DE69729915T2 - Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine - Google Patents

Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine Download PDF

Info

Publication number
DE69729915T2
DE69729915T2 DE69729915T DE69729915T DE69729915T2 DE 69729915 T2 DE69729915 T2 DE 69729915T2 DE 69729915 T DE69729915 T DE 69729915T DE 69729915 T DE69729915 T DE 69729915T DE 69729915 T2 DE69729915 T2 DE 69729915T2
Authority
DE
Germany
Prior art keywords
microprocessor
printhead
postage
printing mechanism
printing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69729915T
Other languages
English (en)
Other versions
DE69729915D1 (de
Inventor
Joseph L. Trumbull Gargiulo
III Charles F. Milford Murphy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of DE69729915D1 publication Critical patent/DE69729915D1/de
Application granted granted Critical
Publication of DE69729915T2 publication Critical patent/DE69729915T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00508Printing or attaching on mailpieces
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00322Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00508Printing or attaching on mailpieces
    • G07B2017/00637Special printing techniques, e.g. interlacing

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Description

  • Diese Erfindung bezieht sich auf Wert-Drucksysteme und ist anwendbar auf eine Vorrichtung zum Ändern von Sicherheitsmerkmalen einer Frankiermaschine bzw. eines Portozählers aus der Ferne.
  • EP-A-0 526 205 offenbart einen Tintenstrahldrucker mit einem Mechanismus zum Umschalten zwischen einem Mehrfachpassier- bzw. Mehrfachdurchgangs-Druckmodus zum sequentiellen Drucken von aufgeteilten Druckdaten in eine Vielzahl von Betrieben/Operationen des Druckkopfes und eines Einfachdurchgangs-Druckmodus zum Drucken aller Druckdaten in einem einzelnen Betrieb des Druckkopfes. Der Umschaltbetrieb von einem Druckmodus zu dem anderen kann entweder automatisch oder manuell durch einen Benutzer ausgeführt werden, durch Auswählen eines Druckmodus auf dem Betriebsfeld des Druckers.
  • Elektronische Frankiermaschinen werden momentan auf der ganzen Welt benutzt. Diese elektronischen Frankiermaschinen benutzen oft eine digitale Drucktechnologie, wie z. B. Tintenstrahldrucken, um eine Wertzeichenangabe auf ein Poststück zu drucken. Die Wertzeichenangabe dient als Beweis, dass Porto gezahlt wurde. Um die Kosten solcher elektronischen Frankiermaschinen zu reduzieren, können billige digitale Druckköpfe benutzt werden. Solche billigen digitalen Druckköpfe weisen typischerweise eine geringe Düsendichte auf. Falls diese billigen digitalen Druckköpfe jedoch benutzt werden, kann von dem Druckkopf verlangt werden, dass er mehrere Durchläufe bzw. Durchgänge über das Poststück in dem Bereich durchführt, wo die Wertzeichenangabe aufzudrucken ist, um eine Wertzeichenangabe mit einer Druckqualität zu produzieren, die für das Postamt akzeptabel ist. Zum Beispiel würde in einem Zweifachdurchgangs- Drucksystem der Druckkopf ein Wertzeichenangabeabbild während eines ersten Durchgangs produzieren. Dann kann, während eines nachfolgenden Durchgangs des Druckkopfes über den gleichen Bereich, in welchem die Wertzeichenangabe vorher aufgedruckt wurde, ein komplettes zweites Wertzeichenangabeabbild geformt werden, das verschachtelt bzw. verschränkt (wie z. B. versetzt um ein Pixel von der ersten Wertzeichenangabe) mit dem ersten gedruckten Wertzeichenangabenabbild ist, so dass die Kombination von den zwei Wertzeichenangabenabbildern ein Wertzeichenangabeabbild mit hoher Dichte produziert, im Vergleich zu beiden der individuellen Wertzeichenangabeabbildern, die während des ersten und zweiten Druckkopfdurchgangs produziert werden. Daher wird das resultierende Wertzeichenangabeabbild deutlich definierter. Jedoch stellt das individuelle Drucken von zwei vollständigen Wertzeichenangaben, die versetzt und miteinander verschränkt sind, um ein endgültiges Wertzeichenangabeabbild zu produzieren, insofern ein potentielles Sicherheitsproblem dar, als das Aufeinanderstapeln zweier Poststücke in der Frankiermaschine und das Entfernen eines Poststücks nach dem ersten Durchlauf von dem Druckkopf dazu führen würde, dass zwei Poststücke produziert werden, wobei jedes Poststück ein darauf aufgedrucktes Wertzeichenangabeabbild aufweist. Die Frankiermaschine hätte jedoch nur eine gedruckte Wertzeichenangabe berechnet bzw. darüber Buch führt. Während die auf jedem Poststück gedruckte Wertzeichenangabe von bedeutend geringerer Qualität als das erwünschte kombinierte Wertzeichenangabeabbild wäre, ist es möglich, dass jedes dieser Abbilder durch den Postverarbeitungsstrom durchgehen könnte, ohne als eine ungültige Wertzeichenangabe detektiert zu werden. Demgemäß würde der Postdienst Umsatz verlieren.
  • Um dieses Problem zu überwinden, wurde vorgeschlagen, nur einen Anteil des Postwertzeichenangabeabbilds während des zweiten Durchgangs des Druckkopfes zu drucken. Der gedruckte Anteil würde mit dem während des ersten Druckkopfdurchgangs produzierten Wertzeichenangabeabbild verschränkt werden und würde ausgewählten Anteilen des Wertzeichenangabeabbilds eine erhöhte Dichte verleihen. Der gedruckte Anteil des zweiten Durchgangs würde nicht notwendigerweise eine erkennbare Wertzeichenangabe in und von sich selbst sein. Jedoch besteht immer noch die Möglichkeit, abhängig von der Anzahl von Angaben, die während des zweiten Durchgangs gedruckt werden, dass ein Poststück mit nur einem Anteil des Wertzeichenangabeabbilds durch den Poststrom passieren könnte, ohne als eine ungültige Wertzeichenangabe detektiert zu werden. Daher ist es wichtig, egal ob dieses potenzielle Problem in der Praxis auftreten wird oder nicht, in der Lage zu sein, den Druckbetrieb des Frankiermaschinen-Druckkopfes zu ändern, nachdem diese Zähler bei dem Kunden aufgestellt wurden, falls die Situation gebietet, dass solch eine Veränderung gerechtfertigt ist. Das heißt, falls ein bestimmtes Postamt entscheidet, nachdem es Nutzern Frankiermaschinen zur Verfügung gestellt hat, dass eines der obigen Probleme aufgetreten ist, müssen alle benutzten Zähler modifiziert werden, um eine sicherere Druckumgebung bereitzustellen. Es ist erwünscht, dass solch eine Änderung an dem Druckkopfdruckbetrieb geschaffen wird, ohne dass dabei der Druckkopf und/oder die Frankiermaschine körperlich bzw. physisch zu dem Zählerhersteller oder dem Postdienst zurückgebracht werden muss.
  • Ein zusätzlicher potentieller Sicherheitspunkt ist auch in elektronischen Frankiermaschinen gegeben, weil bei vielen dieser Zähler die Funktionalität der Frankiermaschinen-Werteinrichtung und die digitale Druckkopfsteuerung in separaten Modulen untergebracht wurden. Diese Modularisierung erlaubt der Werteinrichtung und den Druckkopfmodulen unabhängig voneinander in irgendeinem bestimmten Zähler geändert zu werden und erlaubt die Verwendung von mehreren abnehmbaren externen Werteinrichtungen (wie z. B. Smart-Cards), die mit einer einzelnen Zählerbasis mit dem Druckkopfmodul darin zu verwenden sind. Es ist jedoch möglich, da die Werteinrichtung und der Zähler nicht länger wie in alten Zählern physisch aneinander befestigt sind und sie während jeder Portotransaktion über eine unsichere Kommunikationsverbindung miteinander kommunizieren, dass durch einen Angriff auf die unsichere Kommunikationsverbindung unbefugt eingegriffen wird. Es wurde deshalb vorgeschlagen, dass ein gegenseitiges Authentifizierungsverfahren zwischen dem Druckkopfmodul und der Druckkopfwerteinrichtung stattfindet, bevor die Portotransaktion autorisiert wird. Ein repräsentatives Beispiel eines gegenseitigen Authentifizierungsverfahrens ist in dem US-Patent Nr. 4 802 218 dargelegt. Die meisten der bekannten gegenseitigen Authentifizierungsverfahren führen eine Art verschlüsselte Kommunikation zwischen der Werteinrichtung und den Druckkopfmodulen aus, wobei die Kommunikation auf der Benutzung eines intern gespeicherten geheimen Schlüssels in Verbindung mit einem Algorithmus basiert. Jedoch wäre es jemandem möglich, falls die Sicherheit des gespeicherten geheimen Schlüssels gefährdet wird, Postwertzeichenangaben ohne Stattfinden der richtigen Buchführung zu drucken, obwohl Details zu dem Algorithmus noch erhalten werden müssten, um dies zu ermöglichen. Demgemäß ist es wünschenswert, über die Fähigkeit zu verfügen, den geheimen Schlüssel oder die geheimen Schlüssel, die von der Frankiermaschine während ihres Authenthifizierungsverfahrens benutzt werden, zu diversifizieren (ändern), in dem Fall, dass die ursprünglich gespeicherten geheimen Schlüssel preisgegeben wurden. Überdies wird die Fähigkeit, die Schlüssel aus der Ferne zu diversifizieren, auch benötigt, um zu vermeiden, dass der Benutzer den Zähler entweder zu dem Zählerhersteller oder dem zuständigen Postamt bringen muss.
  • Es ist eine Aufgabe der Erfindung, ein System zum Drucken von Werten bereitzustellen, das aus der Ferne modifiziert werden kann, um seinen Druckbetrieb für Sicherheitszwecke zu ändern.
  • Gemäß der Erfindung wird ein Wert-Drucksystem bereitgestellt, das einen Druckmechanismus umfasst; sowie eine Einrichtung zum Bewegen des Druckmechanismus in einer ersten festgelegten Art und Weise während des Druckens mit dem Druckmechanismus, um ein Wertkennzeichen auf ein Aufzeichnungsmedium aufzuzeichnen; eine mit einem in einer ROM gespeicherten Software-Programm ansteuerbare Einrichtung, welche auf eine Nachricht anspricht, um die Bewegungseinrichtung zu veranlassen, die Bewegung des Druckmechanismus von der ersten festgelegten Art und Weise zu einer von der ersten festgelegten Art und Weise verschiedenen zweiten festgelegten Art und Weise zu ändern, welche aber nicht zum Ändern der Bewegung des Druckmechanismus zurück zu der ersten festgelegten Art und Weise ansprechbar ist; und eine von dem Druckmechanismus und der Bewegungseinrichtung abgesetzte bzw. entfernte Einrichtung, um die Nachricht zu erzeugen und um die Bewegungsrichtung zu veranlassen, die Bewegung des Druckmechanismus von der ersten festgelegten Art und Weise zu der zweiten festgelegten Art und Weise zu verändern zur Verwendung während des Druckens durch den Druckmechanismus, um das Wertkennzeichen auf das Aufzeichnungsmedium aufzuzeichnen.
  • Die begleitenden Zeichnungen, die hier enthalten sind und einen Teil der Beschreibung darstellen, stellen eine momentan bevorzugte Ausführungsform der Erfindung dar und dienen zusammen mit der oben gegebenen allgemeinen Beschreibung und der unten angegebenen bevorzugten Ausführungsform dazu, die Grundlagen der Erfindung zu erklären.
  • In der Zeichnung zeigt:
  • 1 ein schematisches elektrisches Blockdiagramm der elektrischen Frankiermaschine gemäß einer Ausführungsform der beanspruchten Erfindung;
  • 2 eine Portowertzeichenangabe, die durch die Frankiermaschine produziert wird;
  • 3 ein Flussdiagramm eines Authentifizierungsverfahrens, das in der Frankiermaschine enthalten ist; und
  • 4 einen Zählermodifizierungscode.
  • 1 zeigt eine schematische Darstellung einer Frankiermaschine 1, die eine Ausführungsform der Erfindung implementiert. Die Frankiermaschine 1 enthält eine Basis 3 und ein Druckkopfmodul 5. Die Basis 3 enthält ein erstes funktionales Teilsystem, das als ein Werteinrichtungs-Mikroprozessor 7 bezeichnet wird, und ein zweites funktionales Teilsystem, das als ein Basis-Mikroprozessor 9 bezeichnet wird. Der Werteinrichtungs-Mikroprozessor 7 weist Software und einen damit in Zusammenhang stehenden Speicher auf, um die Buchführungsfunktionen der Frankiermaschine 1 auszuführen. Das heißt, der Werteinrichtungs-Mikroprozessor 7 weist die Fähigkeit auf, eine vorbestimmte Menge an Porto-Fonds bzw. -Beträgen von einem Zentralcomputer 6 eines entfernten Datencenters 8 über ein Telefonmodem 10 herunterladen zu lassen. Solch ein entferntes bzw. abgesetztes Frankiermaschinen-Gebührenberechnungssystem wird in dem US-Patent Nr. 4 097 923 beschrieben. Während jeder Portotransaktion prüft der Werteinrichtungs-Mikroprozessor 7 nach, ob ausreichende Fonds verfügbar bzw. erhältlich sind. Falls ausreichende Fonds erhältlich sind, belastet bzw. zieht der Werteinrichtungs-Mikroprozessor 7 den Betrag von einem abnehmenden Register ab, fügt den Betrag zu einem ansteigenden Register hinzu und sendet den Portobetrag an das Druckkopfmodul 5 über den Basis-Mikroprozessor 9. Der Basis-Mikroprozessor 9 sendet auch das Datum der Datenaufgabe an das Druckkopfmodul 5 über eine Leitung 14, so dass ein vollständiges Wertzeichenangabeabbild gedruckt werden kann.
  • Der Werteinrichtungs-Mikroprozessor (Englisch: vault microprocessor) 7 verwaltet daher die Portofonds, wobei das ansteigende Register den im Laufe der Nutzungszeit ausgegebenen Betrag des Portofonds darstellt, das abnehmende Register den Betrag von momentan verfügbaren Fonds darstellt und ein Kontrollsummenregister, das den laufenden Gesamtbetrag von Fonds zeigt, welche dem Werteinrichtungs-Mikroprozessor 7 gutgeschrieben wurden. Zusätzliche Merkmale des Werteinrichtungs-Mikroprozessors 7, die enthalten sein können, sind ein Stückzählerregister, ein Verschüsselungsalgorithmus zum Erzeugen von Verkäufer- und Postzeichen und Software zum Auffordern eines Nutzers, eine persönliche Identifizierungsnummer einzugeben, die durch den Werteinrichtungs-Mikroprozessor 7 verifiziert werden muss, bevor irgendeine Werteinrichtungs-Transaktion autorisiert wird. Alternativ könnte die Verifizierung der persönlichen Identifizierungsnummer entweder durch den Basis-Mikroprozessor 9 oder den Druckmodul-Mikroprozessor 41 (unten diskutiert) geschaffen werden. Zusätzlich, und wie vorher diskutiert, kann die Frankiermaschinen-Werteinrichtung mit zusätzlichen Fonds von dem Datencenter belastet werden.
  • Der Basis-Mikroprozessor 9 agiert als ein Nachrichtenkoordinator, indem er beim Transfer von Informationen entlang einer Datenleitung 12 zwischen dem Werteinrichtungs-Mikroprozessor 7 und dem Druckkopf-Modul 5 koordiniert und assistiert sowie verschiedene Unterstützungsfunktionen koordiniert, die notwendig sind, um die Zählfunktion zu vervollständigen. Der Basis-Mikroprozessor 9 interagiert mit der Tastatur 11, um eine Benutzerinformations-Eingabe durch Tastaturtasten 11a (wie z. B. Portobetrag, Aufgabedatum) an den Werteinrichtungs-Mikroprozessor 7 zu transferieren. Zusätzlich sendet der Basis-Mikroprozessor 9 Daten an eine Flüssigkristallanzeige 13 über einen Treiber/Controller 15 zum Zweck des Anzeigens von Benutzereingaben oder um den Benutzer zu veranlassen, zusätzliche Eingaben zu tätigen. Überdies stellt der Basis- Mikroprozessor 9 dem Werteinrichtungs-Mikroprozessor 7 über entsprechende Leitungen 17, 19 Leistung bzw. Strom und ein Rückstellsignal bereit. Eine Uhr 20 versorgt den Basis-Mikroprozessor 9 mit Datums- und Zeitinformationen. Alternativ kann die Uhr 20 entfallen, und die Uhrfunktion kann durch den Basis-Mikroprozessor 9 erfüllt werden. Der Basis-Mikroprozessor 9 stellt dem Werteinrichtungs-Mikroprozessor 7 mit ein Taktsignal bereit.
  • Die Frankiermaschine 1 enthält auch ein konventionelles Stromversorgungsgerät 21, das grobe Wechselspannungen von einem an einer Wand angebrachten Transformator 23 konditioniert, um die erforderlichen regulierten und unregulierten Gleichspannungen für die Frankiermaschine 1 bereitzustellen. Spannungen werden über die Leitungen 25, 27 und 29 an einen Druckkopf-Motor 31, einen Druckkopf 33 und alle Logikschaltkreise ausgegeben. Ein Motor 31 wird verwendet, um die Bewegung des Druckkopfes 33 relativ zu dem Poststück zu steuern, auf welchem ein Wertzeichenangabeabbild zu drucken ist. Der Basis-Mikroprozessor 9 steuert die Versorgung des Motors 31 mit Strom bzw. Leistung, um das ordnungsgemäße Starten und Stoppen der Bewegung des Druckkopfs 33 sicherzustellen, nachdem der Werteinrichtungs-Mikroprozessor 7 eine Porto-Transaktion autorisiert.
  • Die Basis 3 enthält auch einen Bewegungskodierer 35, der die Bewegung des Druckkopfmotors 31 erfasst, so dass die exakte Position des Druckkopfs 33 entlang einer ersten Bewegungsrichtung bestimmt werden kann. Signale von dem Bewegungskodierer 35 werden an das Druckkopf-Modul 5 gesendet, um die Energiezufuhr an individuelle Druckkopf-Elemente 33a im Druckkopf 33 mit der Positionierung des Druckkopfes 33 zu koordinieren. Alternativ kann der Bewegungskodierer 35 entfallen, und die an einen Schrittmotor 31 angelegten Pulse können gezählt werden, um den Ort des Druckkopfes 33 zu bestimmen und die Energiezufuhr an die Druckkopf-Elemente 33a zu koordinieren. Zusätzlich wird ein zweiter Motor 32 bereitgestellt, der verwendet wird, um den Druckkopf 33 in eine Richtung senkrecht zu der ersten Bewegungsrichtung des Druckkopfs relativ zu der Position des Druckkopfes 33 in der ersten Bewegungsrichtung zu bewegen.
  • Das Druckkopf-Modul 5 enthält einen Druckkopf 33, einen Druckkopf-Treiber 37, eine Zeichenmaschine 39 (die einen Mikroprozessor oder eine anwendungsspezifische integrierte Schaltung (ASIC) sein kann), einen Mikroprozessor 41 und einen nichtflüchtigen Speicher (NVM) 43. Im NVM 43 sind Wertzeichenangabeabbild-Daten gespeichert, die auf ein Poststück gedruckt werden können. Der Mikroprozessor 41 empfängt einen Druckbefehl, den Portobetrag und Aufgabedatum über den Basis-Mikroprozessor 9. Der Portobetrag und das Aufgabedatum werden von dem Mikroprozessor 41 an die Zeichenmaschine 39 gesendet, die dann auf den nichtflüchtigen Speicher 43 zugreift, um die verlangten Wertzeichenangabeabbild-Daten von diesem zu erhalten, die in Registern 44 bis 44n gespeichert sind. Das gespeicherte Abbild wird dann Spalte für Spalte durch die Zeichenmaschine 39 auf den Druckkopf-Treiber 37 über Spalten-Puffer bzw. -Zwischenspeicher 45, 47 heruntergeladen, um den individuellen Druckkopf-Elementen 33a Energie zuzuführen, um das Wertzeichenangabeabbild auf das Poststück zu drucken. Die individuelle spaltenweise Erzeugung des Wertzeichenangabeabbilds wird mit der Bewegung des Druckkopfes 33 synchronisiert, bis die gesamte Wertzeichenangabe hergestellt worden ist. Spezifische Details der Erzeugung des Wertzeichenangabeabbilds werden in US-Patent Nr. 5 651 103 dargelegt.
  • 2 zeigt ein vergrößertes, repräsentatives Beispiel einer typischen Portowertzeichenangabe, die von der Frankiermaschine 1 zur Benutzung in den Vereinigten Staaten gedruckt werden kann. Die Portowertzeichenangabe 51 enthält ein graphisches Abbild 53 mit den 3 Sternen in der oberen linken Ecke, die Worte "UNITED STATES POSTAGE" und das Adler- Abbild; eine Wertzeichenangaben-Identifizierungsnummer 55; ein Aufgabedatum 57; die Ursprungspostleitzahl 59; die Worte "mailed from zip code" 61, was aus Gründen der Einfachheit nur mit den Worten "SPECIMEN SPECIMEN" gezeigt wird; ferner den Portobetrag 63; eine Stückzahl 65; eine Zahlenüberprüfungsnummer 67; eine Verkäufer-ID-Nummer 69; ein Verkäuferzeichen 71; ein Postzeichen 73; und eine Mehrfachdurchgangs-Überprüfungs-Stelle bzw. -Zeichen 75. Während die meisten der Teile des Wertzeichenangabeabbildes 51 selbsterklärend sind, bedürfen einige wenige einer kurzen Erläuterung. Die Verkäufer-ID-Nummer identifiziert den Hersteller des Zählers, und das Verkäuferzeichen und die Postzeichennummern sind verschlüsselte Nummern, die von dem Hersteller bzw. dem Postamt benutzt werden können, um zu verifizieren, ob eine gültige Wertzeichenangabe produziert wurde. Wie vorher diskutiert, wird die Postwertzeichenangabe 51 während zweier individueller Durchgänge des Druckkopfes 33 entlang einer vorbestimmten Länge der ersten Bewegungsrichtung produziert. Das heißt, während eines ersten Durchgangs des Druckkopfes 33 in der "X"-Richtung wird ein vollständiges Wertzeichenangabeabbild gedruckt. Dann aktiviert der Basis-Mikrocontroller 9 den Motor 31, um den Druckkopf 31 in der "Y"-Richtung zu verschieben. Sobald die Verschiebung erfolgt ist, wird der Motor 36 von der Stromquelle getrennt, und während eines zweiten Durchgangs des Druckkopfes 33 in der "X"-Richtung wird entweder eine zweite Wertzeichenangabe gedruckt oder es werden Teile der Wertzeichenangabe gedruckt. Das während des zweiten Durchgangs gedruckte Abbild ist mit dem ersten Wertzeichenangabeabbild verschränkt, was zu einem kombinierten Wertzeichenangabeabbild mit erhöhter Dichte im Vergleich zu jedem der individuellen Abbilder führt. Details einer spezifischen Implementierung des Zweifachdurchgangs-Druckssystems werden in der Europäischen Patentanmeldung Nr. 0 782 096 diskutiert.
  • Die Wertzeichenangabe der 2 ist einfach ein repräsentatives Beispiel, und die darin enthaltene Information variiert von Land zu Land. Im Kontext dieser Anmeldung werden die Begriffe Wertzeichenangabe und Wertzeichenangabeabbild benutzt, um jegliche spezifische Anforderungen eines jeden Landes zu umfassen.
  • Ein Vorteil des oben beschriebenen verteilten Frankiermaschinensystems ist, dass weniger teure Mikroprozessoren aufgrund der unterteilten Funktionalität verwendet werden können, was zu einer kostengünstigeren Frankiermaschine führt. Darüber hinaus erlaubt die Modularität des Systems eine einfache Auswechslung der Werteinrichtung und der Druckmodule in dem Fall eines Ausfalls eines dieser Module. Jedoch resultiert, wie vorher diskutiert, die Verwendung eines verteilten digitalen Systems, in dem Daten über physikalische, unsichere Datenleitungen (z. B. Datenleitungen 12, 14) transferiert werden, in einem System, das anfällig für ein Abfangen und Reproduzieren seiner Daten ist. Wenn ein solches Abfangen und Reproduzieren vorgenommen wird, besteht die Möglichkeit, dass das Druckmodul 5 gesteuert werden könnte, ein Wertzeichenangabeabbild zu drucken, ohne dass die notwendige Abrechnung stattfindet.
  • Um dieses oben diskutierte Sicherheitsproblem zu überwinden, wird eine sichere elektronische Verbindung zwischen dem Werteinrichtungs-Mikroprozessor 7 und dem Druckmodul-Mikroprozessor 41 bereitgestellt. Die sichere elektronische Verbindung wird durch einen Verschlüsselungsprozess bewerkstelligt, der eine gegenseitige Authentifizierung zwischen dem Druckkopf-Modul 5 und dem Werteinrichtungs-Mikroprozessor 7 bereitstellt, bevor das Drucken des Wertzeichenangabeabbildes, das Belasten des Portos und das Aktualisieren bestimmter Werteinrichtungsdaten, wie z. B. PIN-Ort und Kontonummern, autorisiert wird. Der Verschlüsselungsprozess verringert signifikant die Wahrscheinlichkeit des Abfangens und der Reproduktion von Daten. Überdies agiert der Basis-Mikroprozessor 9 als ein nichtsicherer Kommunikationskanal zwischen dem Werteinrichtungs-Mikroprozessor 7 und dem Druckmodul-Mikroprozessor 41. Jedoch kann die oben diskutierte und detaillierter nachstehend beschriebene Verbindung zwischen irgendeinem Teilsystem der Frankiermaschine 1 angewandt werden.
  • Ein veranschaulichendes Verfahren wird in 3 beschrieben. In Schritt S1 gibt ein Betreiber einen erwünschten Portobetrag für eine Portotransaktion über die Tastatur 11 ein. Beim Einlegen des Poststücks in die Frankiermaschine 1 und Festklemmen desselben durch eine Platte (nicht gezeigt), sendet der Basis-Mikroprozessor 9 ein Signal an den Werteinrichtungs-Mikroprozessor 7, und der Druckmodul-Mikroprozessor 41 verlangt, dass ein Sitzungsschlüssel (SK) erstellt wird, wie in Schritt S2 gezeigt. Um den Sitzungsschlüssel zu erstellen, weisen der Werteinrichtungs-Mikroprozessor 7 und der Druckkopfmodul-Mikroprozessor 41 jeweils einen identischen Satz von "M" Authentifizierungsschlüssel (AK) auf, die in einem Speicher gespeichert sind, wobei jeder Authentifizierungsschlüssel einen bestimmten, ihm zugeordneten Index (1 bis M) aufweist. Zusätzlich weist auch der Druckmodul-Mikroprozessor 41 einen darin gespeicherten Satz von Zahlen "0 bis N" auf, die dazu benutzt werden, um einen bestimmten der Authentifizierungsschlüssel auszuwählen. Das heißt, der Druckmodul-Mikroprozessor 41 wird für jede Porto-Transaktion programmiert, um eine des Satzes der Zahlen "0 bis N" entweder sequentiell oder nach dem Zufallsprinzip auszuwählen (Schritt S3). Unter der Annahme, dass beispielsweise die Zahl "N" ausgewählt wird, bestimmt der Druckmodul-Mikroprozessor 41 den bestimmten Authentifizierungsschlüssel-Index AKI (Schritt S4) unter Verwendung einer herkömmlichen Übersetzungsfunktion, die einen Index innerhalb des Bereichs 1 bis M erzeugt. Da die Authentifizierungsschlüssel AK1 bis AKM in einer Nachschlagetabelle in dem Werteinrichtungs-Mikroprozessor 7 und dem Druckmodul-Mikroprozessor 41 gespeichert sind, kann der Index AKI einem bestimmten Schlüssel zugeordnet werden, wie z. B. AK1 (Schritt S5). Es ist wichtig zu erwähnen, dass der Zahlensatz 0 bis N viel größer als die Schlüsselanzahl 1 bis M sein kann. Deshalb resultiert die Kombination eines großen Zahlensatzes 0 bis N, kombiniert mit der Zufallsauswahl einer dieser Zahlen zur Erzeugung des Index AKI, in einem sehr sicheren Prozess.
  • Nachdem der Druckmodul-Mikroprozessor 41 eine der Zahlen 0 bis N ausgewählt hat, wird diese Zahl zusammen mit einem ersten Datenstück VD1, das mit jeder Porto-Transaktion variiert, an den Werteinrichtungs-Mikroprozessor 7 gesendet und wird im Registerzähler 77 in dem Druckmodul-Mikroprozessor 41 gespeichert (Schritt S6). Bei Empfang verwendet der Werteinrichtungs-Mikroprozessor 7, in dem eine identische Authentifizierungsschlüssel-Nachschlagetabelle und die von dem Druckmodul-Mikroprozessor 41 verwendete AKI-Übersetzungsfunktion gespeichert ist, eigenständig die ausgewählte Zahl 0 bis N, um AKI zu erzeugen und den gleichen Authentifizierungsschlüssel AK (Schritt S7) zu identifizieren, der von dem Druckmodul-Mikroprozessor 41 verwendet wird. Der Werteinrichtungs-Mikroprozessor 7 weist auch ein Register 79 auf, dessen Inhalte VD2 für jede Porto-Transaktion variabel sind und, zusammen mit dem Authentifizierungsschlüssel AK verwendet werden, um den Sitzungsschlüssel SK zu erzeugen (Schritt S8). Das heißt, ein herkömmlicher Verschlüsselungsalgorithmus wird auf VD2 und den Authentifizierungsschlüssel angewandt, um den Sitzungsschlüssel zu erzeugen:
    SK = ENCRYPT(VD2, AK).
  • Sobald der Werteinrichtungs-Mikroprozessor 7 den Sitzungsschlüssel bestimmt hat, erzeugt er ein erstes Authentifizierungszertifikat (AUC1) (Schritt S9) wie folgt:
    AUC1 = ENCRYPT(VD1, SK)
  • Im Anschluss an die Erzeugung des ersten Authentifizierungszertifikats sendet der Werteinrichtungs-Mikroprozessor 7 alle oder einen Teil des ersten Authentifizierungszertifikats und VD2 an den Druckmodul-Mikroprozessor 41 (Schritt S10). Das heißt, falls AUCI z. B. acht Datenbyte beträgt, kann es im Ganzen gesendet werden, oder ein Abbrech- bzw. Abkürz-Algorithmus kann auf es angewendet werden, um nur eine vorbestimmte Anzahl von Bytes des AUC1 zu senden. Der Druckmodul-Mikroprozessor 41 bestimmt SK eigenständig bei Empfang des AUCI (Schritt S11) in der gleichen Art und Weise wie der Werteinrichtungs-Mikroprozessor 7, da der Druckmodul-Mikroprozessor 41 darin den DES-Algorithmus gespeichert, den AK selbst erzeugt und VD2 von dem Werteinrichtungs-Mikroprozessor 7 empfangen hat.
  • Im Anschluss an seine Erzeugung von SK, erzeugt der Druckmodul-Mikroprozessor 41 ein zweites Authentifizierungszertifikat:
    AUC2 = ENCRYPT(VD1, SK),
    das das gleiche sein sollte wie AUCI (Schritt S12). In dem Fall, dass der Druckmodul-Mikroprozessor AUC1 mit AUC2 vergleicht (Schritt S13) und sie nicht gleich sind, initiiert der Druckmodul-Mikroprozessor 41 eine Löschung der Porto-Transaktion (Schritt S14). Andererseits, falls AUC1 und AUC2 gleich sind, hat der Druckmodul-Mikroprozessor 41 authentifiziert, dass der Werteinrichtungs-Mikroprozessor 7 eine gültige Werteinrichtung ist. Es ist zu erwähnen, dass falls ein abgekürzter Anteil des AUCI von dem Werteinrichtungs-Mikroprozessor 7 an den Druckmodul-Mikroprozessor 41 gesendet wird, dann der Druckmodul-Mikroprozessor 41 vor dem Vergleichsschritt den gleichen Abbrech- bzw. Abkürzalgorithmus auf AUC2 anwenden muss.
  • Im Anschluss an die Authentifizierung durch den Werteinrichtungs-Mikroprozessor 7 erzeugt der Druckmodul-Mikroprozessor 41 ein erstes chiffriertes Daten-Zertifikat "CD1", wobei:
    CD1 = ENCRYPT(VD3, SK)
    und wobei VD3 ein variables Datenstück innerhalb des Zählers 1 darstellt, wie z. B. Stückzahl oder Aufgabedatum, wobei diese Daten sowohl dem Werteinrichtungs-Mikroprozessor 7 als auch dem Druckmodul-Mikroprozessor 41 zur Verfügung gestellt werden (Schritt S15). Beim Erzeugen von CD1 wird dieses als Ganzes oder teilweise (wie in Verbindung mit AUC1, AUC2 diskutiert) an den Werteinrichtungs-Mikroprozessor 7 gesendet (Schritt S16). Der Werteinrichtungs-Mikroprozessor 7 erzeugt dann sein eigenes chiffriertes Zertifikat der Daten "CD2" durch Anwenden des Verschlüsselungs-Algorithmus auf VD3 und den Sitzungsschlüssel SK, der von dem Werteinrichtungs-Mikroprozessor erzeugt wird (Schritt S17). Dann vergleicht der Werteinrichtungs-Mikroprozessor 7 CD1 mit CD2 (Schritt S18) und, falls diese nicht zusammenpassen, initiiert der Werteinrichtungs-Mikroprozessor 7 eine Löschung der Porto-Transaktion (Schritt 19). In dem Fall, dass CD1 und CD2 gleich sind, hat der Werteinrichtungs-Mikroprozessor 7 den Druckmodul-Mikroprozessor 41 authentifiziert, und die gegenseitige Authentifizierung zwischen dem Werteinrichtungs-Mikroprozessor 7 und dem Druckmodul-Mikroprozessor 41 wurde abgeschlossen. Anschließend wird der Werteinrichtungs-Mikroprozessor 7 darauf vorbereitet, den benötigten Portobetrag in dem Buchführungsmodul zu belasten. Bei Abschluss der Belastung wird ein Druckbefehl an das Druckkopfmodul 5 gesendet, um Drucken des Wertzeichenangabeabbilds zu initiieren (Schritt S20).
  • Der obige Prozess stellt eine extrem sichere elektronische Verbindung zwischen Teilsystemen bereit, weil alle Daten, die zwischen den Teilsystemen übertragen werden, für jede Porto- Transaktion variiert werden können. Zwar muss dies nicht notwendigerweise der Fall sein, es schafft jedoch eine erhöhte Sicherheit durch Reduzieren der Vorhersagbarkeit der transferierten Daten. Die Verwendung der variablen Daten (VD1, VD2, VD3) stellt die Einzigartigkeit der chiffrierten Werte (SK, AUC1, AUC2, CD1, CD2) für jede Porto-Transaktion sicher. Überdies wird der Sitzungsschlüssel, der benötigt wird, um das gesamte gegenseitige Authentifizierungsverfahren zu initiieren und um AUC1, AUC2, CD1 und CD2 zu erzeugen, nie zwischen den individuellen Teilsystemen übertragen, wodurch gewährleistet ist, dass die Teilsysteme sichere Kenntnis von dem Sitzungsschlüssel haben. Letztendlich wird, falls ein Abbrech-Algorithmus in Verbindung mit einem oder allen der erzeugten Zertifikate benutzt wird, die Sicherheit weiter verbessert, da der Abbrech-Algorithmus bekannt sein muss, um die Porto-Transaktion abzuschließen.
  • Angesichts der vorstehenden Beschreibung einer elektronischen Frankiermaschine mit einer Mehrfachdurchgangs-Druckfähigkeit und einem gegenseitigen Authentifizierungsverfahren sowie den vorher diskutierten potentiellen Sicherheitsaspekten, die mit jedem dieser Merkmale in Zusammenhang stehen, wird klar, dass künftige Änderungen der Sicherheitsmerkmale der Frankiermaschine nach Platzierung der Frankiermaschine in ihrem Betriebsumfeld erforderlich sein können. Hinsichtlich des Mehrfachdurchgangs-Druckmerkmals der Frankiermaschine 1 ist es möglich, die Frankiermaschine 1 von Ferne von einem Zwerfachdurchgangs-Druckschema in ein Einfachdurchgangs-Druckschema zu ändern. Das heißt, die Frankiermaschine 1 weist innerhalb ihrer kodierten Software in dem Basis-Mikroprozessor 41 ein Zeitlimit-Merkmal auf, das die Frankiermaschine 1 am Betrieb hindert, falls sie nicht innerhalb einer festgelegten Zeitperiode, wie z. B. einer Viermonats-Periode, mit dem Daten-Center 8 kommuniziert. Daher kann von dieser erzwungenen Kommunikation mit dem Daten-Center 8 Gebrauch gemacht werden, um den Druckbetrieb des Druckkopfes 33 zu ändern. Das heißt, wenn der Zentralcomputer 6 des Daten-Centers 8 mit der Frankiermaschine kommuniziert, kann er zum Beispiel eine sichere Ein-Byte- oder Vielfach-Byte-Druckänderungsnachricht über das Modem 10 an den Basis-Mikroprozessor 9 senden, welche verlangt, dass die Frankiermaschine 1 von einem Zweifachdurchgangs-System zu einem Einfachdurchgangs-System wechselt. Der Basis-Mikroprozessor 9 wiederum würde diese Druckänderungsnachricht zu dem Druckkopf-Mikroprozessor 41 transferieren. Der Mikroprozessor 41 empfängt die Druckänderungsnachricht und interpretiert sie über ein Software-Programm, das in seinem ROM 80 gespeichert ist. Der Mikroprozessor 41 setzt dann eine Flag, die in seinem nichtflüchtigen Speicher 81 gespeichert ist, wobei die Flag identifiziert, ob ein Zweifachdurchgangs- oder ein Einfachdurchgangs-Druckprozess verwendet wird. Bei Identifizierung der Einfachdurchgangs-Druckanforderung stellt der Mikroprozessor 41 diese Information dem ASIC 39 zur Verfügung, welcher dann nur den Druckkopf 33 durch seinen Treiber 37 antreibt, um den ersten Durchgang des Druckkopfes 33 auszuführen, zum Erzeugen eines einzelnes Wertzeichenangabeabbilds, und nicht das Merkmal ausführt, welches ein zweiter Durchgang des Druckkopfes 33 zum Produzieren entweder einer zweiten vollständigen Wertzeichenangabe oder eines Teils davon benötigt, wobei jeder von diesen mit dem während einer Zweifachdurchgangs-Drucktechnik zuerst erzeugten Wertzeichenangabe verschränkt würde.
  • Es ist wichtig zu erwähnen, dass die Frankiermaschine 1 zwar so eingestellt werden könnte, dass die von dem Mikroprozessor 41 von dem Daten-Center 8 empfangene Druckänderungsnachricht es der Frankiermaschine erlauben würde, wiederholt von Ferne zwischen einem Einfachdurchgangs-Drucksystem und einem Zweifachdurchgangs-Drucksystem umgeschaltet zu werden, es wird jedoch oft wünschenswert sein, sicherzustellen, dass die Änderung von einem Zweifachdurchgangs-Drucksystem zu einem Einfachdurchgangs-Drucksystem nicht rückgängig gemacht werden kann. Dies wird in dem beschriebenen System über das in dem ROM 80 gespeicherte Software-Programm erreicht. Das heißt, das in dem ROM 80 gespeicherte Software-Programm ist nur dazu in der Lage, eine Druckänderungsnachricht zu empfangen und zu interpretieren, die eine Änderung von einem Zweifachdurchgangs-System zu einem Einfachdurchgangs-System erfordert. In dem Fall, dass eine Nachricht von dem Mikroprozessor 41 empfangen wird, die eine Änderung von einem Einfachdurchgangs- zu einem Zweifachdurchgangs-System fordert, kann diese Nachricht nicht durch den Mikroprozessor 41 verarbeitet werden. Daher kann der Prozess zum Ändern des Druckbetriebs des Druckkopfs 33 von Ferne durchgeführt werden, um sicherzustellen, dass die Änderung nicht rückgängig zu machen ist.
  • Während ein Ändern von einem Zweifachdurchgangs-System zu einem Einfachdurchgangs-System im Kontext der bevorzugten Ausführungsform diskutiert wurde, ist ohne weiteres ersichtlich, dass das System angeordnet werden kann, um den Betrieb des Druckkopfes 33 so zu ändern, dass er eine Wertzeichenangabe in einer beliebigen Anzahl von Druckdurchgängen drucken kann. Daher ist absehbar, dass diese Technik zum Ändern des Druckbetriebs des Druckkopfes 33 von Ferne auch dazu verwendet werden könnte, die Anzahl von Durchgängen des Druckkopfes 33 zu erhöhen, um ein Wertzeichenangabeabbild mit einer höheren Dichte und besseren Qualität zu produzieren, falls ein Postamt in Zukunft solch eine Änderung verlangen sollte.
  • Der Daten-Center 8 kann zum Beispiel auch dazu verwendet werden, effektiv die Authentifizierungsschlüssel (AK) zu ändern, die in dem vorher beschriebenen gegenseitigen Authentifizierungsverfahren benutzt werden, für den Fall, dass die Sicherheit irgendeines der ursprünglichen Authentifizierungsschlüssel (AK) gefährdet wird. Dies würde durch den zentralen Computer 6 des Daten-Centers 8 erreicht werden, der einen sicherer Zähler-Modifizierungscode sowohl an den Druckkopf-Mikroprozessor 41 als auch an den Werteinrichtungs-Mikroprozessor 7 über den Basis-Mikroprozessor 9 sendet. 4 identifiziert einen repräsentativen sicheren Zählermodifizierungs-Code 83, der verwendet werden könnte. Wie erwähnt, besteht der sichere Zählermodifizierungs-Code 83 aus einem einzelnen Informations-Byte. Die ersten drei Bits (b0, b1, b2) werden von dem Zentralcomputer 6 zufällig erzeugt. Die zweiten drei Bits (b3, b4, b5) werden verwendet, um zu bestimmen, welcher der Authentifizierungs-Schlüssel (AK) zu verändern ist. Die letzten zwei Bits (b6, b7) werden als die vorher diskutierte Druckänderungsnachricht verwendet, zum Ändern der Anzahl von Durchgängen (oder anderen Eigenschaften) des Druckkopfes 33, so dass die Diversifizierung (Änderung) der Authentifizierungs-Schlüssel (AK) und ein Ändern des Betriebs des Druckkopfes 33 über das Senden der einzelnen Zählermodifizierungs-Codenachricht erreicht werden kann. Um ein Ändern der Authentifizierungsschlüssel (AK) abzuschließen, würden sowohl der Mikroprozessor 41 als auch der Werteinrichtungs-Mikroprozessor 7 mindestens einen darin gespeicherten Algorithmus aufweisen, der die Daten-Bits b0, b1 und b2 verwenden würde, um neue Authentifizierungs-Schlüssel (AK) zu erzeugen. Die Verwendung bekannter Algorithmen zur Erzeugen von Schlüsseln ist in der Technik gut bekannt, und Details hierzu werden hier nicht beschrieben, da sie nicht als wesentlich für das Verständnis der beanspruchten Erfindung betrachtet werden.
  • In einem alternativen, veranschaulichenden Beispiel sind eine Vielzahl von gemeinsamen Algorithmen sowohl in dem Werteinrichtungs-Mikroprozessor 7 als auch in dem Mikroprozessor 41 gespeichert, und ein aus diesen Algorithmen zufällig ausgewählter Algorithmus wird dazu verwendet, die Authentifizierungs-Schlüssel (AK) zu ändern. In diesem Beispiel wird das erste Bit, b0, des Zähler-Identifizierungscodes 83 dazu bestimmt, zu identifizieren, welcher der gespeicherten gemeinsamen Algorithmen zu benutzen ist, um neue Authentifizierungsschlüssel (AK) zu erzeugen. Daher wählt der Zentralcomputer 6 zufällig aus, welche der gemeinsamen Algorithmen verwendet werden. Bei der Identifizierung des Algorithmus würden dann der Werteinrichtungs-Mikroprozessor 7 und der Druckmodul-Mikroprozessor 41 die Daten der Bits b3, b4 und b5 verwenden, um einige oder alle der zu verändernden Authentifizierungs-Schlüssel zu identifizieren. Die Information in Bit b1 und b2 wird dann auf eine bekannte Art und Weise mit dem ausgewählten Algorithmus benutzt, um die neuen Authentifizierungs-Schlüssel (AK) zu erzeugen.
  • Es ist wichtig zu erwähnen, dass die Diversifizierung der Authentifizierungs-Schlüssel (AK) in der Frankiermaschine 1 zwar als ein repräsentatives Beispiel für die Art von geheimen Schlüssel benutzt wurde, die von Ferne geändert werden können, die Erfindung jedoch nicht auf solche Schlüssel beschränkt ist. Das heißt, jeder Schlüssel, der in der Frankiermaschine 1 von irgendeiner Art einer Sicherheitsanwendung benutzt wird, kann durch Verwendung des hier dargelegten erfinderischen Verfahrens und Vorrichtung diversifiziert werden. Ferner kann der Werteinrichtungs-Mikroprozessor 7 entweder ein innerhalb der Frankiermaschine 1 enthaltener Mikroprozessor sein, oder er könnte eine externe Smart-Karte sein, die auf eine bekannte Art und Weise in die Frankiermaschine 1 eingeführt wird. Während die Erfindung in Verbindung mit einer Frankiermaschine beschrieben wurde, ist sie zusätzlich ebenfalls anwendbar auf jeden Gerätetyp, der Werte ausgibt und Sicherheit benötigt. Solche zusätzlichen Geräte könnten zum Beispiel Steuerstempelmaschinen sein, sowie Ticket-Verkaufsmaschinen und Lotteriemaschinen.
  • In den oben beschriebenen Systemen und Verfahren wurden die von dem Daten-Center 8 an die Frankiermaschine 1 gesendete Druckänderungsnachricht und der Zählermodifizierungs-Code 83 jeweils als "sicher" identifiziert; das heißt, um irgendeine unauthorisierte Abänderung entweder der Druckänderungsnachricht oder des Zählermodifizierungs-Codes 83 zu verhindern, würden diese beide an dem Daten-Center verschlüsselt werden. Die Verschlüsselung könnte zum Beispiel eine bekannte Technik sein, die einen Satz von Master-Schlüsseln und einen bekannten Verschlüsselungs-Algorithmus verwendet, wobei diese Technik auf die Nachricht an dem Daten-Center angewendet wird. Die Frankiermaschine würde auch den gleichen Satz von Master-Schlüsseln und den Algorithmus aufweisen, so dass sie die Nachricht entschlüsseln kann. Jedoch würde, falls die Nachricht oder der Code abgefangen wurde, das Verschlüsselungsschema unterbrochen werden müssen, bevor irgendeine Abänderung der Nachricht stattfinden könnte.
  • Zusätzlich und um sicherzustellen, dass die Druckänderungsnachricht und der Zählermodifizierungs-Code 83 empfangen und von der Frankiermaschine 1 ordnungsgemäß ausgeführt wurden, muss eine von der Frankiermaschine 1 gesendete, kodierte Verifizierungs-Nachricht von dem Daten-Center 8 empfangen werden. Die Verifizierungs-Nachricht würde die im Ansprechen auf die empfangene Druckänderungsnachricht oder den Zählermodifizierungs-Code 83 unternommene Aktion identifizieren. Falls die Identifizierungs-Nachricht nicht konsistent mit der Nachricht oder dem Code ist, die von dem Daten-Center gesendet wird, oder nicht von dem Daten-Center 8 empfangen wird, wird der Daten-Center 8 nicht länger mit der Frankiermaschine kommunizieren, und die Frankiermaschine 1 wird sich automatisch selbst deaktivieren nach der festgelegten Zeitperiode des vorher genannten Zeitbegrenzungs-Merkmals.
  • In Verbindung mit der Druckänderungsnachricht empfängt der Druckkopf-Mikroprozessor 41 die Nachricht und weist die Master-Schlüssel und den Algorithmus auf, um die Nachricht zu entschlüsseln. Der Druckkopf-Mikroprozessor 41 sendet auch die Verifizierungs-Nachricht zurück an den Daten-Center 8. Andererseits empfangen, wenn ein Zählermodifizierungs-Code 83 von dem Daten-Center 8 gesendet wird, um die Authentifizierungs-Schlüssel (AK) zu diversifizieren, sowohl der Werteinrichtungs-Mikroprozessor 7 als auch der Druckkopf-Mikroprozessor 41 den Code auf und weisen jeweils die Master-Schlüssel und den Algorithmus auf, um den Code zu entschlüsseln. Ferner muss der Daten-Center in dieser Situation einen richtigen Verifizierungs-Code sowohl von dem Werteinrichtungs-Prozessor 41 als auch von dem Druckkopf-Mikroprozessor 41 innerhalb der festgelegten Zeitperiode empfangen, andernfalls wird der Zähler deaktiviert.

Claims (4)

  1. Wertzeichen-Drucksystem, welches folgendes aufweist: einen Druckmechanismus (33); eine Einrichtung (31, 32) zum Bewegen des Druckmechanismus in einer ersten festgelegten Art und Weise während des Druckens mit dem Druckmechanismus, um eine Wertzeichenangabe auf ein Aufzeichnungsmedium aufzuzeichnen; eine mit einem in einer ROM (80) gespeicherten Softwareprogramm ansteuerbare Einrichtung (41), welche auf eine Nachricht anspricht, um die Bewegungseinrichtung (31, 32) zu veranlassen, die Bewegung des Druckmechanismus von der ersten festgelegten Art und Weise zu einer von der ersten festgelegten Art und Weise verschiedenen, zweiten festgelegten Art und Weise zu ändern, welche jedoch nicht zur Änderung der Bewegung des Druckmechanismus zurück zu der ersten festgelegten Art und Weise ansprechbar ist; und eine von dem Druckmechanismus (33) und der Bewegungseinrichtung abgesetzte Einrichtung (6, 8), um die Nachricht zu erzeugen und um die Bewegungseinrichtung (31, 32) zu veranlassen, die Bewegung des Druckmechanismus (33) von der ersten festgelegten Art und Weise zu der zweiten festgelegten Art und Weise zu ändern, zur Verwendung während des Druckens durch den Druckmechanismus, um die Wertzeichenangabe auf das Aufzeichnungsmedium aufzuzeichnen.
  2. System nach Anspruch 1, bei welchem die erste festgelegte Art und Weise zwei Durchläufe des Druckmechanismus über einen festgelegten Bereich auf dem Aufzeichnungsmedium enthält, und bei welchem die zweite festgelegte Art und Weise einen einzelnen Durchlauf des Druckmechanismus über den festgelegten Bereich enthält.
  3. System nach Anspruch 1 oder 2, bei welchem die Wertzeichenangabe eine Portoangabe ist.
  4. System nach einem der vorstehenden Ansprüche, welches ferner ein Telefonmodem (10) aufweist, und bei welchem die abgesetzte Einrichtung ein Datenzentrum (8) enthält, das über das Telefonmodem (10) in Kommunikation mit der Bewegungseinrichtung (31, 32) steht.
DE69729915T 1996-08-23 1997-08-22 Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine Expired - Fee Related DE69729915T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US701903 1996-08-23
US08/701,903 US5745887A (en) 1996-08-23 1996-08-23 Method and apparatus for remotely changing security features of a postage meter

Publications (2)

Publication Number Publication Date
DE69729915D1 DE69729915D1 (de) 2004-08-26
DE69729915T2 true DE69729915T2 (de) 2005-07-21

Family

ID=24819129

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69729915T Expired - Fee Related DE69729915T2 (de) 1996-08-23 1997-08-22 Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine

Country Status (3)

Country Link
US (1) US5745887A (de)
EP (1) EP0825562B1 (de)
DE (1) DE69729915T2 (de)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671813B2 (en) * 1995-06-07 2003-12-30 Stamps.Com, Inc. Secure on-line PC postage metering system
US8225089B2 (en) * 1996-12-04 2012-07-17 Otomaku Properties Ltd., L.L.C. Electronic transaction systems utilizing a PEAD and a private key
DE19843249A1 (de) * 1998-09-11 2000-03-16 Francotyp Postalia Gmbh Verfahren zur Dateneingabe in ein Dienstgerät und Anordnung zur Durchführung des Verfahrens
EP1118064A1 (de) 1998-09-29 2001-07-25 Stamps.Com, inc. Online frankiersystem
DE19913067A1 (de) * 1999-03-17 2000-09-21 Francotyp Postalia Gmbh Verfahren zur automatischen Installation von Frankiereinrichtungen und Anordnung zur Durchführung des Verfahrens
US7499551B1 (en) * 1999-05-14 2009-03-03 Dell Products L.P. Public key infrastructure utilizing master key encryption
US20020004910A1 (en) * 2000-07-10 2002-01-10 Penzias Arno A. Network lock
US6580037B1 (en) * 2000-08-23 2003-06-17 Tom Luke Method and system for remote error reporting on weighing equipment
US7233930B1 (en) * 2000-11-27 2007-06-19 Pitney Bowes Inc. Postage metering system including a printer having dual print heads
US20020169728A1 (en) * 2001-02-23 2002-11-14 Christian Moy Modular franking system
GB0202269D0 (en) * 2002-01-31 2002-03-20 Neopost Ltd Postage meter security
US11037151B1 (en) 2003-08-19 2021-06-15 Stamps.Com Inc. System and method for dynamically partitioning a postage evidencing system
WO2006015043A2 (en) * 2004-07-27 2006-02-09 Neopost Industrie Sa Selectively expanding and printing indicia information
US8285651B1 (en) 2005-12-30 2012-10-09 Stamps.Com Inc. High speed printing
US8775331B1 (en) 2006-12-27 2014-07-08 Stamps.Com Inc Postage metering with accumulated postage
US10089797B1 (en) 2010-02-25 2018-10-02 Stamps.Com Inc. Systems and methods for providing localized functionality in browser based postage transactions
US9842308B1 (en) 2010-02-25 2017-12-12 Stamps.Com Inc. Systems and methods for rules based shipping
US10713634B1 (en) 2011-05-18 2020-07-14 Stamps.Com Inc. Systems and methods using mobile communication handsets for providing postage

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4097923A (en) * 1975-04-16 1978-06-27 Pitney-Bowes, Inc. Remote postage meter charging system using an advanced microcomputerized postage meter
US4207579A (en) * 1979-01-08 1980-06-10 The Mead Corporation Reciprocating paper handling apparatus for use in an ink jet copier
US4253158A (en) * 1979-03-28 1981-02-24 Pitney Bowes Inc. System for securing postage printing transactions
DE3125426A1 (de) * 1981-06-27 1983-01-20 Olympia Werke Ag, 2940 Wilhelmshaven Matrixdrucker mit einem laengs eines aufzeichnungstraegers in druckzeilenrichtung bewegbaren druckkopf
US4802218A (en) * 1986-11-26 1989-01-31 Wright Technologies, L.P. Automated transaction system
US5200903A (en) * 1987-07-09 1993-04-06 Alcatel Business Systems Ltd. Franking machine
US4933849A (en) * 1987-07-16 1990-06-12 Pitney Bowes Security system for use with an indicia printing authorization device
EP0352498A1 (de) * 1988-07-14 1990-01-31 Ascom Hasler AG Frankiermaschine
US5107455A (en) * 1989-03-23 1992-04-21 F.M.E. Corporation Remote meter i/o configuration
US5077660A (en) * 1989-03-23 1991-12-31 F.M.E. Corporation Remote meter configuration
US5369401A (en) * 1989-03-23 1994-11-29 F.M.E. Corporation Remote meter operation
FR2649231B1 (fr) * 1989-06-30 1991-09-13 Alcatel Satmam Machine de bureau d'expedition d'articles postaux
GB2233937B (en) * 1989-07-13 1993-10-06 Pitney Bowes Plc A machine incorporating an accounts verification system
US5237506A (en) * 1990-02-16 1993-08-17 Ascom Autelca Ag Remote resetting postage meter
US5202914A (en) * 1990-09-13 1993-04-13 Pitney Bowes Inc. System for resetting a postage meter
ES2110473T3 (es) * 1991-07-30 1998-02-16 Canon Kk Aparato y metodo para la impresion por chorros de tinta.
US5490077A (en) * 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
US5878136A (en) * 1993-10-08 1999-03-02 Pitney Bowes Inc. Encryption key control system for mail processing system having data center verification
US5606613A (en) * 1994-12-22 1997-02-25 Pitney Bowes Inc. Method for identifying a metering accounting vault to digital printer
US5813326A (en) * 1994-12-22 1998-09-29 Pitney Bowes Inc. Mailing machine utilizing ink jet printer
US5583779A (en) * 1994-12-22 1996-12-10 Pitney Bowes Inc. Method for preventing monitoring of data remotely sent from a metering accounting vault to digital printer

Also Published As

Publication number Publication date
US5745887A (en) 1998-04-28
DE69729915D1 (de) 2004-08-26
EP0825562B1 (de) 2004-07-21
EP0825562A2 (de) 1998-02-25
EP0825562A3 (de) 2000-08-02

Similar Documents

Publication Publication Date Title
DE69729915T2 (de) Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine
DE3823719B4 (de) System zum Drucken eines postalischen grafischen Zeichenmusters
DE69223866T3 (de) Frankiermaschine mit digitalem Drucker
EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE69634397T2 (de) Verfahren zum Erzeugen von Wertmarken in einem offenen Zählsystem
DE69636617T2 (de) Verfahren und System zum Nachweisen von Transaktionen mit hinterherigem Drucken und Verarbeiten des Postens
DE69631816T2 (de) Offenes Zählsystem mit Tresorzugang mittels eines Superpasswortes
DE69923408T2 (de) Verfahren und Vorrichtung zur dynamischen Bestimmung der Druckposition für ein Postwertzeichen in einen Dokument
DE3729345A1 (de) Sicherheitsgehaeuse mit elektronischer anzeige fuer ein wertdrucksystem
DE19757652B4 (de) Frankiermaschine mit einer Chipkarten-Schreib-/Leseeinheit
DE10011192A1 (de) Frankiermaschine mit abgesichertem Druckkopf
EP0930586B1 (de) Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten
DE19534528A1 (de) Verfahren zur Veränderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine
EP0927970B1 (de) Frankiermaschine mit einer Chipkarten-Schreib/Leseeinheit
EP0566225A2 (de) Verfahren zur Dateneingabe in einer Frankiermaschine, Anordnung zum Frankieren von Postgut und zur Erzeugung eines jeweils einer Kostenstelle zugeordneten Frankierbildes
DE3613025C2 (de) Nichtgesichertes Portogebühren-Aufbringungssystem
EP0866427B1 (de) Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation
EP0927971B1 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
DE3627124A1 (de) Frankiermaschinen-verriegelungssystem
DE19816344C2 (de) Verfahren zur sicheren Schlüsselverteilung
EP1577840A2 (de) Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem
EP0927969A2 (de) Frankiermaschine mit einer Chipkarten-Schreib/Leseeinheit
EP1807808B1 (de) Verfahren und vorrichtung zum frankieren von postsendungen
EP1067482B1 (de) Druckbild
DE69930202T2 (de) Verfahren zur Begrenzung der Schlüsselbenutzung in einem Frankiersystem welches kryptographisch gesicherte Briefmarken produziert

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee