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 auf. Es ist vorgesehen, daß die Steuer­ einrichtung 1 des postalischen Gerätes mit der Chipkarten-Schreib/Leseeinheit 70 und mit einem postalischen Sicherheitsmittel 86 verbunden ist, wobei das postalische Sicherheitsmittel 86 einen anwendungs­ spezifischen Schaltkreis ASIC 87, einen nichtflüchtigen Speicher 84 und einen Mikroprozessor 85 aufweist, wobei der Mikroprozessor 85 des postalischen Sicherheitsmittels 86 programmiert ist,

Die Steuereinrichtung 1 des postalischen Gerätes ist beispielsweise die Steuereinrichtung einer Frankiermaschine oder ein Computer, welcher entsprechend umgerüstet und mit einer Frankiermaschine verbunden ist.

Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.