DE19830055B4 - Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens - Google Patents

Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens Download PDF

Info

Publication number
DE19830055B4
DE19830055B4 DE19830055A DE19830055A DE19830055B4 DE 19830055 B4 DE19830055 B4 DE 19830055B4 DE 19830055 A DE19830055 A DE 19830055A DE 19830055 A DE19830055 A DE 19830055A DE 19830055 B4 DE19830055 B4 DE 19830055B4
Authority
DE
Germany
Prior art keywords
terminal
data
postage
data center
service data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19830055A
Other languages
English (en)
Other versions
DE19830055A1 (de
Inventor
Frank Reisinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE19830055A priority Critical patent/DE19830055B4/de
Priority to EP99250182A priority patent/EP0969420B1/de
Priority to DE59913544T priority patent/DE59913544D1/de
Priority to US09/340,782 priority patent/US7577617B1/en
Publication of DE19830055A1 publication Critical patent/DE19830055A1/de
Application granted granted Critical
Publication of DE19830055B4 publication Critical patent/DE19830055B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00661Sensing or measuring mailpieces
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00354Setting of date
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/0037Calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00661Sensing or measuring mailpieces
    • G07B2017/00701Measuring the weight of mailpieces
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/0075Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00774MAC (Message Authentication Code), e.g. DES-MAC

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

Verfahren zur sicheren Übertragung von Daten an ein Endgerät, gekennzeichnet durch die Schritte,
– Bereitstellen (210) von neuen Dienstdaten in der Datenzentrale für eine zukünftige Verarbeitung basierend auf den Dienstdaten,
– Bilden (110) von Anforderungsdaten für Dienstdaten,
– erste Kommunikation (120) des Endgerätes mit einer Datenzentrale, umfassend ein Senden der Anforderungsdaten, um die neuen Dienstdaten von der Datenzentrale anzufordern, und umfassend ein Empfangen und Speichern der angeforderten Dienstdaten,
– erste Kommunikation (220) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Dienstdaten an das Endgerät,
– zweite Kommunikation (130) des Endgerätes mit einer Datenzentrale, umfassend ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale, welche auf die gespeicherten gültigen neuen Dienstdaten bezogen ist,
– zweite Kommunikation (230) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer...

Description

  • Die Erfindung betrifft ein Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät, gemäß des Oberbegriffs des Anspruchs 1 beziehungsweise gemäß des Oberbegriffs des Anspruchs 12 eine Anordnung zur Durchführung des Verfahrens nach Anspruch 1. Die Lösung bezweckt insbesondere die Sicherheit zu liefern, daß die Übertragung und Speicherung von einer neuen Portogebührentabelle in einem Portorechner ordnungsgemäß durchgeführt wird. Das Verfahren ist sowohl für Anwender von Frankiermaschinen vorgesehen, als auch für Portorechnerwaagen geeignet.
  • Aus DE 38 23 719 C2 und US 41 38 735 ist bekannt, daß ein Nachladen einer Tariftabelle für Portogebühren von einer entfernten Datenzentrale zu bestimmten Zeitpunkten veranlaßt wird. Wenn der Datenaustausch vom Server der Datenzentrale initiiert wird, muß die Frankiermaschine ständig angeschaltet bleiben, was natürlich nachteilig ist.
  • Alternativ wurde im US 5,490,077 bzw. im US 5,606,508 vorgeschlagen, das Datenladen von der Frankiermaschine on demand zu initiieren, wobei nach dem Einschalten der Frankiermaschine der Datenbestand in Abhängigkeit von Bedingungen (wie z.B. Name, Datum) aktualisiert wird. Um rechtzeitig die Mehrheit der Postkunden mit einer Tariftabelle auszustatten, wird letztere weit vor ihrem Inkrafttreten in einem Speicher eines Übertragungsmittels (Chipkarte bzw. Zelle eines GSM-Netzes) separat von der Frankiermaschine gespeichert. Beim Einschalten der Frankiermaschine wird das Datum des Kalenderbausteins der Frankiermaschine verwendet bzw. mit weiteren eingegebenen Bedingungen verknüpft, um die Tabelle auszuwählen, die bei Inbetriebnahme der Frankiermaschine in deren Speicher geladen wird. Beim Laden aus einem Speicher des Übertragungsmittels in den Speicher der Frankiermaschine erfolgt ein Aktualisieren der bisherigen Tabelle.
  • Aus dem US 5,710,706 ( EP 724 141 A1 ) ist eine Dateneingabe in eine Waage bekannt, welche mit einer Frankiermaschine schnittstellenmäßig verbunden ist, um Tariftabellendaten mit Daten zu aktualisieren. Das Laden der Daten erfolgt von einer entfernten Datenzentrale per Modem zur Frankiermaschine. Das Laden und Aktualisieren erfolgt unmittelbar aufeinanderfolgend. Wenn eine Information vorliegt, daß Tariftabellendaten zu aktualisieren sind, erfolgt ein Laden und ggf. unter Zwischenspeichern von Tariftabellendaten in der Frankiermaschine und ein sektorweises Löschen der alten Portotabelle im nichtflüchtigen Speicher der Waage vor dem Übertragen der neuen Tariftabellendaten aus dem Zwischenspeicher der Frankiermaschine zur Waage und dem Einschreiben der neuen Tariftabellendaten in den nichtflüchtigen Speicher der Waage. In der Waage können mehrere Tabellen gespeichert sein. Jedoch bezieht sich jede Tabelle auf einen separaten Postbeförderer (Carrier), welcher über Tastatur anwählbar ist. Das Mindestgültigkeitsdatum einer zu einer Carrier-Identifikations-Nummer CIN zugeordneten Tariftabelle wird gespeichert und von der Frankiermaschine ausgewertet, um bei Bedarf Anforderungsdaten zu bilden zum Laden von neuen Tariftabellendaten bzw. zur Aktualisierung im Speicher der Waage entsprechend der CIN.
  • Aus der US 5,448,641 ist postalisches Gebührensystem mit Gültigkeitsprüfung im Endgerät auf der Benutzerseite bekannt. Die Portotariftabelle wird von der Datenzentrale zum Endgerät übertragen. Auch ein zur Portotariftabelle zugehöriger Code wird von der Datenzentrale zum Endgerät übertragen. Letzteres generiert einen Vergleichs-Code aus einer Information basierend auf der empfangenen Portotariftabelle. Anhand des Vergleiches des empfangenen Codes mit dem generierten Vergleichs-Code kann im Endgerät die Gültigkeit der empfangenen Portotariftabelle überprüft werden. Damit kann zwar das Endgerät die übermittelte Portotariftabelle verifizierbaren, jedoch kann seitens der Datenzentrale nicht überprüft werden, ob die aktuelle Portotariftabelle vom Endgerät wirklich ordnungsgemäß gespeichert wurde. Im Streitfall könnte der Benutzer die Bezahlung der Dienstleistung verzögern oder verweigern, weil kein Beleg über die im Endgerät erfolgte Speicherung der Portotariftabelle existiert. Dem Frankiermaschinenhersteller bliebe somit eine Inspektion der Maschine vor Ort nicht erspart.
  • Aus dem EP 18129 B1 ist ein Verfahren zum Sichern von Daten auf einem Übertragungsweg zwischen einer Verarbeitungsstelle (CRT-Terminal) und einer davon entfernten Station (Host Computer) bekannt, wobei ein Terminal Access Modul (TAM) zwischen die Verarbeitungsstelle und dem Host Computer zwischengeschaltet ist, welches die Anrufe abfängt. Damit wird verhindert, dass ein Endgerät (CRT-Terminal) eines anonymen Anrufers vertrauliche Daten oder Programme des Host Computers abfängt und nutzt. Das TAM speichert in einer Datenbank ID/KEY-Paare der zum Zugriff auf den Host Computer berechtigten Terminals. Nach der Anwahl und bevor die eigentliche Übertragung von Nutzdaten beginnt, wird vom TAM die ID des anrufenden Terminals angefordert. Sobald die ID des Terminals abgeschickt und vom TAM empfangen wurde, sendet das TAM einen Sitzungsschlüssel (Ks) und eine Zufallszahl (INFO) als Nachricht mit einem Schlüssel K2 verschlüsselt zum anrufenden Terminal, welches die Nachricht mit dem gleichen Schlüssel K2 entweder entschlüsseln kann oder nicht (bei einem anonymen Anrufer). Dann wird vom Terminal die mit dem Sitzungsschlüssel Ks verschlüsselte Zufallszahl als Nachricht (INFO)Ks zum TAM zurückgeschickt. Dort wird zur Berechtigungsüberprüfung durch Entschlüsseln mit dem gleichen Sitzungsschlüssel Ks die Zufallszahl (INFO) zurückgewonnen und mit der in der zuvor gesendeten Nachricht enthaltenen INFO verglichen. Anschließend erfolgt die eigentliche Übertragung von Nutzdaten aus dem Host Computer in Form von mit dem Sitzungsschlüssel Ks verschlüsselten Nachrichten.
  • Aus dem EP 18081 B1 ist ein Verfahren zum Absichern von Frankiermaschinenvorgängen bekannt, wobei eine Berechnungsstation über eine nicht gesicherte Übertragungsverbindung mit einer Portodruckstation verbunden ist. Die in beiden Stationen erzeugten für Außenstehende unvorhersehbaren Signale werden zur Portodruckstation übertragen und dort miteinander verglichen. Bei Koinzidenz der Signale wird das Frankieren freigegeben.
    •
  • Es war die Aufgabe zu lösen, die Nachteile des Standes der Technik zu überwinden und eine Anordnung und ein Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät zu schaffen, um eine Überprüfung auf ordnungsgemäße Speicherung von Dienstdaten, insbesondere einer übermittelten Portotariftabelle, zu ermöglichen. Die Überprüfung soll automatisch möglichst ohne Zutun des Benutzers des Endgerätes erfolgen. Das Endgerät soll dabei nicht bzw. nicht unnötig lange blockiert werden.
  • Die Aufgabe wird mit den Merkmalen des Verfahrens nach dem Anspruch 1 bzw. mit den Merkmalen der Anordnung nach Anspruch 12 gelöst.
  • Die Erfindung geht von dem Bedürfnis einiger Postbeförderer aus, die Dienstdaten, insbesondere die Gebühren in Portotariftabellen, beliebig zu ändern. Die Dienstdaten werden in einem Verarbeitungsmodul im oder beim Endgerät benötigt. Die Dienstdaten schließen insbesondere die Gebühren in Portotariftabellen ein.
  • Das Verarbeitungsmodul ist ein elektronischer Portorechner. Beim Endgerät handelt es sich vorzugsweise um eine elektronische Frankiermaschine oder um eine Portorechnerwaage. Es ist vorgesehen, daß das Endgerät mit einem Portorechner verbunden ist und daß der Mikroprozessor das Endgerätes oder des Portorechners programmiert ist, eine Speicherung der neuen Portotariftabellendaten im Speicher des Endgerätes bzw. des Portorechners vorzunehmen und eine Prüfsumme über die gespeicherten neuen Portotariftabellendaten zu bilden und zur Datenzentrale zu übermitteln, sowie eine empfangene OK-Meldung auszuführen und das Endgerät oder den Portorechner in einen Betriebsmodus umzuschalten.
  • Es ist alternativ vorgesehen, daß der Mikroprozessor des Endgerätes oder des Portorechners programmiert ist, eine Zwischenspeicherung der neuen Portotariftabellendaten im flüchtigen Arbeitsspeicher des Endgerätes bzw. des Portorechners vorzunehmen und eine Prüfsumme über die zwischengespeicherten neuen Portotariftabellendaten zu bilden und zur Datenzentrale zu übermitteln, sowie bei sowie beim Empfang einer OK-Meldung eine Lade-Anweisung der Datenzentrale an das Endgerät auszuführen, die neuen Portotariftabellendaten in einen nichtflüchtigen Speicher eines Portorechners zu laden und dannach das Endgerät oder den Portorechner in einen Betriebsmodus umzuschalten.
  • Werden Dienstdaten benötigt, insbesondere eine geänderte Portotariftabelle in einem elektronischen Portorechner, kann folglich eine Ferninstallation erfolgen. Die Postbeförderer beauftragen jeweils eine Datenzentrale mit der Dienstleistung zur Ferninstallation, auf Anforderung Dienstdaten, zum Endgerät zu übermitteln, um diese in entsprechende Speicher des Verarbeitungsmoduls laden zu können. Bei einer solchen Ferninstallation kommt das erfindungsgemäße Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät mit folgenden Verfahrenschritten zum Einsatz:
    • – Bereitstellen von neuen Dienstdaten in der Datenzentrale für eine zukünftige Verarbeitung basierend auf den Dienstdaten,
    • – Bilden von Anforderungsdaten für Dienstdaten,
    • – erste Kommunikation des Endgerätes mit einer Datenzentrale, umfassend ein Senden der Anforderungsdaten, um die neuen Dienstdaten von der Datenzentrale anzufordern, und umfassend ein Empfangen und Zwischenspeichern der angeforderten Dienstdaten,
    • – erste Kommunikation der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Dienstdaten an das Endgerät,
    • – zweite Kommunikation des Endgerätes mit einer Datenzentrale, umfassend ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale, welche auf die zwischengespeicherten gültigen neuen Dienstdaten bezogen ist,
    • – zweite Kommunikation der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Dienstdaten generierten Vergleichsinformation und umfassend ein Senden einer Lade-Anweisung an das Endgerät, die neuen Dienstdaten in einen nichtflüchtigem Speicher eines Verarbeitungsmoduls zu laden.
  • In vorteilhafter Weise kann die Kommunikation von der Datenzentrale per Modem direkt mit dem Verarbeitungsmodul im Endgerät oder indirekt über das Endgerät mit dem Verarbeitungsmodul erfolgen.
  • Die zunächst flüchtig zwischengespeicherten gültigen neuen Dienstdaten werden vom Verarbeitungsmodul zu einer Prüfsumme verarbeitet. Dann wird eine Information gebildet, in die die Prüfsumme eingeht. Die Kommunikation des Endgerätes mit einer Datenzentrale, umfaßt während einer zweiten Transaktion ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale. Die zur Datenzentrale übermittelte Information enthält vorzugsweise eine Identifikation des Endgerätes (z.B. eine PIN), eine Versionsnummer und die Prüfsumme über die Dienstdaten oder eine verschlüsselte Prüfsumme bzw. eine Signatur. Damit können in vorteilhafter Weise in der Datenzentrale die im Verarbeitungsmodul bzw. Endgerät (zwischen-)gespeicherten neuen Dienstdaten identifiziert und deren ordnungsgemäße bzw. fehlerfreie (Zwischen-)Speicherung verifiziert werden.
  • Es ist vorgesehen, daß der Portorechner im Endgerät intergriert ist oder separat vom Endgerät angeordnet ist. Das Endgerät ist vorzugsweise eine Frankiermaschine, wobei ein symmetrischer Verschlüsselungs-Algorithmus zur Bildung einer verschlüsselten Prüfsumme und ein geheimer Schlüssel in der Frankiermaschine sicher gespeichert vorliegen.
  • Alternativ ist der Portorechner in eine Waage intergriert. Es ist vorgesehen, daß ein unsymmetrischer Verschlüsselungs-Algorithmus zur Bildung einer verschlüsselte Prüfsumme und ein öffentlicher Schlüssel in der Waage gespeichert ist, wobei der öffentliche Schlüssel ungesichert gespeichert vorliegt.
    •
  • Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
  • 1a, Blockschaltbild einer Frankiermaschine mit Portorechner,
  • 1b, Blockschaltbild der Frankiermaschine für eine OTP-Variante,
  • 1c, Blockschaltbild einer Frankiermaschine mit einer Portorechner-Waage,
  • 2, Flußplan für die sichere Übertragung von Daten.
  • 3a, 3b, Flußpläne für die Überprüfung der sicheren Übertragung von Daten.
  • Die 1a zeigt ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Druckermodul 1 für ein vollelektronisch erzeugtes Frankierbild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, weitere Eingabemittel 21 bzw. Waage 22 welche über einen Ein/Ausgabe-Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit nichtflüchtigen Speichern 5a, 5b bzw. 9, 10 und 11 für Daten, welche die variablen bzw. die konstanten Teile des Frankierbildes einschließen, und bzw. Programme zur Verarbeitung der Daten in Zusammenhang mit der Postbeförderungs- bzw. Dienstleistung, welche vom Carrier zu erbingen ist.
  • In der deutschen Patentanmeldung DE 19534530 A1 werden nähere Ausführungen zu einzelnen Funktionen der Mittel gemacht. Ein Charakterspeicher 9 liefert die nötigen Druckdaten für die variablen Teile des Frankierbildes zu einen flüchtigen Arbeitsspeicher 7. Die Steuereinrichtung 6 weist einen Mikroprozessor μP auf, der mit dem Ein/Ausgabe-Steuermodul 4, mit dem Charakterspeicher 9, mit dem flüchtigen Arbeitsspeicher 7 und mit nichtflüchtigen Arbeitsspeichern 5a, 5b (mit internen nichtflüchtigen Tarifspeicher) bzw. (gestrichelt gezeichnet) mit einem zusätzlichen nichtflüchtigen Tarifspeicher 16, mit einem nichtflüchtigen Arbeitsspeicher 10 und Programmspeicher 11, mit dem Motor einer Transport- bzw. Vorschubvorrichtung ggf. mit Streifenauslösung 12, einem Encoder (Codierscheibe) 13 sowie mit einem Uhren/Datums-Baustein 8 in Verbindung steht. Derjenige Speicherbaustein, welcher den nichtflüchtigen Arbeitsspeicher 5b umfaßt, kann beispielsweise ein EEPROM sein, der durch mindestens eine zusätzliche Maßnahme, beispielsweise Aufkleben auf der Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz, gegen Entnahme gesichert wird. Die Speicherung der Portotariftabellen kann separat oder beispielsweise innerhalb des nichtflüchtigen Speichers 5a realisiert werden, indem besondere Speicherbereiche bereitgestellt werden. Die einzelnen Speicher können in mehreren physikalisch getrennten oder in nicht gezeigter Weise in wenigen Bausteinen zusammengefaßt verwirklicht sein. Die zukünftig gültige Tariftabelle wird im entsprechend dafür eingerichteten vorgesehenen Speicherbereich 16-01 bzw. die bisher gültige Tariftabelle wird entsprechend im separat vorgesehenen Speicherbereich 16-02 gespeichert. Die verfügbare Speicherkapazität im nichtflüchtigen Speicher beträgt beispielsweise 20 kByte wird durch eine platzsparende Speicherplatzverwaltung optimal genutzt. Der nichtflüchtige Tarifspeicher ist vorzugsweise ein batteriegestützter C-MOS-RAM-Baustein. In einer bevorzugten Ausfürungsvariante schließt er einen dritten Speicherbereich 16-03 ein, in welchem die zur jeweilig gewünschten Portotariftabelle gebildete Prüfsumme zugeordnet zu einer Versionsnummer gespeichert vorliegt.
  • Der Abruf der Portotariftabellendaten aus der Datenzentrale erfolgt bedarfsweise oder im Zusammenhang mit der Fernnachladung der Frankiermaschine mit einem Guthaben (Portoabruf zwecks Nachkreditierung), wobei die Sicherheitsmaßnahmen der Guthaben-Nachkreditierung mit genutzt werden. Die Portotariftabellendaten werden zunächst im Speicherbereich 7d des flüchtigen Arbeitsspeichers RAM 7 der Frankiermaschine zwischengespeichert. Der Mikroprozessor 6 kann nun über den Inhalt der Portotariftabellendaten eine Prüfsumme bilden und per Modem 23 zur Datenzentrale DC über ein Kommunikationsnetz bzw. per Funk übermitteln. Die Datenzentrale besitzt Modems 33, die mit einem Server 32 verbunden sind, welcher auf eine Datenbank 31 zugreift.
  • Die anfordernde Frankiermaschine identifiziert sich bei der Datenzentrale mit ihrer PIN (Portoabruf Identifikation Nummer) und übermittelt die Versionsnummer zwecks Auffindung einer neuen Portotariftabelle in der Datenbank DB 31 der Datenzentrale, wobei eine Portotariftabelle der übermittelten Versionsnummer zugeordnet ist. Der Server 32 ist zur Überprüfung der ordnungsgemäßen Übertragung und fehlerfreien Zwischenspeicherung von Dienstdaten anhand der Prüfsumme programmiert, was anhand der 3a und 3b noch näher erläutert wird.
  • In der 1b sind Details des Blockschaltbildes der elektronischen Frankiermaschine für eine Variante mit OTP (One Time programmable Prozessor) in der Steuereinrichtung gezeigt, welche prinzipiell in der deutschen Patentanmeldung DE 19534530 A1 mit dem Titel: Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine, sowie näher in der deutschen Patentanmeldung DE 19731304.3-35 mit dem Titel: Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes, erläutert wurden. Die CPU 6a bildet die Prüfsumme aufgrund der übermittelten und flüchtig zwischengespeicherten Tabelle. Die Zwischenspeicherung der übermittelten Tabelle kann beispielsweise auch im internen Arbeitsspeicher iRAM 6b statt im flüchtigen Arbeitsspeicher RAM 7 oder unter Nutzung beider Arbeitsspeicher erfolgen.
  • In der 1c ist ein Blockschaltbild der elektronischen Frankiermaschine für eine Variante mit portoberechnender Waage dargestellt. Der Tarifspeicher 16 und der Portorechner sind hier Bestandteil der portoberechnenden Waage 22a. Letztere nutzt das Modem 23 der Frankiermaschine zur Kommunikation mit der Datenzentrale.
  • Wird eine geänderte Portotariftabelle in einem elektronischen Portorechner benötigt, kann eine Ferninstallation on demand erfolgen. Auf Anforderung ist eine Portotariftabelle zum Endgerät zu übermitteln, um diese in entsprechende Speicher des Portorechners laden zu können. Bei einer solchen Ferninstallation ist das erfindungsgemäße Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät in einer Ausführungsform mit folgenden Verfahrenschritten vorgesehen:
    • – Bereitstellen 210 von neuen Portotariftabellendaten in der Datenzentrale für eine zukünftige Portoberechnung,
    • – Bilden 110 von Anforderungsdaten für Portotariftabellendaten,
    • – erste Kommunikation 120 des Endgerätes mit einer Datenzentrale, umfassend ein Senden der Anforderungsdaten, um die neuen Portotariftabellendaten von der Datenzentrale anzufordern, und umfassend ein Empfangen und Speichern der angeforderten Portotariftabellendaten,
    • – erste Kommunikation 220 der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Portotariftabellendaten an das Endgerät,
    • – zweite Kommunikation 130 des Endgerätes mit einer Datenzentrale, umfassend ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale, welche auf die gespeicherten gültigen neuen Portotariftabellendaten bezogen ist,
    • – zweite Kommunikation 230 der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Portotariftabellendaten generierten Vergleichsinformation und umfassend ein Senden einer OK-Meldung an das Endgerät, wobei in Verbindung mit dem Senden einer OK-Meldung in der Datenzentrale ein Registrieren (Schritt 240) der Dienstleistung erfolgt.
  • Es ist vorgesehen, daß beim Empfang der OK-Meldung im Endgerät ein Markieren der gespeicherten Daten als gültig registriert erfolgt, als Vermerk, daß in der Datenzentrale ein Registrieren zur Bezahlung der Dienstleistung erfolgt. Im nichtflüchtigen Speicher des Portorechners wird zwecks Markierung entweder in einem gesicherten Bereich ein Bit gesetzt oder entsprechende MAC-gesicherte Daten gespeichert. Vom Mikroprozessor werden zur Portoberechnung nur gültig regitrierte Daten genutzt.
  • Bei einer alternativen Ausführungsform sind folgende Verfahrenschritte vorgesehen:
    • – Bereitstellen 210 von neuen Portotariftabellendaten in der Datenzentrale für eine zukünftige Portoberechnung,
    • – Bilden 110 von Anforderungsdaten für Portotariftabellendaten,
    • – erste Kommunikation 120 des Endgerätes mit einer Datenzentrale, umfassend ein Senden der Anforderungsdaten, um die neuen Portotariftabellendaten von der Datenzentrale anzufordern, und umfassend ein Empfangen und Zwischenspeichern der angeforderten Portotariftabellendaten,
    • – erste Kommunikation 220 der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Portotariftabellendaten an das Endgerät,
    • – zweite Kommunikation 130 des Endgerätes mit einer Datenzentrale, umfassend ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale, welche auf die zwischengespeicherten gültigen neuen Portotariftabellendaten bezogen ist,
    • – zweite Kommunikation 230 der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Portotariftabellendaten generierten Vergleichsinformation und umfassend ein Senden einer Lade-Anweisung an das Endgerät, die neuen Portotariftabellendaten in einen nichtflüchtigem Speicher eines Portorechner zu laden.
  • Es ist vorgesehen, daß in der Datenzentrale ein Registrieren (Schritt 240) des Ladens erfolgt und daß nach Empfangen der Ladeanweisung ein Laden (Schritt 140) der Portotariftabellendaten in einen nichtflüchtigen Speicher des Portorechners erfolgt.
  • In vorteilhafter Weise kann die Kommunikation von der Datenzentrale per Modem direkt mit der Frankiermaschine bzw. portoberechnenden Waage oder indirekt über die Frankiermaschine zur portoberechnenden Waage, wie in US 5,606,508 und US 5,710,706 vorgeschlagen wurde, erfolgen.
  • Der Portorechner ist gemäß der US 5,606,508 innerhalb der elektronischen Frankiermaschine angeordnet und eine Waage ist nur zur Gewichtsübermittlung mit der elektronischen Frankiermaschine verbunden. Alternativ ist – in aus der US 5,710,706 bekannter Weise – eine portoberechnende Waage mit einem elektronischen Portorechner ausgerüstet. Somit kann bereits aufgrund des gemessenen Gewichtes der Portowert von der portoberechnende Waage bestimmt und in der Frankiermaschine eingegeben werden. Bei diesen bekannten Lösungen wird von einer nichtflüchtigen Zwischenspeicherung der Portotariftabelle, beispielsweise in einer Chipkarte oder im Speicher eines GSM-Netzes, ausgegangen, aus welchen die Datentabellen zum Laden entnommen werden.
  • Im Unterschied dazu ist bei der alternativen Ausführungsform der erfindungsgemäßen Lösung zunächst eine flüchtige Zwischenspeicherung der übermittelten Tabelle in einem flüchtigen Arbeitsspeicher des Endgerätes bzw. des Portorechners ausreichend. Es ist vorgesehen, daß das Endgerät mit einem Portorechner verbunden ist, in welchem die Speicherung der neuen Portotariftabellendaten erfolgt.
  • Eine Variante sieht vor, daß der Portorechner im Endgerät integriert ist oder separat vom Endgerät angeordnet ist. Es ist vorgesehen, daß die Zwischenspeicherung im flüchtigen Arbeitsspeicher RAM 7 erfolgt, um mittels des Mikroprozessors 6 eine Prüfsumme zu bilden. Die Prüfsumme wird vom Portorechner über den Inhalt der Tabelle nach einem bekannten Algorithmus gebildet, welcher im Programmspeicher 11 gespeichert ist. Die zur Datenzentrale übermittelte Information enthält vorzugsweise die Versionsnummer und eine Prüfsumme über die Portotariftabellendaten in einer vorbestimmten mathematischen Verknüpfung oder eine verschlüsselte Prüfsumme bzw. eine Signatur. Zur Verschlüsselung werden bekannte summetrische oder unsymmetrische Algorithmen eingesetzt. Eine zweite Variante der Anordnung ist mit einem OTP-Prozessor ausgestattet und erlaubt die Bildung einer DES-verschlüsselten Prüfsumme, wobei der symmetrische DES-Algorithmus (Data Encryption Standard) und der geheime DES-Schlüssel in der Frankiermaschine sicher gespeichert sind. Alternativ kann eine Prüfsumme vom separaten Portorechener zur Frankiermaschine übermittelt werden, welche ein sicheres Gehäuse aufweist und durch besondere Maßnahmen vor einer Manipulation in Fälschungsabsicht geschützt ist. Die Frankiermaschine bildet dann eine DES-verschlüsselte Prüfsumme, wobei der dazu benötigte DES-Schlüssel in der Frankiermaschine in an sich bekannter Weise sicher gespeichert ist.
  • Die andere Variante zeichnet sich dadurch aus, daß der Portorechner in eine Waage integriert ist oder separat vom Endgerät angeordnet ist. Der Portorechner enthält einen Programmspeicher mit einem unsymmetrischen Verschlüsslungsalgorithmus und mit einem öffentlichen Schlüssel. Letzterer, welcher im Unterschied zu einem geheimen Schlüssel nicht besonders geschützt zu werden braucht, kann folglich ebenfalls in einem Speicher der Waage nichtflüchtig gespeichert werden.
  • Als unsymmetrischer Verschlüsslungsalgorithmus ist der nach seinen Erfindern (R. Rivest, A. Shamir, L. Adleman) benannte RSA-Algorithmus bekannt. Dieser ist dann vorteilhaft, wenn kein gesichertes Gehäuses zum Schutz der Schlüssel verfügbar ist. Beispielsweise wird in der Waage eine RSA-verschlüsselte Prüfsumme gebildet, wobei ein RSA-Schlüssel benutzt wird, welcher in der Waage als ein öffentlicher Schlüssel gespeichert ist, der nicht gesichert gespeichert werden muß.
  • In der 2 ist ein Flußplan für die sichere Übertragung von Daten an ein Endgerät dargestellt. Die Datenzentrale startet im Schritt 200 und stellt im folgenden Schritt 210 neue Portotariftabellen bereit.
  • Das Endgerät ist beispielsweise eine Frankiermaschine, welche beim Einschalten gestartet wird (Schritt 100).
  • Die Frankiermaschine enthält einen Portorechner, welcher im Schritt 110 Anforderungsdaten für neue Portotariftabellendaten bildet. Es ist in einer Variante vorgesehen, daß eine Automatik Anforderungsdaten bildet, um auf aktuelle Tabellen zugreifen zu können, wenn der Zeitpunkt für neue Portotariftabellendaten näher rückt. Diese Automatik arbeitet abhängig vom eingestellten Carrier und dem vom Uhren/Datumsbaustein 8 der Frankiermaschine gelieferten Datum. Die Automatik kann im Portorechner und/oder in den Speicherzellen des Uhren/Datumsbausteins 8 realisiert sein. Alternativ kann der Portorechner in eine portoberechnende Waage 22a integriert sein, welche schnittstellenmäßig mit der Frankiermaschine verbunden ist.
  • Die Kommunikation auf der Seite des Endgerätes, d.h. der Frankiermaschine mit einer Datenzentrale, umfaßt beispielsweise zwei Transaktionen. Die erste Transaktion 120 beginnt mit einem Senden der Anforderungsdaten, um die neuen Portotariftabellendaten von der Datenzentrale anzufordern und schließt mit einem Empfangen und Zwischenspeichern der angeforderten Portotariftabellendaten in einem flüchtigen Arbeitsspeicher RAM 7d. Parallel läuft auf der Seite der Datenzentrale eine Kommunikation (Schritt 220) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Portotariftabellendaten an das Endgerät, d.h. an die Frankiermaschine.
  • Die zweite Transaktion 130 auf der Seite des Endgerätes beginnt mit einem Bilden einer Information im Endgerät, d.h. in der Frankiermaschine, wobei die Information auf die zwischengespeicherten gültigen neuen Portotariftabellendaten bezogen ist. Die Kommunikation des Endgerätes mit einer Datenzentrale wird mit der Übermittlung der Information vom Endgerät zur Datenzentrale und einem Empfangen der OK-Meldung, ggf. mit Ladeanweisung, fortgesetzt. Parallel läuft auf der Seite der Datenzentrale eine zweite Kommunikation (Schritt 230) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Portotariftabellendaten generierten Vergleichsinformation und umfassend ein Senden einer OK-Meldung, ggf mit Lade-Anweisung an das Endgerät, die neuen Portotarif tabellendaten in einen nichtflüchtigem Speicher des Portorechner zu laden. Im Schritt 140 wird die empfangenen OK-Meldung ausgeführt, ggf. erfolgt ein Laden einer neuen Portotariftabellendaten, wenn eine gültige Lade-Anweisung empfangen wurde. Andernfalls wird die zweite Kommunikation wiederholt, wenn keine OK-Meldung empfangen wurde.
  • Parallel dazu wird auf der Seite der Datenzentrale eine Registrierung (Schritt 240) der Dienstleistung in einer Datenbank der Datenzentrale vorgenommen, zwecks Rechnungslegung und Abbuchung bzw. späterer Bezahlung. Dann wird auf den Schritt 210 zurückverzweigt.
  • Beim bevorzugten Beispiel mit dem Portorechner in der elektronischen Frankiermaschine, sendet die Frankiermaschine neben Ihrer PIN eine Versionsnummer und die Prüfsumme an die Datenzentrale, welche in der Datenzentrale gestatten, die übertragenen neuen Tariftabellendaten eindeutig zu identifizieren. Bevor die in der Frankiermaschine zwischengespeicherten Tariftabellendaten als gültig anerkannt werden, wird noch eine Überprüfung einer Prüfsumme in der Datenzentrale durchgeführt.
  • Die Information beinhaltet vorzugsweise die Versionsnummer der Tabelle und eine verschlüsselte Prüfsumme, um eine Verifikation der ordnungsgemäß übermittelten und zwischengespeicherten Tabelle zu ermöglichen. Eine verschlüsselte Prüfsumme kann als digitale Signatur verwendet werden, welche auf die flüchtig zwischengespeicherten gültigen neuen Portotariftabellendaten bezogen ist. Es können jedoch weitere Daten in die Information eingehen bzw. mit verschlüsselt werden.
  • In den 3a und 3b werden eine erste und zweite Variante eines Flußplans für die Überprüfung der sicheren Übertragung von Daten an ein Endgerät dargestellt.
  • Es ist in einer – in der 3a gezeigten – Variante vorgesehen, daß die verschlüsselte Prüfsumme vom Portorechner mittels eines unsymmetrischen Verschlüsselungs-Algorithmusses gebildet wird, in welchem ein öffentlicher Schlüssel gespeichert ist, sowie daß zur Prüfung in der Datenzentrale ein zugehöriger privater geheimer Schlüssel (PRIVET KEY) verwendet wird, welcher sicher gespeichert und vor einer dritten Partei geheim gehalten wird. Bei einer RSA-Signatur (R. Rivest, A. Shamir, L. Adleman), wird eine auf der Versionsnummer und der Prüfsumme basierende Nachricht mit einem Schreibschlüssel (PUBLIC KEY) zu einer digitalen Unterschrift verschlüsselt. Die digitale Unterschrift (SIGNATUR) wird zusammen mit der Identifikationsnimmer PIN und der Versionsnummer (VERSION-Nr.) vom Endgerät zur Datenzentrale gesendet, welche mit einem Leseschlüssel (PRIVET KEY) und mittels dem unsymmetrischen Algorithmus (RSA) die digitale Unterschrift (SIGNATUR) entschlüsseln kann. Die Prüfsumme (CHECK SUM) über den Inhalt der Tariftabellendaten, welche in der Datenbank 31 zugeordnet zur Versionsnummer und ggf. auch zugeordnet zu PIN gespeichert sind, muß mit der entschlüsselten Nachricht übereinstimmen, wenn die im Portorechner bzw. in der Frankiermaschine zwischengespeicherten Tariftabellendaten als gültig anerkannt werden sollen. Diese Verikation ist eine Voraussetzung, um einen entsprechenden Befehl zur Frankiermaschine zu übermitteln. Die RATE TABLE CHECK SUM-Bildung kann vor oder während der Kommunikation erfolgen. Eine vorherige Bildung hat den Vorteil, daß die Vergleichs-Prüfsumme RATE TABLE CHECK SUM in der Datenbank 31 zugeordnet zur Versionsnummer VERSION-NR. bzw. PIN gespeichert vorliegt und vom Server 31 zum Vergleich direkt aus der Datenbank 31 aufgerufen werden kann. Die eingesparte Rechenzeit des Servers 32 steht damit vorteilhaft dem Entschlüsselungsvorgang der SIGNATUR zur Verfügung. Die entschlüsselte Nachricht ist mit der Prüfsumme CHECK SUM identisch, welche im Portorechner bzw. Endgerät aus der flüchtig zwischengespeicherten Portotariftabelle gebildet wurde. Bei ordnungsgemäßer Zwischenspeicherung ist die entschlüsselte Prüfsumme CHECK SUM identisch mit der gebildeten bzw. in der Datenbank 31 gespeicherten Vergleichsprüfsumme RATE TABLE CHECK SUM.
  • Zur RSA-Signatur (R. Rivest, A. Shamir, L. Adleman) ist auch der Digital Signatur Algorithmus (DSA) nach US 5,231,668 bekannt. Prinzipiell kann aber auch ein beliebig anderer unsymmetrischer Algorithmus, beispiels weise ELGamal-Algorithmus (ELGA) oder Elliptic Curve Signatur Schema (ECSS), eingesetzt werden.
  • Alternativ ist in einer – in der 3b gezeigten – Variante vorgesehen, daß die verschlüsselte Prüfsumme MAC (Message Authentication Code) mittels eines symmetrischen Verschlüsselungs-Algorithmusses von der Frankiermaschine gebildet wird, in welcher ein geheimer Schlüssel gespeichert ist. Die verschlüsselte Prüfsumme MAC wird zur Datenzentrale übermittelt. Im Unterschied zur in der 3a gezeigten Variante, wird in der Datenzentrale keine Entschlüsselung durchgeführt, sondern ein Verschlüsselung, um eine eine aus der Portogebührentabelle abgeleitete Prüfsumme zu verschlüsseln zu einem Vergleichs MAC'. Die RATE TABLE CHECK SUM-Bildung kann vor oder während der Kommunikation erfolgen. Eine vorherige Bildung hat den Vorteil, daß die CHECK SUM lediglich aus der Datenbank 31 aufgerufen werden muß, um aus dieser CHECK SUM durch Verschlüsselung mit einem Geheimschlüssel SECRET KEY unter Anwendung eines symmetrischen Algorithmus DES mit Hilfe des Servers 32 den Vergleichs MAC' zu erzeugen.
  • Bei der Prüfung in der Datenzentrale wird der gleiche geheime Schlüssel SECRET KEY verwendet, wie in der Frankiermaschine. Die Überprüfung in der Datenzentrale erfolgt vorzugsweise mittels beider MAC's. Bei der MAC-Bildung wird vorzugsweise eine geeignete Variante des DES-Algorithmuses genutzt. Bei einer MAC-Bildung werden in der Datenzentrale und der Frankiermaschine der gleiche geheime DES-Schlüssel verwendet. Dazu muß der geheime DES-Schlüssel jener das Endgerät identifizierende PIN zugeordnet in der Datenbank 31 sicher gespeichert werden. Alternativ kann die RATE TABLE CHECK SUM-Bildung und die Verschlüsselung zu einem Vergleichs-MAC gemeinsam vor der Kommunikation erfolgen. Die Vergleichs-MAC ist dann in der Datenbank 31 zugeordnet zur PIN und Versionsnummer gespeichert und kann vom Server zu Vergleichszwecken abgerufen werden.
  • Neuere Frankiermaschinen setzen digital arbeitende Druckwerke ein. Beispielsweise weisen die Frankiermaschinen T1000 bzw. JetMail des Anmelders weltweit erstmals einen Thermotransferdrucker bzw. einen Tintenstrahldrucker auf. Damit ist es prinzipiell möglich, auf einen gefüllten Brief im Bereich des Frankierstempels andere Informationen bzw. beliebig anders zu drucken, welche in einem entsprechenden Zusammenhang mit einer Dienstleistung eines Carriers stehen. Es ist also leicht möglich zwischen den privaten Postbeförderern und Ihren Dienstleistungen zu wechseln. Der Frankierstempelsabdruck enthält deshalb vorteilhaft einen Hinweis auf den Carrier und/oder die in Anspruch genommene oder noch geplante Dienstleistung.

Claims (17)

  1. Verfahren zur sicheren Übertragung von Daten an ein Endgerät, gekennzeichnet durch die Schritte, – Bereitstellen (210) von neuen Dienstdaten in der Datenzentrale für eine zukünftige Verarbeitung basierend auf den Dienstdaten, – Bilden (110) von Anforderungsdaten für Dienstdaten, – erste Kommunikation (120) des Endgerätes mit einer Datenzentrale, umfassend ein Senden der Anforderungsdaten, um die neuen Dienstdaten von der Datenzentrale anzufordern, und umfassend ein Empfangen und Speichern der angeforderten Dienstdaten, – erste Kommunikation (220) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen der Anforderungsdaten in der Datenzentrale und ein Senden der angeforderten Dienstdaten an das Endgerät, – zweite Kommunikation (130) des Endgerätes mit einer Datenzentrale, umfassend ein Bilden und- Übermittlung einer Information vom Endgerät zur Datenzentrale, welche auf die gespeicherten gültigen neuen Dienstdaten bezogen ist, – zweite Kommunikation (230) der Datenzentrale mit dem Endgerät, umfassend ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Dienstdaten generierten Vergleichsinformation und umfassend ein Senden einer OK-Meldung an das Endgerät, wobei in Verbindung mit dem Senden einer OK-Meldung in der Datenzentrale ein Registrieren (Schritt 240) der Dienstleistung erfolgt.
  2. Verfahren, nach Anspruch 1, gekennzeichnet dadurch, dass während der zweiten Kommunikation im Schritt (130) eine von der Datenzentrale gesendete OK-Meldung empfangen wird sowie dass im Endgerät im nachfolgenden Schritt (140) die empfangene OK-Meldung ausgeführt und das Endgerät oder der Portorechner in einen Betriebsmodus umgeschaltet wird.
  3. Verfahren, nach den Ansprüchen 1 bis 2, gekennzeichnet dadurch, dass die erste Kommunikation mit Speichern der angeforderten Dienstdaten im Schritt (120) ein Zwischenspeichern der angeforderten Dienstdaten beinhaltet, dass die während der zweiten Kommunikation im Schritt (130) übermittelte Information vom Endgerät zur Datenzentrale auf die zwischengespeicherten gültigen neuen Dienstdaten bezogen ist und daß die während der zweiten Kommunikation (230) von der Seite der Datenzentrale gesendete OK-Meldung, eine Lade-Anweisung an das Endgerät einschließt, die neuen Dienstdaten in einen nichtflüchtigem Speicher eines Verarbeitungsmoduls zu laden und dass nach Empfangen der OK-Meldung mit Ladeanweisung im Endgerät ein Laden (Schritt 140) der Dienstdaten in einen nichtflüchtigen Speicher des Verarbeitungsmoduls erfolgt.
  4. Verfahren, nach Anspruch 2, gekennzeichnet dadurch, dass die Ausführung der empfangenen OK-Meldung ein Markieren der gespeicherten Daten als gültig einschließt.
  5. Verfahren, nach einem der vorherigen Ansprüche 1 oder 3, gekennzeichnet dadurch, dass die gebildete Information eine Versionsnummer und eine Prüfsumme einschließt.
  6. Verfahren, nach einem der vorherigen Ansprüche 1 oder 3, gekennzeichnet dadurch, dass die gebildete Information eine Versionsnummer und eine verschlüsselte Prüfsumme einschließt.
  7. Verfahren, nach einem der vorherigen Ansprüche 1 bis 6, gekennzeichnet dadurch, dass die Dienstdaten Portotariftabellendaten einschließen und daß der Verarbeitungsmodul ein Portorechner ist.
  8. Verfahren, nach Anspruch 7, gekennzeichnet dadurch, dass die Prüfsumme vom Portorechner zur Frankiermaschine übermittelt und daß die verschlüsselte Prüfsumme mittels eines symmetrischen Verschlüsselungs-Algorithmusses von der Frankiermaschine gebildet wird, in welcher ein geheimer Schlüssel gespeichert ist, sowie dass zur Prüfung in der Datenzentrale der gleiche geheime Schlüssel verwendet wird.
  9. Verfahren, nach Anspruch 7, gekennzeichnet dadurch, dass die Prüfsumme vom Portorechner gebildet wird daß die verschlüsselte Prüfsumme mittels eines unsymmetrischen Verschlüsselungs-Algorithmusses vom Portorechner gebildet wird in welchem ein öffentlicher Schlüssel gespeichert ist, sowie dass zur Prüfung in der Datenzentrale ein zugehöriger privater geheimer Schlüssel verwendet wird, welcher sicher gespeichert und vor einer dritten Partei geheim gehalten wird.
  10. Verfahren, nach Anspruch 1, gekennzeichnet dadurch, dass die Dienstdaten neue Portotariftabellendaten einschließen, die in der Datenzentrale für eine zukünftige Portoberechnung bereitgestellt werden (210), und daß das Senden einer OK-Meldung während der zweiten Kommunikation (230) der Datenzentrale mit dem Endgerät, welche ein Empfangen und Prüfen der Information in der Datenzentrale mittels einer aus den Portotariftabellendaten generierten Vergleichsinformation umfaßt, auch ein Senden einer Lade-Anweisung an das Endgerät ist, die neuen Portotariftabellendaten in einen nichtflüchtiger Speicher eines Portorechner zu laden.
  11. Verfahren, nach Anspruch 10, gekennzeichnet dadurch, dass nach dem Senden der Lade-Anweisung in der Datenzentrale ein Registrieren (Schritt 240) des Ladens erfolgt und dass nach Empfangen der Ladeanweisung ein Laden (Schritt 140) der Portotariftabellendaten in einen nichtflüchtigen Speicher des Portorechners erfolgt.
  12. Anordnung zur Duchführung des Verfahrens, nach Anspruch 1, mindestens mit Ein-Ausgabemitteln (1, 2, 3, 4, 21, 23), einem Programmspeicher (11), einem Mikroprozessor (6) und Speichern (5a 5b, 16) zur nichtfflüchtigen Speicherung von Dienstdaten und einem flüchtigen Arbeitsspeicher (7) im Endgerät, gekennzeichnet dadurch, dass das Endgerät mit einem Portorechner verbunden ist und dass der Mikroprozessor das Endgerätes oder des Portorechners programmiert ist, – eine Speicherung der neuen Portotariftabellendaten im Speicher des Endgerätes bzw. des Portorechners vorzunehmen und eine Prüfsumme über die gespeicherten neuen Portotariftabellendaten zu bilden und zur Datenzentrale zu übermitteln, sowie – eine empfangene OK-Meldung auszuführen und das Endgerät oder den Portorechner in einen Betriebsmodus umzuschalten.
  13. Anordnung, nach Anspruch 12, gekennzeichnet dadurch, dass der Mikroprozessor das Endgerätes oder des Portorechners programmiert ist, – eine Zwischenspeicherung der neuen Portotariftabellendaten im flüchtigen Arbeitsspeicher des Endgerätes bzw. des Portorechners vorzunehmen und eine Prüfsumme über die zwischengespeicherten neuen Portotariftabellendaten zu bilden und zur Datenzentrale zu übermitteln, sowie – sowie beim Empfang einer OK-Meldung eine Lade-Anweisung der Datenzentrale an das Endgerät auszuführen, die neuen Portotariftabellendaten in einen nichtflüchtigen Speicher (5a, 5b, 16) eines Portorechners zu laden und dannach das Endgerät oder den Portorechner in einen Betriebsmodus umzuschalten.
  14. Anordnung, nach einem der vorherigen Anspruche 12 oder 13, gekennzeichnet dadurch, dass der Portorechner im Endgerät intergriert ist oder separat vom Endgerät angeordnet ist.
  15. Anordnung, nach einem der vorherigen Anspruche 12 oder 13, gekennzeichnet dadurch, dass der Portorechner in eine Waage intergriert ist oder separat vom Endgerät angeordnet ist.
  16. Anordnung, nach Anspruch 14, gekennzeichnet dadurch, dass das Endgerät eine Frankiermaschine ist und dass ein symmetrischer Verschlüsselungs-Algorithmus zur Bildung einer verschlüsselte Prüfsumme und ein geheimer Schlüssel in der Frankiermaschine sicher gespeichert vorliegt.
  17. Anordnung, nach Anspruch 15, gekennzeichnet dadurch, dass ein unsymmetrischer Verschlüsselungs-Algorithmus zur Bildung einer verschlüsselte Prüfsumme und ein öffentlicher Schlüssel in der Waage gespeichert ist, wobei der öffentliche Schlüssel ungesichert gespeichert vorliegt.
DE19830055A 1998-06-29 1998-06-29 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens Expired - Fee Related DE19830055B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19830055A DE19830055B4 (de) 1998-06-29 1998-06-29 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
EP99250182A EP0969420B1 (de) 1998-06-29 1999-06-11 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
DE59913544T DE59913544D1 (de) 1998-06-29 1999-06-11 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
US09/340,782 US7577617B1 (en) 1998-06-29 1999-06-28 Method for the dependable transmission of service data to a terminal equipment and arrangement for implementing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19830055A DE19830055B4 (de) 1998-06-29 1998-06-29 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens

Publications (2)

Publication Number Publication Date
DE19830055A1 DE19830055A1 (de) 1999-12-30
DE19830055B4 true DE19830055B4 (de) 2005-10-13

Family

ID=7873073

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19830055A Expired - Fee Related DE19830055B4 (de) 1998-06-29 1998-06-29 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
DE59913544T Expired - Lifetime DE59913544D1 (de) 1998-06-29 1999-06-11 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE59913544T Expired - Lifetime DE59913544D1 (de) 1998-06-29 1999-06-11 Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens

Country Status (3)

Country Link
US (1) US7577617B1 (de)
EP (1) EP0969420B1 (de)
DE (2) DE19830055B4 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19857778A1 (de) * 1998-12-04 2000-06-08 Francotyp Postalia Gmbh Verfahren zum Verarbeiten veränderbarer Dienstdatenstrukturen und Displaytexten in einem Verarbeitungsmodul und Anordnung zur Durchführung des Verfahrens
DE10309817A1 (de) * 2003-03-05 2004-09-23 Francotyp-Postalia Ag & Co. Kg Verfahren zum sicheren Datenaustausch
DE102004014427A1 (de) * 2004-03-19 2005-10-27 Francotyp-Postalia Ag & Co. Kg Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem
US20120303533A1 (en) * 2011-05-26 2012-11-29 Michael Collins Pinkus System and method for securing, distributing and enforcing for-hire vehicle operating parameters
US20130060721A1 (en) 2011-09-02 2013-03-07 Frias Transportation Infrastructure, Llc Systems and methods for pairing of for-hire vehicle meters and medallions
US8751409B2 (en) * 2011-09-09 2014-06-10 Psi Systems, Inc. System and method for securely disseminating and managing postal rates
EP3435338A1 (de) * 2013-01-29 2019-01-30 Neopost Technologies Datenverwaltungssystem
US9992175B2 (en) * 2016-01-08 2018-06-05 Moneygram International, Inc. Systems and method for providing a data security service
AT519476B1 (de) * 2017-04-05 2018-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erstellung und Verteilung von kryptographischen Schlüsseln
GB2607289A (en) * 2021-05-28 2022-12-07 Mastercard International Inc Data management and encryption in a distributed computing system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0018081A1 (de) * 1979-03-28 1980-10-29 Pitney Bowes, Inc. Verfahren und System zur Absicherung von Frankaturvorgängen
EP0018129B1 (de) * 1979-04-02 1982-11-17 Motorola, Inc. Verfahren zum Sichern von Daten auf einer Übertragungsstrecke

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4097923A (en) 1975-04-16 1978-06-27 Pitney-Bowes, Inc. Remote postage meter charging system using an advanced microcomputerized postage meter
US4138735A (en) 1977-01-31 1979-02-06 Pitney-Bowes, Inc. System for remotely resetting postage rate memories
DE2820658A1 (de) * 1978-05-11 1979-11-15 Pitney Bowes Vorrichtung und verfahren zur portoausstattung einer mikrocomputergekoppelten frankiermaschine
FR2584557B1 (fr) * 1985-07-02 1989-07-28 Smh Alcatel Systeme de telecontrole pour machines a affranchir
US4802218A (en) * 1986-11-26 1989-01-31 Wright Technologies, L.P. Automated transaction system
US4864618A (en) * 1986-11-26 1989-09-05 Wright Technologies, L.P. Automated transaction system with modular printhead having print authentication feature
US4933849A (en) 1987-07-16 1990-06-12 Pitney Bowes Security system for use with an indicia printing authorization device
US5008827A (en) * 1988-12-16 1991-04-16 Pitney Bowes Inc. Central postage data communication network
US5778348A (en) * 1991-12-24 1998-07-07 Pitney Bowes Inc. Remote activation of rating capabilities in a computerized parcel manifest system
DE4213278C2 (de) 1992-04-16 1998-02-19 Francotyp Postalia Gmbh Anordnung zum Frankieren von Postgut
US5490077A (en) 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
US5448641A (en) 1993-10-08 1995-09-05 Pitney Bowes Inc. Postal rating system with verifiable integrity
DE4422263A1 (de) * 1994-06-24 1996-01-04 Francotyp Postalia Gmbh Verfahren zum Abstimmen des Datenbestandes zwischen einer elektronischen Frankiermaschine und einem Datenzentrum
US5715164A (en) * 1994-12-14 1998-02-03 Ascom Hasler Mailing Systems Ag System and method for communications with postage meters
DE4447404C2 (de) 1994-12-23 1998-08-20 Francotyp Postalia Gmbh Verfahren zur Dateneingabe in eine Waage und Anordnung zur Durchführung des Verfahrens
DE19534530A1 (de) 1995-09-08 1997-03-13 Francotyp Postalia Gmbh Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
DE19617473A1 (de) * 1996-05-02 1997-11-06 Francotyp Postalia Gmbh Verfahren und Anordnung zur Datenverarbeitung in einem Postverarbeitungssystem mit einer Frankiermaschine

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0018081A1 (de) * 1979-03-28 1980-10-29 Pitney Bowes, Inc. Verfahren und System zur Absicherung von Frankaturvorgängen
EP0018129B1 (de) * 1979-04-02 1982-11-17 Motorola, Inc. Verfahren zum Sichern von Daten auf einer Übertragungsstrecke

Also Published As

Publication number Publication date
EP0969420A2 (de) 2000-01-05
DE19830055A1 (de) 1999-12-30
EP0969420A3 (de) 2000-12-13
US7577617B1 (en) 2009-08-18
DE59913544D1 (de) 2006-07-27
EP0969420B1 (de) 2006-06-14

Similar Documents

Publication Publication Date Title
EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE3712138B4 (de) Verfahren zum Betrieb eines Frankiermaschinensystems
DE69634944T2 (de) Sichere Benutzerbeglaubigung für elektronischen Handel unter Verwendung eines Wertezählersystems
DE19731304B4 (de) Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
DE69434621T2 (de) Postgebührensystem mit nachprüfbarer Unversehrtheit
EP0724141B1 (de) Verfahren zur Dateneingabe in eine Waage
DE69433527T2 (de) Postverarbeitungssystem für Poststücke mit Verifikation im Datenzentrum
DE69932396T2 (de) Verfahren und Vorrichtung zur sicheren Schlüsselübertragung zwischen einer Frankiermaschine und einer entfernten Datenzentrale
DE3712181A1 (de) Frankiermaschinennachladesystem
DE3712100A1 (de) Frankiermaschinen-botschaft-drucksystem
CA2293202C (en) Selective security level certificate meter
DE19830055B4 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
EP0930586B1 (de) Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten
DE69932605T2 (de) System und verfahren zur verwaltung von frankiermaschinenlizenzen
EP0927971B1 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
EP1337974B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
DE10305730B4 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
EP1577840A2 (de) Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem
DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
DE10020904A1 (de) Verfahren zur sicheren Distribution von Sicherheitsmodulen
DE69930202T2 (de) Verfahren zur Begrenzung der Schlüsselbenutzung in einem Frankiersystem welches kryptographisch gesicherte Briefmarken produziert
EP1001383B1 (de) Anordnung und Verfahren zur Speicherung von Daten über eine Benutzung eines Endgerätes
WO2001082233A1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
EP1202223B1 (de) Postmachine und Verfahren zu deren Initialisierung
EP0952560A2 (de) Verfahren zum Nachladen eines Portoguthabens in eine elektronische Frankiermaschine

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee