DE69014361T2 - Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung. - Google Patents

Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.

Info

Publication number
DE69014361T2
DE69014361T2 DE69014361T DE69014361T DE69014361T2 DE 69014361 T2 DE69014361 T2 DE 69014361T2 DE 69014361 T DE69014361 T DE 69014361T DE 69014361 T DE69014361 T DE 69014361T DE 69014361 T2 DE69014361 T2 DE 69014361T2
Authority
DE
Germany
Prior art keywords
code
machine
franking
security
customer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Revoked
Application number
DE69014361T
Other languages
English (en)
Other versions
DE69014361D1 (de
Inventor
John Gregory Haines
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quadient Technologies France SA
Original Assignee
Neopost Technologies SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=23279508&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69014361(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Neopost Technologies SA filed Critical Neopost Technologies SA
Publication of DE69014361D1 publication Critical patent/DE69014361D1/de
Application granted granted Critical
Publication of DE69014361T2 publication Critical patent/DE69014361T2/de
Anticipated expiration legal-status Critical
Revoked legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/33Individual registration on entry or exit not involving the use of a pass in combination with an identity check by means of a password
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00419Software organization, e.g. separation into objects
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00822Cryptography or similar special procedures in a franking system including unique details
    • G07B2017/0083Postal data, e.g. postage, address, sender, machine ID, vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00935Passwords

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Selective Calling Equipment (AREA)

Description

  • Die Erfindung bezieht sich allgemein auf Frankiermaschinen und insbesondere auf elektronische Frankiermaschinen, die aus der Ferne geladen werden können.
  • Mit dem Aufkommen von elektronischen Frankiermaschinen hat sich dem Kunden die Möglichkeit eröffnet, die Frankiermaschine mit Kreditbeträgen aus der Ferne zu laden. Diese Eigenschaft erlaubt es dem Kunden, den Kreditbetrag in die Maschine schneller und flexibler aufgrund einer Genehmigung aus der Ferne zu laden. Umfangreiche Verfahren und Kontrollen wurden eingesetzt, um sicherzustellen, daß der Kreditbetrag nur nach einer Genehmigung geladen wird. Beispielsweise muß der Kunde gewöhnlich einen langen Kode eingeben, der sich jedesmal ändert, wenn die Maschine aus der Ferne geladen wird.
  • GB-A-2 080 202 beschreibt ein System zum Laden von Frankiermaschinen aus der Ferne, wobei ein entfernter Rechner in einem Datenzentrum Telefonanrufe von den Frankiermaschinenbenutzern verarbeitet und von ihnen Informationen anfordert, die für ihre Maschine charakteristisch sind. Diese Information wird zur Überprüfung der Authentizität des Anrufs und zur Aktualisierung der Benutzerdaten verwendet, die im Rechner gespeichert sind. Dann formuliert der Rechner eine Kombination, die auf den Identifikationsinformationen und den vom Benutzer gewünschten zu ladenden Betrag beruht. Die Kombination wird an den Benutzen übermittelt, der sie in die Maschine eingibt. Die Frankiermaschine vergleicht die eingegebene Kombination mit einer intern erzeugten Kombination. Wenn die eingegebene Kombination mit der intern erzeugten Kombination übereinstimmt, werden die Kreditregister der Maschine um den neuen Frankierbetrag erhöht.
  • Solche Verfahren sind jedoch nicht fälschungssicher, insbesondere wenn die Frankiermaschine gestohlen worden war und sich in dem Besitz eines Betrügers befindet.
  • Daher wurden manche Frankiermaschinen auch aus Sicherheitsüberlegungen so konzipiert, daß sie die Eingabe eines unzulässigen Kodes für ein Aufladen aus der Ferne erfassen, wenn dies nacheinander eine vorgegebene Anzahl von Malen versucht worden ist. Nach dieser Erfassung blockiert sich die Maschine und muß zur Fabrik zur Instandsetzung zurückgebracht werden. Wenn diese Methode auch wirksam ist, um ein ungenehmigtes Laden der Maschine fern von der Genehmigungsstelle zu verhindern, bringt diese Lösung doch Probleme für zugelassene Benutzer, die versehentlich einen falschen Fernladekode mehrfach hintereinander eingegeben haben.
  • Die vorliegende Erfindung schlägt eine Frankiermaschine gemäß Anspruch 1 vor. In einer bevorzugten Ausführungsform der Erfindung erzeugt die Maschine zur sicheren Wiederbereitstellung der Maschine nach ihrer Blockierung ohne Rückgabe der Maschine an die Fabrik einen Sicherheitssperrkode, der an den Rechner des Datenzentrums übermittelt wird. Der Rechner des Datenzentrums vergleicht den Sicherheitssperrkode mit einem intern erzeugten Sicherheitssperrkode. Wenn die Kodes übereinstimmen, dann erzeugt dem Rechner des Datenzentrums einen Sicherheitsfreigabekode, der an die Maschine übertragen wird. Die Maschine vergleicht diesen Kode mit einem intern erzeugten Sicherheitsfreigabekode Stimmen diese Kodes überein, dann löscht die Frankiermaschine eine Sicherheitssperrflagge und setzt dadurch die Maschine wieder in Betrieb. Der Kunde kann dann die Maschine wieder aus der Ferne laden.
  • Ein genaueres Verständnis der Art und der Vorteile der vorliegenden Erfindung ergibt sich aus den weiteren Erläuterungen und den beiliegenden Zeichnungen.
  • Figur 1 zeigt ein Blockdiagramm einer bevorzugten Frankiermaschine, die am Betriebsort beim Kunden aus der Ferne geladen werden kann.
  • Figur 2 ist ein detailliertes Flußdiagramm hinsichtlich der Art, wie die Sicherheitssperrflagge gesetzt wird.
  • Figur 3 zeigt ein allgemeines Flußdiagramm des Prozesses für die Löschung der Sicherheitssperrflagge.
  • Figur 4 ist ein detailliertes Flußdiagramm des durch den Kunden zu verfolgenden Verfahrens, um einen von der Frankiermaschine erzeugten Sicherheitssperrkode zu erhalten.
  • Die Figuren 5a und 5b sind detaillierte Flußdiagramme des Verfahrens, das der Kunden durchführen muß, um den Sicherheitssperrkode an den Rechner des Datenzentrums zu bestätigen.
  • Figur 6 ist ein detailliertes Flußdiagramm des Verfahrens, das der Kunde durchführen muß, um die Sicherheitssperrflagge zu löschen.
    • BESCHREIBUNG DER BESONDEREN AUSFÜHRUNGSFORMEN Überblick über die Maschine: Struktur
  • Figur 1 ist ein Blockdiagramm einer bevorzugten Frankiermaschine 10, die am Hetriebsort vom Kunden aus der Ferne geladen werden kann. Die Frankiermaschine 10 besitzt einen Druckmechanismus 12, Buchungsregister und Kontrollelektronikschaltungen, die alle in einem sicheren Gehäuse 13 untergebracht sind. Eine Tastatur 14 und ein Anzeigefeld 16 stellen die Schnittstellen zum Benutzer dar. Ein Verbinder 17 stellt einen elektrischen Anschluß an eine Postabfertigungsmaschine für die Kontrolle des Druckprozesses her. Die Kontrollelektronikschaltungen enthalten einen Mikroprozessor 18, der die Funktion der Maschine kontrolliert, einschließlich der Grundfunktionen das Druckens und des Abrechnens der Frankierbeträge und ggf. einschließlich zusätzlicher Merkmale, wie z.B. des getrennten Buchens je Abteilung und des Ladens aus der Ferne. Der Mikroprozessor ist mit einer Uhr 20, einem Festwertspeicher (ROM) 22, einem Arbeitsspeicher (RAM) 24 und einem batteriegestützten Speicher (BAM) 26 verbunden.
  • Der Festwertspeicher 22 wird hauptsächlich zur Speicherung von nicht flüchtiger Information wie z.B. den Programmen und den Daten-/Funktionstabellen verwendet, um den Mikroprozessor zu betreiben. Der Festwertspeicher kann nur in der Fabrik ausgetauscht werden. Der Arbeitsspeicher 24 wird für die vorübergehende Speicherung von Variablen und anderen Daten während des Betriebs der Maschine verwendet. Der batteriegestützte Speicher 26 wird hauptsächlich zur Speicherung von Buchungsinformationen verwendet, die erhalten bleiben müssen, wenn die Stromversorgung der Maschine ausgeschaltet ist. Der batteriegestützte Speicher wird auch zur Speicherung gewisser Flaggen oder anderer Informationen verwendet, die für den Betrieb des Mikroprozessor notwendig sind. Zu solchen Informationen gehören Daten zur Identifizierung der Maschine, wie z.B. die Seriennummer und das Datum der ersten Benutzung des batteriegestützten Speichers, sowie eine Anzahl von Parametern, die für die Konfiguration der Maschine aus der Ferne von Bedeutung sind.
    • Setzen der Sicherheitssperrflagge
  • Figur 2 ist ein detailliertes Flußdiagramm für das Setzen der Sicherheitssperrflagge. Wenn der Kunde einen Fernladekode zum Laden der Maschine aus der Ferne hat (oder versucht, die Maschine ohne einen solchen Fernladekode zu laden), dann bringt der Kunde die Maschine in einen Fernlademodus (Schritt 40), indem er eine bestimmte Folge von Tasten drückt. Die Maschine gelangt dann in den Fernlademodus, indem ein Modusregister im batteriegestützten Speicher gesetzt wird (Schritt 42). Dadurch wiid vermieden, daß die Maschine während des Fernladeverfahrens für Druckzwecke verwendet wird. Die Maschine bestimmt dann, ob die Sicherheitssperrflagge bereits gesetzt worden ist (Schritt 44). Im positiven Fall zeigt die Maschine eine Nachricht oder eine andere erforderliche Information an, wie z.B. den Sicherheitssperrkode, und fordert zur Eingabe des Sicherheitslöschkodes auf (Schritt 46). Der Kunde kann dann mit dem Fernladeverfahren erst fortfahren, wenn die Sicherheitssperrflagge durch die in Figuren 3 bis 6 gezeigte Prozedur gelöscht worden ist.
  • Wenn die Sicherheitssperrflagge noch nicht gesetzt worden war, dann kann dei Kunde die Fernladeprozedur fortsetzen. Der Kunde gibt den Fernladekode (Schritt 48) ein. Die Maschine überprüft dann, ob die Sicherheitssperrflagge bereits gesetzt worden war (Schritt 50). Im positiven Fall gelangt der Kunde zurück zum Schritt 48, so als ob der Fernladekode unkorrekt gewesen wäre. Wurde die Sicherheitssperrflagge noch nicht gesetzt, dann bestimmt die Maschine, ob der Fernladekode korrekt ist (Schritt 52). Ist der Kode korrekt, dann setzt die Maschine den Zähler auf Null (Schritt 53) und der Kunde kann die Fernladeprozedur fortsetzen (die hier nicht gezeigt ist, da sie nicht unmittelbar die vorliegende Prozedur betrifft). Ist der Kode falsch, dann überprüft die Frankiermaschine, ob der Kunde bereits eine bestimmte zugelassene Anzahl von Versuchen durchgeführt hat Schritt 56). Hat der Kunde weniger als die zugelassene Anzahl von Versuchen durchgeführt, dann bringt die Maschine den Kunden zurück zu dem Schritt der Eingabe des Fernladekodes. Hat der Kunde die erlaubt Zahl von Versuchen bereits durchgeführt, dann wird die Sicherheitssperrflagge im batteriegestützten Speicher gesetzt und die Maschine bringt den Kunden zurück zu dem Schritt der Eingabe des Fernladekodes.
    • Löschen der Sicherheitssperrflagge der Maschine
  • Figur 3 zeigt ein allgemeines Flußdiagramm der Prozedur, die für das Löschen der Sicherheitssperrflagge in der Maschine erforderlich ist. In einer ersten Stufe 60 erhält der Kunde den von der Maschine erzeugten Sicherheitssperrkode mitgeteilt. Dieser Sicherheitssperrkode ist im wesentlichen ein Paßwort zum Rechner des Datenzentrums und beruht auf einer Kombination von Faktoren, die nur der Rechner des Datenzentrums kennen kann. In einer zweiten Stufe 61 bestätigt der Kunde den Sicherheitsspeirkode dem Rechner des Datenzentrums. Nach der Bestätigung durch den Rechner liefert dieser einen Sicherheitsfreigabekode zurück an den Kunden. Der Sicherheitsfreigabekode ist im wesentlichen ein Paßwort vom Rechner des Datenzentrums an die Maschine, der angibt, daß es zulässig ist, die Sicherheitssperrflagge zu löschen. In einer dritten Stufe 62 gibt der Kunden den Sicherheitsfreigabekode in die Maschine ein. Die Maschine bestätigt den Sicherheitsfreigabekode und löscht die Sicherheitssperrflagge.
  • Figur 4 ist ein detailliertes Flußdiagramm der Stufe 60, die in Figur 3 gezeigt ist. In einem ersten Schritt 40' (entsprechend Schritt 40 in Figur 2) drückt der Kunde die Tasten in einer bestimmten Reihenfolge und bringt damit die Maschine in einen Fernlademodus. Die Maschine gelangt in den Fernlademodus, indem ein im batteriegestützten Speicher liegendes Modusregister gesetzt wird (Schritt 42').
  • Die Maschine bestimmt dann, ob die Sicherheitssperrflagge gesetzt worden war (Schritt 44'). Im positiven Fall zeigt die Maschine eine Nachricht oder eine andere erforderliche Information an und fordert zur Eingabe des Sicherheitsfreigabekodes (Schritt 46') auf. In einer ersten Ausführungsform zeigt die Maschine ihre Seriennummer, das Datum der ersten Inbetriebnahme des batteriegestützten Speichers in der Maschine und den verschlüsselten Sicherheitssperrkode an. Das Datum der ersten Inbetriebnahme des batteriegestützten Speichers ist vorzugsweise eine Zahl aus vier Ziffern, die mit diesen vier Ziffern JTTT das Datum zum Ausdruck bringen, an dem die Maschine zum letzten Mal in Betrieb genommen wurde. Die Ziffern TTT bedeuten die Anzahl der Tage seit 31. Dezember und J ist die niedrigstwertige Ziffer des Jahres, in dem die Maschine in Betrieb genoinmen worden war. In einer zweiten Ausführungsform zeigt die Maschine die obigen Zahlen und den Betrag des Kontrollregisters oder irgendeine andere Identifikationsinformation, die für die Maschine spezifisch ist. Das Kontrollregister enthält den Frankierbetrag, den die Maschine seit der Inbetriebnahme verbraucht hat, plus den Betrag, den die Maschine derzeit noch verbrauchen kann. Der Kunde sollte diese Zahlen für einen späteren Verfahrensschritt auf ein Stück Papier aufschreiben.
  • Zwei von der Maschine und dem Rechner verwendete Eingabezahlen zur Erzeugung von verschlüsselten Kodes werden mit Konfigurations-Transaktions-Identifizierer (CTID) und Ladetransaktions-Identifizieier (STID) bezeichnet. Beide sind für die Maschine spezifisch und hängen von der Seriennummer der Maschine ab. Sie können auch nach jedem Gebrauch inkrementiert werden. Die CTID-Zahl wird normalerweise für die Konfiguration der Maschinenfunktionen und zum Löschen der Sicherheitsflagge verwendet, während die STID-Zahl normalerweise zum Laden der Frankiermaschine verwendet wird. Unterschiedliche Zahlen werden für die getrennten Prozeduren verwendet, um die Sicherheit zu erhöhen und die durch die gegenseitige Abhängigkeit hervorgerufene Komplexität zu verringern. Die Verschlüsselungsroutine wird im einzelnen beschrieben.
  • Figuren 5a und 5b sind detaillierte Flußdiagramme der Stufe 61 aus Figur 3. Der Kunde stellt eine Verbindung mit dem Rechner des Datenzentrums über eine normale Telefonleitung her. In der ersten und zweiten Ausführungsform kann der Kunde mit dem Rechner des Datenzentrums über ein Mehrfreqenztelefon durch Drücken der Tasten verkehren. Andere Ausführungsformen können ein Telefonendgerät verwenden, das eine Benutzer- oder Maschinenschnittstelle und ein Modem besitzt, oder mit Spracherkennung über das Telefon arbeiten.
  • Der Kunde gibt zuerst einen Anfragekode zum Löschen der Sicherheitsausdehnungsflagge (Schritt 70) ein. Der Kunde gibt dann die Kundenkontonummer ein (Schritt 72), und die Seriennummer der Maschine, die oben angegeben wurde, kann an der Außenseite der Maschine abgelesen werden (Schritt 74).
  • Der Rechner des Datenzentrums bestimmt dann, ob die Seriennummer unter Berücksichtigung der Kundenkontonummer gültig ist (Schritt 76). Ist die Seriennummer gültig, dann kann der Kunde die Prozedur fortsetzen, ansonsten wird ihm dies mitgeteilt (Schritt 78) und er erhält Gelegenheit zu entscheiden, ob er einen neuen Versuch starten will (Schritt 80). Entscheidet sich dem Kunde, nicht nochmals einen Versuch zu wagen, dann sollte er seinen Vertreter der Frankiermaschinenfirma ansprechen, um zu bestimmen, wie das vorliegende Problem gelöst werden kann.
  • Ist die Seriennummer gültig, dann gibt der Kunde den Betrag des Kontrollregisters (84) ein, den er weiter oben in der Prozedur mitgeteilt erhielt. Der Kunde gibt dann den Sicherheitssperrkode ein, den er auch von der Maschine mitgeteilt bekommen hatte (Schritt 86). Dann erzeugt der Rechner einen Sicherheitssperrkode in ähnlicher Weise (Schritt 88) und vergleicht diesen Kode mit dem vom Kunden eingegebenen Kode (Schritt 90). Entsprecher sich die Kodes nicht, dann wird dies dem Kunden mitgeteilt (Schritt 92), und es wird ihm Gelegenheit gegeben, einen neuen Versuch zu starten.
  • Gleichen sich die Kodes, dann bestimmt der Rechner, ob der Betrag des Kontrollregisters gültig ist (Schritt 96). Der Betrag des Kontrollregisters ist gültig, wenn der Betrag gleich irgendeinem früher im Rechner gespeicherten Kontrollregisterbetrag ist. Der Kontrollregisterbetrag ist ungültig, wenn er größer als oder gleich wie der gegenwärtige Kontrollregisterbetrag im Rechner ist. Ist der Kontrollregisterbetrag ungültig, dann wird dies dem Kunden mitgeteilt und das Auftreten des ungültigen Kontrollregisterbetrags wird im Rechner (Schritt 98) vermerkt.
  • Wenn der Kontrollregisterbetrag gültig ist, dann gibt der Kunde den laufenden Fernladekode ein (Schritt 100). Der Rechner bestimmt dann, ob dies ein gültiger Kode ist (Schritt 102). Wenn der Fernladekode ungültig ist, dann verweist der Rechner den Kunden an einen menschlichen Operator wegen weiterer Hilfe (Schritt 104). Ist der Fernladekode gültig, dann erzeugt der Rechner einen Sicherheitsausdehnungskode (Schritt 106), inkrementiert die CTID-Zahl (Schritt 108), markiert die Tatsache, daß dieser Vorgang stattgefunden hat (Schritt 110) und zeigt den Sicherheitsausdehnungskode dem Kunden an zum weiteren Gebrauch im Rahmen dieser Prozedur (Schritt 112).
  • Figur 6 ist ein detailliertes Flußdiagramm der Stufe 62 aus Figur 3. Der Kunde gibt den Sicherheitsfreigabekode in die Maschine ein, den er vom Rechner mitgeteilt erhalten hat (Schritt 120). Die Maschine erzeugt dann ihren eigenen Sicherheitsfreigabekode (Schritt 122) und vergleicht den im Rechner erzeugten Kode mit dem in der Maschine erzeugten Kode (Schritt 124). Entsprechen sich die Kodes nicht, dann wird dies dem Kunden mitgeteilt (Schritt 126), und es wird ihm Gelegenheit gegeben, einen neuen Versuch zu starten oder einen Vertreter der Maschinengesellschaft zu kontaktieren (Schritt 130). Gleichen sich die Kodes, dann inkrementiert die Maschine die CTID- Zahl derart, daß sie der CTID-Zahl gleicht, die im Rechner gespeichert ist (Schritt 132). Dann löscht die Frankiermaschine die Sicherheits-Sperrflagge (Schritt 134) und geht in den Fernlademodus über, indem das Modusregister im batteriegestützten Speicher geändert wird (Schritt 136).
    • Verschlüsselungstechnik
  • Um die obige Prozedur sicher durchzuführen und gewisse Daten zu bestätigen, werden der Sicherheitssperrkode und der Sicherheitsfreigabekode von einer Verschlüsselungsroutine erzeugt, die sowohl im Festwertspeicher der Maschine als auch im Rechner des Datenzentrums gespeichert ist. Die Verschlüsselungsroutine ist ein nicht-linearer Algorithmus, der eine Zahl erzeugt, die offensichtlich für eine nicht eingeweihte Person zufällig ist. Diele Verschlüsselungsroutine wird durch ein Verschlüsselungsprogramm in Kombination mit einer permanenten Verschlüsselungstabelle durchgeführt. In der ersten und zweiten Ausführungsform verwendet die Verschlüsselungsroutine ein aus 16 Ziffern (oder 64 Bits) bestehendes Schlüsselwort und eine Eingabezahl aus 16 Ziffern.
  • In der ersten Ausführungsform wird der Sicherheitssperrkode von der Verschlüsselungsroutine erzeugt, die auf der CTID-Zahl als Schlüssel und einer Kombination der STID-Zahl und des Kontrollregisterbetrags als Eingabezahl beruht. In der zweiten Ausführungsform besteht der Schlüssel aus der Seriennummer und dem Inbetriebnahmedatum des batteriegestützten Speichers, während die einzugebende Zahl aus der STID-Zahl und dem Kontrollregisterbetrag zusammengesetzt ist.
  • In den bevorzugten und zweiten Ausführungsformen wird die Sicherheitsfreigabeflagge durch die Verschlüsselungsroutine erzeugt, die auf der Basis der CTID-Zahl als Schlüssel und einer Kombination der Seriennummer der Maschine und der STID- Zahl als Eingabezahl erzeugt wird.
  • Die CTID-Zahl ist eine 16-Ziffernzahl, die im batteriegestützten Speicher enthalten ist. Der Ursprungswert der CTID-Zahl wird durch einen Algorithmus auf der Basis des Inbetriebnahmedatums des batteriegestützten Speichers in Verbindung mit der Seriennummer der Maschine erhalten. Das Datum der Inbetriebnahme des batteriegestützten Speichers wird verwendet, damit nicht bei jeder neuen Inbetriebnahme der Maschine die gleiche CTID-Zahl verwendet wird. Der Algorithmus ist aus Sicherheitsgründen nicht in der Maschine gespeichert. Die Anfangswerte der CTID-Zahl werden im batteriegestützten Speicher während der Inbetriebnahmeprozedur beim Hersteller eingetragen. Die CTID-Zahl wird durch einen nicht-linearen Algorithmus innerhalb der Maschine inkrementiert, nachdem die Sicherheitssperrflagge gelöscht wurde.
  • Die von der Verschlüsselungsroutine erzeugten Kodes haben eine Länge von 16 Ziffern. Die niedrigeren Ziffern der Kodes werden dann dem Kunden von der Maschine oder dem Rechner des Datenzentrums mitgeteilt. Die Anzahl der mitgeteilten geringwertigen Ziffern wird durch den HSL-Wert bestimmt (für weitere Einzelheiten wird auf den Anhang A verwiesen).
    • Schlußfolgerung
  • Es wird klar, daß die vorliegende Erfindung eine sichere und wirksame Technik vorsieht, um die Frankiermaschine am Betriebsort wieder in Bereitschaft zu bringen.
  • Wenngleich die obige Beschreibung eine vollständige Beschreibung bestimmter Ausführungsformen der Erfindung ist, können zahlreiche Veränderungen, alternative Konstruktionen und Äquivalente verwende werden. Beispielsweise kann die Elektronik der aus der Ferne zu ladenden Frankiermaschine anders strukturiert sein Außerdem kann die Sicherheitssperrflagge oder irgendeine andere Flagge verwendet werden, um andere Formen der Veränderung des Speichers zu verhindern, wenn ein falscher Kode bei einer vorgegebenen Anzahl von Versuchen eingegeben wurde. Außerdem kann der Schlüssel zur Erzeugung der Anfragekodes aus einem Zykluszähler der Maschine anstelle von der Seriennummer der Maschine gebildet werden. Andere Sicherheitsmaßnahmen können in Betracht gezogen werden, wie z.B. die Pflicht zu periodischen Inspektion der Maschine.
  • Daher sollten die obige Beschreibung und die Zeichnungen nicht als den Rahmen der vorliegenden Erfindung einschränkend verstanden werden, der nur durch die beiliegenden Ansprüche definiert ist.
    • ANHANG A SICHERHEITSKODES MIT VARIABLER LÄNGE
  • Man verwendet einen Algorithmus zur Erzeugung eines offensichtlich zufälligen Kodes mit vielen Ziffern. Jedoch brauchen nur ausgewählte Ziffern (im allgemeinen die niedrigerwertigen Ziffern) dieses Kodes in den meisten Anwendungen verwendet zu werden. Die Anzahl der erforderlichen Ziffern hängt vom dem gewünschten Sicherheitsgrad ab. Es ist günstig, so wenig Ziffern wie möglich zu verwenden, um die Anzahl der Tasten, die betätigt werden müssen, zu verringern, wodurch die Eingabe erleichtert und die Möglichkeit für Fehler verringert wird.
  • Im Ergebnis wurde eine Variable erzeugt, die den generellen Sicherheitsgrad definiert, der in der Maschine oder dem Rechner des Datenzentrums gefordert wird. Diese Variable wird HSL-Wert genannt (aus den Englischen high security length - Sicherheitslänge).
  • Jeder von der Maschine oder dem Rechner des Datenzentrums erzeugte Kode besitzt eine variable Ziffernanzahl abhängig vom dem HSL-Wert. Wenn der HSL-Wert 1 ist, dann soll der Sicherheitssperrkode sechs Ziffern haben. Ist der HSL-Wert höher, dann sollte der Sicherheitssperrkode länger sein. Andere Kodes können unterschiedliche Längen für einen gegebenen HSL-Wert haben, aber jeder Kode nimmt in seiner Länge zu oder ab, wenn der HSL-Wert zunimmt oder abnimmt.
  • Diese vorgegebene Beziehung zwischen der Kodelänge und dem HSL-Wert erlaubt dem Hersteller, die Sicherheit für die Maschine zu erhöhen oder zu verringern, ohne jede Maschine zurückrufen und initialisieren zu müssen. Änderungen des HSL- Werts werden der Maschine mitgeteilt, wenn eine Maschinenkonfiguration aus der Ferne erfolgt.
  • In einer alternativen Ausführungsform können Variable für mehrere Sicherheitsgrade verwendet werden, um die Länge einzelner Kodes oder Gruppen von Kodes zu verändern, ohne die Länge der verbleibenden Kodes zu berühren.

Claims (6)

1. Elektronische Frankiermaschine, in der Daten in einem Speicher (26) gespeichert sind, die durch Eingabe eines Fernladekodes verändert werden können, wobei die Maschine enthält:
(a) Mittel (18, 52 bis 56) zur Erfassung einer vorbestimmten Anzahl von Wiederholungen der Eingabe eines ungültigen Fernladekodes,
(b) Verhinderungsmittel (18, 50, 58), die aufgrund der Erfassungsmittel selektiv die Veränderung der Daten im Speicher nach einer vorbestimmten Anzahl von Wiederholungen der Eingabe eines ungültigen Kodes zu verhindern,
(c) Mittel (18, 122), um einen Frankiermaschinenkode zu erzeugen,
(d) Mittel (14, 120) zur Eingabe eines nicht von der Frankiermaschine stammenden Kodes,
(e) Vergleichsmittel (13, 124), die an die Mittel zur Erzeugung eines Kodes und an die Eingabemittel gekoppelt sind, um den Kode der Maschine und den Kode von außerhalb der Maschine miteinander zu vergleichen, gekennzeichnet durch
(f) Freigabemitte) (18, 134), die von den Vergleichsmitteln gesteuert werden, um die Verhinderungsmittel wirkungslos zu machen, wenn die beiden Kodes gleich sind.
2. Elektronische Frankiermaschine nach Anspruch 1, die weiter aufweist:
(a) zweite Mittel (18, 60) zur Erzeugung eines zweiten Frankiermaschinenkodes,
(b) und Anzeigemittel (16, 46), die mit den zweiten Mitteln gekoppelt sind, um den zweiten Frankiermaschinenkode anzuzeigen.
3. Elektronische Frankiermaschine nach Anspruch 1 oder Anspruch 2, die einen Frankierkreditbetrag im Speicher (26) enthält, der aus der Ferne durch Eingabe eines Fernladekodes durch den Benutzer der Frankiermaschine gesetzt werden kann, wobei die Verhinderungsmittel das Setzen des Frankierkreditbetrags aus der Ferne verhindern, wenn eine vorbestimmte Anzahl von Wiederholungen der Eingabe eines ungültigen Kodes erfolgt ist.
4. Elektronische Frankiermaschine nach Anspruch 3, die weiter Druckmittel (12) zum Drucken von Frankierbeträgen aufweist, die den Frankierkreditbetrag nicht überschreiten.
5. Elektronische Frankiermaschine nach Anspruch 4, bei der die Verhinderungsmittel weiter die Druckmittel am Drucken von Frankierbeträgen nach einer vorbestimmten Anzahl von Wiederholungen der Eingabe eines ungültigen Fernladekodes hindern.
6. Elektronische Frankiermaschine nach Anspruch 3, die weiter Freigabemittel (18, 70) aufweist, um den Frankierkreditbetrag aus der Ferne nach Eingabe eines zweiten, nicht von der Maschine kommenden Kodes zu erlauben.
DE69014361T 1989-03-23 1990-03-19 Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung. Revoked DE69014361T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US32809989A 1989-03-23 1989-03-23

Publications (2)

Publication Number Publication Date
DE69014361D1 DE69014361D1 (de) 1995-01-12
DE69014361T2 true DE69014361T2 (de) 1995-04-27

Family

ID=23279508

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69014361T Revoked DE69014361T2 (de) 1989-03-23 1990-03-19 Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.

Country Status (2)

Country Link
EP (1) EP0388840B1 (de)
DE (1) DE69014361T2 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2251213A (en) * 1990-12-31 1992-07-01 Alcatel Business Systems Postage meter.
GB2251210B (en) * 1990-12-31 1995-01-18 Alcatel Business Systems Postage meter system
JPH08502135A (ja) * 1992-07-21 1996-03-05 ベーコン、ブライアン エレクトロニクスを含む装置
US5878136A (en) * 1993-10-08 1999-03-02 Pitney Bowes Inc. Encryption key control system for mail processing system having data center verification
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
US5805711A (en) * 1993-12-21 1998-09-08 Francotyp-Postalia Ag & Co. Method of improving the security of postage meter machines
DE4446667C2 (de) 1994-12-15 1998-09-17 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
US5812666A (en) * 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US5742682A (en) * 1995-03-31 1998-04-21 Pitney Bowes Inc. Method of manufacturing secure boxes in a key management system
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US5585613A (en) * 1995-11-24 1996-12-17 Pitney Bowes Inc. Postage metering apparatus including means for guarding against printing a postage value without accouting therefor
US5590198A (en) * 1995-12-19 1996-12-31 Pitney Bowes Inc. Open metering system with super password vault access
DE19913067A1 (de) 1999-03-17 2000-09-21 Francotyp Postalia Gmbh Verfahren zur automatischen Installation von Frankiereinrichtungen und Anordnung zur Durchführung des Verfahrens

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3792446A (en) * 1972-12-04 1974-02-12 Pitney Bowes Inc Remote postage meter resetting method
US4097923A (en) * 1975-04-16 1978-06-27 Pitney-Bowes, Inc. Remote postage meter charging system using an advanced microcomputerized postage meter
US4376299A (en) * 1980-07-14 1983-03-08 Pitney Bowes, Inc. Data center for remote postage meter recharging system having physically secure encrypting apparatus and employing encrypted seed number signals
US4506344A (en) * 1982-06-04 1985-03-19 Pitney Bowes Inc. Hand held electronic postage meter having secure postage meter doors
CA1263752A (en) * 1985-08-06 1989-12-05 Michael P. Taylor Postage meter locking system
US4831554A (en) * 1986-04-10 1989-05-16 Pitney Bowes Inc. Postage meter message printing system
US4787045A (en) * 1986-04-10 1988-11-22 Pitney Bowes Inc. Postage meter recharging system

Also Published As

Publication number Publication date
EP0388840B1 (de) 1994-11-30
EP0388840A3 (de) 1991-07-24
EP0388840A2 (de) 1990-09-26
DE69014361D1 (de) 1995-01-12

Similar Documents

Publication Publication Date Title
DE69014362T2 (de) Fernaktivierung softwaregesteuerter Merkmale eines mit einer elektronischen Frankiermaschiene verbundenen Gerätes.
DE69017485T2 (de) Fernkonfiguration von Frankiermaschinen.
DE69014361T2 (de) Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
DE3247846C2 (de)
DE69214080T2 (de) Verfahren zum Schutz von Programmen durch Verwendung verschiedener Schlüssel gegen unberechtigte Durchführung
DE2760487C2 (de)
DE2738113C2 (de) Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden
DE69013544T2 (de) Einstellung einer entfernt aufgestellten Frankiermaschine für den Notfall.
DE2815591C2 (de)
DE3704814C2 (de) Karte mit integrierter Schaltung
DE2560688C2 (de)
DE3044463C2 (de)
DE69909379T2 (de) System und Verfahren zum Schützen von geheimen Informationen gegen analytische Spionage
WO1986005611A1 (en) Device and method for delivering and controlling predetermined amounts in a predetermined storage of a franking machine
EP0689170B1 (de) Verfahren zum Abstimmen des Datenbestandes zwischen einer elektronischen Frankiermaschine und einem Datenzentrum
DE3520510A1 (de) Programmierbare steuereinheit
EP0453930A2 (de) Verfahren zur Überprüfung der ordnungsgemässen Bearbeitung von Banknoten
DE2528668A1 (de) Einrichtung fuer ein system zur ueberpruefung des rechtmaessigen kartenbesitzers
EP2126858B1 (de) Chipkarte und verfahren zur freischaltung einer chipkarten-funktion
WO2008101889A2 (de) Chipkarte mit einer erstnutzerfunktion, verfahren zur wahl einer kennung und computersystem
DE3884485T2 (de) Frankiermaschinensystem.
DE3788567T2 (de) Bedienungskonsole für Datenkommunikationszwecke.
DE4243092A1 (de) Stromverteilersystem
EP2188763B1 (de) Benutzungszähler für chipkarte
DE2820658C2 (de)

Legal Events

Date Code Title Description
8363 Opposition against the patent
8331 Complete revocation