-
Die
vorliegende Erfindung bezieht sich auf Zählsysteme, wie etwa zum Beispiel
elektronische Frankiermaschinensysteme, und ist auf Abrechnungssysteme
für elektronische
Frankiermaschinensysteme anwendbar.
-
Bei
der Postvorbereitung bereitet ein Versender ein Poststück oder
eine Serie von Poststücken
für eine
Zustellung zu einem Empfänger
durch einen Beförderungsdienst,
wie etwa den US-Postdienst,
oder einen anderen Postdienst oder einen privaten Beförderungszustelldienst
vor. Die Beförderungsdienste verarbeiten
bei Empfang oder Annahme eines Poststücks oder einer Serie von Poststücken von
einem Versender das Poststück,
um es für
eine physische Zustellung zu dem Empfänger vorzubereiten. Bezahlung
für den
Postdienst oder den privaten Beförderungszustelldienst
kann mittels Wertzähleinrichtungen,
wie etwa Frankiermaschinen, durchgeführt werden. In Systemen dieses
Typs druckt der Benutzer einen Freimachungsvermerk, der ein digitaler
Token oder ein anderer Beweis einer Bezahlung sein kann, auf dem
Poststück
oder auf einem Band, das dem Poststück angehaftet wird. Die Frankiermaschinensysteme
drucken und rechnen für
Porto und anderen Einheitenwertdruck ab, wie etwa Paketzustelldienstgebühren oder
Steuermarken.
-
Diese
Frankiermaschinensysteme involvieren sowohl Vorausbezahlung von
Postgebühren durch
den Versender (vor einem Portowertaufdruck) als auch Bezahlung im
nachhinein von Postgebühren durch
den Versender (anschließend
zu einem Portowertaufdruck).
-
Vorausbezahlungszählwerke
setzen absteigende Register zum sicheren Speichern eines Wertes
innerhalb des Zählwerkes
vor einem Druck ein, während
Zählwerke
für Bezahlung
im nachhinein (aktuelle Abrechnung) aufsteigende Register einsetzen, um
einen aufgedruckten Wert abzurechnen. Postgebühren oder andere Begriffe,
die sich auf ein Post- oder eine Frankiermaschine oder ein Zählwerksystem
beziehen, wie sie hierin verwendet werden, sollten verstanden werden,
je nach dem Gebühren
für entweder
Portogebühren,
Steuergebühren,
Gebühren
für private
Beförderer,
Steuerdienst oder privaten Befördererdienst
und andere Wertzählsysteme
zu bedeuten, wie etwa zertifizierte Zählsysteme, wie etwa in der
gemeinsam anhängigen
europäischen Patentanmeldung
Nr. 96 113 397.2 offengelegt, die Priorität von der US-Anmeldung Seriennummer 08/518,404,
eingereicht am 21. August 1995, für SECURE USER CERTIFICATION
FOR ELECTRONIC COMMERCE EMPLOYING VALUE METERING SYSTEM, übertragen
an Pitney Bowes, Inc., beansprucht.
-
Da
die Zählwerke
einen Geldwert speichern und drucken, sind die Verfolgung und Steuerung
der Funktionalität
von Wertzählsystemen äußerst wünschenswert
und als Teil von verschiedenen Befördererdienstzählystemen
erforderlich. Dies ist ein sehr teurer und aufwändiger Prozess, der beträchtliche Verwaltungsaufwände involviert
und die physische Untersuchung von Zählwerken involvieren kann.
-
Einige
der verschiedenen Typen von Frankiermaschinensystemen werden z.B.
in US-Patent Nr. 3,978,457 für
MICRO COMPUTERIZED ELECTRONIC POSTAGE METER SYSTEM, erteilt am 31. August
1976; US-Patent Nr. 4,301,507 für
ELECTRONIC POSTAGE METER HAVING PLURAL COMPUTING SYSTEMS, erteilt
am 17. November 1981; und US-Patent Nr. 4,579,054 für STAND
ALONE ELECTRONIC MAILING MACHINE, erteilt am 1. April 1986 gezeigt.
Außerdem
wurden andere Typen von Zählsystemen
entwickelt, die unterschiedli che Drucksysteme involvieren, wie etwa
diejenigen, die Thermodrucker, Tintenstrahldrucker, mechanische Drucker
und andere Typen von Drucktechnologien involvieren. Beispiele von
einigen von diesen anderen Typen von elektronischen Frankiermaschinen werden
in US-Patent Nr. 4,168,533 für
MICROCOMPUTER MINIATURE POSTAGE METER, erteilt am 18. September
1979; und US-Patent Nr. 4,493,252 für POSTAGE PRINTING APPARATUS
HAVING A MOVABLE PRINT HEAD AN A PRINT DRUM, erteilt am 15. Januar
1985, beschrieben. Diese Systeme ermöglichen der Frankiermaschine,
variable Information zu drucken, die Information eines alphanumerischen
und grafischen Typs sein kann.
-
Es
wurden auch Frankiermaschinensysteme entwickelt, die verschlüsselte Information
auf einem Poststück
einsetzen. Der Portowert für
ein Poststück kann
gemeinsam mit den anderen Daten verschlüsselt werden, um einen digitalen
Token zu generieren. Ein digitaler Token ist verschlüsselte Information,
die die Information authentifiziert, die auf einem Poststück aufgedruckt
ist, wie etwa ein Portowert. Beispiele von Frankiermaschinensystemen,
die digitale Tokens generieren und einsetzen, werden in US-Patent
Nr 4,757,537 für
SYSTEM FOR DETECTING UNACCOUNTED FOR PRINTING IN A VALUE PRINTING
SYSTEM, erteilt am 12. Juli 1988; US-Patent Nr. 4,831,555 für SECURE
POSTAGE APPLYING SYSTEM, erteilt am 15. Mai 1989; US-Patent Nr. 4,775,246
für SYSTEM
FOR DETECTING UNACCOUNTED FOR PRINTING IN A VALUE PRINTING SYSTEM,
erteilt am 4. Oktober 1988; US-Patent Nr. 4,725,718 für POSTAGE
AND MAILING INFORMATION APPLYING SYSTEMS, erteilt am 16. Februar
1988, beschrieben. Diese Systeme, die eine Einrichtung nutzen können, die
eine Portobescheinigungseinrichtung (Postage Evidencing Device,
PED) oder Postsicherheitseinrichtung (Postal Security Device, PSD)
genannt wird, setzen einen Verschlüsselungsalgorithmus ein, der
genutzt wird, um ausgewählte
Information zu verschlüsseln,
um den digitalen Token zu generieren. Die Verschlüsselung
der Information sieht Sicher heit vor, um eine Änderung der gedruckten Information
auf eine derartige Art und Weise zu verhindern, dass eine beliebige Änderung in
dem Postertragsblock durch geeignete Verifizierungsprozeduren erfassbar
ist.
-
Es
wurden auch Verschlüsselungssysteme vorgeschlagen,
wo eine Abrechnung für
eine Portobezahlung zu einem Zeitpunkt anschließend nach dem Druck des Portos
auftritt. Systeme dieses Typs werden in US-Patent Nr. 4,796,193
für POSTAGE PAYMENT
SYSTEM FOR ACCOUNTING FOR POSTAGE PAYMENT OCCURS AT A TIME SUBSEQUENT
TO THE PRINTING OF THE POSTAGE AND EMPLOYING A VISIAL MARKING IMPRINTED ON
THE MAILPIECE TO SHOW THAT ACCOUNTING HAS OCCURRED, erteilt am 3.
Januar 1989; US-Patent Nr. 5,293,319 für POSTAGE METERING SYSTEM,
erteilt am 8. März
1994; und US-Patent Nr. 5,375,172 für POSTAGE PAYMENT SYSTEM EMPLOYING
ENCRYPTION TECHNIQUES AND ACCOUNTING FOR POSTAGE PAYMENT AT A TIME SUBSEQUENT
TO THE PRINTING OF THE POSTAGE, erteilt am 20. Dezember 1994, beschrieben.
-
Es
wurden andere Portobezahlungssysteme entwickelt, die keine Verschlüsselung
einsetzen. Ein derartiges System wird in US-Patent Nr. 5,391,562 für SYSTEM
AND METHOD FOR PURCHASE AND APPLICATION OF POSTAGE USING PERSONAL COMPUTER,
erteilt am 21. Februar 1995, beschrieben. Dieses Patent beschreibt
Systeme, wo Endnutzercomputer jeder ein Modem zum Kommunizieren mit
einem Computer und einer Postbehörde
inkludieren. Das System wird unter Steuerung eines Frankiermaschinenprogramms
betrieben, das Kommunikationen mit der Postbehörde veranlasst, um Porto zu
erwerben, und den Inhalt des sicheren nicht-flüchtigen Speichers aktualisiert.
Das Portodruckprogramm weist jedem gedruckten Umschlag und Etikett eine
eindeutige Seriennummer zu, wobei die eindeutige Seriennummer einen
Zählwerkidentifikator
inkludiert, der für
diesen Endbenutzer eindeutig ist. Das Portodruckprogramm des Benutzers
steuert direkt den Drucker um zu verhindern, dass Endbenutzer mehr
als eine Kopie von einem beliebigen Umschlag oder Etikett mit der
gleichen Seriennummer drucken. Das Patent legt nahe, dass durch
Aufbringen und Speichern der Seriennummern auf allen Poststücken und
dann periodischen Verarbeiten der Information der Postdienst betrügerisches
Duplizieren von Umschlägen
oder Etiketten erfassen kann. In diesem System werden Geldmittel
durch und an dem Versenderstandort abgerechnet. Der Versender erstellt
und erteilt die eindeutige Seriennummer, die dem Postdienst nicht
vorgelegt wird, bevor die Post in den Postdienstpostverarbeitungsstrom
eintritt. Außerdem ist
keine Unterstützung
vorgesehen, um die Zustellbarkeit der Post über gegenwärtige existierende Systeme
hinaus zu verbessern.
-
Wie
aus den oben angeführten
Verweisen gesehen werden kann, können
verschiedene Frankiermaschinengestaltungen elektronische Abrechnungssysteme
inkludieren, die innerhalb eines Zählwerkgehäuses gesichert werden können, oder Smart-Cards
oder andere Typen von tragbaren Abrechnungssystemen.
-
Vor
kurzem hat der US-Postdienst vorgeschlagene Entwurfsspezifikationen
für zukünftige Portobezahlungssysteme
veröffentlicht,
inkludierend die Information Based Indicium Program (IBIP) Indicium
Specification (Frankierabdruck-Spezifikation) vom 13. Juni 1996
und die Information Based Indicia Program Postal Security Device
Specification vom 13. Juni 1996. Dies sind Spezifikationen, die
verschiedene Portobezahlungstechniken offenlegen, inkludierend verschiedene
Typen von sicheren Abrechnungssystemen, die eingesetzt werden können, wie z.B.
einen Einzelchipmodul, einen Mehrfachchipmodul und einen Mehrfachchip-Standalone-Modul
(siehe z.B. Tabelle 4.6-1 PSD Physical Security Requirements, Seite
4–4 der
Information Based Indicia Program Postal Security Device Specification).
-
Es
wurde entdeckt, dass verschiedene Zählsysteme, inkludierend diejenigen
des oben beschriebenen Typs, flexibel mit einem von beiden oder
beiden von einem internen Abrechnungssystem und einem externen Abrechnungssystem
implementiert werden können.
-
Das
interne Abrechnungssystem kann innerhalb eines Gehäuses des
Zählsystems
montiert sein, wobei das Gehäuse
ein sicheres Gehäuse
sein kann oder nicht. Das externe Abrechnungssystem kann z.B. von
einer Smart-Card sein, die Frankiermaschinenabrechnungsspeicher
und zugehörige
Mikroverarbeitungsfähigkeit
enthält.
Alternativ kann die externe Abrechnungseinrichtung eine Einrichtung
eines Kassettentyps oder eine beliebige andere Abrechnungseinrichtung
eines portablen Typs oder eine entfernte Abrechnungseinrichtung
sein, die mit dem Zählsystem
verbindbar ist.
-
Es
ist ein Ziel der vorliegenden Erfindung, einem Benutzer zu ermöglichen,
das Zählsystem
auszuwählen,
das eines von beiden oder beide von der externen Abrechnungs- oder
internen Abrechnungseinrichtung nutzt, auszuwählen und/oder zu betreiben.
-
Es
ist ein weiteres Ziel der vorliegenden Erfindung, eine automatische
Auswahl des Modus einer internen oder externen Abrechnung zu ermöglichen.
-
Es
ist ein weiteres Ziel der vorliegenden Erfindung, ein Zählsystem
vorzusehen, das einem Benutzer ermöglicht, eine tragbare Abrechnungseinrichtung
zu haben, die in beliebigen aus einer Vielzahl von Zählsystemen
verwendet werden könnte.
-
Es
ist ein weiteres Ziel der vorliegenden Erfindung, ein Zählsystem
mit einer Multifunktionskopplung für tragbare Abrechnungs- und
andere Einrichtungen vorzusehen. Diese ande ren tragbaren Einrichtungen,
die sich mit dem Zählsystem
verbinden, können
mittels der Multifunktionskopplung zusätzlich zur Abrechnung eine
Fähigkeit
zum Laden von Ratentabellen und/oder Ad-Slogans, Autorisierungscodes
und/oder anderer Information in das Zählsystem vorsehen.
-
Gemäß der Erfindung
wird ein Zählsystem vorgesehen,
umfassend:
- ein Druckmittel zum Drucken von Porto;
- ein erstes Abrechnungsmittel, das mit dem Druckmittel zum Abrechnen
eines Wertes verbunden ist, der durch das Druckmittel gedruckt wird;
- ein zweites Abrechnungsmittel, das mit dem Druckmittel zum Abrechnen
eines Wertes verbunden ist, der durch das Druckmittel gedruckt wird;
und
- ein Priorisierungsmittel, um eine automatische Auswahl von einem
von dem ersten und dem zweiten Abrechnungsmittel als das aktive
Abrechnungsmittel für das
Zählsystem
zu ermöglichen.
-
In
einer bevorzugten Ausführungsform
der Erfindung ist das erste Abrechnungsmittel abnehmbar innerhalb
eines sicheren Gehäuses
des Zählsystems
durch einen Steckerkonnektor montiert, um Fehleranalyse und Geldmittelentfernung
von denjenigen Zählsystemen
zu erleichtern, wo das System nicht betriebsfähig ist, wobei dadurch eine
Entfernung von Geldmitteln aus dem internen Tresor auf die normal
Weise, wie etwa über
einen entfernten oder Tastatureintrag von Codedaten ausgeschlossen wird.
-
In Übereinstimmung
mit einer bevorzugten Ausführungsform
der vorliegenden Erfindung kann, wenn keine Smart-Card oder eine
andere Abrechnung oder Einrichtung eines tragbaren oder entfernten
Typs oder Einrichtung in das Zählsystem
verbunden ist, Abrechnung durch das interne Abrechnungssystem implementiert
werden, und wenn eine externe Einrichtung mit dem Zählsystem
gekoppelt ist, kann Abrechnung automatisch in der externen Einrichtung
und nicht der internen Abrechnungseinrichtung bewerkstelligt werden.
-
Es
wird nun Bezug auf die folgenden Figuren genommen, worin gleiche
Bezugszeichen ähnliche Elemente
in den verschiedenen Ansichten bezeichnen und in denen:
-
1 ein
schematisches Diagramm eines Frankiermaschinensystems ist, das eine
Ausführungsform
der vorliegenden Erfindung einbezieht;
-
2 ein
Flussdiagramm des Zählsystems, das
in 1 gezeigt wird, in einer Mehrfachabrechnungssystemumgebung
ist;
-
3 ein
Flussdiagramm des Betriebs des in 1 gezeigten
Frankiermaschinensystems ist, das den Typ eines externen tragbaren
Mittels (als eine Smart-Card gezeigt) bestimmt, das mit dem System
verbunden ist;
-
4 ein
Flussdiagramm des Betriebs des in 1 gezeigten
Zählwerksystems
ist, das beim Bestimmen verwendet wird, ob das tragbare Mittel (als
eine Smart-Card gezeigt) die richtigen Standortdaten oder andere
Daten, die beim Generieren von digitalen Tokens (Zeichen) verwendet
werden, enthält;
-
5A eine
Darstellung eines digitalen Freimachungsvermerkes ist, die durch
das elektronische Zählsystem
gedruckt werden kann, das in 1 gezeigt
wird; und
-
5B und 5C digitale
Freimachungsvermerke sind, die auch geeignet sind, mit Zählsystemen
des Typs aufgedruckt zu werden, die in 1 gezeigt
werden, und in dem Freimachungsvermerkspezifikationsentwurf des
US-Postdienstes Information Based Indicium Program (IBIP) in Anhang
A-1 dargelegt werden.
-
Allgemeiner Überblick
-
Das
elektronische Frankiermaschinensystem, das in 1 gezeigt
wird, inkludiert ein internes Abrechnungssystem und ein entfernbares
externes Abrechnungssystem. Das externe Abrechnungssystem kann ein
beliebiger geeigneter Typ von tragbaren Einrichtungen sein, die
entfernbar mit dem Zählsystem
gekoppelt sind. Diese inkludieren z.B. Smart-Cards (Chipkarten),
ASICs, Dongles (Kopierschutzstecker) und andere Typen von entfernbar
gekoppelten Einrichtungen, die Abrechnungsfunktionalität für ein Zählsystem
vorsehen. Diese können
auch entfernte Einrichtungen und Systeme inkludieren, die mit dem
Zählsystem
entfernbar verbindbar sind.
-
Das
Zählsystem
involviert mehrere sichere Abrechnungssysteme, wie etwa Smart-Cards,
um Abrechnungsfähigkeit
und Funktionalitätserweiterung
für das
Zählsystem
vorzusehen. Der Begriff Tresor wird hierin austauschbar mit dem
Begriff Abrechnungssystem verwendet. Das Zählsystem ist freigegeben, entweder
nur ein internes sicheres Abrechnungssystem, nur ein externes sicheres
Abrechnungssystem oder mehrere sichere Abrechnungssysteme zu nutzen.
Das Zählwerk
für ein
mehrfaches sicheres Abrechnungssystem hat ein sicheres internes
sicheres Abrechnungssystem, kann aber auch ein externes sicheres
Abrechnungssystem unterbringen. Dies erlaubt, dass eine Familie
von Zählprodukten
entwickelt und implementiert wird, die erhöhte Funktionalität und Fähigkeit
vorsieht.
-
Da
tragbare Einrichtungen Gegenstand von Verlust und anderen Sicherheitsattacken
sind, wie etwa Diebstahl oder Umgebungsprobleme, wie etwa Biegen,
Reiben, Ausgesetztsein gegenüber
Staub, Flüssigkeiten,
scharfen Gegenständen
etc., kann die maximale Menge von Geldmitteln, die innerhalb einer derartigen
tragbaren Einrichtung gespeichert werden, begrenzt sein. Die Grenze
kann ein Maximum sein, das mit dem Wertzählsystem konsistent ist, z.B. einhundert
($100,00) Dollar oder eine beliebige andere ausgewählte Menge.
Das interne sichere Abrechnungssystem kann ein Aufbewahrungsort
für eine
größere Menge
von Geldmitteln sein. Außerdem kann
die tragbare Einrichtung in beliebigen einer großen Anzahl von unterschiedlichen
Zählsystemen
verwendet werden, inkludierend Kiosk-Zählsysteme, wobei dadurch eine
erhöhte
Funktionalität
und Nutzbarkeit für
die Benutzer des Zählwerksystems
vorgesehen wird.
-
Das
in 1 gezeigte Zählsystem
inkludiert ein internes sicheres Abrechnungssystem, das in dem Zählsystem
zur Zeit einer Herstellung physisch montiert sein kann. Dieses interne
sichere Abrechnungssystem kann eine Smart-Card (Chipkarte) sein, die
permanent in dem Zählsystem
montiert ist, oder der Smart-Card-Chip ohne das größere Gehäuse der Karte
selbst. Ein derartiges Abrechnungssystem selbst kann innerhalb seines
eigenen sicheren Gehäuses
untergebracht sein, derart, wie es mit einem Smart-Card-Chip der
Fall ist, oder mittels eines getrennten sicheren Gehäusesystems.
Der Smart-Card-Chip kann aus der Smart-Card bestehen, die im wesentlichen
auf eine kleinere Version der Smart-Card beschnitten ist. Dies kann
durch Verwenden eines Smart-Card-Plastiksubstrats hergestellt werden,
das aus seinem Träger
ausgestanzt werden kann, nachdem der Smart-Card-Chip angebracht
ist und danach der ausgestanzte Smart-Card-Chip in dem Zählwerksystem
montiert wird. Der ausgestanzte Smart-Card-Chip ist wie eine normale
Smart-Card, wobei
das meiste des Plastiksubstrats entfernt ist. Das größere Plastiksubstrat sieht
normalerweise keine Funktiona lität
vor, außer den
Größenanforderungen
der normalen Kreditkarte zu entsprechen und den Chip auf der Plastikkreditkarte
zu positionieren. Da der Smart-Card-Chip gedacht ist, permanent
intern innerhalb des Zählsystems
montiert zu sein, ist die kleinere Größe ein Nutzen. Das heißt der ausgestanzte
Smart-Card-Chip wird niemals aus dem Zählwerk entfernt, um in anderen
Anwendungen nicht zum Zählen
außerhalb
des Zählsystems
verwendet zu werden, außer
wie hierin erläutert
wird. Dieser Smart-Card-Chip ist eine integrierte Schaltung, die
in einem Plastikhalter untergebracht ist, der dann mit der Leiterplatine
verbunden wird. Es sollte erkannt werden, dass die integrierte Schaltung
selbst direkt mit der Schaltungsplatine montiert werden kann, falls
gewünscht,
oder in andere Formate einer integrierten Schaltung gepackt werden
kann.
-
Der
Smart-Card-Chip kann permanent innerhalb des geeigneten Leiterplatinenkonnektors
(Stecker entfernbar) montiert oder gestaltet sein, direkt auf einer
Leiterplatine eines Zählwerksystems
montiert zu sein. Außerdem
bringt das Zählsystem
ein externes sicheres tragbares Abrechnungssystem (z.B. eine Smart-Card)
ebenso wie das interne sichere Abrechnungssystem (z.B. eine Smart-Card)
unter, wobei dadurch zusätzliche
Vorteile vorgesehen werden. Somit wird ein Skalenertrag erreicht,
da identische oder ähnliche
Smart-Card-Chips oder andere Einrichtungen für das externe und das interne
Abrechnungssystem verwendet werden.
-
Das
externe sichere Abrechnungssystem kann, wenn es ein Tresor in Smart-Card-Größe ist,
in einem Kartenschlitz oder einem geeigneten entfernbaren Konnektor
des Zählsystems
platziert werden. Für
eine Smart-Card kommt die Karte mit einem speziellen Smart-Card-Konnektor
in Kontakt, der für
diesen Zweck gestaltet ist. Das heißt das in 1 gezeigte
Zählsystem
hat ein Abtastmittel, wie etwa einen Schalter, oder eine andere
Einrichtung, um das Vorhandensein der Smart-Card vor Anlegen einer Spannung
zu erfassen und auf die Pins auf der Karte zurückzusetzen, und auch die Entnahme
der Karte oder des tragbaren externen Abrechnungssystems abzutasten.
-
Der
Ansatz eines Mehrfachabrechnungssystems sieht verschiedene Vorteile
vor, inkludierend eine höhere
Beibehaltung von Geldmitteln (Speicherung) für das interne sichere Abrechnungssystem, höhere Zuverlässigkeit
für das
interne Abrechnungssystem, Portierbarkeit des externen sicheren
Abrechnungssystems und Flexibilität für Multifunktionalitätsverbindung
mit dem Zählsystem,
wie etwa Ad Slogans, "Stadtkreisgrafik", Autorisierungscodes,
Datumstransfer und Ratentabellenladen oder Software-Aktualisierungen über den
externen sicheren Abrechnungssystemkonnektor.
-
Es
wird eine höhere
Beibehaltung von Geldmitteln (Speicherung) für das interne sichere Abrechnungssystem
ermöglicht,
da Geldmittel und ein anderer Wert in das interne Abrechnungssystem
eingeführt
werden können,
da es permanent installiert und weniger Gegenstand gegenüber Verlust
oder Diebstahl ist, wie es der Fall bei einem kleinen externen tragbaren
Abrechnungssystem ist. Eine höhere
Zuverlässigkeit
für das
interne sichere Abrechnungssystem tritt auf, da es in der Zähleinheit
montiert ist und nicht rauen externen Umgebungen (Temperatur/Feuchtigkeit,
ESD), nachteiliger Handhabung, mehrfacher Einführung, die die Kontakte abnutzen und/oder
kontaminieren, da es eine kleine externe tragbare Einrichtung ist,
ausgesetzt ist. Portabilität des
externen sicheren Abrechnungssystems ermöglicht eine Verwendung von
externen Einrichtungen in multifunktionaler Weise, wie etwa als
ein Mini-Abrechnungssystem
(d.h. eine unterschiedliche Karte oder externes Abrechnungssystem
für jede
Abrechnung), und ermöglicht
die Verwendung von anderen Merkmalen und Funktionalitäten. Außerdem können hinzugefügte und
andere Funktionalität
in dem externen Abrechnungssystem derart inkludiert sein, dass z.B. wo
das externe sichere Abrechnungssystem eine Smart-Card ist, das System
eine Geldkarte oder eine Kreditkarte sein kann, die zusätzlich Portoabrechnungsfähigkeiten
aufweist. Wie oben erwähnt, ist
es schließlich
möglich,
den externen Tresor als ein Gefährt
einzusetzen, um Ad Slogans, Ratentabellen und Autorisierungscodes
und andere Informationen in das oder aus dem Zählsystem zu laden. Diese Transfers
können
unter einer Verschlüsselungssteuerung
geladen werden und/oder innerhalb des Zählsystems gespeichert werden,
wie etwa in einem Druckmodul oder internen Abrechnungssystem des Zählsystems,
wo sich ein Datenspeicher befinden kann.
-
Da
das Zählsystem
mehrere sichere Abrechnungssysteme einsetzt, ein internes Abrechnungssystem
und ein externes Abrechnungssystem, inkludiert das Zählsystem
eine Priorisierungsanordnung um zu bestimmen, welches Abrechnungssystem
für eine
Aktivität
zum Abbuchen und Gutschreiben verwendet werden sollte.
-
Zu
jeder Zeit, wenn zwei Abrechnungssysteme vorhanden sind, könnte ein
Benutzer, der wünscht,
einen Freimachungsvermerk oder digitalen Token zu drucken, einen
Portowert eingeben und das aktive Abrechnungssystem belasten. Das
Zählsystem
sieht die Fähigkeit
für ein
System vor, wo viele externe Abrechnungssysteme durch ein einzelnes Zählsystem
eingesetzt werden können.
Das Zählsystem
inkludiert einen tragbaren Einrichtungskonnektor, der Geldmittelbelastung,
Abruf eines Tokens, Prüfung
von Geldmitteln und Gutschreiben von mehreren Abrechnungssystemen
ermöglicht.
Abhängig von
der Zählwerksystemkonfiguration
der Zahl und des Typs eines sicheren Abrechnungssystems, intern
zu dem Zählsystem
oder extern zu dem Zählsystem,
wird ein Auswahlkriterium verwendet, um das aktive Abrechnungssystem
zu wählen.
Die möglichen
Konfigurationen in dem Zählsystem,
gezeigt in 1, inkludieren ein internes
sicheres Abrechnungssystem allein, ein externes sicheres Ab rechnungssystem
allein und ein internes und (optional) externes sicheres Abrechnungssystem.
In dem Fall, wo es sowohl ein internes als auch ein optionales externes
Abrechnungssystem gibt, muss eine Auswahl getroffen werden, welches
Abrechnungssystem verwendet werden sollte, wenn beide Abrechnungssysteme
in dem Zählsystem
vorhanden sind.
-
Das
in 1 gezeigte Zählsystem
beherbergt die Generierung von digitalen Tokens durch sowohl das
interne als auch das externe sichere Abrechnungssystem. Da der Freimachungsvermerk den
digitalen Token und/oder andere Information (wie z.B. die Information,
die in den vorgeschlagenen Spezifikationen vom US-Postdienst dargelegt
werden) inkludiert, ist es notwendig für ein vorzubereitendes gültiges Poststück sicherzustellen,
dass beim Generieren des digitalen Tokens die richtige Abrechnungssysteminformation
genutzt wird und dass ein derartiger digitalen Token beim Drucken
des Poststücks
eingesetzt wird. Dies ist notwendig, damit das Poststück durch
den Versender richtig in den Poststrom eingeführt wird und dass der Befördererdienst das
Poststück
dann richtig authentifizieren kann.
-
Digitalen
Tokens, die durch das Zählsystem 2 zu
drucken sind, können
Information inkludieren, die teilweise auf der Postleitzahl des
lizenzierenden Postamtes oder anderer Standortinformation beruht, die
auf den Zählwerkbenutzer
bezogen ist, hierin nachstehend als Herkunftspostleitzahl bezeichnet. Gegenwärtig werden
sichere Abrechnungssystem für eine
Frankiermaschine, die digitalen Tokens generieren, innerhalb eines
Zählwerkbasisgehäuses montiert.
Dies verhindert, dass das Abrechnungssystem zwischen Zählwerkbasen
bewegt wird.
-
Wenn
ein Freimachungsvermerk gedruckt wird, werden Ziffern generiert,
die Formen der Herkunftspostleitzahl nutzen, die dann als Teil des
Freimachungsvermerkes gedruckt werden.
-
Diese
digitalen Tokens werden dann verwendet, um die Korrektheit und Gültigkeit
von Abschnitten des digitalen Freimachungsvermerkes zu verifizieren.
Da es historisch nur einen einzelnen Tresor (Abrechnungssystem)
und eine einzelne Druckmaschine gibt und das System nicht einfach
portabel ist (wie eine Smart-Card), war eine Zählwerkstandortbewegung kein
ernsthaftes Problem. Mit tragbaren externen Abrechnungssystemzählwerken
ist es jedoch ziemlich einfach, ein tragbares sicheres Abrechnungssystem
zwischen vielen Druckmaschinen-"Basen" zu bewegen und zu
verwenden, die unterschiedliche postalische Regionen (Herkunftspostleitzahlen)
umspannen. Das vorliegende System hilft sicherzustellen, dass das
sichere Abrechnungssystem die auf eine korrekte Postleitzahl bezogenen
Daten nutzt, wenn die sicheren digitalen Tokens oder Freimachungsvermerke
generiert werden.
-
In
einem derartigen Zählsystem,
wie in 1 gezeigt, das die Fähigkeit zum Unterstützen von mehr
als einem einzelnen sicheren Abrechnungssystem vorsieht, wie etwa
viele tragbare externe Abrechnungssysteme, die von unterschiedlichen
Herkunftspostleitzahlen sein können,
arbeitet das Zählwerksystem
außerdem,
die gepackte Postleitzahl (Herkunftspostleitzahl mit beliebigen
gewünschten
zusätzlichen
Daten) und die postalische Prüfziffer
zu aktualisieren, die durch den Tresor verwendet werden kann, um
die sicheren digitalen Tokens zu generieren. Das in 1 gezeigte
System speichert Zielherkunftspostleitzahlen und arbeitet, die Herkunftspostleitzahlen
zu dem sicheren Abrechnungssystem zu erfassen und zu transferieren,
um eine korrekte Generierung der digitalen Tokens sicherzustellen.
-
Der
digitale Freimachungsvermerk oder digitale Token enthält einen
Bereich von sicherer Information, der verwendet wird, um die Korrektheit
und Authentizität
des digitalen Freimachungsvermerkes zu verifizieren. Zum Beispiel
können
diese digitalen Tokens die Hersteller-ID, einen digitalen Token
des Herstellers, einen postalischen digitalen Token und eine Freimachungsvermerkprüfziffer
inkludieren. In Verschlüsselungssystemen
von diesem Typ können, um
die Freimachungsvermerkprüfziffer,
den digitalen Token des Herstellers und den postalischen digitalen Token
korrekt zu generieren, die gepackte Postleitzahl und die postalische
Prüfziffer
für die
Herkunftspostleitzahl verwendet werden. Die Herkunftspostleitzahl
ist gewöhnlich
der Code, der damit in Verbindung steht, von wo das Poststück gesendet
wird. Dies hat gewöhnlich
auch angezeigt, wo sich das Zählwerk
befindet. In Produkten jedoch, die den Tresor von der Druckmaschine
oder "Basis" trennen, kann der
Tresor einfach von einem Herkunftspostleitzahlstandart zu einem
anderen bewegt werden. Die gepackte Postleitzahl wird aus der Herkunftspostleitzahl
abgeleitet und sie wird verwendet, die Herkunftspostleitzahl in
der Kalkulation der oben erwähnten
digitalen Tokens darzustellen. Die postalische Prüfziffer
stellt den Beitrag der Herkunftspostleitzahl zu der Freimachungsvermerkprüfziffer
dar.
-
Da
der Zählsystemdruckmodul
physikalisch innerhalb des Basisabschnitts enthalten sein kann, ist
er nicht so leicht zu transportieren (wie ein tragbares externes
Abrechnungssystem, z.B. eine Smart-Card) und wird weniger wahrscheinlich
zwischen Postleitzahlstandorten bewegt. Falls diese Einheit bewegt
wird, wird erwartet, dass der Benutzer den Hersteller des Zählwerksystems
kontaktieren würde,
sodass der Postleitzahlstandort, der innerhalb dieser Systeme gespeichert
ist, aktualisiert werden kann. Andererseits ist das externe sichere
Abrechnungssystem ziemlich einfach innerhalb einer Postleitzahlregion
oder zwischen Postleitzahlregionen zu transportieren. Da es in dem
vorliegenden System keine Notwendigkeit zum Durchführen einer
Korrelation zwischen dem externen Abrechnungssystem und der Basis
und Druckmaschine gibt, kann ein beliebiges externes Abrechnungssystem
eine beliebige Basis mit ihrem zugehörigen entfernbaren Druckmodul
verwenden.
-
Um
Korrektheit der Tokengenerierung sicherzustellen, wird eine Hauptmenge
(master set) der Herkunftspostleitzahl zusammen mit ihrer zugehörigen gepackten
Postleitzahl und postalischen Prüfziffer
innerhalb des Basisdruckmoduls gespeichert. Die Initialisierung
dieser Information geschieht beim ersten Mal, wenn der Benutzer
des Zählwerksystems
den Hersteller für
die anfängliche
Nachfüllung
des sicheren Abrechnungssystems mit Portogeldmitteln kontaktiert.
Bei dieser ersten Nachfüllung erkennt
das Zählwerksystem,
dass es alle postleitzahlbezogenen Daten benötigt und fordert elektronisch
an, dass die Daten in den Speicher heruntergeladen werden. Zu dieser
Zeit wird das System das gegenwärtig
aktive sichere Abrechnungssystem in dem Zählwerksystem aktualisieren.
Das aktive sichere Abrechnungssystem könnte entweder innerhalb des
Zählwerksystems
(internes Abrechnungssystem) eingebettet sein oder in den Zählwerksystemkonnektor
eingeführt
werden. Jederzeit, wenn ein Abrechnungssystem in das Zählsystem
eingeführt
wird, arbeitet das Zählwerksystem
um zu bestimmen, ob das sichere Abrechnungssystem die gleiche postalische Prüfziffer
besitzt, die als die führende
postalische Prüfziffer
in dem Speicher des Druckmoduls gespeichert ist, die in dem Speicher
des Druckmoduls gespeichert ist (oder wo immer auch diese Information in
der Basis gespeichert sein kann). Falls die postalischen Prüfziffern übereinstimmen,
wird keine Aktualisierung durchgeführt. Dies geschieht, um die
Zahl von Schreibvorgängen
in den nicht-flüchtigen
Speicher des sicheren Abrechnungssystems zu minimieren. Der nicht-flüchtige Speicher
in dem Zählwerksystem
kann eine maximale Zahl von Schreibzyklen aufweisen, bevor der Speicher
beginnt nachzulassen. Diese Zahl korreliert mit dem Maximum der
Zahl von Belastungen, die gegenüber
dem Zählwerk durchgeführt werden,
und folglich der maximalen Zahl von Malen, für die Tokens generiert werden.
-
Für Zählwerksysteme,
die mit einem internen sicheren Abrechnungssystem konfiguriert sind,
wird die Aktualisierung der postalischen Prüfziffer des internen Abrechnungssystems
zu dem Zeitpunkt initialisiert, zu dem die Daten für die Basisdruckmodulinitialisierung
empfangen werden. Die gepackte Postleitzahl könnte zu diesem Zeitpunkt ebenso
in der sicheren Abrechnung aktualisiert werden; in der bevorzugten
Implementierung wird die gepackte Postleitzahl jedoch zu dem Zeitpunkt übertragen,
wenn die Portogeldmittel und das Datum einer Eingabe zu dem sicheren
Abrechnungssystem transferiert werden. Der Tresor verwendet dann
die Information, die er vor der Belastung empfangen hat, ebenso
wie Information, die während
einer Initialisierung zu dem Zeitpunkt empfangen wurde, wann der
Tresor in das Basiseinheitsgehäuse
eingeführt
wurde.
-
Es
wird nun Bezug auf 1 genommen. Ein Frankiermaschinensystem,
das allgemein bei 2 gezeigt wird, inkludiert einen entfernbaren
Druckkopfmodul 4 innerhalb eines Gehäuses 5, einen Basismodul 6 und
einen sicheren internen Abrechnungssystemmodul 8 und einen
externen sicheren Abrechnungssystemmodul 10, die hierin
nachstehend detaillierter erläutert
werden. Die Abrechnungssysteme inkludieren ein internes Abrechnungssystem 8 und
ein externes Abrechnungssystem 10. Diese Abrechnungssysteme
rechnen die Operation des Zählsystems
und den Druck eines Portowertes ab.
-
Der
Druckmodul 4 inkludiert einen Druckkopf 12, der
ein Tintenstrahldruckkopf oder ein anderes variables Druckmittel
sein kann. Ein Druckkopftreiber 14 sieht die notwendigen
Signale und Spannungen zu dem Druckkopf vor. Ein Temperatursensor 16 wird verwendet,
um die Umgebungstemperatur abzutasten. Da die Umgebungstemperatur
die Viskosität
der Druckkopftinte ändert,
ermöglicht
diese Information eine Änderung
der Signale und Spannungen zu dem Druckkopf, um eine konstante Tropfengröße aufrechtzuerhalten.
-
Ein
Smart-Card-Chip 18, der einen internen nicht-flüchtigen
Speicher enthält,
empfängt
verschlüsselte
Befehls- und Steuersignale von der Basiseinheit und stellt dem ASIC 20 Information
bereit, um den Druckkopftreiber 14 zu betreiben. Der ASIC kann
von dem Typ sein, der in dem US-Patent Nr. 5,651,103 mit dem Titel
MAIL HANDLING APPARATUS AND PROCESS FOR PRINTING AN IMAGE COLUMN-BY-COLUMN
IN REAL TIME und Pitney Bowes, Inc. übertragen, beschrieben wird,
auf das für weitere
Details verwiesen wird. Der ASIC ist mit einem Kristalltakt 22 verbunden,
erhält
die notwendige Betriebsprogramminformation von einem ROM oder Flash-Speicher 24,
um den Ablauf der Information zu dem Tintenstrahldruckkopftreiber
geeignet zu steuern, derart, dass der Druckkopf einen gültigen und richtig
aufgedruckten Freimachungsvermerk erzeugt (womit hierin gemeint
ist, einen digitalen Token in welchem auch immer Format zu inkludieren,
der aufzudrucken ist).
-
Der
Basismodul inkludiert eine Mikrosteuervorrichtung 26, die
verbunden ist, die Motoren des elektronischen Frankiermaschinensystems
und Anzeige zu betreiben, und mit den verschiedenen Abrechnungssystemen
gekoppelt ist. Die Mikrosteuervorrichtung 26 ist mit einem
Modem 28 verbunden, das einen Modemchip 30 inkludiert,
der mit einem Kristalltakt 32 und einer Datenzugriffsanordnung 34 verbunden
ist, um Modemkommunikationen zwischen dem Zählsystem 2 und externen
Systemen zu ermöglichen.
-
Es
ist ein RS-232-Port 27 vorgesehen. Der RS-232-Port 27 ist
mit der Mikrosteuervorrichtung 26 über einen Schalter 29 verbunden,
der unter der Steuerung der Mikrosteuervorrichtung 26 derart
betrieben wird, dass entweder der RS-232-Port 27 akti viert
ist oder das Modem 28 aktiviert ist. Sollte der RS-232-Port 27 aktiviert
sein, kann der Port zum Kommunizieren mit dem Zählsystem über ein Modem, eine direkte
Verbindung oder eine andere serielle Kommunikationstechnik, die
für RS-232-Kommunikationen geeignet
ist, verwendet werden.
-
Die
Mikrosteuervorrichtung 26 sieht außerdem verschiedene Steuersignale
vor, um das Zählwerksystem
zu betreiben, inkludierend Signale zu dem Druckkopfschlittenmotor,
dem Druckkopfschiebemotor und dem Druckkopfunterhaltungsmotor, die genutzt
werden, um den Druckkopf 12 zu bewegen, zu positionieren
und zu unterhalten. Die Mikrosteuervorrichtung 26 wird
unter Steuerung von zwei getrennten Kristalltakten 36 und 38 betrieben.
Der Kristalltakt mit der höheren
Frequenz von 9,8 MHz wird verwendet, wenn das elektronische Zählwerksystem im
aktiven Betrieb ist, und der Kristalltakt 36 mit der geringeren
Geschwindigkeit von 32 kHz wird verwendet, wenn das Zählwerk in
einem "Schlafmodus" ist und das Display
leer ist und das System in einem Ruhezustand ist.
-
Dem
Mikrocomputer und dem elektronischen Frankiermaschinensystem wird
verschiedenartige Energie bereitgestellt, inkludierend eine geregelte Energieversorgung 40 mit
5 Volt, eine regulierbare Energieversorgung 42 mit 30 Volt
und eine geregelte Energieversorgung 44 mit 24 Volt. Außerdem ist
eine Batterie 46 über
eine Batteriesicherungsschaltung 48 mit der Mikrosteuervorrichtung 26 verbunden,
um Betriebsenergie für
einen internen Takt in der Mikrosteuervorrichtung 26 vorzusehen,
wenn die externe Quelle von Wechselstrombetriebsenergie 50 abgetrennt
ist.
-
Es
sind verschiedene elektronische Frankiermaschinensensoren mit der
Mikrosteuervorrichtung 26 verbunden, inkludierend einen
Umschlagsensor 52, der das Vorhandensein eines Umschlags in
dem Umschlagschlitz des Zählsystems
abtastet, einen Ver schiebeausgangspositionssensor 54, der die
Ausgangsposition des Verschiebungsmotors (Y-Motor) abtastet, einen
Nockenausgangspositionssensor 56, der die Nockenposition
abtastet, die die Umschlagschreibwalzenbewegung steuert, einen Schlittenausgangspositionssensor 60,
der abtastet, wann der Druckkopf 12 in einer Ausgangsposition
ist, und einen Abdeckungsöffnungssensor 57.
-
Die
Mikrosteuervorrichtung 26 ist außerdem mit einem Tastenfeld 62 und
einem LCD-Anzeigemodul 64 verbunden. Dies ermöglicht einem
Benutzer, Daten in das Zählsystem
einzugeben und Information anzusehen, die auf der Anzeige 64 gezeigt
wird.
-
Das
Zählsystem 2 setzt
zwei Abrechnungssysteme ein. Das erste Abrechnungssystem involviert
die interne Smart-Card (oder Smart-Card-Chip) 8 und das
zweite Abrechnungssystem involviert eine externe Smart-Card 10.
Diese Smart-Cards sind mikroprozessorbasierte Einrichtungen, die
jede sichere Zählfunktionalität vorsehen.
Diese Smart-Card-Abrechnungssysteme oder Smart-Card-Tresorsysteme unterhalten
sicher verschiedene Register, die mit dem Zählsystem in Verbindung stehen,
und sehen die Zählwerkabrechnungsfunktionalität vor. Außerdem sehen
die Abrechnungssysteme die Fähigkeit zum
Kommunizieren von Registerinformation und Portonachfüllung und
Entfernungsinformation vor, um einen Wert von den verschiedenen
Abrechnungsregistern zu addieren oder zu entfernen. Jedes von den
sicheren Abrechnungssystemen generiert den Freimachungsvermerk und/oder
digitalen Tokens, die benötigt
werden, um auf einem Poststück
durch den Druckkopf 12 aufgedruckt zu werden. Außerdem sehen
die Module verschlüsselte
Kommunikationen in das und aus dem Abrechnungssystem vor, wie sie etwa
mit der Geldmittelnachfüllung
oder Geldmittelbelastungsfunktion in Verbindung stehen können. Für die gezeigte
bestimmte Ausführungsform
sieht das Abrechnungssystem Authentifizierung der Druckkopfmodul-Smart-Card 18 und
des Abrechnungssystems vor.
-
Wann
immer es eine Anforderung durch einen Benutzer durch das Tastenfeld 62 oder
anderweitig gibt, um Porto zu drucken, oder wann immer anderenfalls
es gewünscht
wird, findet eine gegenseitige Authentifizierung statt. Das Abrechnungssystem
authentifiziert, dass es in Kommunikation mit einem Druckkopfmodul-Smart-Card-Chip 18 ist,
wobei jedes das andere als ein authentisches und gültiges Zählsystem
authentifiziert. Danach werden verschlüsselte Kommunikationen zwischen
dem aktiven sicheren Abrechnungssystem und dem Smart-Card-Chip 18,
der Teil des Drucksystems ist, erlaubt, um Sicherheit vorzusehen,
dass die Nachrichten autorisierte nicht-korrupte Nachrichten sind. Dies
kann auf dem Wege eines kryptografischen Zertifikates geschehen.
-
Das
Zählsystem 2 sieht
für das
System zusätzliche
Funktionalität
und Fähigkeit
durch den Einsatz der zwei getrennten Abrechnungssysteme 8 und 10 vor.
Das interne Smart-Card-Abrechnungssystem 8 ist mit der
Mikrosteuervorrichtung 26 über einen Steckerkonnektor 66 verbunden.
Dies erleichtert eine Entfernung der internen Smart-Card 8 für den Fall, dass
eine äußere Untersuchung
erforderlich sein sollte, wenn die Einrichtung nicht betriebsfähig ist. Ein
Kristalltakt 68 mit 3,57 MHz ist mit der Smart-Card 8 und
der Mikrosteuervorrichtung 26 verbunden. Außerdem ist
der Takt 68 mit der externen Smart-Card 10 über den
externen Smart-Card-Steckerkonnektor 70 verbunden. Die
Mikrosteuervorrichtung sieht einen Smart-Card-Sensorschalter 72 vor,
der das Vorhandensein oder Fehlen der externen Smart-Card 10 erfasst.
Wenn die externe Smart-Card als
vorhanden erfasst wird, wird der Schalter mit der Mikrosteuervorrichtung 26 über die
Smart-Card-Energiesteuerschaltungstechnik 74 verbunden,
die die Mikrosteuervorrichtung 26 veranlasst, der externen Smart-Card-Energiesteuerschaltungstechnik 74 zu ermöglichen,
Energie an die externe Smart-Card anzulegen, und den Kristalltakt 68 ausblendet,
um Taktsignale zu der externen Smart-Card 10 vorzusehen, beides über den
Smart-Card-Konnektor 70.
-
Es
sollte ausdrücklich
vermerkt werden, dass das System derart konfiguriert ist, dass es
ein System sein kann, das mit sowohl dem internen Abrechnungssystem 8 als
auch einem externen Abrechnungssystem 10, nur mit dem internen
Abrechnungssystem 8 und nur mit dem externen Abrechnungssystem 10 betrieben
wird. Außerdem
ist die externe Smart-Card 10 angeordnet, sodass sie mit
anderen elektronischen Zählsystemen
verbunden werden kann, und sieht ein portables Mittel für einen
Benutzer vor, um postalische Geldmittel zum Aufdrucken auf einem
Poststück
oder einem Band in einem anderen als einem speziellen Frankiermaschinensystem zu
haben. Selbst wenn mit einem anderen elektronischen Frankiermaschinensystem
verbunden, findet jedoch die gleiche Authentifizierung zwischen
der externen Smart-Card 10 und dem Druckkopf-Smart-Card-Chip 18 statt.
-
Das
System ist mit einer Prioritätsanordnung gestaltet.
Falls kein externes sicheres Abrechnungssystem, wie etwa eine Smart-Card 10,
mit dem elektronischen Frankiermaschinensystem 2 verbunden ist,
wird die Zählwerkabrechnungsfunktionalität durch die
Smart-Card des internen Abrechnungssystems 8 vorgesehen.
Dieses interne Abrechnungssystem wird für das Zählsystem das aktive Abrechnungssystem.
Falls jedoch ein externes Abrechnungssystem über den Konnektor 70 in
das System verbunden ist, wird das System das externe Abrechnungssystem, Smart-Card 10,
zum aktiven Abrechnungssystem für das
Zählsystem 2 machen.
-
Konnektor 70 ist
ein flexibler Mehrzweckkonnektor. Der Konnektor 70 ermöglicht Verbindungen von
anderen Typen von Smart-Cards, wie etwa Karte 76, die Ad-Slogan-Information
(alphanumerische und/oder grafische Information) enthält, Karte 78,
die Ratentabelleninformation enthält, und Smart-Card 80,
die Authentifizierungscodeinformation enthält. Es sollte erkannt werden,
dass wenn jede dieser Karte 76, 77 oder 80 über den
Multifunktionskonnektor 70 in das System verbunden wird,
ein Selbstauthentifizierungsprozess zwischen der Smart-Card und
dem Druckmodul-Smart-Card-Chip 18 bewirkt wird um sicherzustellen,
dass gültige
Karten und Daten eingesetzt werden. Es können die gleichen Verschlüsselungs- und/oder kryptografischen
Zertifikatstechniken verwendet werden, um gültige authentische und nicht korrupte
Nachrichtenkommunikation sicherzustellen. Dieses System kann zum
Bewegen von Information und Daten in das und aus dem Zählwerksystem 2 verwendet
werden.
-
Die
Information des Typs, die auf Karten 76, 78 und 80 gespeichert
wird, wird von der Karte über den
Konnektor und die Mikrosteuervorrichtung 26 zu dem Smart-Card-Chip 18,
den ASIC 20 übermittelt und
wird in dem Flash-Speicher 24 oder dem internen Speicher
des Smart-Card-Chips 18 gespeichert. Für jene Ausführungsformen, die einen ROM
an Stelle eines Flash-Speichers einsetzen, wird die Information
in den Druckmodul-Smart-Card-Chip 18 geschrieben.
-
Eine
Nachfülloperation
für das
Zählsystem 20 kann
entfernt (remote) über
das Modem 28 oder RS-232-Konnektor 27 implementiert
werden. Eine entfernte Verbindung wird über das Modem 28 oder RS-232-Konnektor 27 zu
einem entfernten Datenzentrum hergestellt. Dies ermöglicht bidirektionale Kommunikation
zwischen dem Datenzentrum über das
Modem 18 oder Konnektor 27 über die Mikrosteuervorrichtung 26 zu
entweder dem internen Abrechnungssystem 8 und/oder dem
externen Abrechnungssystem 10 und zu dem Druckmodul-Smart-Card-Chip 18.
Das System ist derart konfiguriert, dass falls eine externe Smart-Card 10 mit dem
System über
Konnektor 70 verbunden ist, die Kommunikationen mit der
externen Smart-Card und nicht mit dem inter nen Smart-Card-Chip 8 stattfinden werden.
Es sollte ausdrücklich
erkannt werden, dass andere Protokolle durch Verwendung der Tastatur implementiert
werden können
um zu bestimmen, welches der zwei Abrechnungssysteme das aktive System
sein sollte, für
den Zweck einer Nachladung oder einer anderen Operation des Zählwerksystems.
-
Ob
Kommunikation mit dem internen Smart-Card-Chip 8 oder der
externen Smart-Card 10 stattfindet, die Kommunikationen
involvieren das entfernte Datenzentrum, welches das interne oder
externe Abrechnungssystem befragt, um notwendige Information zu
erhalten, wie etwa den Status der Geldmittelregister (aufsteigendes
Register und absteigendes Register), andere Untersuchungsinformation, wie
etwa Anzeichen einer Fälschung,
Zählwerksystem-Seriennummer,
Status eines internen rücksetzbaren
Timers und Rückstellungen,
und andere Information, die von dem Wesen des bestimmten Systems
abhängt.
Für eine
Nachladung kann der Benutzer über
die Tastatur 62 eine gewünschte Nachfüllmenge
von Portogeldmitteln eingeben, und bei geeigneter und erfolgreicher
Befragung des aktiven Abrechnungssystems sieht das entfernte Datenzentrum eine
verschlüsselte
Nachladungsnachricht vor, die in das Abrechnungssystem übermittelt
wird, wobei eine Refundierung des Abrechnungssystemregisters mit einem
hinzugefügten
zusätzlichen
Portowert ermöglicht
wird. Es sollte auch vermerkt werden, dass Kommunikationen in dieser
Angelegenheit eine entfernte Untersuchung der Integrität des Zählsystems
und Hinaufladen und Herunterladen anderer Information in Bezug auf
den Betrieb des Zählwerkssystems,
wie etwa Überwachung
der Betriebsfähigkeit
und Wartung von dem Druckmodul 4, ermöglichen. Falls verschiedenartige
Zählwerkbenutzungsinformation
in dem System unterhalten wird, kann diese Information außerdem zu
dem entfernten Datenzentrum hinaufgeladen werden. Außerdem sieht
das entfernte Datenzentrum ein Gefährt zum Herunterladen zusätzlicher
und neuer Chiffreschlüssel
oder Schlüssel
in das System vor, falls so konfiguriert, und sieht die Fähigkeit
für andere
Funktionalität
und Dienste vor, wie etwa ein Zählwerkbenutzungsprofil.
Zum Zeitpunkt einer entfernten Zählwerkrücksetzung
kann außerdem
veranlasst werden, dass ein Beleg durch den Druckmodul als ein Beleg
für die
Nachladung von Portoabrechnungssystemgeldmitteln aufgedruckt wird.
Der Beleg sieht einen greifbaren Beweis von dem Datum, der Zeit,
der Menge und anderer sachbezogener Daten der Nachfülltransaktion
des Portoabrechnungssystems für
den Benutzer vor. Der Beleg kann eine Transaktionsnummer und verschlüsselte Daten,
wie etwa ein kryptografisches Zertifikat, inkludieren.
-
Beim
Generieren von digitalen Tokens oder Freimachungsvermerken kann
in gewissen Fällen und
für gewisse
Postbehörden
von dem digitalen Token gefordert werden, Information betreffend
den physischen Standort des elektronischen Portos des Zählsystems
zu enthalten. Dies kann wegen Lizenzierungsanforderungen geschehen,
wobei ein bestimmtes Zählwerk
lizenziert ist, an einem bestimmten Standort betrieben zu werden,
wie z.B. innerhalb eines bestimmten Postleitzahlenbereichs, der
Herkunftspostleitzahl des Versenders. Das Zählsystem 2 trägt dieser
Anforderung Rechnung und ermöglicht die
Nutzung einer externen Smart-Card von anderen Herkunftspostleitzahlstandort
als der des Lizenzstandortes für
das Zählsystem 2.
Die Zählwerkstandortinformation
kann auch wichtig sein, wo sie für
eine Verwendung erforderlich ist, wenn gezählte Post innerhalb des Postleitzahl-
oder des Herkunftsstandortes des Versenders hinterlegt werden muss.
-
Bei
Initialisierung des Zählwerkes,
d.h. wann das Zählwerk
in Betrieb genommen und als betriebsfähig erachtet wird, wird der
Standort des Zählsystems 2 in
dem Druckmodulspeicher 24 oder dem internen Speicher von
Chip 18 gespeichert. Diese Information kann die Herkunftspostleitzahl
für den
Versender oder ein anderer benötigter
Standort oder andere Information sein. Die Information in dem Flash-Speicher 24 oder
dem Abrechnungsmodul 8 wird beim Aufdrucken eines Freimachungsvermerkes
oder digitalen Tokens auf ein Poststück durch Druckkopf 12 eingesetzt.
Es ist notwendig, dass der digitale Token, der entweder durch die
externe Smart-Card 10 oder durch den internen Abrechnungsmodul 8 generiert
wird, derart ist, dass der digitale Token, der Herkunftspostleitzahldaten
enthält, akkurat
und konsistent zu den Daten ist, die in dem Flash-Speicher 24 oder
dem internen Speicher von Smart-Card-Chip 18 gespeichert werden.
-
Zur
Zeit einer Initialisierung können
die Herkunftsstandortdaten auch in dem internen Abrechnungssystem 8 gespeichert
werden. Wenn ein externes Abrechnungssystem oder Smart-Card 10 in
das System verbunden wird, und eine Anforderung nach Porto initiiert
wird, wird als Teil des Authentifizierungsprozesses Kommunikation
zwischen dem externen Abrechnungssystem 10 und dem Druckkopf-Smart-Card-Chip 18 hergestellt.
Zu dieser Zeit wird ein Vergleich zwischen der Herkunftsstandortinformation,
die in dem Flash-Speicher 24 oder internen Speicher des
Smart-Card-Chips 18 gespeichert wird, und der Herkunftsstandortinformation,
die in der externen Smart-Card 10 gespeichert wird, durchgeführt. Falls
es eine Entsprechung zwischen diesen zwei gespeicherten Standortinformationen
gibt, kann der Druck von Porto und die Generierung des digitalen
Tokens oder Freimachungsvermerkes auf die normale Weise mit beliebiger
anderer Authentifizierung und Verarbeitung, die eingesetzt werden
können,
fortfahren. Falls jedoch die Standortinformation, die in dem Flash-Speicher 24 oder
internen Speicher von Smart-Card-Chip 18 gespeichert wird,
zu der Standortinformation, die in der externen Smart-Card 10 gespeichert
wird, inkonsistent ist, wird das System nicht arbeiten. Zu dieser
Zeit wird die Standortinformation in der externen Smart-Card überschrieben oder
kann alternativ in ei nen getrennten Speicherstandort gebracht werden
(ein Reisespeicherstandort). Es existiert nun Entsprechung zwischen
der Standortinformation, die in dem Flash-Speicher 24 oder
internen Speicher von Smart-Card 18 gespeichert ist, und
der Standortinformation, die in der externen Smart-Card 10 gespeichert
ist. Wenn Porto aufgedruckt und digitale Tokens generiert werden, existiert
somit eine Übereinstimmung
zwischen den Daten, die auf dem Poststück generiert werden, von der
Standortinformation in dem Flash-Speicher 24 oder internen
Speicher von Smart-Card 18 und von der Standortinformation,
die in der externen Smart-Card 10 gespeichert wird.
-
Falls
gewünscht
und als Teil einer Routineüberprüfung kann
die Standortinformation, die in der externen Smart-Card gespeichert
wird, periodisch gegen die Standortinformation geprüft werden,
die in dem Flash-Speicher 24 oder Smart-Card-Chip 18 gespeichert
wird. Außerdem
kann Standortinformation, die in sowohl dem Flash-Speicher 24 als
auch dem internen Abrechnungssystem oder externen Abrechnungssystem
gespeichert wird, überprüft werden, falls
gewünscht,
wann immer Kommunikationen mit dem entfernten Abrechnungszentrum über das
Modem 28 oder RS-232-Konnektor 27 hergestellt
werden. Weiter noch könnte
gewünscht
werden, dass eine externe Smart-Card mit einem speziellen Zweck in
das System verbunden werden kann, um verschiedene Information zu
befragen und zu verifizieren, die sowohl in dem Flash-Speicher 24 als
auch dem internen Smart-Card-Chip 18 oder
internen Abrechnungssystem 8 gespeichert wird.
-
Es
wird nun auf 2 Bezug genommen. Bei 82 wird
das elektronische Frankiermaschinensystem 2 hochgefahren.
In 84 wird eine Bestimmung durchgeführt, ob das System ein mehrfaches
sicheres Abrechnungs- (Tresor-) System ist. Das heißt eine
Bestimmung bezüglich
dessen vorgenommen, ob das System Mehrfachabrechnungssysteme inkludiert.
Falls das System kein Mehrfachtresorabrechnungssystem ist, wird
in 86 eine weitere Bestimmung durchgeführt, ob das System ein internes
Tresorsystem ist. Falls das System kein internes Tresorsystem ist,
muss das System ein System mit nur einem externen Tresor sein. Entsprechend
wartet das System in 88 auf einen Tresor, der einzuführen ist.
-
Wenn
der externe Tresor in 90 eingeführt wird (oder als bereits
vorhanden bestimmt wird), verwendet das System den externen Tresor
für die
gesamte Abrechnung und für
andere sichere Funktionen in 92. Sollte der externe Tresor
entfernt werden, wie in 94 gezeigt wird, wird dann in 86 eine
Bestimmung durchgeführt,
ob es ein internes Tresorsystem ist. Falls kein interner Tresor
vorhanden ist, verbleibt in dem Zählwerksystem 2 kein
gültiges
Abrechnungssystem, und in 98 wird auf der Anzeige 64 ein fataler
Fehler angezeigt. Das Zählwerksystem
wird zum Aufdrucken von Porto und andere Operationen, die ein sicheres
Abrechnungssystem erfordern, als nicht betriebsfähig erachtet.
-
Falls
in 84 eine Bestimmung durchgeführt wird, dass das System ein
Mehrfachtresorsystem ist, wird in 100 eine weitere Bestimmung
durchgeführt, ob
in dem System zwei Tresore vorhanden sind. Falls zwei Tresore vorhanden
sind, wird das System den externen Tresor verwenden, wie in 92 gezeigt
wird. Wenn zwei Tresore vorhanden sind, greift das System somit
stets als Vorgabe zur Verwendung des externen Tresors. Falls in 100 eine
Bestimmung durchgeführt
wird, dass keine zwei Tresore in dem System vorhanden sind, setzt
die Operation zu Entscheidungsbox 96 fort, wie zuvor erwähnt. Falls
eine in 96 Bestimmung durchgeführt wird, dass ein interner
Tresor vorhanden ist, verwendet das System den internen Tresor,
wie in 102 gezeigt. Dies wäre auch von Entscheidungsbox 86 der
Fall, wo eine Bestimmung durchgeführt wird, ob das System ein
internes Tresorsystem ist.
-
Wie
aus dem Obigen gesehen werden kann, geht das Zählwerksystem 2 als
Vorgabe stets zu einem Betrieb, der das externe Abrechnungssystem oder
Tresor verwendet, wenn das System hochgefahren wird. Falls jedoch
zu einem beliebigen Zeitpunkt während
des Betriebs der externe Tresor entfernt wird, wechselt das System
zu einer Nutzung des internen Tresors, wenn der externe Tresor entfernt ist.
Falls andererseits das System nur ein externes Abrechnungssystem
oder Tresor aufweist und der Tresor nicht vorhanden ist, wartet
das System, bis ein externer Tresor in das System eingeführt ist,
um einen Betrieb zu beginnen. Falls das System ein System nur mit
einem internen Tresor ist und ein Tresor nicht als vorhanden abgetastet
wird, wird das System ferner einen fatalen Fehler anzeigen und wird
nicht arbeiten.
-
Es
wird nun Bezug auf 3 genommen. In 104 wird
eine Karte in das System eingeführt.
In 106 wird eine Bestimmung durchgeführt, ob die Karte ein Abrechnungstresor
(externer Tresor) ist. Falls die Karte als eine Abrechnungssystem-Smart-Card
bestimmt wird, wird die Smart-Card für eine Abrechnung verwendet,
wie in 108 gezeigt wird. Falls die Karte nicht als eine
Abrechnungskarte bestimmt wird, wird in 110 eine Bestimmung
durchgeführt,
ob die Karte eine Ad-Slogan-Karte ist, d.h. eine Karte, die Beschriftungsinformation,
grafische Information oder beides zum Aufdrucken durch das Zählsystem 2 enthält. Falls
eine Bestimmung durchgeführt
wird, dass das System eine Ad-Slogan-Karte ist, wird das System
in 112 in den Ad-Slogan-Modus platziert. Es wird dann in 114 eine
Bestimmung durchgeführt,
ob die Ad-Slogan-Karte authentisch ist. Das heißt es wird eine Bestimmung
mittels einer verschlüsselten
Nachricht, wie etwa durch Verwendung eines kryptografischen Zertifikates
zwischen der Ad-Slogan-Karte und dem Druckmodul-Smart-Card-Chip 18,
durchgeführt, ob
die Karte gültig
ist und auch die Ad-Slogan-Information auf der Karte gültig und
sie authentifiziert sind. Falls die Karte und/oder die Daten als
gültig
bestimmt werden, ist das Ad-Slogan-Herunterladen in 116 abgeschlossen.
Falls die Karte und/oder die Daten nicht authentifiziert sind, wird
in 118 eine Fehlernachricht auf der Anzeige 64 angezeigt
und es wird in 120 eine Aufforderung vorgenommen, dass
der Benutzer die Ad-Slogan-Karte entfernt. Zu Schritt 110 zurückkehrend
wird, falls die Antwort auf die Nachfrage "NEIN" ist,
in Schritt 111 eine Fehlernachricht mit der Aufforderung
angezeigt, dass die Karte zu entfernen ist.
-
Es
sollte, erkannt werden, dass falls andere Typen von Karten eingesetzt
werden, wie etwa diejenigen, die in 1 gezeigt
werden, die Authentifizierungscodeinformation, Ratentabelleninformation
etc. enthalten, das Flussdiagramm, das in 3 gezeigt wird,
weitere Operationsschritte aufweisen würde, um das Wesen einer derartigen
Karte zu bestimmen und die Karte und die Information auf einer derartigen Karte
zu identifizieren und je nach dem fortfahren würde oder nicht, die notwendige
Information herunterzuladen. Dies würde auf eine Art und Weise ähnlich zu
der geschehen, wie es der Fall bei der Ad-Slogan-Karte ist. Außerdem ermöglicht das
System ferner, dass Information von dem Zählwerk zu der Karte übertragen
und in die Karte für
den Zweck einer Untersuchung, Informationsübertragung und beliebiger anderer
gewünschter
Funktionalität
geschrieben wird, wie etwa Übertragung
von Geldmitteln von einem internen Tresor zu einem externen Tresor
für eine
Entfernung von Geldmitteln aus dem Zählsystem.
-
Es
wird nun Bezug auf 4 genommen. In 122 wird
ein Tresor in das Zählwerksystem
eingeführt.
Dies kann ein internes Abrechnungssystem sein, das zum Zeitpunkt
einer Herstellung eingeführt wird,
oder ein externer Tresor, der zu einem beliebigen Zeitpunkt während einer
Verwendung eingeführt wird.
Sollte außerdem
ein anderer Tresor in das System als ein Er satz für den internen
Tresor eingeführt werden,
wird auch dieser Prozedur gefolgt. Außerdem wird dem Prozess während eines
Hochfahrens des Zählsystems
gefolgt.
-
Die
Postleitzahl und die postalische Prüfziffer oder andere Information
wird in 124 aus dem Tresor gelesen. In 126 wird
bestimmt, ob diese Postleitzahl und postalische Prüfziffer
oder andere Information zu der Postleitzahl und postalischen Prüfziffer
oder anderen Information passt, die in dem Zählwerksystem gespeichert sind.
Information wird in dem Zählwerksystemdruckmodul
in einem Flash-Speicher 24 oder internen Speicher des Druckmodul-Smart-Card-Chips 18 gespeichert.
Falls die Information übereinstimmt,
setzt das System in 128 Initialisierung und Betrieb fort. Falls
die Information nicht übereinstimmt,
versuchen der Tresor (Abrechnungssystem) und der Druckerdruckmodul
in 130 einander zu authentifizieren. Falls in 132 bestimmt
wird, dass der Abrechnungssystemmodul und der Druckmodul jeder gültig sind
und einander authentifiziert haben, werden die Postleitzahl und
postalische Prüfziffer oder
anderen Daten, die in dem Druckermodul-Flash-Speicher 24 oder
internen Speicher von Smart-Card-Chip 18 gespeichert sind,
in 136 in den Tresor geschrieben. Das Zählwerksystem setzt seine Initialisierung
und seinen Betrieb in 141 fort.
-
Falls
in 132 bestimmt wird, dass das Abrechnungssystem und der
Druckmodul nicht gültig
sind, d.h. dass sie sich gegenseitig nicht authentifiziert haben,
wird in 134 eine Nachricht über einen fatalen Fehler auf
der Anzeige 64 angezeigt und das System arbeitet nicht.
-
Es
wird nun Bezug auf 5A genommen. 5A zeigt
einen digitalen Freimachungsvermerk, der geeignet ist, durch das
Frankiermaschinensystem, das in 1 gezeigt
wird, aufgedruckt zu werden. Dieser Freimachungsvermerk enthält alphanu merische
Information, die auch in einem Barcodeformat gedruckt werden kann,
inkludierend Barcode PDF 417 oder andere Formen eines Barcodes.
Der digitale Freimachungsvermerk inkludiert eine Postleitzahl 142,
die für
den Zählwerkbenutzer
das lizenzierende Postamt ist, das Datum der Vorlage des Poststücks 144,
die Seriennummer des Freimachungsvermerkes oder Zählwerkes
oder der Postsicherheitseinrichtung 146. Dies identifiziert
die Einrichtung, die den Freimachungsvermerk gedruckt hat. Die Portomenge,
die auf dem Poststück
oder Band aufgedruckt ist, wird bei 148 gezeigt. Eine Herstelleridentifikation
ist bei 150 aufgedruckt, wie es ein digitaler Token des
Herstellers 152 und ein digitaler Token eines Beförderers
oder Postdienstes 154 sind. Diese digitalen Tokens sehen
Mittel zur Authentifizierung eines Poststücks durch Information vor,
die in dem Freimachungsvermerk gedruckt wird um sicherzustellen,
dass der Freimachungsvermerk gültig
ist und durch ein autorisiertes Frankiermaschinensystem gedruckt
wurde und nicht geändert
wurde. Der Freimachungsvermerk kann auch eine Stückzählung 156 inkludieren,
die die Zahl von Stücken
zeigt, die das Zählsystem
gedruckt hat; eine Freimachungsvermerkprüfziffer 153, die eine
einzelne dezimale Ziffer ist, generiert aus variabler Information
in dem Freimachungsvermerk, die gedacht ist zu helfen, Fehler in
diesen Mengen zu erfassen, und eine Zählwerkprüfziffer 140, die ein
Paar von dezimalen Ziffernidentifikatoren ist, die aus dezimalen
Werten generiert werden, die das Zählwerk und den Zählwerkhersteller
identifizieren, was gedacht ist zu helfen, Fehler in diesen Mengen
zu erfassen.
-
Es
sollte vermerkt werden, dass die Organisation des Informationsinhaltes
und die Anordnung des digitalen Freimachungsvermerkes ein Gegenstand
einer Auswahl sind, ebenso wie es die Form ist, in der der digitale
Freimachungsvermerk aufgedruckt wird. Der digitale Freimachungsvermerk
kann gänzlich
alphanumerisch, gänzlich
in einer beliebigen Form eines Bar codes oder einer anderen Kodierungsanordnung
oder in einer Kombination alphanumerisch und Barcodekodierung oder
einer anderen Form von Kodierung aufgedruckt werden.
-
Es
wird nun Bezug auf 5B und 5C genommen.
Diese Figuren stellen verschiedene Formen eines digitalen Freimachungsvermerkes
dar, aufgedruckt gänzlich
in einem Format eines Barcodes PDF 417. 5B zeigt
einen Freimachungsvermerk 160, der unter Verwendung von
DSS signiert ist, während 5C ein
Freimachungsvermerk 162 ist, der unter Verwendung von RSA
signiert ist. Beide sind Beispiele eines derartigen Poststückfreimachungsvermerkes
aus der Freimachungsvermerkspezifikation vom US-Postdienst Draft
Information Based Indicia Program (IBIP) vom 13. Juni 1996, Anhang
A-1.
-
Während die
vorliegende Erfindung mit Bezug auf die spezifischen Ausführungsformen,
die hierin dargelegt werden, offengelegt und beschrieben wurde,
wird offensichtlich sein, wie oben vermerkt, und aus dem obigen
selbst, dass Variationen und Modifikationen darin durchgeführt werden
können.
Es ist somit in den folgenden Ansprüchen gedacht, jede derartige
Variation und Modifikation abzudecken.