-
Diese
Erfindung bezieht sich auf Wert-Drucksysteme und ist anwendbar auf
eine Vorrichtung zum Ändern
von Sicherheitsmerkmalen einer Frankiermaschine bzw. eines Portozählers aus
der Ferne.
-
EP-A-0
526 205 offenbart einen Tintenstrahldrucker mit einem Mechanismus
zum Umschalten zwischen einem Mehrfachpassier- bzw. Mehrfachdurchgangs-Druckmodus
zum sequentiellen Drucken von aufgeteilten Druckdaten in eine Vielzahl
von Betrieben/Operationen des Druckkopfes und eines Einfachdurchgangs-Druckmodus
zum Drucken aller Druckdaten in einem einzelnen Betrieb des Druckkopfes.
Der Umschaltbetrieb von einem Druckmodus zu dem anderen kann entweder
automatisch oder manuell durch einen Benutzer ausgeführt werden, durch
Auswählen
eines Druckmodus auf dem Betriebsfeld des Druckers.
-
Elektronische
Frankiermaschinen werden momentan auf der ganzen Welt benutzt. Diese
elektronischen Frankiermaschinen benutzen oft eine digitale Drucktechnologie,
wie z. B. Tintenstrahldrucken, um eine Wertzeichenangabe auf ein
Poststück
zu drucken. Die Wertzeichenangabe dient als Beweis, dass Porto gezahlt
wurde. Um die Kosten solcher elektronischen Frankiermaschinen zu
reduzieren, können
billige digitale Druckköpfe
benutzt werden. Solche billigen digitalen Druckköpfe weisen typischerweise eine
geringe Düsendichte
auf. Falls diese billigen digitalen Druckköpfe jedoch benutzt werden, kann
von dem Druckkopf verlangt werden, dass er mehrere Durchläufe bzw.
Durchgänge über das
Poststück
in dem Bereich durchführt,
wo die Wertzeichenangabe aufzudrucken ist, um eine Wertzeichenangabe
mit einer Druckqualität
zu produzieren, die für
das Postamt akzeptabel ist. Zum Beispiel würde in einem Zweifachdurchgangs- Drucksystem der Druckkopf
ein Wertzeichenangabeabbild während
eines ersten Durchgangs produzieren. Dann kann, während eines nachfolgenden
Durchgangs des Druckkopfes über den
gleichen Bereich, in welchem die Wertzeichenangabe vorher aufgedruckt
wurde, ein komplettes zweites Wertzeichenangabeabbild geformt werden, das
verschachtelt bzw. verschränkt
(wie z. B. versetzt um ein Pixel von der ersten Wertzeichenangabe)
mit dem ersten gedruckten Wertzeichenangabenabbild ist, so dass
die Kombination von den zwei Wertzeichenangabenabbildern ein Wertzeichenangabeabbild
mit hoher Dichte produziert, im Vergleich zu beiden der individuellen
Wertzeichenangabeabbildern, die während des ersten und zweiten
Druckkopfdurchgangs produziert werden. Daher wird das resultierende
Wertzeichenangabeabbild deutlich definierter. Jedoch stellt das
individuelle Drucken von zwei vollständigen Wertzeichenangaben,
die versetzt und miteinander verschränkt sind, um ein endgültiges Wertzeichenangabeabbild
zu produzieren, insofern ein potentielles Sicherheitsproblem dar,
als das Aufeinanderstapeln zweier Poststücke in der Frankiermaschine
und das Entfernen eines Poststücks
nach dem ersten Durchlauf von dem Druckkopf dazu führen würde, dass
zwei Poststücke
produziert werden, wobei jedes Poststück ein darauf aufgedrucktes Wertzeichenangabeabbild
aufweist. Die Frankiermaschine hätte
jedoch nur eine gedruckte Wertzeichenangabe berechnet bzw. darüber Buch
führt.
Während die
auf jedem Poststück
gedruckte Wertzeichenangabe von bedeutend geringerer Qualität als das
erwünschte
kombinierte Wertzeichenangabeabbild wäre, ist es möglich, dass
jedes dieser Abbilder durch den Postverarbeitungsstrom durchgehen
könnte, ohne
als eine ungültige
Wertzeichenangabe detektiert zu werden. Demgemäß würde der Postdienst Umsatz verlieren.
-
Um
dieses Problem zu überwinden,
wurde vorgeschlagen, nur einen Anteil des Postwertzeichenangabeabbilds
während
des zweiten Durchgangs des Druckkopfes zu drucken. Der gedruckte Anteil
würde mit
dem während
des ersten Druckkopfdurchgangs produzierten Wertzeichenangabeabbild verschränkt werden
und würde
ausgewählten
Anteilen des Wertzeichenangabeabbilds eine erhöhte Dichte verleihen. Der gedruckte
Anteil des zweiten Durchgangs würde
nicht notwendigerweise eine erkennbare Wertzeichenangabe in und
von sich selbst sein. Jedoch besteht immer noch die Möglichkeit,
abhängig
von der Anzahl von Angaben, die während des zweiten Durchgangs
gedruckt werden, dass ein Poststück
mit nur einem Anteil des Wertzeichenangabeabbilds durch den Poststrom
passieren könnte, ohne
als eine ungültige
Wertzeichenangabe detektiert zu werden. Daher ist es wichtig, egal
ob dieses potenzielle Problem in der Praxis auftreten wird oder nicht,
in der Lage zu sein, den Druckbetrieb des Frankiermaschinen-Druckkopfes
zu ändern,
nachdem diese Zähler
bei dem Kunden aufgestellt wurden, falls die Situation gebietet,
dass solch eine Veränderung
gerechtfertigt ist. Das heißt,
falls ein bestimmtes Postamt entscheidet, nachdem es Nutzern Frankiermaschinen
zur Verfügung
gestellt hat, dass eines der obigen Probleme aufgetreten ist, müssen alle
benutzten Zähler
modifiziert werden, um eine sicherere Druckumgebung bereitzustellen.
Es ist erwünscht, dass
solch eine Änderung
an dem Druckkopfdruckbetrieb geschaffen wird, ohne dass dabei der
Druckkopf und/oder die Frankiermaschine körperlich bzw. physisch zu dem
Zählerhersteller
oder dem Postdienst zurückgebracht
werden muss.
-
Ein
zusätzlicher
potentieller Sicherheitspunkt ist auch in elektronischen Frankiermaschinen
gegeben, weil bei vielen dieser Zähler die Funktionalität der Frankiermaschinen-Werteinrichtung und
die digitale Druckkopfsteuerung in separaten Modulen untergebracht
wurden. Diese Modularisierung erlaubt der Werteinrichtung und den
Druckkopfmodulen unabhängig
voneinander in irgendeinem bestimmten Zähler geändert zu werden und erlaubt
die Verwendung von mehreren abnehmbaren externen Werteinrichtungen
(wie z. B. Smart-Cards),
die mit einer einzelnen Zählerbasis
mit dem Druckkopfmodul darin zu verwenden sind. Es ist jedoch möglich, da
die Werteinrichtung und der Zähler
nicht länger wie
in alten Zählern
physisch aneinander befestigt sind und sie während jeder Portotransaktion über eine
unsichere Kommunikationsverbindung miteinander kommunizieren, dass
durch einen Angriff auf die unsichere Kommunikationsverbindung unbefugt
eingegriffen wird. Es wurde deshalb vorgeschlagen, dass ein gegenseitiges
Authentifizierungsverfahren zwischen dem Druckkopfmodul und der
Druckkopfwerteinrichtung stattfindet, bevor die Portotransaktion
autorisiert wird. Ein repräsentatives
Beispiel eines gegenseitigen Authentifizierungsverfahrens ist in
dem US-Patent Nr. 4 802 218 dargelegt. Die meisten der bekannten
gegenseitigen Authentifizierungsverfahren führen eine Art verschlüsselte Kommunikation
zwischen der Werteinrichtung und den Druckkopfmodulen aus, wobei
die Kommunikation auf der Benutzung eines intern gespeicherten geheimen
Schlüssels
in Verbindung mit einem Algorithmus basiert. Jedoch wäre es jemandem
möglich,
falls die Sicherheit des gespeicherten geheimen Schlüssels gefährdet wird,
Postwertzeichenangaben ohne Stattfinden der richtigen Buchführung zu
drucken, obwohl Details zu dem Algorithmus noch erhalten werden
müssten,
um dies zu ermöglichen.
Demgemäß ist es
wünschenswert, über die
Fähigkeit
zu verfügen,
den geheimen Schlüssel oder
die geheimen Schlüssel,
die von der Frankiermaschine während
ihres Authenthifizierungsverfahrens benutzt werden, zu diversifizieren
(ändern),
in dem Fall, dass die ursprünglich
gespeicherten geheimen Schlüssel
preisgegeben wurden. Überdies
wird die Fähigkeit,
die Schlüssel
aus der Ferne zu diversifizieren, auch benötigt, um zu vermeiden, dass
der Benutzer den Zähler
entweder zu dem Zählerhersteller
oder dem zuständigen
Postamt bringen muss.
-
Es
ist eine Aufgabe der Erfindung, ein System zum Drucken von Werten
bereitzustellen, das aus der Ferne modifiziert werden kann, um seinen Druckbetrieb
für Sicherheitszwecke
zu ändern.
-
Gemäß der Erfindung
wird ein Wert-Drucksystem bereitgestellt, das einen Druckmechanismus umfasst;
sowie eine Einrichtung zum Bewegen des Druckmechanismus in einer
ersten festgelegten Art und Weise während des Druckens mit dem
Druckmechanismus, um ein Wertkennzeichen auf ein Aufzeichnungsmedium
aufzuzeichnen; eine mit einem in einer ROM gespeicherten Software-Programm
ansteuerbare Einrichtung, welche auf eine Nachricht anspricht, um
die Bewegungseinrichtung zu veranlassen, die Bewegung des Druckmechanismus
von der ersten festgelegten Art und Weise zu einer von der ersten
festgelegten Art und Weise verschiedenen zweiten festgelegten Art
und Weise zu ändern,
welche aber nicht zum Ändern
der Bewegung des Druckmechanismus zurück zu der ersten festgelegten
Art und Weise ansprechbar ist; und eine von dem Druckmechanismus
und der Bewegungseinrichtung abgesetzte bzw. entfernte Einrichtung,
um die Nachricht zu erzeugen und um die Bewegungsrichtung zu veranlassen,
die Bewegung des Druckmechanismus von der ersten festgelegten Art
und Weise zu der zweiten festgelegten Art und Weise zu verändern zur Verwendung
während
des Druckens durch den Druckmechanismus, um das Wertkennzeichen
auf das Aufzeichnungsmedium aufzuzeichnen.
-
Die
begleitenden Zeichnungen, die hier enthalten sind und einen Teil
der Beschreibung darstellen, stellen eine momentan bevorzugte Ausführungsform
der Erfindung dar und dienen zusammen mit der oben gegebenen allgemeinen
Beschreibung und der unten angegebenen bevorzugten Ausführungsform dazu,
die Grundlagen der Erfindung zu erklären.
-
In
der Zeichnung zeigt:
-
1 ein
schematisches elektrisches Blockdiagramm der elektrischen Frankiermaschine
gemäß einer
Ausführungsform
der beanspruchten Erfindung;
-
2 eine
Portowertzeichenangabe, die durch die Frankiermaschine produziert
wird;
-
3 ein
Flussdiagramm eines Authentifizierungsverfahrens, das in der Frankiermaschine enthalten
ist; und
-
4 einen
Zählermodifizierungscode.
-
1 zeigt
eine schematische Darstellung einer Frankiermaschine 1,
die eine Ausführungsform der
Erfindung implementiert. Die Frankiermaschine 1 enthält eine
Basis 3 und ein Druckkopfmodul 5. Die Basis 3 enthält ein erstes
funktionales Teilsystem, das als ein Werteinrichtungs-Mikroprozessor 7 bezeichnet
wird, und ein zweites funktionales Teilsystem, das als ein Basis-Mikroprozessor 9 bezeichnet wird.
Der Werteinrichtungs-Mikroprozessor 7 weist Software und
einen damit in Zusammenhang stehenden Speicher auf, um die Buchführungsfunktionen der
Frankiermaschine 1 auszuführen. Das heißt, der Werteinrichtungs-Mikroprozessor 7 weist
die Fähigkeit
auf, eine vorbestimmte Menge an Porto-Fonds bzw. -Beträgen von einem Zentralcomputer 6 eines entfernten
Datencenters 8 über
ein Telefonmodem 10 herunterladen zu lassen. Solch ein
entferntes bzw. abgesetztes Frankiermaschinen-Gebührenberechnungssystem
wird in dem US-Patent Nr. 4 097 923 beschrieben. Während jeder
Portotransaktion prüft der
Werteinrichtungs-Mikroprozessor 7 nach, ob ausreichende
Fonds verfügbar
bzw. erhältlich
sind. Falls ausreichende Fonds erhältlich sind, belastet bzw. zieht
der Werteinrichtungs-Mikroprozessor 7 den Betrag von einem
abnehmenden Register ab, fügt
den Betrag zu einem ansteigenden Register hinzu und sendet den Portobetrag
an das Druckkopfmodul 5 über den Basis-Mikroprozessor 9.
Der Basis-Mikroprozessor 9 sendet
auch das Datum der Datenaufgabe an das Druckkopfmodul 5 über eine
Leitung 14, so dass ein vollständiges Wertzeichenangabeabbild
gedruckt werden kann.
-
Der
Werteinrichtungs-Mikroprozessor (Englisch: vault microprocessor) 7 verwaltet
daher die Portofonds, wobei das ansteigende Register den im Laufe
der Nutzungszeit ausgegebenen Betrag des Portofonds darstellt, das
abnehmende Register den Betrag von momentan verfügbaren Fonds darstellt und
ein Kontrollsummenregister, das den laufenden Gesamtbetrag von Fonds
zeigt, welche dem Werteinrichtungs-Mikroprozessor 7 gutgeschrieben
wurden. Zusätzliche
Merkmale des Werteinrichtungs-Mikroprozessors 7, die enthalten
sein können,
sind ein Stückzählerregister,
ein Verschüsselungsalgorithmus
zum Erzeugen von Verkäufer-
und Postzeichen und Software zum Auffordern eines Nutzers, eine persönliche Identifizierungsnummer
einzugeben, die durch den Werteinrichtungs-Mikroprozessor 7 verifiziert
werden muss, bevor irgendeine Werteinrichtungs-Transaktion autorisiert
wird. Alternativ könnte die
Verifizierung der persönlichen
Identifizierungsnummer entweder durch den Basis-Mikroprozessor 9 oder den Druckmodul-Mikroprozessor 41 (unten
diskutiert) geschaffen werden. Zusätzlich, und wie vorher diskutiert,
kann die Frankiermaschinen-Werteinrichtung mit zusätzlichen
Fonds von dem Datencenter belastet werden.
-
Der
Basis-Mikroprozessor 9 agiert als ein Nachrichtenkoordinator,
indem er beim Transfer von Informationen entlang einer Datenleitung 12 zwischen
dem Werteinrichtungs-Mikroprozessor 7 und dem Druckkopf-Modul 5 koordiniert
und assistiert sowie verschiedene Unterstützungsfunktionen koordiniert,
die notwendig sind, um die Zählfunktion
zu vervollständigen.
Der Basis-Mikroprozessor 9 interagiert mit
der Tastatur 11, um eine Benutzerinformations-Eingabe durch
Tastaturtasten 11a (wie z. B. Portobetrag, Aufgabedatum)
an den Werteinrichtungs-Mikroprozessor 7 zu
transferieren. Zusätzlich sendet
der Basis-Mikroprozessor 9 Daten an eine Flüssigkristallanzeige 13 über einen
Treiber/Controller 15 zum Zweck des Anzeigens von Benutzereingaben
oder um den Benutzer zu veranlassen, zusätzliche Eingaben zu tätigen. Überdies
stellt der Basis- Mikroprozessor 9 dem
Werteinrichtungs-Mikroprozessor 7 über entsprechende Leitungen 17, 19 Leistung
bzw. Strom und ein Rückstellsignal
bereit. Eine Uhr 20 versorgt den Basis-Mikroprozessor 9 mit Datums-
und Zeitinformationen. Alternativ kann die Uhr 20 entfallen,
und die Uhrfunktion kann durch den Basis-Mikroprozessor 9 erfüllt werden.
Der Basis-Mikroprozessor 9 stellt dem Werteinrichtungs-Mikroprozessor 7 mit
ein Taktsignal bereit.
-
Die
Frankiermaschine 1 enthält
auch ein konventionelles Stromversorgungsgerät 21, das grobe Wechselspannungen
von einem an einer Wand angebrachten Transformator 23 konditioniert,
um die erforderlichen regulierten und unregulierten Gleichspannungen
für die
Frankiermaschine 1 bereitzustellen. Spannungen werden über die
Leitungen 25, 27 und 29 an einen Druckkopf-Motor 31,
einen Druckkopf 33 und alle Logikschaltkreise ausgegeben.
Ein Motor 31 wird verwendet, um die Bewegung des Druckkopfes 33 relativ
zu dem Poststück
zu steuern, auf welchem ein Wertzeichenangabeabbild zu drucken ist.
Der Basis-Mikroprozessor 9 steuert die Versorgung des Motors 31 mit
Strom bzw. Leistung, um das ordnungsgemäße Starten und Stoppen der
Bewegung des Druckkopfs 33 sicherzustellen, nachdem der
Werteinrichtungs-Mikroprozessor 7 eine Porto-Transaktion
autorisiert.
-
Die
Basis 3 enthält
auch einen Bewegungskodierer 35, der die Bewegung des Druckkopfmotors 31 erfasst,
so dass die exakte Position des Druckkopfs 33 entlang einer
ersten Bewegungsrichtung bestimmt werden kann. Signale von dem Bewegungskodierer 35 werden
an das Druckkopf-Modul 5 gesendet, um die Energiezufuhr
an individuelle Druckkopf-Elemente 33a im
Druckkopf 33 mit der Positionierung des Druckkopfes 33 zu
koordinieren. Alternativ kann der Bewegungskodierer 35 entfallen, und
die an einen Schrittmotor 31 angelegten Pulse können gezählt werden,
um den Ort des Druckkopfes 33 zu bestimmen und die Energiezufuhr
an die Druckkopf-Elemente 33a zu koordinieren. Zusätzlich wird
ein zweiter Motor 32 bereitgestellt, der verwendet wird,
um den Druckkopf 33 in eine Richtung senkrecht zu der ersten
Bewegungsrichtung des Druckkopfs relativ zu der Position des Druckkopfes 33 in der
ersten Bewegungsrichtung zu bewegen.
-
Das
Druckkopf-Modul 5 enthält
einen Druckkopf 33, einen Druckkopf-Treiber 37,
eine Zeichenmaschine 39 (die einen Mikroprozessor oder
eine anwendungsspezifische integrierte Schaltung (ASIC) sein kann),
einen Mikroprozessor 41 und einen nichtflüchtigen
Speicher (NVM) 43. Im NVM 43 sind Wertzeichenangabeabbild-Daten
gespeichert, die auf ein Poststück
gedruckt werden können.
Der Mikroprozessor 41 empfängt einen Druckbefehl, den
Portobetrag und Aufgabedatum über
den Basis-Mikroprozessor 9. Der Portobetrag und das Aufgabedatum
werden von dem Mikroprozessor 41 an die Zeichenmaschine 39 gesendet,
die dann auf den nichtflüchtigen Speicher 43 zugreift,
um die verlangten Wertzeichenangabeabbild-Daten von diesem zu erhalten,
die in Registern 44 bis 44n gespeichert sind.
Das gespeicherte Abbild wird dann Spalte für Spalte durch die Zeichenmaschine 39 auf
den Druckkopf-Treiber 37 über Spalten-Puffer bzw. -Zwischenspeicher 45, 47 heruntergeladen,
um den individuellen Druckkopf-Elementen 33a Energie zuzuführen, um
das Wertzeichenangabeabbild auf das Poststück zu drucken. Die individuelle
spaltenweise Erzeugung des Wertzeichenangabeabbilds wird mit der
Bewegung des Druckkopfes 33 synchronisiert, bis die gesamte Wertzeichenangabe
hergestellt worden ist. Spezifische Details der Erzeugung des Wertzeichenangabeabbilds
werden in US-Patent
Nr. 5 651 103 dargelegt.
-
2 zeigt
ein vergrößertes,
repräsentatives
Beispiel einer typischen Portowertzeichenangabe, die von der Frankiermaschine 1 zur
Benutzung in den Vereinigten Staaten gedruckt werden kann. Die Portowertzeichenangabe 51 enthält ein graphisches Abbild 53 mit
den 3 Sternen in der oberen linken Ecke, die Worte "UNITED STATES POSTAGE" und das Adler- Abbild; eine Wertzeichenangaben-Identifizierungsnummer 55;
ein Aufgabedatum 57; die Ursprungspostleitzahl 59;
die Worte "mailed
from zip code" 61,
was aus Gründen
der Einfachheit nur mit den Worten "SPECIMEN SPECIMEN" gezeigt wird; ferner den Portobetrag 63;
eine Stückzahl 65;
eine Zahlenüberprüfungsnummer 67;
eine Verkäufer-ID-Nummer 69;
ein Verkäuferzeichen 71;
ein Postzeichen 73; und eine Mehrfachdurchgangs-Überprüfungs-Stelle
bzw. -Zeichen 75. Während
die meisten der Teile des Wertzeichenangabeabbildes 51 selbsterklärend sind,
bedürfen
einige wenige einer kurzen Erläuterung.
Die Verkäufer-ID-Nummer
identifiziert den Hersteller des Zählers, und das Verkäuferzeichen
und die Postzeichennummern sind verschlüsselte Nummern, die von dem Hersteller
bzw. dem Postamt benutzt werden können, um zu verifizieren, ob
eine gültige
Wertzeichenangabe produziert wurde. Wie vorher diskutiert, wird die
Postwertzeichenangabe 51 während zweier individueller
Durchgänge
des Druckkopfes 33 entlang einer vorbestimmten Länge der
ersten Bewegungsrichtung produziert. Das heißt, während eines ersten Durchgangs
des Druckkopfes 33 in der "X"-Richtung wird
ein vollständiges
Wertzeichenangabeabbild gedruckt. Dann aktiviert der Basis-Mikrocontroller 9 den Motor 31,
um den Druckkopf 31 in der "Y"-Richtung zu
verschieben. Sobald die Verschiebung erfolgt ist, wird der Motor 36 von
der Stromquelle getrennt, und während
eines zweiten Durchgangs des Druckkopfes 33 in der "X"-Richtung wird entweder eine zweite Wertzeichenangabe
gedruckt oder es werden Teile der Wertzeichenangabe gedruckt. Das
während
des zweiten Durchgangs gedruckte Abbild ist mit dem ersten Wertzeichenangabeabbild
verschränkt,
was zu einem kombinierten Wertzeichenangabeabbild mit erhöhter Dichte
im Vergleich zu jedem der individuellen Abbilder führt. Details
einer spezifischen Implementierung des Zweifachdurchgangs-Druckssystems werden
in der Europäischen
Patentanmeldung Nr. 0 782 096 diskutiert.
-
Die
Wertzeichenangabe der 2 ist einfach ein repräsentatives
Beispiel, und die darin enthaltene Information variiert von Land
zu Land. Im Kontext dieser Anmeldung werden die Begriffe Wertzeichenangabe
und Wertzeichenangabeabbild benutzt, um jegliche spezifische Anforderungen
eines jeden Landes zu umfassen.
-
Ein
Vorteil des oben beschriebenen verteilten Frankiermaschinensystems
ist, dass weniger teure Mikroprozessoren aufgrund der unterteilten
Funktionalität
verwendet werden können,
was zu einer kostengünstigeren
Frankiermaschine führt.
Darüber hinaus
erlaubt die Modularität
des Systems eine einfache Auswechslung der Werteinrichtung und der Druckmodule
in dem Fall eines Ausfalls eines dieser Module. Jedoch resultiert,
wie vorher diskutiert, die Verwendung eines verteilten digitalen
Systems, in dem Daten über
physikalische, unsichere Datenleitungen (z. B. Datenleitungen 12, 14)
transferiert werden, in einem System, das anfällig für ein Abfangen und Reproduzieren
seiner Daten ist. Wenn ein solches Abfangen und Reproduzieren vorgenommen wird,
besteht die Möglichkeit,
dass das Druckmodul 5 gesteuert werden könnte, ein
Wertzeichenangabeabbild zu drucken, ohne dass die notwendige Abrechnung
stattfindet.
-
Um
dieses oben diskutierte Sicherheitsproblem zu überwinden, wird eine sichere
elektronische Verbindung zwischen dem Werteinrichtungs-Mikroprozessor 7 und
dem Druckmodul-Mikroprozessor 41 bereitgestellt.
Die sichere elektronische Verbindung wird durch einen Verschlüsselungsprozess
bewerkstelligt, der eine gegenseitige Authentifizierung zwischen
dem Druckkopf-Modul 5 und dem Werteinrichtungs-Mikroprozessor 7 bereitstellt,
bevor das Drucken des Wertzeichenangabeabbildes, das Belasten des
Portos und das Aktualisieren bestimmter Werteinrichtungsdaten, wie
z. B. PIN-Ort und
Kontonummern, autorisiert wird. Der Verschlüsselungsprozess verringert
signifikant die Wahrscheinlichkeit des Abfangens und der Reproduktion
von Daten. Überdies agiert
der Basis-Mikroprozessor 9 als ein nichtsicherer Kommunikationskanal
zwischen dem Werteinrichtungs-Mikroprozessor 7 und dem
Druckmodul-Mikroprozessor 41.
Jedoch kann die oben diskutierte und detaillierter nachstehend beschriebene Verbindung
zwischen irgendeinem Teilsystem der Frankiermaschine 1 angewandt
werden.
-
Ein
veranschaulichendes Verfahren wird in 3 beschrieben.
In Schritt S1 gibt ein Betreiber einen erwünschten Portobetrag für eine Portotransaktion über die
Tastatur 11 ein. Beim Einlegen des Poststücks in die
Frankiermaschine 1 und Festklemmen desselben durch eine
Platte (nicht gezeigt), sendet der Basis-Mikroprozessor 9 ein
Signal an den Werteinrichtungs-Mikroprozessor 7, und der
Druckmodul-Mikroprozessor 41 verlangt,
dass ein Sitzungsschlüssel
(SK) erstellt wird, wie in Schritt S2 gezeigt. Um den Sitzungsschlüssel zu
erstellen, weisen der Werteinrichtungs-Mikroprozessor 7 und der Druckkopfmodul-Mikroprozessor 41 jeweils
einen identischen Satz von "M" Authentifizierungsschlüssel (AK) auf,
die in einem Speicher gespeichert sind, wobei jeder Authentifizierungsschlüssel einen
bestimmten, ihm zugeordneten Index (1 bis M) aufweist. Zusätzlich weist
auch der Druckmodul-Mikroprozessor 41 einen darin gespeicherten
Satz von Zahlen "0
bis N" auf, die
dazu benutzt werden, um einen bestimmten der Authentifizierungsschlüssel auszuwählen. Das heißt, der
Druckmodul-Mikroprozessor 41 wird für jede Porto-Transaktion programmiert,
um eine des Satzes der Zahlen "0
bis N" entweder
sequentiell oder nach dem Zufallsprinzip auszuwählen (Schritt S3). Unter der
Annahme, dass beispielsweise die Zahl "N" ausgewählt wird,
bestimmt der Druckmodul-Mikroprozessor 41 den bestimmten
Authentifizierungsschlüssel-Index
AKI (Schritt S4) unter Verwendung einer herkömmlichen Übersetzungsfunktion, die einen
Index innerhalb des Bereichs 1 bis M erzeugt. Da die Authentifizierungsschlüssel AK1
bis AKM in einer Nachschlagetabelle in dem Werteinrichtungs-Mikroprozessor 7 und
dem Druckmodul-Mikroprozessor 41 gespeichert sind, kann
der Index AKI einem bestimmten Schlüssel zugeordnet werden, wie z.
B. AK1 (Schritt S5). Es ist wichtig zu erwähnen, dass der Zahlensatz 0
bis N viel größer als
die Schlüsselanzahl
1 bis M sein kann. Deshalb resultiert die Kombination eines großen Zahlensatzes
0 bis N, kombiniert mit der Zufallsauswahl einer dieser Zahlen zur
Erzeugung des Index AKI, in einem sehr sicheren Prozess.
-
Nachdem
der Druckmodul-Mikroprozessor 41 eine der Zahlen 0 bis
N ausgewählt
hat, wird diese Zahl zusammen mit einem ersten Datenstück VD1, das
mit jeder Porto-Transaktion variiert, an den Werteinrichtungs-Mikroprozessor 7 gesendet
und wird im Registerzähler 77 in
dem Druckmodul-Mikroprozessor 41 gespeichert
(Schritt S6). Bei Empfang verwendet der Werteinrichtungs-Mikroprozessor 7,
in dem eine identische Authentifizierungsschlüssel-Nachschlagetabelle und
die von dem Druckmodul-Mikroprozessor 41 verwendete AKI-Übersetzungsfunktion gespeichert
ist, eigenständig
die ausgewählte
Zahl 0 bis N, um AKI zu erzeugen und den gleichen Authentifizierungsschlüssel AK
(Schritt S7) zu identifizieren, der von dem Druckmodul-Mikroprozessor 41 verwendet
wird. Der Werteinrichtungs-Mikroprozessor 7 weist auch
ein Register 79 auf, dessen Inhalte VD2 für jede Porto-Transaktion variabel
sind und, zusammen mit dem Authentifizierungsschlüssel AK
verwendet werden, um den Sitzungsschlüssel SK zu erzeugen (Schritt
S8). Das heißt,
ein herkömmlicher
Verschlüsselungsalgorithmus
wird auf VD2 und den Authentifizierungsschlüssel angewandt, um den Sitzungsschlüssel zu
erzeugen:
SK = ENCRYPT(VD2, AK).
-
Sobald
der Werteinrichtungs-Mikroprozessor 7 den Sitzungsschlüssel bestimmt
hat, erzeugt er ein erstes Authentifizierungszertifikat (AUC1) (Schritt S9)
wie folgt:
AUC1 = ENCRYPT(VD1, SK)
-
Im
Anschluss an die Erzeugung des ersten Authentifizierungszertifikats
sendet der Werteinrichtungs-Mikroprozessor 7 alle
oder einen Teil des ersten Authentifizierungszertifikats und VD2
an den Druckmodul-Mikroprozessor 41 (Schritt
S10). Das heißt,
falls AUCI z. B. acht Datenbyte beträgt, kann es im Ganzen gesendet
werden, oder ein Abbrech- bzw. Abkürz-Algorithmus kann auf es
angewendet werden, um nur eine vorbestimmte Anzahl von Bytes des
AUC1 zu senden. Der Druckmodul-Mikroprozessor 41 bestimmt
SK eigenständig
bei Empfang des AUCI (Schritt S11) in der gleichen Art und Weise
wie der Werteinrichtungs-Mikroprozessor 7,
da der Druckmodul-Mikroprozessor 41 darin den DES-Algorithmus
gespeichert, den AK selbst erzeugt und VD2 von dem Werteinrichtungs-Mikroprozessor 7 empfangen
hat.
-
Im
Anschluss an seine Erzeugung von SK, erzeugt der Druckmodul-Mikroprozessor 41 ein
zweites Authentifizierungszertifikat:
AUC2 = ENCRYPT(VD1, SK),
das
das gleiche sein sollte wie AUCI (Schritt S12). In dem Fall, dass
der Druckmodul-Mikroprozessor AUC1 mit AUC2 vergleicht (Schritt
S13) und sie nicht gleich sind, initiiert der Druckmodul-Mikroprozessor 41 eine
Löschung
der Porto-Transaktion
(Schritt S14). Andererseits, falls AUC1 und AUC2 gleich sind, hat
der Druckmodul-Mikroprozessor 41 authentifiziert, dass
der Werteinrichtungs-Mikroprozessor 7 eine gültige Werteinrichtung
ist. Es ist zu erwähnen, dass
falls ein abgekürzter
Anteil des AUCI von dem Werteinrichtungs-Mikroprozessor 7 an
den Druckmodul-Mikroprozessor 41 gesendet
wird, dann der Druckmodul-Mikroprozessor 41 vor
dem Vergleichsschritt den gleichen Abbrech- bzw. Abkürzalgorithmus
auf AUC2 anwenden muss.
-
Im
Anschluss an die Authentifizierung durch den Werteinrichtungs-Mikroprozessor 7 erzeugt
der Druckmodul-Mikroprozessor 41 ein
erstes chiffriertes Daten-Zertifikat "CD1",
wobei:
CD1 = ENCRYPT(VD3, SK)
und wobei VD3 ein variables
Datenstück
innerhalb des Zählers 1 darstellt,
wie z. B. Stückzahl
oder Aufgabedatum, wobei diese Daten sowohl dem Werteinrichtungs-Mikroprozessor 7 als
auch dem Druckmodul-Mikroprozessor 41 zur Verfügung gestellt
werden (Schritt S15). Beim Erzeugen von CD1 wird dieses als Ganzes
oder teilweise (wie in Verbindung mit AUC1, AUC2 diskutiert) an
den Werteinrichtungs-Mikroprozessor 7 gesendet (Schritt
S16). Der Werteinrichtungs-Mikroprozessor 7 erzeugt dann
sein eigenes chiffriertes Zertifikat der Daten "CD2" durch
Anwenden des Verschlüsselungs-Algorithmus
auf VD3 und den Sitzungsschlüssel
SK, der von dem Werteinrichtungs-Mikroprozessor
erzeugt wird (Schritt S17). Dann vergleicht der Werteinrichtungs-Mikroprozessor 7 CD1
mit CD2 (Schritt S18) und, falls diese nicht zusammenpassen, initiiert
der Werteinrichtungs-Mikroprozessor 7 eine Löschung der
Porto-Transaktion (Schritt 19).
In dem Fall, dass CD1 und CD2 gleich sind, hat der Werteinrichtungs-Mikroprozessor 7 den Druckmodul-Mikroprozessor 41 authentifiziert,
und die gegenseitige Authentifizierung zwischen dem Werteinrichtungs-Mikroprozessor 7 und
dem Druckmodul-Mikroprozessor 41 wurde abgeschlossen. Anschließend wird
der Werteinrichtungs-Mikroprozessor 7 darauf
vorbereitet, den benötigten
Portobetrag in dem Buchführungsmodul
zu belasten. Bei Abschluss der Belastung wird ein Druckbefehl an
das Druckkopfmodul 5 gesendet, um Drucken des Wertzeichenangabeabbilds
zu initiieren (Schritt S20).
-
Der
obige Prozess stellt eine extrem sichere elektronische Verbindung
zwischen Teilsystemen bereit, weil alle Daten, die zwischen den
Teilsystemen übertragen
werden, für
jede Porto- Transaktion
variiert werden können.
Zwar muss dies nicht notwendigerweise der Fall sein, es schafft
jedoch eine erhöhte Sicherheit
durch Reduzieren der Vorhersagbarkeit der transferierten Daten.
Die Verwendung der variablen Daten (VD1, VD2, VD3) stellt die Einzigartigkeit der
chiffrierten Werte (SK, AUC1, AUC2, CD1, CD2) für jede Porto-Transaktion sicher. Überdies
wird der Sitzungsschlüssel,
der benötigt
wird, um das gesamte gegenseitige Authentifizierungsverfahren zu
initiieren und um AUC1, AUC2, CD1 und CD2 zu erzeugen, nie zwischen
den individuellen Teilsystemen übertragen,
wodurch gewährleistet
ist, dass die Teilsysteme sichere Kenntnis von dem Sitzungsschlüssel haben.
Letztendlich wird, falls ein Abbrech-Algorithmus in Verbindung mit
einem oder allen der erzeugten Zertifikate benutzt wird, die Sicherheit
weiter verbessert, da der Abbrech-Algorithmus bekannt sein muss,
um die Porto-Transaktion abzuschließen.
-
Angesichts
der vorstehenden Beschreibung einer elektronischen Frankiermaschine
mit einer Mehrfachdurchgangs-Druckfähigkeit und einem gegenseitigen
Authentifizierungsverfahren sowie den vorher diskutierten potentiellen
Sicherheitsaspekten, die mit jedem dieser Merkmale in Zusammenhang stehen,
wird klar, dass künftige Änderungen
der Sicherheitsmerkmale der Frankiermaschine nach Platzierung der
Frankiermaschine in ihrem Betriebsumfeld erforderlich sein können. Hinsichtlich
des Mehrfachdurchgangs-Druckmerkmals der Frankiermaschine 1 ist
es möglich,
die Frankiermaschine 1 von Ferne von einem Zwerfachdurchgangs-Druckschema
in ein Einfachdurchgangs-Druckschema
zu ändern.
Das heißt,
die Frankiermaschine 1 weist innerhalb ihrer kodierten
Software in dem Basis-Mikroprozessor 41 ein
Zeitlimit-Merkmal auf, das die Frankiermaschine 1 am Betrieb
hindert, falls sie nicht innerhalb einer festgelegten Zeitperiode,
wie z. B. einer Viermonats-Periode, mit dem Daten-Center 8 kommuniziert.
Daher kann von dieser erzwungenen Kommunikation mit dem Daten-Center 8 Gebrauch
gemacht werden, um den Druckbetrieb des Druckkopfes 33 zu ändern. Das
heißt,
wenn der Zentralcomputer 6 des Daten-Centers 8 mit
der Frankiermaschine kommuniziert, kann er zum Beispiel eine sichere Ein-Byte-
oder Vielfach-Byte-Druckänderungsnachricht über das
Modem 10 an den Basis-Mikroprozessor 9 senden,
welche verlangt, dass die Frankiermaschine 1 von einem
Zweifachdurchgangs-System zu einem Einfachdurchgangs-System wechselt.
Der Basis-Mikroprozessor 9 wiederum würde diese Druckänderungsnachricht
zu dem Druckkopf-Mikroprozessor 41 transferieren. Der Mikroprozessor 41 empfängt die
Druckänderungsnachricht
und interpretiert sie über
ein Software-Programm, das in seinem ROM 80 gespeichert
ist. Der Mikroprozessor 41 setzt dann eine Flag, die in
seinem nichtflüchtigen
Speicher 81 gespeichert ist, wobei die Flag identifiziert,
ob ein Zweifachdurchgangs- oder ein Einfachdurchgangs-Druckprozess
verwendet wird. Bei Identifizierung der Einfachdurchgangs-Druckanforderung
stellt der Mikroprozessor 41 diese Information dem ASIC 39 zur
Verfügung,
welcher dann nur den Druckkopf 33 durch seinen Treiber 37 antreibt,
um den ersten Durchgang des Druckkopfes 33 auszuführen, zum Erzeugen
eines einzelnes Wertzeichenangabeabbilds, und nicht das Merkmal
ausführt,
welches ein zweiter Durchgang des Druckkopfes 33 zum Produzieren
entweder einer zweiten vollständigen
Wertzeichenangabe oder eines Teils davon benötigt, wobei jeder von diesen
mit dem während
einer Zweifachdurchgangs-Drucktechnik
zuerst erzeugten Wertzeichenangabe verschränkt würde.
-
Es
ist wichtig zu erwähnen,
dass die Frankiermaschine 1 zwar so eingestellt werden
könnte, dass
die von dem Mikroprozessor 41 von dem Daten-Center 8 empfangene
Druckänderungsnachricht es
der Frankiermaschine erlauben würde,
wiederholt von Ferne zwischen einem Einfachdurchgangs-Drucksystem
und einem Zweifachdurchgangs-Drucksystem umgeschaltet zu werden,
es wird jedoch oft wünschenswert
sein, sicherzustellen, dass die Änderung
von einem Zweifachdurchgangs-Drucksystem zu einem Einfachdurchgangs-Drucksystem
nicht rückgängig gemacht
werden kann. Dies wird in dem beschriebenen System über das
in dem ROM 80 gespeicherte Software-Programm erreicht.
Das heißt,
das in dem ROM 80 gespeicherte Software-Programm ist nur
dazu in der Lage, eine Druckänderungsnachricht
zu empfangen und zu interpretieren, die eine Änderung von einem Zweifachdurchgangs-System
zu einem Einfachdurchgangs-System erfordert. In dem Fall, dass eine Nachricht
von dem Mikroprozessor 41 empfangen wird, die eine Änderung
von einem Einfachdurchgangs- zu einem Zweifachdurchgangs-System
fordert, kann diese Nachricht nicht durch den Mikroprozessor 41 verarbeitet
werden. Daher kann der Prozess zum Ändern des Druckbetriebs des
Druckkopfs 33 von Ferne durchgeführt werden, um sicherzustellen,
dass die Änderung
nicht rückgängig zu
machen ist.
-
Während ein Ändern von
einem Zweifachdurchgangs-System zu einem Einfachdurchgangs-System
im Kontext der bevorzugten Ausführungsform
diskutiert wurde, ist ohne weiteres ersichtlich, dass das System
angeordnet werden kann, um den Betrieb des Druckkopfes 33 so
zu ändern,
dass er eine Wertzeichenangabe in einer beliebigen Anzahl von Druckdurchgängen drucken
kann. Daher ist absehbar, dass diese Technik zum Ändern des Druckbetriebs
des Druckkopfes 33 von Ferne auch dazu verwendet werden
könnte,
die Anzahl von Durchgängen
des Druckkopfes 33 zu erhöhen, um ein Wertzeichenangabeabbild
mit einer höheren Dichte
und besseren Qualität
zu produzieren, falls ein Postamt in Zukunft solch eine Änderung
verlangen sollte.
-
Der
Daten-Center 8 kann zum Beispiel auch dazu verwendet werden,
effektiv die Authentifizierungsschlüssel (AK) zu ändern, die
in dem vorher beschriebenen gegenseitigen Authentifizierungsverfahren
benutzt werden, für
den Fall, dass die Sicherheit irgendeines der ursprünglichen
Authentifizierungsschlüssel
(AK) gefährdet
wird. Dies würde
durch den zentralen Computer 6 des Daten-Centers 8 erreicht werden,
der einen sicherer Zähler-Modifizierungscode
sowohl an den Druckkopf-Mikroprozessor 41 als auch an den
Werteinrichtungs-Mikroprozessor 7 über den Basis-Mikroprozessor 9 sendet. 4 identifiziert
einen repräsentativen
sicheren Zählermodifizierungs-Code 83,
der verwendet werden könnte. Wie
erwähnt,
besteht der sichere Zählermodifizierungs-Code 83 aus
einem einzelnen Informations-Byte. Die ersten drei Bits (b0, b1,
b2) werden von dem Zentralcomputer 6 zufällig erzeugt.
Die zweiten drei Bits (b3, b4, b5) werden verwendet, um zu bestimmen,
welcher der Authentifizierungs-Schlüssel (AK) zu verändern ist.
Die letzten zwei Bits (b6, b7) werden als die vorher diskutierte
Druckänderungsnachricht
verwendet, zum Ändern
der Anzahl von Durchgängen
(oder anderen Eigenschaften) des Druckkopfes 33, so dass
die Diversifizierung (Änderung)
der Authentifizierungs-Schlüssel
(AK) und ein Ändern
des Betriebs des Druckkopfes 33 über das Senden der einzelnen
Zählermodifizierungs-Codenachricht
erreicht werden kann. Um ein Ändern
der Authentifizierungsschlüssel
(AK) abzuschließen, würden sowohl
der Mikroprozessor 41 als auch der Werteinrichtungs-Mikroprozessor 7 mindestens
einen darin gespeicherten Algorithmus aufweisen, der die Daten-Bits
b0, b1 und b2 verwenden würde,
um neue Authentifizierungs-Schlüssel (AK)
zu erzeugen. Die Verwendung bekannter Algorithmen zur Erzeugen von
Schlüsseln
ist in der Technik gut bekannt, und Details hierzu werden hier nicht
beschrieben, da sie nicht als wesentlich für das Verständnis der beanspruchten Erfindung
betrachtet werden.
-
In
einem alternativen, veranschaulichenden Beispiel sind eine Vielzahl
von gemeinsamen Algorithmen sowohl in dem Werteinrichtungs-Mikroprozessor 7 als
auch in dem Mikroprozessor 41 gespeichert, und ein aus
diesen Algorithmen zufällig
ausgewählter
Algorithmus wird dazu verwendet, die Authentifizierungs-Schlüssel (AK)
zu ändern.
In diesem Beispiel wird das erste Bit, b0, des Zähler-Identifizierungscodes 83 dazu
bestimmt, zu identifizieren, welcher der gespeicherten gemeinsamen
Algorithmen zu benutzen ist, um neue Authentifizierungsschlüssel (AK)
zu erzeugen. Daher wählt
der Zentralcomputer 6 zufällig aus, welche der gemeinsamen
Algorithmen verwendet werden. Bei der Identifizierung des Algorithmus
würden
dann der Werteinrichtungs-Mikroprozessor 7 und der Druckmodul-Mikroprozessor 41 die Daten
der Bits b3, b4 und b5 verwenden, um einige oder alle der zu verändernden
Authentifizierungs-Schlüssel zu
identifizieren. Die Information in Bit b1 und b2 wird dann auf eine
bekannte Art und Weise mit dem ausgewählten Algorithmus benutzt, um
die neuen Authentifizierungs-Schlüssel (AK) zu erzeugen.
-
Es
ist wichtig zu erwähnen,
dass die Diversifizierung der Authentifizierungs-Schlüssel (AK)
in der Frankiermaschine 1 zwar als ein repräsentatives
Beispiel für
die Art von geheimen Schlüssel
benutzt wurde, die von Ferne geändert
werden können,
die Erfindung jedoch nicht auf solche Schlüssel beschränkt ist. Das heißt, jeder
Schlüssel,
der in der Frankiermaschine 1 von irgendeiner Art einer
Sicherheitsanwendung benutzt wird, kann durch Verwendung des hier dargelegten
erfinderischen Verfahrens und Vorrichtung diversifiziert werden.
Ferner kann der Werteinrichtungs-Mikroprozessor 7 entweder
ein innerhalb der Frankiermaschine 1 enthaltener Mikroprozessor sein,
oder er könnte
eine externe Smart-Karte sein, die auf eine bekannte Art und Weise
in die Frankiermaschine 1 eingeführt wird. Während die Erfindung in Verbindung
mit einer Frankiermaschine beschrieben wurde, ist sie zusätzlich ebenfalls
anwendbar auf jeden Gerätetyp,
der Werte ausgibt und Sicherheit benötigt. Solche zusätzlichen
Geräte
könnten
zum Beispiel Steuerstempelmaschinen sein, sowie Ticket-Verkaufsmaschinen
und Lotteriemaschinen.
-
In
den oben beschriebenen Systemen und Verfahren wurden die von dem
Daten-Center 8 an die Frankiermaschine 1 gesendete
Druckänderungsnachricht
und der Zählermodifizierungs-Code 83 jeweils
als "sicher" identifiziert; das
heißt,
um irgendeine unauthorisierte Abänderung
entweder der Druckänderungsnachricht
oder des Zählermodifizierungs-Codes 83 zu
verhindern, würden
diese beide an dem Daten-Center verschlüsselt werden. Die Verschlüsselung
könnte
zum Beispiel eine bekannte Technik sein, die einen Satz von Master-Schlüsseln und
einen bekannten Verschlüsselungs-Algorithmus verwendet,
wobei diese Technik auf die Nachricht an dem Daten-Center angewendet
wird. Die Frankiermaschine würde
auch den gleichen Satz von Master-Schlüsseln und den Algorithmus aufweisen,
so dass sie die Nachricht entschlüsseln kann. Jedoch würde, falls
die Nachricht oder der Code abgefangen wurde, das Verschlüsselungsschema
unterbrochen werden müssen,
bevor irgendeine Abänderung
der Nachricht stattfinden könnte.
-
Zusätzlich und
um sicherzustellen, dass die Druckänderungsnachricht und der Zählermodifizierungs-Code 83 empfangen
und von der Frankiermaschine 1 ordnungsgemäß ausgeführt wurden,
muss eine von der Frankiermaschine 1 gesendete, kodierte Verifizierungs-Nachricht
von dem Daten-Center 8 empfangen
werden. Die Verifizierungs-Nachricht würde die im Ansprechen auf die
empfangene Druckänderungsnachricht
oder den Zählermodifizierungs-Code 83 unternommene
Aktion identifizieren. Falls die Identifizierungs-Nachricht nicht
konsistent mit der Nachricht oder dem Code ist, die von dem Daten-Center
gesendet wird, oder nicht von dem Daten-Center 8 empfangen
wird, wird der Daten-Center 8 nicht länger mit der Frankiermaschine
kommunizieren, und die Frankiermaschine 1 wird sich automatisch
selbst deaktivieren nach der festgelegten Zeitperiode des vorher
genannten Zeitbegrenzungs-Merkmals.
-
In
Verbindung mit der Druckänderungsnachricht
empfängt
der Druckkopf-Mikroprozessor 41 die Nachricht und weist
die Master-Schlüssel
und den Algorithmus auf, um die Nachricht zu entschlüsseln. Der
Druckkopf-Mikroprozessor 41 sendet auch die Verifizierungs-Nachricht
zurück
an den Daten-Center 8. Andererseits empfangen, wenn ein
Zählermodifizierungs-Code 83 von
dem Daten-Center 8 gesendet wird, um die Authentifizierungs-Schlüssel (AK)
zu diversifizieren, sowohl der Werteinrichtungs-Mikroprozessor 7 als
auch der Druckkopf-Mikroprozessor 41 den
Code auf und weisen jeweils die Master-Schlüssel
und den Algorithmus auf, um den Code zu entschlüsseln. Ferner muss der Daten-Center
in dieser Situation einen richtigen Verifizierungs-Code sowohl von
dem Werteinrichtungs-Prozessor 41 als auch von dem Druckkopf-Mikroprozessor 41 innerhalb
der festgelegten Zeitperiode empfangen, andernfalls wird der Zähler deaktiviert.