-
Die
Erfindung betrifft elektronische Frankiermaschinen, die zu einem
rechnergesteuerten Kontrollzentrum gehören.
-
Man
weiß,
dass die Frankiermaschinen mehrere verschiedene Zähler umfassen,
im Allgemeinen mindestens einen so genannten aufsteigenden Zähler, dessen
Wert bei jedem Drucken einer Frankierung um den Betrag dieser erhöht wird,
und einen so genannten absteigenden Zähler, dessen Wert um den Betrag
der Frankierung verringert wird, wobei der Wert des aufsteigenden
Zählers
die Gesamtsumme der Frankierungen darstellt, die von der Maschine seit
ihrer Inbetriebnahme gedruckt wurden, während der Wert des absteigenden
Zählers
den Kredit anzeigt, der seit dem letzten Nachladen der Maschine mit
Währungseinheiten
noch nicht verbraucht wurde.
-
Es
wurden bereits zahlreiche Verfahren vorgeschlagen, um es dem Kontrollzentrum,
wenn es geprüft
hat, dass die erforderlichen Bedingungen erfüllt sind, zu erlauben, der
betreffenden Maschine eine Nachladeanweisung ihres absteigenden
Zählers zu übertragen.
-
Man
kennt insbesondere durch GB-A-2 251 210 und durch EP-A-0 390 731 Systeme,
um jeweils eine Entriegelungsanweisung einer Frankiermaschine mit
nachträglichem
Bezahlen und eine Nachladeanweisung einer Maschine mit Vorausbezahlen
dank einer eindeutigen Zahl oder einem eindeutigen Code, den die
Zielmaschine erwartet, zu übertragen.
-
Genereller
gibt es verschiedene Systeme, die nicht nur die Übertragung einer Zählernachladeanweisung
des Zentrums zu einer der Maschinen erlauben, sondern auch das Übertragen
von Zählerablesungen
zwischen dieser Maschine und dem Zentrum. Eines dieser Systeme sieht
vor, dass jede der Maschinen mit einem Modem versehen wird, wobei der
Dialog zwischen der Maschine und dem Zentrum über das öffentliche Telefonnetz dank
gesicherter Meldungen in die zwei Richtungen erfolgt. Ein anderes
System, das insbesondere durch EP-A-0 328 057 bekannt ist, sieht
den Gebrauch eines tragbaren Objekts mit Datenspeicher vor, der
von einer logischen Zugangsschicht geschützt wird, wobei man dieses Objekt
zwischen dem Zentrum und der Maschine transportiert.
-
Diese
Systeme sind derzeit voll zufrieden stellend, insbesondere was den
Schutz vor Fälschungen
beim Nachladen von Zählern
betrifft, denn der Zugang zu den zwischen dem Zentrum und der Maschine übertragenen
Daten wird jeweils durch die Sicherung der Übertragung auf dem öffentlichen
Telefonnetz oder durch die logische Zugangsschutzschicht des tragbaren
Objekts untersagt.
-
Die
Erfindung zielt darauf ab, das Übertragen von
Daten mit dem gleichen Sicherheitsgrad zu erlauben, jedoch auf wirtschaftlichere
Art.
-
Sie
schlägt
dazu ein Verfahren zum Übertragen
von Informationen zwischen einem rechnergesteuerten Kontrollzentrum
und einer Vielzahl von elektronischen Frankiermaschinen vor, zumindest, damit
das Zentrum jeder Maschine eine Zählernachladeanweisung senden
kann, Verfahren, bei dem man jeweils zu sendende oder zu empfangende
Daten in einen Speicher eines tragbaren Objekts schreibt oder liest,
welches man zwischen einem Schreibmittel der zu sendenden Daten
und einem Lesemittel der zu empfangenden Daten transportiert, mit
einem Schreibmittel, das von dem Zentrum gesteuert wird, und einem
Lesemittel, das in jeder Frankiermaschine vorgesehen ist, dadurch
gekennzeichnet:
- – dass man für jede Maschine
der Vielzahl von Maschinen sowohl in einem gesicherten Speicher des
Zentrums als auch in einem gesicherten Speicher dieser Maschine
eine Vielzahl von geheimen Dateneinheiten verwahrt, die jede durch
das Zentrum und durch diese Maschine für alle zukünftigen Datenübertragungen
des Zentrums zu dieser Maschine zugänglich sind, und
- – dadurch,
dass man zum Übertragen
von dem Zentrum zu einer bestimmten Maschine der Vielzahl von Maschinen
vor Fälschung
zu schützender
Daten wie zum Beispiel die Nachladeanweisung:
- • ein
tragbares Objekt verwendet, das einen Speicher umfasst, in dem das
Schreiben und Lesen der Daten frei sind,
- • man
in dem Zentrum eine Dateneinheit aus der Vielzahl von geheimen Dateneinheiten,
die für
die bestimmte Maschine verwahrt werden, auswählt,
- • man
mit dem Schreibmittel, das von dem Zentrum gesteuert wird, in den
Speicher des tragbaren Objekts Daten schreibt, die ein Authentifizierungsmittel
umfassen, das derart ist, dass es nur vorbereitet und geprüft werden
kann, wenn man die in dem Zentrum ausgewählte Einheit geheimer Daten
kennt, und das ein Mittel umfasst, um der bestimmten Maschine diese
Einheit geheimer Daten bekannt zu geben,
- • man
das Objekt bis zu der bestimmten Maschine transportiert,
- • man
die Daten in dem Speicher des tragbaren Objekts mit einem Lesemittel
liest, das in der bestimmten Maschine vorgesehen ist, und
- • man
die Daten in der bestimmten Maschine erst nach Prüfen des
Authentifizierungsmittels berücksichtigt,
wobei jede Prüfung
dazu angepasst werden kann, mit einer beliebigen der Einheiten geheimer
Daten durchgeführt
zu werden.
-
Wie
man sieht, nutzt die Erfindung die Tatsache, dass die rechnergesteuerten
Kontrollzentren und die elektronischen Frankiermaschinen bereits mit
Mitteln zum Schutz vor Fälschungen
und insbesondere mit gesicherten Speichern versehen sind, das heißt mit geschütztem Zugang,
in einer Art, die es der Übertragung
erlaubt, diese bereits bestehenden Zugangssicherungen zu nutzen
statt zusätzliche, der Übertragung
eigene Sicherheiten vorzusehen, wie bei den oben genannten früheren Systemen.
-
Die
Erfindung erlaubt es daher, die Kosten in Zusammenhang mit diesen
zusätzlichen
Sicherheiten zu vermeiden. Insbesondere verwendet man auf materieller
Ebene tragbare Objekte und Schreib- und Lesemittel für ihren
Speicher, die besonders einfach und wirtschaftlich sind, weil das
Schreiben und Lesen des Speichers völlig frei sind.
-
Gemäß bevorzugten
Merkmalen der Erfindung:
- – führt man bei der Inbetriebnahme
jeder Frankiermaschine eine Initialisierungsphase aus, in welcher
man ihr geheim eine Einheit unterschiedlicher zufälliger Zahlen
zuweist, die man sowohl in den gesicherten Speicher des Zentrums
als auch in einen gesicherten Speicher der Maschine lädt, wobei
jede geheime Zahl dort mit einem Index mit zwei Zuständen verbunden
verwahrt wird, der dabei auf einen ersten Zustand gesetzt wird;
- – das
Zentrum zum Übertragen
einer Zählernachladeanweisung
zu dieser Maschine in seinem gesicherten Speicher eine der geheimen
Zahlen liest, die dieser Maschine zugewiesen sind, und deren Index
sich in dem ersten Zustand befindet, das Zentrum den mit der gelesenen
geheimen Zahl verbundenen Index auf den zweiten Zustand setzt und
die gelesene geheime Zahl in den Speicher eines tragbaren Objekts
schreibt, und
- – eine
Frankiermaschine, wenn sie die Präsenz eines tragbaren Objekts
in ihrem Lesemittel erfasst, dieses den Speicher des Objekts lesen lässt, erforscht,
ob die Zahl, die in den Daten, die sie soeben empfangen hat, steht,
zu den geheimen Daten gehört,
die in ihrem gesicherten Speicher verwahrt sind, und sie, wenn sie
diese Zahl, die mit einem Index in dem ersten Zustand verbunden
ist, findet, den Index auf den zweiten Zustand setzt und ihren Zähler neu
lädt.
-
Das
Authentifizierungsmittel, das die gesendeten Daten umfassen, ist
die geheime Zahl, das heißt
ein Element der geheimen, im gesicherten Speicher verwahrten Daten
selbst.
-
Die
Tatsache, dass man die Indizes, die mit dieser Zahl verbunden sind,
auf einen zweiten Zustand übergehen
lässt,
vermeidet ihre Wiederverwendung, was notwendig ist, denn die Zahl
kann einem Dritten preisgegeben worden sein, da das tragbare Objekt
frei lesbar ist.
-
Aus
Einfachheitsgründen
weist man der Maschine in der Initialisierungsphase einen alleinigen Zählernachladewert
zu, den sie bei jedem Nachladen ihres Zählers berücksichtigt.
-
Gemäß einer
ausgeklügelteren
Variante sieht man in der Initialisierungsphase mehrere Serien unterschiedlicher
zufälliger
Zahlen vor, wobei jeder ein bestimmter Zählernachladewert entspricht,
wobei die Maschine, wenn sie ihren Zähler nachlädt, den Wert berücksichtigt,
der der Serie entspricht, zu der die geheime Zahl gehört, die
sie soeben empfangen hat.
-
Gemäß weiteren
bevorzugten Merkmalen:
- – führt man bei der Inbetriebnahme
der Frankiermaschine eine Initialisierungsphase aus, in welcher
man ihr einen Satz geheimer numerischer Schlüssel für einen Algorithmus gibt, der
ausgehend von Daten und von einem derartigen numerischen Schlüssel ein
Kryptogramm erzeugen kann, und man diese Schlüssel sowohl in den gesicherten
Speicher des Zentrums als auch in den gesicherten Speicher der Maschine
lädt;
- – dass
man zum Authentifizieren der Herkunft der durch das Zentrum oder
die Maschine gesendeten Daten einen der geheimen numerischen Schlüssel auswählt, der
Sender der Information ein Kryptogramm mit diesem Schlüssel berechnet,
die zu übertragende
Information sowie das Kryptogramm in den Speicher eines tragbaren Objekts
schreibt, und, wenn der Empfänger
der Information die Präsenz
eines tragbaren Objekts in seinem Lesemittel erfasst, er diesen
den Speicher des Objekts lesen lässt,
ein Kryptogramm mit dem gleichen Schlüssel berechnet, das Kryptogramm,
das in den empfangenen Daten steht, mit dem von ihm berechneten
vergleicht und die Daten nur als authentisch betrachtet, wenn das
empfangene Kryptogramm und das berechnete Kryptogramm übereinstimmen.
-
Das
Authentifizierungsmittel der übertragenen
Daten, welches das Kryptogramm bildet, ist hier nicht direkt ein
Element der geheimen Daten, es kann aber nur durch den Zugang zu
dem entsprechenden geheimen Schlüssel
erzielt werden.
-
Der
Gebrauch eines solchen Authentifizierungsmittels ist zum Beispiel
besonders gut zum Authentifizieren von Ablesungen der Zähler einer
Maschine geeignet, auf deren Grundlage dem Benutzer verrechnet wird.
-
In
einem solchen Fall können
die Daten, mit welchen das Kryptogramm berechnet wird, Zeichen sein,
die in den gesendeten Daten stehen oder insbesondere in dem Fall,
in dem die gesendeten Daten relativ wenig Zeichen enthalten, die
Daten, mit welchen das Kryptogramm berechnet wird, zufällig erzeugte
Zeichen sind, die man ebenfalls in den Speicher des tragbaren Objekts
schreibt.
-
Die
Darlegung der Erfindung wird jetzt mit der Beschreibung einer Ausführungsform
fortgesetzt, die unten beschreibend und nicht einschränkend unter
Bezugnahme auf die anliegenden Zeichnungen gegeben wird, auf welchen:
-
1 schematisch
ein rechnergesteuertes Kontrollzentrum zeigt, das für eine Einheit
elektronischer Frankiermaschinen verantwortlich ist, mit welchen
es erfindungsgemäß kommuniziert;
-
2 eine
schematische perspektivische Ansicht einer dieser Frankiermaschinen
ist, die in einer Initialisierungsphase gezeigt ist;
-
3 eine
Draufsicht der Chipkarte ist, die man zum Übertragen der Daten verwendet;
-
4 eine
andere perspektivische Ansicht der in 2 dargestellten
Frankiermaschine ist, welche den äußeren Teil ihres Chipkarten-Lese-/Codierungsgeräts zeigt;
-
5 eine
Perspektive ist, die in Vergrößerung im
Vergleich zu 4 die Aufnahme des Kartenlese- /Codiergeräts und bestimmte
mit ihm verbundene Elemente zeigt;
-
6 eine
teilweise Ansicht im Aufriss-Schnitt gemäß der in 5 mit
VI-VI gekennzeichneten Ebene ist, und
-
7 eine
perspektivische schematische Ansicht ist, die schematisch ein Telematikterminal zeigt,
das über
das Telefonnetz mit dem Kontrollzentrum, das in 1 gezeigt
ist, verbunden werden kann.
-
Das
auf dieser letzteren Figur gezeigte Kontrollzentrum umfasst eine
EDV-Einheit, die aus einem Servercomputer 2 besteht, mit
dem drei Verwaltungscomputer 3 verbunden sind, mit welchen
jeweils ein Chipkarten-Lese-/Codiergerät 4 sowie ein Etikettendrucker 5 verbunden
sind, wobei ein Modem 6 direkt mit dem Computer 2 verbunden
ist, der mit einer Telefonleitung 7 verbunden ist, die
ihm allein zugewiesen ist.
-
Die
insbesondere in 2 und 4 gezeigte
Frankierungsmaschine 8 umfasst herkömmlich eine Führungsplatte 9 des
Gegenstands, auf dem das Frankieren von einem Kopf 10 aufgedruckt
werden soll, der sich über
der Platte 9 befindet, und verschiedene andere gewohnte
nicht dargestellte Elemente, insbesondere eine Tastatur und eine
Waage sowie interne Schaltkreise zum Steuern und Verwalten, die
von einem Mikrocontroller gesteuert werden, der mit einer Verwaltungssoftware
der Frankierungen bekannten Typs versehen ist, der zum Beispiel
dem entspricht, der in der französischen
Patentanmeldung 93-04694,
die dem Anmelder gehört,
beschrieben ist.
-
Neben
diesen herkömmlichen
Elementen umfasst die Maschine 8 einen Stecker 11, über welchen
man Zugang zu ihren internen Schaltkreisen hat, um einen Initialisierungsvorgang durchzuführen, indem
man diese Schaltkreise mit den Computern des Zentrums 1 dank
des Kabels 12 verbindet, von dem ein Ende einen Stecker 13 umfasst,
der mit dem Stecker 11 zusammenwirken kann, wobei das andere
Ende des Kabels 12 direkt mit einem der Computer des Zentrums 1 verbunden
ist, wenn der Initialisierungsvorgang an Ort und Stelle erfolgt,
oder über eine
gesicherte Datenübertragungsleitung,
wenn der Vorgang dezentral erfolgt. Beim normalen Betrieb ist der
Stecker 11 durch einen unverletzlichen Schutzmantel verdeckt.
-
Die
Maschine 8 umfasst ferner weitere Elemente, die weiter
unten beschrieben sind, welche es ihr erlauben, mit der Chipkarte 14,
die in 3 gezeigt ist, zusammenzuarbeiten.
-
Das
Format dieser Karte, ihr Stecker 15 sowie dessen Platz
entsprechen jenen, die gemäß ISO normalisiert
sind. Sie ist mit einem Mikroschaltkreis (nicht dargestellt) des
Typs nicht flüchtiger RAM-Speicher,
der überschrieben
werden kann, der Art EEPROM oder gleichwertig ausgestattet. Dieser Mikroschaltkreis
umfasst keinen logischen Eingangsschutz, was bedeutet, dass das
Lesen und das Schreiben von Daten auf der Karte 14 völlig frei
sind.
-
Im
rechtem Winkel zu dem Stecker 15 weist die Karte 14 eine Öffnung 16 auf,
die in ihrer Stärke ausgeführt ist,
wobei diese Öffnung
in bestimmten Fällen,
die unten erwähnt
sind, von einem mit einem der Drucker 5 des Zentrums 1 gedruckten
Etikett abgedeckt ist, das man an die Stelle klebt, die in 3 durch
den Rahmen 17 gestrichelt dargestellt ist.
-
Wie
in 4 bis 6 gezeigt, umfasst die Frankiermaschine
ein Element 18 zur Aufnahme der Karte 14, das
sich über
einen Schlitz 19 nach außen öffnet, wobei die Aufnahme 18 wie
in 5 gezeigt mit einem Stecker 20 aus zwei
Teilen verbunden ist, der aktiv wird, wenn die Karte ganz hineingeschoben wird,
und einem Elektromagnet 21, der mit einem Taucher 22 versehen
ist, der in einer Spitze endet (siehe 6) wobei
der Taucher 22 dazu vorgesehen ist, wenn er betätigt wird,
durch die Öffnung 16 der Karte 14 zu
gehen und daher auf der Ebene der Öffnung 16 das Etikett 23 zu
durchbohren, welches eventuell an der Stelle 17 auf die
Karte 14 geklebt ist.
-
Ferner
ist die oben erwähnte
Frankierungsverwaltungssoftware herkömmlichen Typs, wobei der Mikrocontroller
die Verwaltungs- und Steuerschaltkreise der Maschine 8 steuert,
auch mit einer zusätzlichen
Software versehen, die es diesem Mikrocontroller erlaubt, die verschiedenen
Operationen in Zusammenhang mit der Datenübertragung zu verwalten, die über die
Karte 14 erfolgt, welche Operationen jetzt beschrieben
werden.
-
Zum
Initialisieren der Maschine 8 legt man in den Computern
des Zentrums 1 ein Dossier an, das die Referenzen eines
gültig
eingetragenen und zum Benutzen der Maschine befugten Benutzers umfasst, und
man führt
wie zuvor angegeben die Verbindung eines Computers des Zentrums 1 mit
dem Stecker 11 durch.
-
Man
weist der Maschine 8 geheim eine Einheit unterschiedlicher
zufälliger
Zahlen zu, zum Beispiel 250 Zahlen zu zehn Dezimalstellen, man speichert
die Nummer der Maschine und die Serie aus 250 Zahlen in dem Dossier
des Zentrums, und man überträgt diese
Daten zu der Maschine 8, die sie automatisch auf permanenten
Speichern (nicht flüchtig) speichert,
wobei jede Zahl in dem Dossier des Zentrums und in den Speichern
der Maschine mit einem Index verbunden ist, der zumindest die Zustände Null und
Eins annehmen kann, und der in diesem Stadium auf Null gesetzt wird.
-
Der
Dateiteil der 250 geheimen zufälligen Zahlen
wird gesichert in dem Zentrum 1 so gespeichert, dass auch
bei Wartungsvorgängen
nicht befugte Personen keinen Zugang zu ihm haben können.
-
Im
Laufe der Initialisierung speichert man in dem Dossier des Zentrums
und in der Maschine 8 auch einen Wert, mit dem sich der
absteigende Zähler
der Maschine nachladen muss, wenn diese Letztere vom Zentrum eine
Nachladeanweisung erhält.
-
Wenn
der Initialisierungsvorgang abgeschlossen ist, wird die Maschine 8 wieder
in ihren Sicherheitsmantel eingeschlossen, welcher mit einem unverletzlichen
Siegel versiegelt wird, und die Maschine ist zur Inbetriebnahme
bereit.
-
Sobald
die Maschine 8 an dem Standort, an dem sie verwendet werden
soll, installiert wurde, muss sie, um funktionieren zu können, über die
Karte 14 eine Nachladeanweisung für ihren absteigenden Zähler, der
auf Null steht, erhalten.
-
Diese
Anweisung wird durch den Empfang einer der 250 Zahlen gegeben, die
in den Speicherregistern der Maschine 8 vorhanden sind,
vorausgesetzt, dass sie nicht bereits benutzt wurde.
-
Bei
der Ausführungsform
der 1 bis 6 wird das Senden der Karte 14,
die die Anweisung zum Nachladen des absteigenden Zählers enthält, von
dem Zentrum 1 sichergestellt.
-
Wenn
man von ihm dazu eine Genehmigung schriftlich oder per Telefon verlangt,
verwendet das Zentrum, nachdem es geprüft hat, dass die geforderten
Bedingungen erfüllt
sind (Bezahlung der Beträge durchgeführt oder
jede andere Bedingung) eines der Lese-/Codiergeräte 4, um in den Speicher
einer Karte 14 eine bestimmte Anzahl von Daten zu schreiben, die
dazu bestimmt sind, die Maschine zu bezeichnen, für die sie
bestimmt ist, insbesondere die Nummer dieser Maschine, sowie eine
der geheimen Zahlen, die noch nicht verwendet wurde (mit Index auf
Null) aus den 250, die dieser Maschine zugewiesen sind, wobei die
gesendete Zahl daher auf Eins gesetzt wird, um zu zeigen, dass sie
verwendet wurde.
-
Dank
eines Druckers 5, wird ferner ein selbstklebendes Etikett 23 in
Klarschrift mit Identifikationsdaten der Maschine ausgedruckt, für welche
die Genehmigung bestimmt ist, und dieses Etikett wird, wenn die
Karte 14 codiert wurde, an die Stelle 17 geklebt,
wo es die Öffnung 16 verschließt, wobei
dieses Etikett mit einem Hintergrundaufdruck durchgeführt ist,
der es erlaubt, ihre Herkunft zu erkennen, und der die Gefahren
einschränkt,
dass es in betrügerischer Absicht
ersetzt wird.
-
Nachdem
die Karte 14 so vorbereitet wurde, sendet das Zentrum 1 sie
zum Beispiel durch einen Boten oder auf dem Postweg bis zu dem Standort,
an dem sich die Maschine 8 befindet, und, wenn sie auf diesem
Standort ankommt, wird die Karte 14 in die Aufnahme 18 eingefügt, wobei
sich die Stecker 20 betätigen,
wenn die Karte ganz hineingeschoben wird, die auf der Karte vorhandenen
Daten werden gelesen und an die internen Schaltkreise der Maschine übertragen,
welche prüfen,
ob die Identifikationsnummer, die in den Daten steht, die sie soeben
erhalten haben, der Identifikationsnummer entsprechen, die ihr in
der Initialisierungsphase zugewiesen wurde, und wenn das der Fall
ist, steuern die Schaltkreise den Elektromagnet 21 an,
damit der Taucher 22 sich senkt und wieder aufsteigt, das
heißt,
um ihn von seiner Ruhestellung, in welcher er sich außerhalb des
Aufnahmeraums der Karte 14 befindet, welcher sich über den
Schlitz 19 nach außen öffnet, zu
einer betätigten
Stellung übergehen
zu lassen, in welcher er diesen Raum durchquert, danach auf die
Ruhestellung, so dass er das Etikett 23 auf der Ebene der Öffnung 16 durchstößt, die
Schaltkreise erforschen, ob die in den Daten, die soeben gelesen
wurden, stehende Zahl zu den geheimen Zahlen gehört, die in ihren Speicherregistern
aufbewahrt werden, und wenn die Maschine dort diese Zahl findet,
die mit einem Index mit dem Zustand Null verbunden ist, stellt sie
diesen auf Eins und lädt
ihren absteigenden Zähler
mit dem Nachladewert, der ihm daher bei den Initialisierungsvorgängen zugewiesen
wird.
-
Der
Nachladewert kann natürlich
von einer Maschine zu einer anderen aufgrund des voraussichtlichen
Verbrauchs oder irgendeiner anderen Betrachtung variieren, er kann
jedoch für
eine gegebene Maschine nicht dezentral geändert werden.
-
Als
Variante sieht man in der Initialisierungsphase mehrere Reihen unterschiedlicher
zufälliger Zahlen
vor, wobei jeder ein getrennter Zählernachladewert entspricht,
wobei die Maschine, wenn sie ihren Zähler nachlädt, den der Serie entsprechenden Wert
berücksichtigt,
zu welcher die geheime Zahl, die sie soeben empfangen hat, gehört.
-
Bei
anderen Varianten verwendet man die gleiche Methode für weitere
Zähler,
die den Gebrauch der Maschine 8 kontrollieren, zum Beispiel, um
es der Maschine zu erlauben, während
einer vorausbestimmten Dauer zu funktionieren, oder um es ihr zu
gestatten zu funktionieren, bis der aufsteigende Zähler einen
Wert erreicht hat, der berechnet wird, indem der Nachladewert zu
dem Wert hinzugefügt wird,
den dieser Zähler
in dem Augenblick des Durchführens
des Nachladens hatte.
-
Da
die Wiederverwendung einer geheimen Zahl verboten ist, kann das
Zählernachladen
nach dem Initialisieren nur eine Anzahl Male ausgeführt werden,
die der Menge der geheimen Zahlen entspricht, die während der
Initialisierungsphase zugewiesen wurde, welche in dem vorliegenden
Beispiel 250 beträgt.
Sollte die Maschine noch verwendet werden müssen, muss daher ein neuer
Initialisierungsvorgang durchgeführt
werden.
-
In
der oben stehenden Beschreibung der Ausführungsform der 1 bis 6 ist
es das Zentrum 1, das der Sender der zu übertragenden
Informationen ist, und die Maschine 8 ist der Empfänger, es
ist jedoch auch möglich,
dass die Maschine der Sender und das Zentrum 1 der Empfänger ist,
insbesondere um diesem Letzteren eine Ablesung des aufsteigenden
Zählers
oder andere in der Maschine 8 gespeicherte Daten zu senden,
zum Beispiel Nutzungsstatistiken der verschiedenen Frankierungsabschnitte,
wobei die Maschine 8 die Daten dem Zentrum 1 zum
Beispiel als Antwort auf einen Befehl sendet, der von dem Zentrum
gleichzeitig mit der Zählernachladeanweisung
auf die Karte geschrieben wird.
-
Da
die Karte 14 frei lesbar ist, ist es vorzuziehen, um sicherzugehen,
dass die in dem Zentrum 1 gelesenen Daten wirklich die
sind, die von der gewünschten
Maschine 8 geschrieben wurden, auch hier über ein
Datenauthentifizierungsmittel zu verfügen.
-
Man
kann daher vorsehen, dass während der
Initialisierungsphase der Maschine 8 dieser ein Satz geheimer
numerischer Schlüssel
für einen
Algorithmus gegeben wird, der dazu angepasst ist, ausgehend von
Daten und von einem dieser Schlüssel ein
Kryptogramm zu erzeugen, welche Schlüssel in dem Dossier gespeichert
sind, welches das Zentrum 1 für die Maschine 8 führt, in
seinem gesicherten Teil, und in den Speicherregistern der Maschine 8.
Wenn einer der geheimen Schlüssel
ausgewählt
wird, berechnet die Maschine ausgehend von den Daten, welche sie überträgt, das
Kryptogramm und schreibt dieses gleichzeitig mit den Daten auf die
Karte 1, wobei das Zentrum 1 nach dem Lesen der
Daten die gleiche Berechnung durchführt und prüft, ob das Kryptogramm, das
es erhält,
wirklich dem entspricht, das auf der Karte vorhanden ist.
-
Sollten
die Daten mit betrügerischer
Absicht modifiziert worden sein, würde das Ausbleiben der Entsprechung
zwischen den Kryptogrammen natürlich
die Fälschung
aufzeigen.
-
Um
den der Schlüssel
auszuwählen,
der für die Übertragung
verwendet wird, kann man zum Beispiel einen ersten davon bei den
Initialisierungsvorgängen
festlegen und Befehle vorsehen, die das Zentrum an die Maschine 8 übertragen
kann, damit diese einen anderen der Schlüssel, den sie im Speicher verwahrt,
verwendet.
-
Natürlich wird
das Berechnen des Authentifizierungskryptogramms von den internen
elektronischen Schaltkreisen der Maschine 8 durchgeführt, wobei
der Algorithmus in der zusätzlichen
Software enthalten ist, mit der der Mikrocontroller versehen ist, wobei
dieser Algorithmus zum Beispiel des Typs DES ist.
-
Die
Fähigkeit,
die Maschine 8 Daten zum Zentrum 1 zurücksenden
zu lassen, kann insbesondere verwendet werden, um auf Befehl, wie
oben angegeben, das Ablesen des aufsteigenden Zählers vorzunehmen, um die Maschinen
gemäß ihres
realen Verbrauchs zu fakturieren.
-
Sie
kann auch dazu dienen, die Kontrolle der Wartung der Maschinen sicherzustellen:
dafür wird eine
Karte von dem Zentrum ausgestellt und an die Organisation gesandt,
die mit der Wartung beauftragt ist. Diese Karte trägt die Nummer
der zu prüfenden Maschine
und ein Enddatum der Durchführung
der Prüfung.
Ein Techniker muss sich daher zu der Maschine begeben, die Karte
in diese einfügen,
was die verlangten Informationen über den Zustand der Maschine
in die Karte schreibt. Der Beweis des Eingriffs wird durch das Zurücksenden
der Karte zum Zentrum 1 geliefert.
-
Es
ist auch möglich,
dass der zu authentifizierende Sender das Zentrum 1 ist.
Wenn es in diesem Fall keine Daten zu übertragen gibt, oder wenn ihre
Anzahl unzureichend ist, erzeugt es zufällig eine Zeichenreihe, berechnet
auf deren Basis das Kryptogramm und schreibt sowohl die Zeichenserie
als auch das Kryptogramm, das bei der Ankunft von der Maschine 8 geprüft wird.
-
Bei
einer anderen Ausführungsform,
die unten anhand der 1 und 7 erklärt ist,
sind es nicht die Lese-/Codiergeräte 4,
die in dem Zentrum 1 vorgesehen sind, die diesem zum Schreiben
oder Lesen der Daten auf der Karte 14 dienen, sondern das Telematikterminal 24,
das in 7 gezeigt ist, das auf dem Standort gegenwärtig ist,
auf dem sich eine bestimmte Anzahl von Maschinen 8 befindet,
wobei dieser Standort von dem Zentrum 1 entfernt ist. Das Terminal 24 enthält in einem
alleinigen Gehäuse
mindestens ein Chipkarten-Lese-/Codiergerät 25 der gleichen
Art wie das Lese-Codiergerät
des Zentrums 1 oder der gleichen Art wie das in den Maschinen 8 vorgesehene,
und das eine Aufnahme 18 für die Karte umfasst. Neben
dem Lese-/Codiergerät 25 umfasst
das Terminal 24 logische Steuerschaltkreise sowie ein Modem
und eventuell, wie in dem in 7 gezeigten
Beispiel, eine Tastatur 26 und einen Bildschirm 27.
-
Die
logischen Steuerschaltkreise reagieren auf das Einführen einer
Karte in das Lese-/Codiergerät 25,
erkennen den Typ der eingeführten
Karte und prüfen,
ob die Karte die entsprechenden Identifikationsdaten enthält. Je nach
den auf der Karte gelesenen Daten (siehe weiter unten), können die
Steuerschaltkreise die Ausführung
einer Leseoperation der Karte starten, einer Schreiboperation oder
können auch
automatisch das Zentrum 1 mittels des Modems anrufen, um eine
Transaktion zu verlangen, Informationen zu dem Zentrum zu übertragen
oder sie von diesem zu erhalten.
-
An
dem Ort, an dem sich das Terminal 24 und die verschiedenen
Maschinen 8 befinden, ist eine Karte 14 pro Maschine
vorgesehen, deren Speicher die Identifikationsnummer dank einer
Initialisierung enthält,
die von dem Zentrum 1 durchgeführt wird, ohne dass dieses
ein Etikett mit dem Drucker 5 erzeugt und ohne dieses auf
die Stelle 17 zu kleben und allgemeiner, bei der Variante,
die das Terminal 24 verwendet, klebt man kein Etikett auf
die verwendeten Karte 14. Mit Ausnahme dieses Unterschieds ist
die Übertragung
der Informationen ähnlich
der der ersten Ausführungsform,
abgesehen davon, dass das Lese-/Codiergerät 25 mit
dem Computer 2 nicht über
einen Verwaltungscomputer 3 sondern über das öffentliche Telefonnetz 7 und
das Modem angeschlossen ist.
-
Was
den Benutzer betrifft, während
dieser zum Erzielen einer Zählernachladeanweisung,
wenn die Karte von dem Zentrum ausgestellt wird, eine Anfrage per
Telefon, auf dem Postweg, per Fax oder Telex durchführen und
warten muss, dass die Karte von dem Zentrum während seiner Öffnungszeiten
angelegt und schließlich
auf dem Postweg oder von einem Boten auf den Standort gesendet wird,
erlaubt es die Tatsache, dass man über ein Telematikterminal 24 verfügt, eine
Nachladeanweisung in wenigen Augenblicken und jederzeit zu erzielen.
-
Um
eine solche Anweisung zu erzielen, wird die Karte der Maschine,
die diese Anweisung braucht, in Letztere eingefügt, wobei die Karte erkannt
wird und die Maschine 8 auf der Karte 14, die zu
ihr gehört,
ihren Zustand speichert und insbesondere den Wert bestimmter ihrer
Zähler
sowie das Verwendungskryptogramm.
-
Der
Benutzer nimmt daher die Karte aus der Maschine und fügt sie in
das Terminal ein. Dieses erkennt die Karte und ruft das Zentrum
dank seines Modems an, wobei die Kommunikation über das öffentliche Telefonnetz 7 läuft, und über das
Modem 6 des Zentrums 1, wobei die übertragenen
Daten die sind, die in den Speicher der Karte 14 geschrieben sind.
-
Nach
dem Empfang der Daten prüft
das Zentrum deren Authentizität
dank des Kryptogramms, und, wenn alle Bedingungen erfüllt sind,
sendet es rückwendend
eine Meldung, die die Daten enthält, die
auf die Karte zu schreiben sind, um eine Zählernachladeanweisung zu bilden,
und insbesondere eine der 250 noch gültigen Zahlen.
-
Der
Benutzer nimmt die Karte aus dem Terminal heraus und fügt sie wieder
in die Maschine ein, was die gleichen Operationen wie weiter oben
beschrieben durchführt,
bis ihr Zähler
nachgeladen ist, wobei bestimmte Daten anschließend auf die Karte geschrieben
werden können,
damit sich der Prozess wiederholt, wenn es wieder erforderlich ist,
eine neue Zählernachladeanweisung
zu verlangen.
-
Zahlreiche
Varianten sind in Abhängigkeit von
den Umständen
möglich,
und in dieser Hinsicht wird in Erinnerung gerufen, dass sich die
Erfindung nicht auf die beschriebenen und dargestellten Beispiele
beschränkt.