-
Die
Erfindung betrifft ein Schlüssel-Management
zum Steuern von Schlüsseln,
die beim Codieren von Information verwendet werden, sowie ein Schlüsseländern, und
sie ist anwendbar auf Post-Verarbeitungssysteme und insbesondere
auf die Sicherheit von Freistemplersystemen.
-
Kürzliche
Fortschritte bei der digitalen Drucktechnologie ermöglichten
das Implementieren eines digitalen, d. h. Bitmap-Adressierbaren Druckens für den Zweck
des Nachweises der Zahlung eines Portos durch eine freistemplerartige
Einrichtung. Wo erforderlich, werden zum Unterscheiden derartiger
freistemplerartigen Einrichtungen von dem typischen Freistempler,
derartige Einrichtungen hier als Porto-Nachweiseinrichtungen oder PED-Einheiten
bezeichnet. In derartigen Einrichtungen kann der Drucker ein typischer
freistehender Drucker sein. Der Computer-getriebene Drucker einer
derartigen PED (Postage Evidencing Devide) Einheit kann den Post-Freistempel
bei einer gewünschten
Stelle auf der Fläche
eines Poststücks
drucken. Ferner wird, so wie hierin benützt, der Post-Freistempler
hier als der Postverkaufsblock oder PRB (Postal Revenue Block) definiert.
Der PRB enthält
typischerweise Daten wie den Portowert, eine eindeutige PED-Identifikationsnummer,
das Datum und einige Anwendungen des Namens der Stelle, von wo aus
die Post ausgeht. Es ist jedoch zu erwähnen, dass der Begriff Freistempler,
so wie hier verwendet, so zu verstehen ist, dass er zahlreiche Typen
von Porto-Abrechnungssystemen abdeckt, einschließlich derartiger PIDs, und
er ist nicht auf den Typ des verwendeten Druckers beschränkt.
-
Aus
dem Blickwinkel des Postamts ist zu erkennen, dass ein ernsthaftes
Problem im Zusammenhang mit PEDs darin besteht, dass es das digitale
Drucken relativ einfach macht, den PRB nachzuahmen, da jeder geeigneten
Computer und Drucker zum Erzeugen mehrfacher Bilder verwendet werden kann.
Tatsächlich können viele
dieser neuen PED-Systeme Drucker verwenden, die in der Lage sind,
gesetzmäßige Freistempel
zu drucken, die nicht unterscheidbar von denjenigen sind, die durch
andere gedruckt werden, die ohne jedwedgen Versuch zum Kaufen von
Porto gedruckt werden.
-
Zum
Validieren eines Poststücks,
d. h. zum Gewährleisten,
dass das Abrechnen des auf ein Poststück gedruckten Portos geeignet
ausgeführt wurde,
ist bekannt, dass man als einen Teil der Frankierung eine verschlüsselte Nummer
so einfügt,
dass beispielsweise der Wert der Frankierung anhand der Verschlüsselung
bestimmt werden kann, zum Lernen, ob der Wert, wie auf dem Poststück gedruckt, korrekt
ist. Beispielsweise sei verwiesen auf US-Patent Nr. 4,757,537 und
4,775,246 für
Edelman et al, sowie auf das US-Patent Nr. 4,649,266 für Eckert.
Es ist auch bekannt, ein Poststück
dadurch zu authentifizieren, dass die Adresse eingefügt wird,
als weiterer Teil der Verschlüsselung,
wie beschrieben in dem US-Patent
Nr. 4,725,718 für
Sansone et al und US-Patent Nr. 4,743,747 für Fougere et al.
-
Das
US-Patent Nr. 5,170,044 für
Pastor beschreibt ein System, in dem ein Binärfeld und die tatsächlichen
Felder der Pixel gescannt werden, zum Identifizieren des Bereitstellers
des Poststücks
und zum Wiederherstellen anderer verschlüsselter Klartextinformation.
Das US-Patent Nr. 5,142,577 für Pastor
beschreibt zahlreiche Alternativen zu der DES-Codierung zum Verschlüsseln einer
Meldung und zum Vergleichen der entschlüsselten Postinformation mit
der Klartextinformation auf dem Poststück.
-
GB
2,251,210A für
Gilham beschreibt einen Stempler, der einen elektronischen Kalender
enthält, zum
Sperren des Betriebs der Frankiermaschine auf einer periodischen
Basis zum Gewährleisten,
dass der Anwender Abrechnungsinformation zu den Postbehörden übermittelt.
Das US-Patent Nr. 5,008,827 für
Sansone et al beschreibt ein System zum Aktualisieren der Raten
und von Regulierungsparametern bei jedem Stempler über ein
Kommunikationsnetzwerk zwischen dem Stempler und einem Datenzentrum.
Während
der Stempler in einem Online-Status vorliegt, werden Register in
dem Stempler geprüft und
eine Alarmbedingung wird erhoben, wenn eine Anormalität detektiert
wird.
-
Es
ist zu erkennen, dass zum Verifizieren der Information in dem PRB
unter Verwendung der verschlüsselten
Meldung der Verifizierer zunächst
in der Lage sein muss, den Schlüssel
zu erhalten, der durch den bestimmten Stempler verwendet wird. Bei
dem Versuch der Handhabung mit Postsystemen, die derartige Verschlüsselungssysteme
umfassen, ist zu erkennen, dass die Stemplerpopulation groß ist und konstant
den Fluktuationen unterliegt, da Stempler ergänzt und aus dem Dienst genommen
werden. Soll derselbe Schlüssel
für alle
Stempler verwendet werden, so ist die Schlüsselverteilung einfach, jedoch
ist das System nicht sicher. Sobald der Code durch irgendjemanden
durchbrochen ist, kann der Schlüssel für Andere
verfügbar
gemacht werden, die das System verwenden, und der Gesamtbetrieb
ist umfasst. Jedoch wird dann, wenn getrennte Schlüssel jeweils für jeden
Stempler verwendet werden, dann das Schlüssel-Management potentiell
extrem schwierig unter Betrachtung der Fluktuationen bei einer derartig
großen
Population.
-
US-A-4,935,961
offenbart ein Verfahren und ein Gerät für das Erzeugen und Synchronisieren kryptographischer
Schlüssel
bei einer Serverstation und einem Datenzentrum zum Überwachen
der Versendung von Stapelpost. Das Datenzentrum und der Server Speichern
jeweils einen Masterschlüssel.
Der Masterschlüssel
jedes Servers ist eindeutig für
diesen Server. Da das Datenzentrum eine große Zahl von Servern dienstmäßig unterstützen kann,
muss das Datenzentrum die Korrespondenz zwischen der ID jedes Servers
und dessen Master-Key bzw. Schlüssel
speichern. Demnach kann, bei Informierung über eine Stempel ID, das Datenzentrum
den entsprechenden Master-Schlüssel wiedergewinnen.
-
Es
ist ferner erwähnt,
dass das Speichern von Manifest-Schlüsseln und
das Identifizieren entsprechender Server das Speichern einer extrem
großen
Zahl von Schlüsseln
bei dem Datenzentrum erfordert, während immer noch einfache Modifikationen der
Schlüssel
nicht zugelassen sind. Demnach wird ein identisches Berechnungsschema
für den
Verschlüsselungsschlüssel K3 sowohl bei der Serverstation als auch dem
Datenzentrum ausgehend von der ID Nummer und der Laufnummer verwendet.
-
EP-A-0
320 489 diskutiert die Erzeugung einer Zufallszahl bei einer EC-Karte
und ihre Übertragung
zu einem Endgerät.
Die Zufallszahl wird auf beiden Seiten verschlüsselt. Der Ausgabecode von
dem Terminal wird zurück
zu der Karte gesendet und mit dem Code verglichen, der gemäß demselben
Schema in der Karte berechnet wird, wodurch die Karte und eine Host-Einheit
authentifiziert werden. Es ist in allgemeiner Hinsicht spezifiziert,
dass der alte Startparameterwert für die Zufallszahl während dem
Authentifizierungsprozess durch den Startparameterwert für den nächsten Kommunikationsvorgang
ersetzt werden kann. Jedoch verbleibt der Verschlüsselungsschritt
ungeändert.
-
Demnach
besteht ein technisches Problem der Erfindung in der Schaffung eines
Schlüssel-Managementsystems,
das die erforderliche Sicherheit bereitstellt, und das trotzdem
ein einfaches Schlüssel-Management
in einem sehr großen
System zulässt.
-
Ein
weiteres technisches Problem der Erfindung besteht in der Schaffung
eines Verfahrens zum Verfolgen einer Vielzahl von Schlüsseln in
einem großen
Postversendungssystem.
-
Ein
anderes technisches Problem besteht in der Schaffung eines Verfahrens
zum einfachen Ändern
der Schlüssel
für jeden
Freistempler derart, dass Sicherheit und eine systemweite Verfolgung
der Schlüsseländerungen
erzielt wird.
-
Gemäß einem
Aspekt der Erfindung wird ein Verfahren geschaffen, für die Anwendung
in einem Freistempler zum Ändern
von Schlüsseln,
wie sie zum Codieren von Information verwendet werden, für ein Drucken
auf ein Poststück
zum Validieren des Poststücks,
enthaltend die Schritte zum Bereitstellen eines momentanen Schlüssels mit
einem festen Startparameter und einem variablen Startparameter, Erzeugen
eines Zugangscodes und Verschlüsseln des
Zugangscodes unter Verwendung des momentanen Schlüssels zum
Bereitstellen einer Verschlüsselungsausgabe,
Ableiten einer Stemplerkombination und eines neuen variablen Startparameters,
ausgehend von der Verschlüsselungsausgabe,
Kommunizieren des Zugangscodes zu einer Sicherheitszentrale, Empfangen
und Eingeben einer Sicherheitszentrale-Kombination, erzeugt bei
der Sicherheitszentrale, Vergleichen der Stemplerkombination und der
Sicherheitszentrale-Kombination, und, sofern ein Abgleich vorliegt,
Ersetzen des variablen Startparameters in den momentanen Schlüssel mit
dem neuen variablen Startparameter für die Anwendung als neuer Schlüssel.
-
Gemäß einem
anderen Aspekt der Erfindung wird ein Freistemplersystem geschaffen,
zum Ändern von
Schlüsseln,
die beim Codieren von Information für ein Drucken auf ein Poststück zum Validieren
des Poststücks
verwendet werden, enthaltend: ein Mittel zum Bereitstellen eines
momentanen Schlüssels
mit einem festen Startparameter und einem variablen Startparameter;
ein Mittel zum Erzeugen eines Zugangscodes und zum Verschlüsseln des
Zugangscodes unter Verwendung des momentanen Schlüssels zum
Bereitstellen einer Verschlüsselungsausgabe;
ein Mittel zum Ableiten einer Stemplerkombination und eines neuen
variablen Parameters anhand der Verschlüsselungsausgabe; ein Mittel
zum Kommunizieren des Zugangscodes zu einer Sicherheitszentrale,
sowie zum Empfangen und Eingeben eines Sicherheitszentrale-Kombination, erzeugt
bei der Sicherheitszentrale; und ein Mittel zum Vergleichen der Stemplerkombination
mit der Sicherheitszentrale-Kombination, und, sofern ein Abgleich
vorliegt, zum Ersetzen des variablen Startparameters in den momentanen
Schlüssel
mit dem neuen variablen Startparameter für die Anwendung als ein neuer Schlüssel.
-
Ein
besseres Verständnis
der Erfindung ergibt sich unter beispielhaftem Bezug auf die beiliegende
Zeichnung; es zeigen:
-
1 eine schematische Ansicht
eines Systems, das gemäß einer
Ausführungsform
der Erfindung verwendet werden kann;
-
2a und 2b die Information, die gemäß einer
ersten Ausführungsform
einer PRB in Übereinstimmung
mit der Erfindung gedruckt werden kann;
-
3a und 3b eine Alternative zu der in 2a und 2b gezeigten Information;
-
4 ein Funktionsdiagramm
eines Schlüsseländerungsmoduls;
-
5 ein Flussdiagramm für die Schlüsseländerung
in dem Stempler;
-
6 ein Flussdiagramm für die Schlüsseländerung
bei dem Datenzentrum;
-
7 ein Flussdiagramm eines
Betriebs zum Bereitstellen von Schlüsseln, die nicht als durch den
Schutzbereich der vorliegenden Ansprüche abgedeckt angesehen wird;
-
8 ein Flussdiagramm eines
Verifikationsprozesses, der nicht als durch den Schutzbereich der
vorliegenden Ansprüche
abgedeckt angesehen wird; und
-
9 ein Verfahren zum Ändern von
Schlüsseln,
das nicht als durch den Schutzbereich der vorliegenden Ansprüche abgedeckt
beabsichtigt ist.
-
In 1 ist allgemein mit 10 ein
Gesamtsystem in Übereinstimmung
mit einer Ausführungsform der
Erfindung gezeigt. In der dargestellten Ausführungsform enthält das System
einen Stempler oder eine PED Einheit 12 in Interaktion
mit einer Vielzahl unterschiedlicher Zentren. Ein erstes Zentrum
ist ein allgemein bekanntes Stemplerkapital- bzw. Geld-Rücksetzzentrum 14 von
einem Typ, der beispielsweise in dem US-Patent Nr. 4,097,923 beschrieben
ist, mit der Eignung zum Ergänzen
von Gelder aus der Ferne bei einem Stempler, damit diese in die
Lage versetzt wird, den Betrieb zum Ausgeben von Wert tragenden
Freistemplern fortzusetzen. In Übereinstimmung
mit der Erfindung wird auch ein Sicherheits- oder Forense- bzw. Gerichtszentrum 16 eingerichtet,
das selbstverständlich
physikalisch bei dem Rücksetzzentrum 14 angeordnet
sein kann, jedoch ist es hier getrennt gezeigt, aus Gründen der Einfachheit
des Verständnisses.
Alternativ könnte
ein derartiges Sicherheits- oder Forensikzentrum eine vollständig getrennte
Einrichtung sein, die beispielsweise durch die Postbehörden unterhalten
wird, oder zwei getrennte Einrichtungen können unterhalten werden, um
Sicherheitsniveaus bereitzustellen, wenn gewünscht. Die strichlierten Linien
in 1 bezeichnen die
Telekommunikation zwischen dem Freistempler 12 und dem
Rücksetzzentrum 14 (und/oder dem
Forensikzentrum 16).
-
Typischerweise
gibt es ein zugewiesenes Freistempler-Verteilungszentrum 18, das
zum Vereinfachen der Logistik zum Platzieren der Freistempler bei
jeweiligen Anwendern verwendet werden kann. Ähnlich wird ein Geschäftsverarbeitungszentrum 20 für den Zweck
zum Verarbeiten der Order von dem Freistemplern verwendet, sowie
zum Verwalten der zahlreichen Aufgaben im Zusammenhang mit der Freistemplerpopulation
als Ganzes.
-
Der
bei 22 bezeichnete Freistemplerhersteller stellt kundenspezifische
Freistempler oder PED Einheiten für das Verteilungszentrum 18 bereit,
nach dem Einrichten einer Betriebsfähigkeit mit Ladenchecks zwischen
dem Hersteller und dem Rücksetzzentrum 14 und
dem Forensikzentrum 16. Der Freistempler oder die PED Einheit
wird bei der Einrichtung des Anwenders durch einen Kundendienst
entriegelt, der hier repräsentativ
durch die Box 24 bezeichnet ist.
-
Bei
dem Rücksetzzentrum 14 wird
eine Datenbank 26 im Zusammenhang mit den Freistemplern
und Freistempler- Transaktionen
unterhalten. Die Rücksetzkombinationen
werden durch ein gesichertes Gerät
erzeugt, das hier als die BLACK BOX 28 gelabelt ist. Die
Details einer derartigen Rücksetzanordnung
finden sich in dem US-Patent Nr. 4,097,923.
-
Die
Datenbank 30 und ein gesichertes Verschlüsselungs-Erzeugungsgerät, hier
als ORANGE BOX 32 bezeichnet, werden bei dem Sicherheitszentrum 16 unterhalten.
Die ORANGE BOX verwendet bevorzugt DES-Standard-Verschlüsselungstechniken
zum Bereitstellen einer codierten Ausgabe auf der Grundlage eines
Schlüssels
und anderer Information in der Meldungszeichenkette, die dieser
bereitgestellt werden. Es ist zu erkennen, dass andere Verschlüsselungsanordnungen
bekannt sind, und die Erfindung nicht auf die spezifische Ausführungsform unter
Verwendung der DES Verschlüsselung
beschränkt
ist. Das Sicherheits- oder Forensikzentrum, wo auch immer unterhalten,
ist bevorzugt über
Telekommunikation mit irgendeiner Postamt-Inspektionsstation verbunden,
von denen eine hier bei 34 angegeben ist.
-
Weitere
Details finden sich in der europäischen
Patentanmeldung EP-A-649120 (gemäß der US-Anmeldung
mit der Serien-Nr. 08/133,427).
-
Unter
erneutem Bezug auf den Freistempler 12 enthält, wie
dargestellt, der Freistempler eine Uhr 40, die gesichert
ist und die zum Bereitstellen einer Kalenderfunktion verwendet wird,
programmiert durch den Hersteller und nicht verfügbar für den Anwender. Derartige Uhren
sind allgemein bekannt, und sie lassen sich durch Computerroutinen
implementieren, oder mit ausgewiesenen Chips, die programmierbare
Kalenderausgaben bereitstellen. Ebenso ist in den Registern des
Freistemplers 12 ein Geldrücksetzschlüssel 42 programmiert,
sowie ein Sicherheitsschlüssel 44,
Ablaufdaten 46 und bevorzugt ein Einschreibefreigabeflag
bzw. Merker 48. Bevorzugt wird zum Vermeiden, dass ein
Schreiben der verschlüsselten
Meldungen durch den Post-Freistempler durchbrochen wird, der Sicherheitsschlüssel 44 zu
vorgegebenen Intervallen geändert,
wie nachfolgend diskutiert.
-
Der
Sicherheitsschlüssel 44 wird
im Zusammenhang mit einem DES Verschlüssler in dem Freistempler 12 verwendet,
zum Erzielen einer Verschlüsselung
bestimmter Informationen in der PRB für jeden Druckvorgang der PRB
auf ein Poststück. Bei
jedem Druckbetrieb kann die gesamte verschlüsselte Meldung auf das Poststück gedruckt
werden. Jedoch ist bevorzugt die Chiffrierung, auf die hier nachfolgend
als ECODE Bezug genommen wird, ein abgeschnittener Chiffriertext,
produziert durch die DES Verschlüsselung
der Meldung auf der Grundlage von bei dem Freistempler verfügbarer Porto-Information.
Die Verifikation bei dem Sicherheitszentrum besteht aus der Verifizierung,
dass die verschlüsselte Information
konsistent mit dem ECODE ist.
-
Ist
eine automatische Prüfung
des ECODE gewünscht,
so müssen
sowohl der ECODE als auch der Klartext maschinenlesbar sein. Eine
typische Länge
einer Klartext-Information ist lediglich als Beispiel und nicht
einschränkend
die Summe der Stempler ID (typischerweise 7 Ziffern), eines Datums
(bevorzugt 2 Ziffern, geeignet die letzten 2 der Zahl der Tage von
einem vorgegebenen Startdatum wie Januar 1), die Portogröße (4 Ziffern)
und der Stückzählwert für eine typische
Gesamtheit von 16 Ziffern. Leseeinrichtungen zum Ausheben der Information
entweder aus einem Barcode auf dem Poststück oder durch OCR sind allgemein
bekannt, und werden hier nicht weiter diskutiert.
-
Ein
DES Block ist üblicherweise
64 Bit lang oder näherungsweise
20 Dezimalziffern. Ein Chiffrierblock ist eine Verschlüsselung
von 64 Bit von Daten. Es ist zu erkennen, dass andere Information
ausgewählt
werden kann, und dass weniger als die Information, die hier bereitgestellt
wird, gemäß anderer Ausführungsformen
der Erfindung verschlüsselt
werden kann. Es ist jedoch wichtig zu erwähnen, dass die zu verschlüsselnde
Information identisch zu der bei der Verifikation verwendeten sein
muss. Hierfür kann
die Klartextmeldung Daten enthalten, die die bestimmte Information
anzeigen, die verschlüsselt ist.
Dies kann die Form eines zusätzlichen
Zeichens annehmen, sowie einer zusätzlichen Barcodierung oder
einer Markierung auf dem Poststück,
so wie es gewünscht
festgestellt wird.
-
Sofern
gewünscht,
kann ein zweiter ECODE unter Verwendung eines DES Schlüssels aus
einer Gruppe von Schlüsseln
PS-DES gedruckt werden, die dem Postdienst bekannt sind. Alternativ
könnte der
Postdienst die Wahl treffen, seine eigene Gruppe von Schlüsseln zu
managen, wie im Zusammenhang mit dem Schlüssel-Managementsystem, wie
es nachfolgend beschrieben ist, beschrieben wird.
-
Bei
einer ersten Ausführungsform
wird, wie in den 2a und 2b gezeigt, der Klartext
unter Verwendung eines der Schlüssel
von PS-DES verschlüsselt.
Der Postdienst nützt
denselben Schlüssel von
der Gruppe der PS-DES zum Verifizieren der Meldung. Ein höheres Niveau
an Sicherheit wird durch den zweiten ECODE bereitgestellt.
-
Bei
einer zweiten Ausführungsform
werden zwei ECODE-Werte erzeugt und auf das Poststück gedruckt,
einer unter Verwendung eines PS-DES Schlüssels, bereitgestellt durch
den Postdienst, und der andere unter Verwendung eines Anbieter-DES-Schlüssels, beispielsweise
bereitgestellt durch den Hersteller oder durch ein Sicherheitszentrum.
Der Postdienst kann dann die Meldung unter Verwendung seines eigenen
Code-Erzeugungs- und Schlüssel-Managementsystems
verifizieren, während
der Anbieter getrennt die Validität der Meldung unter Verwendung
des ECODE verifizieren kann, der unter Verwendung von seinem getrennten
Schlüsselsystem
erzeugt wurde. Die 3a und 3b zeigt das Format dieser
zweiten Ausführungsform.
-
Zum
Erzielen eines vernünftigen
Managements der Schlüssel
in irgendeinem dieser Systeme ist eine Ausführungsform eines Verfahrens
für ein Schlüssel-Management
in Übereinstimmung
mit der Erfindung in 4 gezeigt,
die ein geeignetes Schlüsseländerungsmodul
darstellt, unter Darstellung der Beziehung von Registern. Wie dargestellt, enthält der eindeutige
Sicherheitsschlüssel 44 einen festen
Startparameter (Engl.: fixed seed) (FS) 100 und einen variablen
Startparameter (Engl.: variable seed) (VS) 102, bevorzugt
jeweils für
die DES Verschlüsselung
von 32 Bit. Der Freistempler erzeugt einen Zugangscode AC, geeignet
formatiert beispielsweise mit der Freistemplernummer 104,
einem ansteigenden Registerwert 106 und einer Zahl von
einem Schlüsseländerungszähler 108.
Dieser Zugangscode wird bei dem DES Verschlüssler 110 unter Verwendung
des momentanen Schlüssels
verschlüsselt.
Geeignet können
die 18 signifikantesten Bits, hier bei 112 gezeigt, gehalten
werden, für
einen Vergleich mit einem ähnlich
erzeugten Kombinationscode, während
bei 114 gezeigt die 32 Bit geeignet als der variable Abschnitt
des eindeutigen Schlüssels verwendet
werden können.
-
Die 5 zeigt ein Flussdiagramm
der Schlüsseländerung
bei dem Freistempler. Bei dem Start der Routine, bezeichnet bei 200,
bewirkt der Repräsentant
des Kundendienstes oder der Kudne selbst das Einrichten des Freistemplers
für die Schlüsseländerung,
geeignet durch Drücken
einer Funktionstaste (nicht gezeigt), Block 205. Der Freistempler
erzeugt einen Zugangscode, wie oben gezeigt, Block 210.
Das Sicherheitszentrum wird zum Empfangen von AC von dem Freistempler
angerufen, worauf das Zentrum einen Kombinationscode (Y) erzeugt
und zu dem Freistempler sendet, Block 215. Der AC in dem
Freistempler wird in dem Freistempler unter Verwendung von dessen
momentanen Schlüssel
verschlüsselt,
Block 220, und die Ausgabe wird zum Bereitstellen des erwarteten
Kombinationscodes X und des nächsten
variablen Startparameters umgesetzt, Block 225. Wird der
Code Y von dem Sicherheitszentrum empfangen, so wird er bei dem
Entscheidungsblock 230 mit dem intern erzeugten Code X
verglichen, und sind sie nicht gleich, so wird ein Fehlersignal
oder ein Alarm erzeugt, Block 235. Sind sie gleich, so
wird der variable Startparameter durch den neuen variablen Startparameter
ersetzt, Block 240, und die Routine endet.
-
Die 6 zeigt ein Flussdiagramm
zum Darstellen des Schlüsseländerungsbetriebs
bei dem Sicherheitszentrum. In dieser allgemein bei 300 dargestellten
Routine dient der Block 305 dem Sicherheitszentrumsempfang
der telefonischen Kombination, dargestellt bei dem Block 215 nach 5. Bei Empfang wird der
Zugangscode zerlegt, um den Wert des ansteigenden Registers und
den Zählwert
zu erhalten. Befindet sich das Sicherheitszentrum nicht in dem Geld-
bzw. Kapital-Rücksetzzentrum,
so kann eine Kommunikation mit dem Rücksetzzentrum bestimmen, ob
der neue ansteigende Registerwert größer als der vorangehende Wert
ist, Block 310. Gilt NEIN, so wird ein Alarm oder ein Fehlersignal
erzeugt, Block 315. Der Zählwert wird dann geprüft, Block 320,
und sofern er nicht mit dem Zählwert
in der Datei abgestimmt ist, erfolgt eine Prüfung bei dem Block 325,
um zu bestimmen, ob er um einen Wert lediglich von 1 kleiner ist,
was anzeigt, dass die vorangehende Schlüsseländerung nicht eingegeben wurde,
und es erfolgt ein Bericht an den Dienstrepräsentanten, Block 330.
Andernfalls wird ein Fehler berichtet, Block 335. Der AC
wird unter Verwendung des momentanen Schlüssels verschlüsselt, zum
Erzeugen des kombinierten Codes und des neuen variablen Startparameters,
Block 335, und der Kombinationscode wird zu dem Anforderer
gesendet, Block 340. Bei dem Sicherheitszentrum ersetzt
der neue variable Startparameter den alten, und der Zählwert wird
inkrementiert, Block 345. Die aktualisierte ansteigende
Registerinformation kann, wenn gewünscht, an das Gebühren- bzw.
Kapital-Rücksetzzentrum
bereitgestellt werden, und die Routine endet.
-
Bevorzugt
wird der Freistempler verriegelt, wenn der Freistempler nicht inspiziert
und/oder die Schlüsseländerung
nicht vor einem vorgegebenen Datum ausgeführt wird.
-
Die 7 zeigt eine Anordnung zum
Steuern der Schlüssel.
Zunächst
wird eine große
feste Gruppe von Schlüsseln
erzeugt, Block 400. Wie nachfolgend zu erkennen, enthält das System
S eine Gruppe von Zeigern {p}, eine Gruppe von Schlüsseln, bezeichnet
durch die Zeiger {Schlüsselp}, und eine F oder
ein Generierungsalgorithmus, ausgehend von der Gruppe der ID Werte
des Freistemplers {M} zu der Gruppe der Zeiger. Demnach gilt:
S
= (F, {p}, Schlüsselp}) ist das System
F = {M} --> {p}
und
F(M)
= F(Freistempler ID) = p
findet den Zeiger zu dem Schlüssel für einen
vorgegebenen Freistempler M.
-
Demnach
erfolgt, unter Rückkehr
auf die 7, z. B., die
Auswahl der Gruppe der Zeiger {p}, die ganze Zahlwerte von 1 bis
1000 sein können, Block 405.
Die Funktion F kann dann wiederum als Beispiel als die DES Verschlüsselung
der Freistempler ID gewählt
werden, unter Verwendung eines DES Schlüssels K, bevorzugt abgekürzt zu drei
Ziffern, Block 410, und eine Nachschlagetabelle wird erzeugt,
und eine Nachschlagetabelle wird erzeugt, Block 415. Es
ist zu erkennen, dass andere Funktionsbeziehungen gewählt werden
können.
Für die größte Sicherheit
ist zu erkennen, dass die Beziehung zwischen einem Zeiger p und
dem entsprechenden Schlüssel
nicht einfach entdeckbar sein sollte, noch sollte dies gelten für die Beziehung
zwischen dem Zeiger und der Freistempler ID. Es ist ebenso zu erkennen,
dass die Funktion F geheim gehalten werden sollte.
-
Die 8 zeigt den Verifikationsprozess
unter Verwendung des vorangehenden Schlüssel-Managementsystems. Zum
Verifizieren eines Poststücks
wird die auf das Poststück
gedruckte Freistemplernummer gelesen, Block 500. Der Schlüssel wird
verwendet, SchlüsselF(M), und er wird dann durch die Nachschlagetabelle
gefunden oder durch den Algorithmus F von der vorgegebenen Freistemplernummer,
Block 510. Es wird nun die identische Klartextinformation,
verwendet zum Erzeugen des E-Codes, verwendet, nun bei dem Sicherheitszentrum
unter Verwendung von SchlüsselF(M) verschlüsselt, Block 520,
und das Ergebnis wird mit dem Code verglichen, der auf das Poststück gedruckt
ist, Block 530. Liegt eine Abstimmung bei dem Entscheidungsblock 540 vor,
so ist das Poststück
gültig.
Gilt NEIN, so wird der NEIN-Zweig einen Alarm auslösen.
-
Unter
erneutem Bezug, für
den Augenblick, auf 2a und 3a, hat der Postdienst die
Fähigkeit,
bei diesen Ausführungsformen
den PS-DES Zeiger direkt von dem Freistempler ohne des in 8 gezeigten Prozesses zu
erhalten. In den in 2b und 3b dargestellten Fällen wird
der DES Zeiger durch Verwendung eines vorgegebenen Algorithmus erhalten,
angewandt auf die in der PED ID gedruckten Information, wie Inhalt
mit der 8 beschrieben.
-
Wie
vorangehend herausgestellt, gibt es eine Anforderung zum Ändern der
Schlüssel
in dem Freistempler bei regulären
Intervallen, um zu gewährleisten,
dass die Sicherheit beibehalten wird. Die 9 zeigt eine andere Routine zum Aktualisieren
der Schlüssel.
Zum Aktualisieren des Schlüssels ausgehend
von einem System S1 = (F1,
{p1}, {Schlüsselp 1}) zu einem System S2 =
(F2 {p2}, {Schlüsselp 2}) wird eine neue
Gruppe von Schlüsseln erzeugt,
Block 600, unter Verwendung einer neuen Funktion F (beispielsweise
kann der Schlüssel
zu dem DES Verschlechterungsalgorithmus von K1 zu K2 geändert
werden). Bei der nächsten
geplanten Aktualisierung oder zu irgendeiner ausgewählten gewünschten
Zeit, als Beispiel, der Inspektion des Freistemplers oder bei der
Neuvergütung
des Freistemplers, oder bei der nächsten Modemverbindung mit dem
Freistempler, wird dem Freistempler bei dem Block 610 eine
Verschlüsselungsmeldung
gesendet gemäß
E
= Verschlüssele1[Schlüssel2 F2(M)]
verwende Schlüssel1 F1(M).
-
In
dem Freistempler wird E entschlüsselt, Block 620,
um den neuen Schlüssel
zu erhalten, und er wird installiert, Block 630, und, wenn
gewünscht, wird
der neue Schlüssel
verifiziert, Block 640.
-
Es
ist zu erkennen, dass dann, wenn beispielsweise die Inspektionsperiode
die zum Ändern des
Schlüssels
gewählte
Periode ist, das System S1 für eine vollständige Inspektionsperiode
validiert ist, gefolgt von der Erzeugung der Gruppe S2.
Ist andererseits die Inspektionsperiode beispielsweise 6 Monate
und werden die Schlüssel
mit einer längeren
Periode aktualisiert, dann muss der Verifizierer zwei Systeme halten,
S(momentan) und S(vorangehend), und das Poststück mit beiden verifizieren.
Es ist zu erkennen, dass mit dem System in Übereinstimmung mit der Erfindung
das Schlüsselnachschlagen
und das DES Verschlüsseln
schnell und wirksam genug zum Ausführen eines Online-Betriebs
implementiert werden kann.