EP0762337A2 - Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten - Google Patents

Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten Download PDF

Info

Publication number
EP0762337A2
EP0762337A2 EP96250191A EP96250191A EP0762337A2 EP 0762337 A2 EP0762337 A2 EP 0762337A2 EP 96250191 A EP96250191 A EP 96250191A EP 96250191 A EP96250191 A EP 96250191A EP 0762337 A2 EP0762337 A2 EP 0762337A2
Authority
EP
European Patent Office
Prior art keywords
code word
memory
new
processor
volatile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP96250191A
Other languages
English (en)
French (fr)
Other versions
EP0762337A3 (de
Inventor
Ralf Kubatzki
Wolfgang Dr. Thiel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE1995134527 external-priority patent/DE19534527C2/de
Priority claimed from DE1995134529 external-priority patent/DE19534529C2/de
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP0762337A2 publication Critical patent/EP0762337A2/de
Publication of EP0762337A3 publication Critical patent/EP0762337A3/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00395Memory organization
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00395Memory organization
    • G07B2017/00403Memory zones protected from unauthorized reading or writing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00395Memory organization
    • G07B2017/00411Redundant storage, e.g. back-up of registers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00427Special accounting procedures, e.g. storing special information

Definitions

  • the invention relates to a method and arrangement for increasing the security against manipulation of critical data, which must be protected against manipulation in information processing devices, in particular critical register data in electronic franking machines or in another electronic device in which security-relevant data are traded or in which billing of monetary data is carried out.
  • Franking machines are, with at least one input means, a control module, a storage means and equipped with a printer module. Data which are necessary for the operation of the franking machine as well as data which correspond to funds are stored in a non-volatile manner.
  • the franking machine types differ in shape and equipment according to the amount of mail to be processed. However, if different types of franking machines are to be produced, then a large number of circuits (ASICs or / and other components) must be provided. The large number of components and circuits in particular offers starting points for manipulation if no alternative effort is made or a safety housing is used.
  • ASICs application-specific integrated circuits
  • An ASIC is known from EP 465 236 A2, which comprises a circuit for pressure control for motor control and for billing.
  • the circuit for pressure control comprises a memory for fixed and another for variable data, which are overlaid with the fixed data.
  • a motor controller is provided for actuating a motor drive depending on the mail item feed.
  • a modular system for a franking machine with meter / base separation is known from US Pat. No. 4,858,138, a security module (meter) being coupled to a pressure control module (base).
  • the security module can take the form of a credit card.
  • A serves as the electrical connection device to the pressure control module High-speed communication bus designed as a parallel CPU interface.
  • the print control module has a high speed printer. Postage amount entered from the keyboard of the print control module is transferred to the security module.
  • the security module provides a digital representation of the fixed part of the postage stamp and an encrypted validity number.
  • the validity number includes the postage amount and possibly other information such as the franking machine serial number and the date.
  • the encrypted validity number is used to detect illegal printing of an amount of money that has not been calculated.
  • Counterfeit protection is based on encryption of a validity number, which is carried out in a security logic and is transmitted via a CPU interface.
  • this solution has no advantage in the case of manipulations which are carried out in the security module or on the bus between the postal value stores and the security logic.
  • a disadvantage here is that only the security housing of the security module is provided as the only protection.
  • Another disadvantage is the high number of lines of the meter / base connection at the interface to the base and that an expensive high-speed interface is required.
  • a credit is loaded from a data center or from a memory of a transmission means, preferably a chip card.
  • the postage amounts used by the franking machine are debited from this.
  • a postage calculator which determines the valid postage amount from the weight of the mail piece, is usually already integrated in the scale connected to the franking machine.
  • solutions with a postage calculator integrated in the franking machine have also been proposed.
  • the postage fee required for the item of mail can be found in a postage fee table.
  • a transportable franking machine known from DE 42 13 278 A1 has storage means and receiving means connected thereto for data that can be transmitted via a transmission means.
  • the storage means of the franking machine has sections that can be updated for tables linked to certain conditions, for example for at least one current postage fee table, on the basis of which the respective postage fee is determined.
  • the franking machine has first means in the control module, the at Commissioning the franking machine Load at least one postage fee table for the franking machine from the memory of the transmission means via the receiving means into a predetermined memory space of the storage means.
  • these first and second means are designed as a fixed or freely programmable logic module or program of a microprocessor control and each time the device is switched on they establish a connection to the external memory.
  • Such updatable sections of the storage means are also provided for other information and / or additional information.
  • the security against fraudulent manipulations can be increased by the fact that a number of functions assigned to the update date can be loaded into the franking machine during the update and that the further triggerable functions to be loaded are specified in a variety of ways and cannot be selected.
  • the national postal authority to which the respective sending location belongs may provide a printout that can only be machine-read by the respective national postal authority. This printout can be, for example, the transaction number for an authorization check in the form of a barcode or another agreed symbol which is printed on the mail item at a defined position using the same or a further printer.
  • E 2 PROM's Electrically programmable non-volatile memory which have no restrictions by a ge religiouse battery life are, for example, E 2 PROM's.
  • the disadvantage of the E 2 PROM's is the limited number of permissible write / read cycles. If the permissible number of read / write cycles is exceeded, errors can occur in a used memory area.
  • each accounting data record containing an initial section with piece number data.
  • the current data record can be determined via the initial sections.
  • a switch is made to another previously unused memory area in order to save the data record.
  • An EPROM can therefore be used the longer the more unused memory areas are still available in the memory. However, this limits the number of data to be saved.
  • CMOS RAM battery-backed CMOS RAM
  • franking machines' s used to the accounting data in the postal registers to store non-volatile.
  • the billing data can only be saved as often as required, due to the limited battery life.
  • a battery for CMOS RAM s must be changed ', the data to another storage must, for example, are copied to another battery-backed CMOS RAM.
  • This copying of all data from one memory to another memory is also referred to as cloning.
  • the new battery-backed CMOS-RAM or the old battery-backed CMOS-RAM with a replaced or renewed battery can both be fully used if all the data is identical in their memory areas. By cloning, even unauthorized persons could provide any number of memories with identical data content when the housing is open.
  • the assembly units are encapsulated by a safety housing.
  • each assembly unit is equipped with two plug units.
  • the data flow is looped through a special transmission line of a first connector unit, but the loop is removed on the same first connector unit of the old assembly unit and the normal data flow is interrupted and redirected. From the memory of the old assembly unit, the data flow is redirected to the new assembly unit via the latter connector unit and by means of a second connector unit of the new assembly unit.
  • Mechanical locking members are provided which are operatively connected to a switch which sets an electronic identification mark (flag) and which is actuated when the defective assembly unit is removed. After the data have been transferred to the new assembly unit, a second indelible flag is set, so that a second data transfer is impossible.
  • the security is essentially based on the encapsulation of CPU and non-volatile memory on the mounting unit and the aforementioned switch for setting the flags. Knowing the position or arrangement of the switch, however, cannot prevent intrusion and manipulation with the intention of forgery.
  • DE 41 29 302 A1 discloses the use of a sensor which deletes the postal register when the franking machine housing is opened. However, this cannot prevent new data from being written into the postal register by a nifty manipulator once the housing is opened.
  • EP 231 452 A2 discloses the periodic polling of sensors according to a software routine of a CPU.
  • the disadvantage of this solution is a high computing time due to the periodic scanning of the sensors. This disadvantage is further increased if the query is particularly time-critical. In order to be able to react to a change of state as quickly as possible, the polling frequency must be set high. The microprocessor therefore spends a large proportion of its computing time on the query. In particular, the manipulation of a machine that is switched off cannot be prevented.
  • EP 231 452 A2 also assumes a redundant storage of accounting data. Since checking the stored register values does not allow all errors to be determined, separate address and data lines were used for two redundant memories.
  • a method for operating a data processing system with a first non-volatile memory, a status memory and a second non-volatile memory has already been proposed in DE 42 17 830 A1.
  • a module identifier enables the program to be continued and a status identifier enables the processing and continuation of the program section in which a program interruption occurred, i.e. possibly the correction of incorrectly registered data in one NVM due to redundant data in the other NVM.
  • this solution cannot check the data content for manipulation.
  • memory content is cloned, correct data is transferred to external storage. When this memory content is transferred back or when this external memory is used in the postage meter machine at a later point in time, a state that was not recognized as faulty by the postage meter machine itself and that was once correct at an earlier point in time is restored.
  • a method for improving the security of franking machines has already been proposed (DE 43 44 476 A2) in that the franking machine can distinguish between authorized and unauthorized intervention or opening of its housing.
  • the method presupposes that the franking machine is continuously supplied with energy for self-checking. In this case, no security-relevant data can be unauthorized downloaded, accepted or fed from the franking machine without this being noticed during the self-check.
  • additional housings, seals and / or further safety measures are required to protect the machine when it is switched off.
  • the invention has for its object to develop a method for increasing the security against manipulation of critical register data, which avoids the disadvantages of the prior art and can be implemented inexpensively for a large number of franking machine variants without reducing the security against manipulation.
  • Another object is to ensure, in the case of an arrangement for franking mail, preferably a portable franking machine of the type mentioned, which can be operated regardless of location, security against fraudulent manipulation of any kind and franking according to valid postal tariffs depending on the weight and format of the mail that can be entered. Even when the franking machine is switched off and without a power supply, the security circuit internal to the postage meter machine for postal register data and other security-relevant data should be effective.
  • the invention is based on the fact that a duplication or cloning of the non-volatile memory NVM to be protected need not be prevented, but also a duplicate of the memory content, which is exchanged for the memory content of the original, can continue to be used. In the case of repairs is often a copy and exchange of the memory contents is necessary, although it is assumed that no valid frankings are made in the meantime.
  • an internal processor memory is used to store a code word in a non-volatile manner. It is provided that a separate code word is assigned to each non-volatile memory or memory area to be protected, at least one of the aforementioned separate code words having been stored in a non-volatile manner in a further internal memory of a processor system, a chip card and / or in a similar system, and that formation of new code words from a predetermined point in time and then the new code words are stored in the aforementioned non-volatile memory.
  • the solution according to the invention therefore does not prevent the postal registers and their contents from being removed in order to make any number of copies, but rather prevents postal items from being franked with the aid of these copies without adequate billing at the data center or payment at the post becomes.
  • Encapsulation of the components for the removable NV-RAMs storing the postal registers with a security housing or the provision of other additional measures for protection against removal, such as sticking to the printed circuit board, sealing or potting with epoxy resin, are now no longer necessary.
  • the internal postage meter security circuit for postal register data and other security-related data is based on non-volatile memory modules.
  • the data remains saved when the franking machine is switched off or the power supply fails.
  • Such supported, for example, with a lithium battery CMOS SRAMs can be written to as often as required during their lifespan of approx. 10 years.
  • the battery can neither be recharged nor discharged without destroying the memory chip. It is assumed that up to 150,000 impressions are possible in the life of a franking machine and that the lithium battery does not have to be replaced during this time.
  • Storage devices from other storage technology can also be appropriately protected from misuse by the safety circuit if security-relevant data is stored in this non-volatile storage device for predetermined events.
  • the manufacturer of the franking machine stores a code word in the non-volatile memory modules (Bat-NV-CMOS-SRAM's and E 2 PROM), which is assigned to a predetermined franking machine.
  • the code word may initially include, for example, the serial number of the postage meter machine or may be part of another number.
  • the register memory locations are preset with initial values by the manufacturer.
  • the solution according to the invention prevents the non-volatile memories (NV-RAMs, E 2 PROMs) from being used for counterfeiting purposes, which were replaced and cloned in order to later operate the franking machine FM with the cloned or exchanged NV-RAMs or E 2 PROMs .
  • the invention is based on an OTP processor with an internal OPT-ROM and internal OTP-RAM. A list of code words is stored in the internal OPT-ROM, with each code word being active temporarily and possibly only once. The code word is selected regardless of the memory content of the NV-RAMs from the table - which is stored in the internal ROM area of the OTP, which is not accessible from the outside.
  • the new code word is at least when the Franking machine taken from the internal OTP table and saved in the non-volatile memories (NV-RAMs, E 2 PROMs) if the old one in the list was the respective predecessor code word.
  • NV-RAMs non-volatile memories
  • an E 2 PROM is the only non-volatile memory that is permanently attached to the circuit board together with the OTP processor.
  • a random number is generated during the operation of the franking machine before each print and thus before each new number of franking imprints to be registered on the basis of the previous number of pieces and, if appropriate, the current time supplied by the clock / date module.
  • a pseudo-random generator can be implemented in terms of hardware and / or software. At least one of the large number of possible random words that can be generated is stored in the internal OPT-ROM of the OTP processor.
  • the new code word is stored redundantly once in the removable non-volatile memories (NVRAMs) and, according to the invention, also in the aforementioned non-volatile memories (E 2 PROM) permanently attached to the circuit board.
  • the permissible number of read / write cycles for the E 2 PROM is not exceeded if, for example, the average non-volatile memory (E 2 PROM and NVRAMs) is only redundantly written with a new code word every twenty-fourth franking.
  • non-volatile memories E 2 PROM and NVRAMs
  • E 2 PROM and NVRAMs are redundantly written with a new code word even in the case of another last operating state of the postage meter machine, which is assigned predetermined states, such as the result of the manufacture or reloading of the postage meter machine or the switching off or before Power failure or a standby time or program interruption and corresponding other events.
  • the code words listed in the internal OPT-ROM are switched on via flags or pointers which are stored in the non-volatile memory which is permanently installed.
  • the pointer is stored in a non-volatile manner outside the releasably installed non-volatile memory (NV-RAMs) to be checked in the permanently installed and / or in communication connection with its processor system during the runtime of the postage meter machine and secured against removal during the runtime of the postage meter machine.
  • NV-RAMs non-volatile memory
  • these flags or pointers should be stored in a MAC-secured manner.
  • the program for the selection of the new code word is stored in the internal program memory (internal OTP-ROM or OTP-EPROM).
  • the selection of the new code word is carried out depending on the previous and / or on the state of the franking machine at a predetermined point in time or at a predetermined number of pieces.
  • a separate code word can be assigned to each non-volatile memory or memory area that must be protected. In the franking machine, this can make it possible to carry out an automatic analysis as to which memory module has been removed from a large number of memory modules.
  • the aforementioned last operating state of the franking machine which corresponds to the code word, corresponds in particular to a state as a result of the manufacture or reloading of the franking machine or as a result of the formation of a pseudorandom sequence or a state before the franking machine was switched off or a state before a power failure or before a standstill (stand by ) or before the program is interrupted. It is provided that the validity check of the code word is carried out at least at the time the franking machine is switched on and subsequently at least on the basis of a pseudo random sequence.
  • control device has a microprocessor or an OTP processor (ONE TIME PROGRAMMABLE).
  • OTP processor ONE TIME PROGRAMMABLE
  • Microprocessor CPU also accommodates further circuits and / or programs or data in the internal OTP-ROM or in the internal OTP-RAM in a common component housing, which form a first security means against unauthorized manipulation.
  • a first and a second non-volatile memory are connected to the control device, the first non-volatile memory NVM forming a second security means against unauthorized manipulation and being secured against removal.
  • the first non-volatile memory is implemented as an internal processor memory for non-volatile storage in the processor and is thus secured against removal and manipulation.
  • the first non-volatile memory as an external non-volatile memory NVM is electrically and mechanically non-detachably connected to the processor via a printed circuit board.
  • the external non-volatile memory NVM is connected to the processor via an input / output control module and is secured against removal during the running time of the franking machine. It is also provided that the external non-volatile memory NVM is part of a chip card and is connected to the input / output control module via a chip card read / write unit.
  • the program for the formation of the new code word is stored in the program memory (internal ROM or EPROM).
  • the formation of the new code word depends on the previous one.
  • a separate code word can be assigned to each non-volatile memory or memory area, with (before or simultaneously) at least one of the aforementioned code words being stored in a non-volatile manner according to the invention in the internal processor memory.
  • the new second code word in one step to form a new one changeable unique first code word is also formed as a complementary shadow to the new first code word in order to load a complementary new second code word into the non-volatile memories to be protected.
  • Another variant provides that in a step to form a new changeable unique first code word, the formation of the new second code word as a code word identical to the new changeable unique first code word and as a complementary shadow to the new first code word takes place by at least one load a new second code word into the non-volatile memories to be protected or that the complementary shadow is also used when protecting a corresponding memory in at least one of the memory areas.
  • the intervals for loading a MESSAGE AUTHENTIFICATION CODE (MAC) after the franking machine has been switched on are intervals in terms of time or quantity and / or intervals determined at least on the basis of a pseudo-random sequence.
  • FIG. 1a shows a block diagram of the franking machine according to the invention with a printer module 1 for a fully electronically generated franking image, with at least one input means 2 having a plurality of actuating elements, a display unit 3, a MODEM 23 establishing communication with a data center, which via an input / output control module 4 are coupled to a control device 6 and with at least one non-volatile memory 5a or 5b for the variable and a memory 10, 11 for the constant parts of the franking image.
  • a character memory 9 supplies the necessary print data for a volatile working memory 7.
  • the volatile working memory 7 comprises, for example, an external RAM in conjunction with an internal RAM 6b arranged in the processor.
  • the control device 6 has a correspondingly designed microprocessor ⁇ P and is with the input / output control module 4, the character memory 9, the volatile working memory 7, with a non-volatile cost center memory NVM 5a and with a non-volatile working memory NVM 5b, with an application-specific program memory ASP 10 (Cliché EPROM), a program memory PSP 11 (Program EPROM), connected to the motor of a transport or feed device, possibly with a strip release 12, an encoder (coding disk) 13, a letter sensor 16 and a clock / date module 8.
  • a corresponding method for controlling the printing of a postage stamp image in columns is described in more detail, for example, in EP 578 042 A2 or in EP 576 133 A2.
  • the increased security according to the invention is achieved in connection with an E 2 PROM 20, which is located externally of the microprocessor housing. Both are permanently attached to the board.
  • the control device 6 - shown in more detail in FIG. 2a - has a microprocessor or an OTP processor (ONE TIME PROGRAMMABLE).
  • OTP also houses other circuits in a common component housing.
  • These further circuits and / or programs or data in the internal OTP-ROM 6c or in the internal OTP-RAM 6b in the common processor housing form a security circuit or a first security means against unauthorized manipulation.
  • the first non-volatile memory NVM 20 is, for example, an E 2 PROM and serves as a second security means against unauthorized manipulation.
  • an external non-volatile memory NVM 25 forms a second security means against unauthorized manipulation and is connected to the processor 6 via an input / output control module 4 and is secured against removal during the running time of the franking machine.
  • the remaining individual memories can be combined in a number of physically separate modules or in a few modules as shown in FIG. 2a be realized.
  • the read-only memories CSP 9 and PSP 11 are preferably combined in an EPROM and the non-volatile memories NVM 5a and 5b to be protected are combined in a postal register memory.
  • the latter is preferably duplicated and is redundantly written with data in its memory areas.
  • a method for storing security-relevant data is described in more detail, for example, in EP 615 211 A1.
  • FIG. 1b The block diagram of a franking machine shown in FIG. 1b achieves increased security according to the invention with an OTP-internal non-volatile memory (NVM), preferably an E 2 PROM 6d.
  • NVM OTP-internal non-volatile memory
  • the control device 6 - shown in more detail in FIG. 2b - has a microprocessor or an OTP processor (ONE TIME PROGRAMMABLE).
  • OTP processor ONE TIME PROGRAMMABLE
  • internal non-volatile memories NVM 6d and further circuits are accommodated in the OTP in a common component housing.
  • the aforementioned internal non-volatile memory NVM 6d and further circuits and / or programs or data in the internal OTP-ROM 6c or internal OTP-RAM 6b in the common processor housing again form a security circuit or a security means against unauthorized manipulation.
  • An internal non-volatile memory NVM 6d in the security means of the OTP processor (CPU) 6 works together with the program memory 6c (internal EPROM or ROM) and volatile data memory RAM 6b. Reading out the internal non-volatile memory can be prevented by the possibility of setting backup bits (with internal EPROM) or with mask programming during production (with internal ROM).
  • the latter forms a second security means against unauthorized manipulation.
  • the external non-volatile memory NVM 20 - as shown in FIG. 1a - is a component of the processor system of the franking machine and works together with the program memory 6c (internal EPROM or ROM) and volatile data memory RAM 6b.
  • a chip card read / write unit 21 is also shown in the aforementioned block diagram of the franking machine 1 according to the invention. This is connected via a bus 11 to a processor 6 directly or via input / output means (I / O ports) 4. Furthermore, a connection of a MODEM 23 via the BUS 11 directly or via the aforementioned input / output means 4 is provided, which is not shown in more detail in FIG. 1a.
  • the chip card which has to be inserted into the chip card read / write unit 21 includes an external non-volatile memory 25. Such a non-volatile memory can also be present in a similar system.
  • security bits are set by programming the internal EPROM during the manufacture of the franking machine in the OTP processor. Observing such security-relevant routines, such as billing routines, with an emulator / debugger would also lead to a change in the timing, which can be determined by the OTP.
  • This also includes a clock generator / counter circuit for the specification of time intervals or clock cycles, for example for time-out generation or printer control. The clock generator / counter circuit is advantageous for program runtime monitoring used, which is described in more detail in the application EP 660 269 A2.
  • the clock / counter circuit When a certain time has elapsed and the expected event has not occurred, the clock / counter circuit generates an interrupt which reports to the microprocessor that the time has elapsed without success, whereupon the microprocessor initiates further measures.
  • the monitoring function is carried out in the aforementioned manner by the aforementioned first security means, which is part of the processor (OTP) and which becomes effective in connection with appropriate software during the operation of the franking machine.
  • OTP processor
  • a code word in the external NVM 5a, 5b or 25 is deleted. This can be done by overwriting with a predetermined other word, for example 0000.
  • the advantage is in particular that the safety circuit reacts to manipulation by unauthorized intervention in the franking machine during operation.
  • the monitoring function is also carried out in the second variant - shown in FIGS. 1b and 2b - in the aforementioned manner, but now by the safety circuit formed by means 6a and 6d, which is part of the processor (OTP) and which is associated with corresponding software takes effect during the operation of the franking machine.
  • a CMOS single-chip 8-bit microcontroller Philips 80C851 or 83C851 with a non-volatile 256x8-bit E 2 PROM can, for example, be used as the processor as internal processor memory.
  • the code word can be stored in the above-mentioned internal processor memory more than 50,000 times in a non-volatile manner. Data retention is also guaranteed for 10 years.
  • Another suitable processor is, for example, the TMS 370C010 from Texas Instruments, which also has an internal 256 byte E 2 PROM.
  • the internal franking machine security circuit for postal register data and other security-relevant data protects the data content of non-volatile memories, for example CMOS-SRAMs supported by a lithium battery, against the use of illegally cloned copies without billing.
  • the aforementioned lithium battery-supported CMOS SRAMs have a lifespan of at least 10 years.
  • a non-volatile memory device is available from Dallas Semiconductor for the DS1230Y / AB, for example, a memory area of 256 K or a memory area of 1024 K for an NV-SRAM for the DS1245Y / AB.
  • the clock / date module 8 can also be protected by the same method.
  • This module is a non-volatile timer RAM and also contains a lithium battery for at least 10 years.
  • the DS 1642 device from Dallas Semiconductor has a 2K x 8 NV-SRAM.
  • the safety circuit stores in this non-volatile memory, for example, only data at the time the franking machine is switched on or restarted after a standby operation, that is to say at times when there is no billing requirement and no franking takes place.
  • Normal E 2 PROM memories in particular of the 28256 type, do not require an internal battery and allow at least 10,000 to 100,000 read / write cycles.
  • the internal postage meter security circuit for postal register data and other security-relevant data accordingly controls the aforementioned non-volatile memory modules so that the service life is increased or sufficient.
  • the data content of the postal register as If the checksum is stored in encrypted form, manipulation of the postal register can be effectively prevented from the start.
  • an OTP processor ONE TIME PROGRAMMABLE
  • Set flags prevent the safety-relevant data from being read out of the processor.
  • a known checksum method is based on a MAC (MESSAGE AUTHENTIFICATION CODE) which is attached to the data to be backed up. Such MAC protection is advantageously placed over the postal register data.
  • the aforementioned code word which is changed at intervals in terms of time or quantity, can also be used for MAC protection of the postal register data.
  • a stored code word is sufficient, which is changed at intervals to guarantee security.
  • the monitoring function is also implemented in the processor in the first variant — shown in FIGS. 1a and 2a.
  • an 8051 processor with a 16 kbyte on-chip EPROM can be used as internal program memory.
  • the internal OTP-RAM has a memory area of 256 bytes.
  • the non-volatile memories containing the postal register data in particular battery-backed CMOS-RAMs (Bat-NV-CMOS-RAMs), contain a code word which corresponds to the last operating state of the franking machine before switching off or power failure or before a certain downtime (status by) or before the program was interrupted and that the old code word is replaced by a predetermined new code word at least when the franking machine is switched on.
  • Battery-backed CMOS-RAMs Bat-NV-CMOS-RAMs
  • the code word thus becomes predetermined Events automatically changed by the operational franking machine in all non-volatile memories that deal with security-relevant data.
  • Such a measure prevents a cloned memory content of a non-volatile memory (Bat-NV-CMOS-RAM's) from being used more than once because the code word in the non-volatile internal processor memory and in the post register (Bat-NV-CMOS-RAM's) is changed, as soon as a predetermined operating state of the franking machine is reached after switching on the machine or after voltage recovery after a failure, after leaving the communication mode or after reloading the franking machine with a credit or after a certain downtime (stand by) or after another program interruption.
  • the above Measure does not prevent duplication or cloning of a Bat-NV-CMOS-RAM or other NVRAM's.
  • a duplicate of the memory content, which is exchanged for the memory content of the original, can also be used.
  • the original's code word becomes invalid later, i.e. a replacement of the memory contents would be noticed by the processor due to the code word in the non-volatile internal processor memory, which has meanwhile also been changed.
  • the code words cannot be changed by the manipulator without knowledge of the key and the parameter data, even if the data content of the memory has remained the same, if the algorithm for forming the new code word were known.
  • a known encryption method such as DES, can therefore be used.
  • the method for increasing the security against manipulation of critical register data comprises further security steps, which are shown in FIG.
  • step 106 the code words stored in the non-volatile memories to be protected are read in succession and then transmitted to the processor.
  • the processor carries out a security step 107 for checking the previously valid code word and a step 108 for correspondingly changing the code word if the check has shown the correspondence or absence of errors. Otherwise, a branch is made from step 107 to step 109 in order to set a number characterizing the kill mode or at least a MAC-secured kill mode flag in the permanently installed non-volatile external security memory.
  • FIGS. 8a to c show pointer positions according to the method according to the invention.
  • FIG. 8a shows an initial state presetting. Such a step is required in step 107 (FIG. 7) in order to determine the correct old code word from the stored list.
  • the pointer stands on a number 1.
  • the serial number of the franking machine can also form a starting number.
  • the pointer position (number 1 or starting number) is saved.
  • a corresponding first code which is at a first position in the list, is then stored in the NVM 5a or 5b to be protected.
  • the franking machine leaves the manufacturing plant with a number 1 or initial number.
  • the franking machine is now switched on or switched on again (FIG. 8b).
  • the first code is read from the list in accordance with the pointer position and compared with the first code stored in the NVM 5a or 5b to be protected.
  • This first phase corresponds to step 107 of FIG. 7, in which it is determined whether a memory has been removed in the meantime without billing and has been replaced by another and has now been used again with old data. If the codes are the same, the FIG. 8 c, the pointer position is forwarded to a second code word in the list, which can be gathered from step 108 in FIG. 7.
  • the pointer position is changed in a predetermined manner. In the simplest case, the pointer position is incremented or decremented.
  • the first code in the NVM 5a or 5b to be protected is now replaced by the second code, ie overwritten. If the postage meter machine is now switched on or switched on again after switching off, a check is carried out on the basis of the current code in a manner analogous to that shown in FIGS. 8b and 7, step 107.
  • a count value is incremented in the internal NVM 20 before a new code word (W ', T', U ', V') is formed.
  • a cryptographic function can be used as the mathematical function F, which is stored in the internal OTP-ROM as an algorithm or program.
  • the DES algorithm Data Encryption Standard
  • a random function can be used, for example to determine the new pointer in accordance with F.
  • code words comprises the calculation and / or selection from a list of code words which is stored in the internal OTP-ROM. Ideally, each code word should only be used once to protect the external non-volatile read / write memory. However, this requires a large number of code words, which are stored in the internal OTP-ROM.
  • a code word stored in the list can be read out in encrypted form if a special processor is present.
  • the code words from the memory to be protected and the code word from the aforementioned list, to which the pointer points, are encrypted and transmitted to the chip card, which also has a processor which can also carry out a comparison for the purpose of security checking.
  • the code word is transmitted from the franking machine to the memory of a remote similar processor system. Every time the franking machine is switched on, a connection is made to the memory of the remote similar processor system. The absence of errors is determined by comparing the code word stored externally in the remote similar processor system with the code word stored in the post register NVRAM, in order then to form a new code word and to store it in the NVRAM of the remote similar processor system and in the post register NVRAM. The comparison of the unique code words is carried out in the franking machine.
  • An expedient variant consists in storing the unique code word formed according to an algorithm in a more specific transmission medium (e.g. chip card).
  • a communication connection to the remote similar processor system would then not be a prerequisite for commissioning the franking machine if the chip card was inserted at the beginning, which is also the last time, i.e. was inserted in previous frankings.
  • a corresponding communication mode 300 is of course provided after switching on during the running time of the postage meter machine.
  • step 106 the code words stored in the non-volatile memories to be protected are read in succession and then transmitted to the processor.
  • the processor carries out a security step 107 for checking the previously valid code word and a step 108 for correspondingly changing the code word if the check has shown the correspondence or absence of errors. Otherwise, a branch is made from step 107 to step 109 in order to delete a code word Y or to set at least one kill mode flag in the non-volatile memory 6d in the processor.
  • a new code word is generated again with internal data and according to an internal program by means of such a mathematical function F, which makes the external replication of code words considerably more difficult, so that manipulation with the intention of forgery is made practically impossible.
  • the inclusion of postal register values as a test characteristic value and gluing or secure encapsulation of at least one of the external non-volatile read / write memories can be dispensed with. Only later, for example in franking mode 400 (FIG. 5), is the data content checked during billing whether the register value sum R3 is equal to the sum of ascending register R1 (residual value) and descending register R2 and / or whether the postal register values are valid (e.g. through authenticity checks, plausibility checks and similar checks).
  • the method according to the invention is integrated in an overall flow chart of the franking machine, shown in FIG. 3. After the start 100, measures for the security check and for restoring a defined initial state are carried out in a step 101 comprising the start routine and initialization.
  • the further steps 102 to 105 optionally take place to restore operational readiness, for example after the franking machine has been repaired, and are shown in more detail in FIG.
  • Step 106 to 109 the read old ones Checked code words and exchanged for new code words.
  • the new code word is then also transferred to the NV-RAMs NVM 5a and NVM 5b, where it forms a corresponding code word (V ', U').
  • Step 108 also includes checking that the code words (U ', V' or W ', T') have been correctly stored. If an implausible deviation is found when checking the previously valid code word, a branch is made to a step 109 which includes measures which ultimately prevent further franking with the franking machine. For example, a third code word Y specified by a data center can be deleted, the absence of which proves the manipulation. The system routine (point s) is then followed.
  • the overall flowchart for the franking machine shown in FIG. 3 has steps 201 to 206 and 207 to 208 for monitoring further criteria. If, for example, a security criterion checked in step 207 is violated, the franking machine enters a corresponding kill mode (step 208). The franking machine enters a sleeping (warning) mode (203-206) based on a security criterion checked in step 202 , if a connection to the data center has not yet been established after the consumption of a predetermined number of pieces.
  • the franking machine and the data center each agree on a predetermined number of items S, ie the amount that can be franked until the next connection is established. If communication fails (quantity control), the franking machine slows down its mode of operation (sleeping mode variant 1) so that work can continue without a warning being displayed up to the next quantity limit. However, it is possible to issue a renewed warning at ever shorter intervals, ie after a predetermined number of frankings, which is more and more urgent draws attention to the need for communication with the data center (sleeping mode variant 2).
  • step 203 comprises a sub-step for error statistics in accordance with the statistics and error evaluation mode 213.
  • This variant does not require the aforementioned step 204.
  • Franking is not affected by Sleeping Mode. As long as the check in step 205 shows that the number of pieces S is even greater than zero, step 207 is reached. Only the warning appears more and more on the display. Otherwise, a branch is made to step 206, for example setting a FLAG, which is queried later in step 301 and evaluated as a communication request.
  • step 206 an additional indication can also be given that communication is now taking place automatically and as long as the franking function is at rest until communication is successfully completed.
  • the franking machine user can call up the communication mode 300 at any time beforehand.
  • step 207 preceding communication mode 300, further criteria relevant to security against manipulation are checked. If the machine is tampered with and has been tampered with, it is directed to step 208 in order to prevent franking with the tampered with machine. In such a case, the machine would enter kill mode. If the franking machine is only in sleeping mode, franking is not prevented.
  • step 207 After checking the criteria for the kill mode (steps 207 to 208) and for the sleeping mode (steps 202 to 206), one shown in FIG Point t reached.
  • step 209 entries can be made before point e is reached.
  • step 211 If the communication was successful, a query is made in step 211 as to whether data have been transmitted. Step 213 is then reached. In step 213, the current data are determined or loaded, which are called in step 201 and then required again for the comparison in step 202.
  • the transmitted decision criterion is preferably the new number S '.
  • the evaluation mode in step 213 also includes the formation of new code words U ', V' for the non-volatile memories to be protected as a result of a reloading process which was carried out in communication with a data center.
  • Steps 106 to 109 shown by way of example in FIG. 7 for code word Y also run analogously for code words U ', V'.
  • a new third code word Y 'specified by the data center is loaded, which can replace the old third code word Y.
  • opening the franking machine and replacing defective components may be unavoidable. For this reason, previous measures to obtain authorization to intervene are required, which allow the franking machine to be operated after it has been repaired. An unauthorized opening of the franking machine is excluded. If the Postage meter machine is put into operation again after the intervention, because of the authorization to intervene for the postage meter machine, that new third code word Y 'specified by a data center can replace the old third code word Y, as was proposed, for example, in the application DE 43 44 476 A1.
  • the franking machine could continue to be operated.
  • the franking machine can continue to be operated because a new third code word Y 'is used, branching to step 108, as shown in FIG. 7, in order to form a new changeable code word (T', W ') and as Load code word (V ', U') into the NV-RAMs.
  • the complementary shadow (V '', U '') can be used in at least one of the memory areas or NVRAMs are worked on.
  • the form of checking the previously valid code words and replacing them with new code words in one of the memory areas of the non-volatile memory NVM 5a, 5b also changes in accordance with steps 102 to 105 shown in FIGS.
  • the new code words V ', U' and / or Y 'stored in a memory area E of the NVM 5a, 5b are deleted and the new code words are appropriately addressed so that they can be called up.
  • This can advantageously be done analogously to the sequence - as shown in FIG. 7 in DE 43 44 476 A1 - in that the new code words V ', U' and / or Y 'refer to the address of the old code words V, U and / or Y can be set.
  • a point p is reached and, according to the details of the flowchart shown in FIG. 4, a first saving step 106 of the flowchart of the method according to the invention shown in FIG. 7 is carried out via steps 102 to 105 reached.
  • Step 101 shown in FIG. 3 comprises several sub-steps, which are explained in more detail below with reference to FIG. 4.
  • step 1010 The usual hardware and display initialization routines first run in step 1010 before a step 1011 for timer and interrupt start is reached.
  • the internal program then starts with security checks.
  • security checks it can already be checked here in step 1020 whether a code word or memory content is valid. Then, if valid, step 1040 is reached for the automatic input of stored data with print data preparation and embedding of the image data.
  • a further step 1052 tests whether the program module has to be processed further. If this is not the case, the next program module PM (+1) is called in step 1054. Otherwise, it is checked in a step 1053 whether program sections of a previous program module PM (-1) have to be finished and branches to a step 1056 or a step 1055 if a program section of the current program module PM must be processed further. After determining the current program module in accordance with steps 1054, 1055 or 1056, a branch is made to point p.
  • markers for example a phase identifier, as is known from DE 42 17 830 A1, or pointers are set which, after a power failure and being switched on again, enable defined states to be reconstructed for further program execution.
  • point s and thus system routine 200 are reached.
  • the point s is reached after the steps for a test mode 216, for a display mode 215 and for a franking mode 400 have been carried out.
  • the invention is based on the fact that after switching on, the postage value in the value print corresponding to the last entry before switching off the franking machine and the date in the day stamp corresponding to the current date are automatically specified that the variable data in the fixed data for the frame for the print and are electronically embedded for all associated data that remain unchanged (FIG. 4, step 1040).
  • the time in the battery-supported clock / date module 8 continues to run even when the franking machine is switched off and is constantly stored at least as a date and in step 1040 of FIG. 4 in the initialization routine 101 embedded.
  • step 401 is reached in franking mode 400 after the franking machine has been switched on, after the system routine 200 has been carried out and during the operating mode, data that has already been stored can be accessed without input.
  • This setting relates in particular to the last setting of the postage meter with regard to the postage value, which is displayed in step 209, before a new entry, display and print data preparation is carried out, if necessary.
  • the current variable pixel image data (date and postage value) are embedded in the fixed frame pixel image data.
  • step 401 the input means are queried for any further inputs. If there are further entries, a loop counter is reset in step 403 and branched back to point t (FIG. 3).
  • the input data which are entered with a keyboard 2 or via an electronic scale 22 connected to the input / output device 4 and calculating the postage value, are automatically stored in the memory area D of the non-volatile working memory NVM 5.
  • data records of the sub memory areas for example B j , C etc., are also stored in a non-volatile manner. This ensures that the last input values are retained even when the franking machine is switched off, so that after switching on the postage value in the value print is automatically specified in accordance with the last entry before the franking machine was switched off and the date in the day stamp is specified in accordance with the current date.
  • step 209 the possible entry of new values is queried. If, for example, no new postage value has been entered, then the previous postage value stored in the memory area is used and point e (FIG. 3) is reached in order to query further entries before the franking mode 400 (FIG. 5). is achieved.
  • step 401 If a new input request is found in step 401, the process branches back to step 209 via step 403. Otherwise, branch to step 402 to increment the loop counter. Via step 404, in which the number of loops passed through is checked, step 405 is reached in order to wait for the print output request. A letter that is to be franked is detected by a letter sensor. This generates a signal for the print output request.
  • step 405 the print output request is awaited, in order to then branch via steps 407, 409 and 410 to the billing and printing routine in step 406. If there is no print output request (step 405), the process branches back to step 209 (point t) and, if there is no communication request, via steps 211, 212 and 214 to step 401 of franking mode 400, according to the overall flow chart shown in FIG. 3.
  • a communication request can be made at any time by manual input or another input can be made in accordance with the steps test request 212 and register check 214.
  • Step 401 is reached again. If no input request is recognized, further steps 402 and 404 - as shown in FIG. 5 - are carried out.
  • a further query criterion can be queried in a step 404 in order to set a standby flag in step 408 if, after a number of loops that have been run through, no input has been made and no print output request has been made.
  • the standby mode is also reached when a letter sensor 16 known per se - shown in FIG. 1a - does not determine a next envelope in a predetermined time which is to be franked.
  • Step 404 - shown in FIG. 4 - in franking mode 400 either comprises a query for a timeout or for the number of passes through the program loop, which ultimately leads back to the input routine in accordance with step 401. If the query criterion is met, a standby flag is set in step 408 and the system routine 200 branches back directly to point p or alternatively to point s without the billing and printing routine being executed in step 406. When branching to point p, an additional change of the code words can be achieved during the standby mode. In the case of a variant (not shown in FIG. 5) with a branching to point s, however, only a change in the code words can only be achieved after switching on.
  • the standby flag is queried during the system routine 200 in step 211 and, if necessary, is reset after the checksum check in step 213 if no attempted manipulation is detected.
  • the query criterion in step 211 is expanded to include the question of whether the standby flag is set, ie whether the standby mode has been reached. In this case, a branch is made to step 213.
  • a preferred variant with manipulation monitoring during the standby mode is to delete a code word Y in the manner already described if a manipulation attempt in the standby mode has been determined in step 213 in the aforementioned manner. The absence of code word Y is recognized in step 207 and then branched to step 208.
  • the advantage of this method in connection with the first mode is in that the manipulation attempt is statistically recorded in step 213.
  • the standby flag can thus be queried in step 211 following communication mode 300. This does not branch to franking mode 400 until the checksum check has shown that all or at least some selected security-relevant programs are complete and valid.
  • step 405 If a print output request is recognized in step 405, further queries are made in subsequent steps 409 and 410 and in step 406. For example, in step 407 a check of the register values and additionally the code word Y can be carried out and in step 409 the validity and additionally the presence of a kill mode flag set in step 208 (FIG. 3) is determined in order to proceed to step 410 branch. Otherwise, a branch is made to step 413 for statistical and / or error evaluation and step 415 for displaying the error if the register values were not authentic.
  • step 410 the achievement of a further quantity criterion is queried.
  • the system automatically branches to point e in order to enter communication mode 300 so that a new predetermined number of pieces S is again credited by the data center.
  • the process branches from step 410 to steps 4060, 4061 or 4062 and 4063 to the billing and printing routine in step 406.
  • a pseudo-random sequence is displayed during the operation of the franking machine before each print and thus before each new number of items to be registered Franking imprints generate a random number based on the previous number of items and, if applicable, the current time supplied by the clock / date module.
  • a pseudo-random generator is provided with appropriate hardware (not shown) or with a program stored in the internal OPT-ROM of the OTP processor. At least one of the large number of possible random words that can be generated is stored in the internal OPT-ROM of the OTP processor.
  • step 4061 After a comparison in step 4061 and a subsequent authenticity check of the MAC in step 4062 within the OTP processor, if there is a match, redundant storage of the new code word is stuck once in the releasable non-volatile memory (NVRAMs) and, according to the invention, in the aforementioned non-releasably firmly on the circuit board non-volatile memory (E 2 PROM) 20 or in the internal OTP-NVM 6d or in the external memory 25.
  • E 2 PROM circuit board non-volatile memory
  • step 4061 a large number of stored further conditions can also be queried, when they result in the result that a new code word is stored in a non-volatile memory 20, 25 or in the internal OTP memory 6d.
  • E 2 PROM can be used.
  • the permissible number of read / write cycles for an E 2 PROM is not exceeded if, for example, the average non-volatile memory (E 2 PROM and NVRAMs) is only redundantly written with a new code word every twenty-fourth franking.
  • MAC MAC
  • the accounting data in the non-volatile memories to be protected 5a and 5b with reference to the appended MAC usually 'checked s.
  • step 4061 event is in - shown unspecified - sub-steps of the step 4062 of the accounting data set in the OTP transmitted 6, to check it on the basis of that MAC's or codeword, which in - as the second locking means to prevent unauthorized manipulation serving - non-volatile memory is stored.
  • the accounting data record is encrypted to a MAC using the code word.
  • the MAC formed in this way is compared with the MAC attached to the accounting data record in the non-volatile memory 5a and 5b to be protected. The comparison can also be made in a crosswise comparison. If the MAC ' Is is authentic, a branch is made to step 4063.
  • step 4063 provision is made to at least prepare both the formation of the new code word and the storage of billing data before branching to the billing and printing routine in step 406. In the event of an established error or if the MACs do not match, step 4062 branches back to step 413 for statistical and error evaluation.
  • step 4060 if in step 4060 a non-matching pseudo-random number Z is generated during operation of the franking machine before each footprint, that is, a pseudo-random number Z, which in the comparison in step 4061 a mismatch with the at least one internal OPT-ROM of the OTP processor stored stored random number Z should result, then branching to the accounting and printing routine in step 406 without forming a new code word. The MAC formation then takes place using the previously valid code word.
  • the invention avoids that if the postal registers and their contents are removed without authorization in order to make any number of copies, that mail items can then be franked without billing at the data center or payment at the post office if cloned memory contents are used. It is not necessary to encapsulate the NVRAM components for the postal register with a security housing. If a potential manipulator, for example from the 1st to the 23rd franking, works with cloned memories (battery-backed CMOS RAMs), this can be determined automatically by means of a self-check by the franking machine if a code word has been changed in between.
  • the data contained in the postal register - in particular in the battery-backed CMOS NVRAMs - determined in accordance with a random or pseudo-random sequence number of frankings also stored non-volatile in the E 2 PROM 20, 25 or in the internal OTP memory 6d will.
  • a code is checked by the processor (in step 4062, Fig. 5) before each (in ⁇ approximately after the 24th posting) in the E 2 PROM and which for each new storage in the E 2 PROM is changed (in step 4063, Fig. 5).
  • This check code is stored in a kth register of the NVRAMs and can at the same time form a checksum, for example a MAC protection for the register values.
  • the checksum or MAC protection for the register values is done by changing and for NVRAM and E 2 PROM different algorithms and keys are formed, which are stored in an OTP-ROM of an OTP processor. Copying the E 2 PROM memory content to the NVRAM is therefore pointless if different test codes protect different memories with related or related memory contents.
  • each individual register value can be stored encrypted in the E 2 PROM.
  • An advantage of the invention is, however, that this does not have to be done with every settlement. Nor does each individual register value have to be stored redundantly in the E 2 PROM. A potential manipulator cannot restore the data to a row in the table itself. Which keys and algorithms are used where is listed in the OTP-ROM.
  • a pointer whose data is encrypted or stored in a MAC-secured manner in the E 2 PROM, points to corresponding positions in the list in the OTP-ROM (see Fig. 8).
  • a counter can be decremented or incremented to form the pointer.
  • step 4061 If a pseudorandom number has been reached (in step 4061, FIG. 5) and the check of the MACs by the NVRAM and by the E 2 PROM has shown that the data is authentic, in a preferred variant, billing is carried out and a CRC checksum is formed for all the register values at the point in time immediately before franking or before step 406 for the customary billing and printing routine and stored differently coded for NVRAM in the E 2 PROM (in step 4063, Fig. 5). If the process then branches to step 406, (FIG. 5), only the printing routine needs to be carried out, as is carried out, for example, in EP 576 113 A2, in step 49 of FIG. Otherwise, step 4061 branches directly to the normal billing and printing routine (in step 406, FIG. 5) and billing is carried out in step 406 before printing takes place.
  • the solution according to the invention is based on an expansion security of the processor with internal or external E 2 PROM with a permanent E 2 PROM attachment on the processor circuit board.
  • a random number is generated on the basis of the previous number of pieces and, if applicable, the current time supplied by the clock / date module.
  • Such electronic counters can also be implemented by means of the battery-supported clock / date module 8.
  • the clock / date module cannot be set to a previous date before the current date.
  • the running time is measured and entered into a random algorithm to form a number. If a predetermined number is reached, redundant storage in the E 2 PROM and NVRAM is carried out in the above-mentioned manner in a correspondingly secure manner during the next franking.
  • a pseudo-random algorithm is generated in terms of hardware by means of a bit pattern generator.
  • This is an n-fold shift register with special feedback, which can preferably be part of an ASIC.
  • the E 2 PROM and processor can be implemented with at least their safety-relevant parts.
  • the pseudo-random algorithm results in an average value of approx. 24 frankings, in which the data is saved redundantly.
  • a non-volatile memory in the OTP or (expanded) E 2 PROM arranged securely to the OTP is advantageously assumed in order to guarantee the security against manipulation with respect to cloned memory contents.
  • storage is not only dependent on specific times, such as when switching on and / or transition to standby mode, in order to ensure manipulation security with respect to cloned memory contents (branching to point p, FIG. 3), but the aforementioned time is now randomly granted.
  • the time of saving can thus no longer be logically derived or foreseen by a potential counterfeiter, but can only be determined retrospectively in relation to the number of pieces.
  • step 406 the content of the register data which has been used for billing in a known manner is checked and changed accordingly. For example, with a valid franking with a value> 0, the piece counter R4 is incremented. The register value R1 is reduced and the register value R2 is increased accordingly, so that the register value R3 remains constant. A checksum (for example CRC) is then formed over each of the register values and stored in the NVM 5a and / or NVM 5b together with the associated register values.
  • CRC checksum
  • the MAC Message Authentication Code
  • the MAC is an encrypted checksum which is appended to the register value when billed in step 406 (FIG. 4).
  • DES encryption is suitable, for example.
  • the data content can additionally be checked during billing whether the register value sum R3 is equal to the sum of the ascending register R1 (residual value) and descending register R2. Due to the security with the encrypted checksums, a content check can be completely dispensed with, especially since the data center carries out this every time the franking machine communicates. If all columns of a print image have been printed, the system branches back to the system routine 200.
  • the non-volatile memories (E 2 PROM and NVRAMs) are also redundantly written with a new code word in another last operating state of the postage meter machine. Such another last operating state is assigned to predetermined states, as described above.
  • the number of printed letters and the current values in the mail registers are registered in accordance with the entered cost center in the non-volatile memory 5a of the franking machine during the accounting routine 406 and are available for later evaluation.
  • a special sleeping mode counter is caused to continue counting during the accounting routine which takes place immediately before printing. If required, the register values can be queried in display mode 215 (FIG. 3). This then branches back to the system routine 200.
  • the TMS370 C010 from the Texas Instrument processor family is suitable for the postage meter internal safety circuit. This has an internal E 2 PROM of 256 bytes as NVM.
  • the non-volatile internal processor memory and the non-volatile postal register memory (Bat-NV-CMOS-RAM's) to be protected do not contain the identical, but one of the two the complementary code word.
  • the processor-internal code word cannot be queried from the outside.
  • different code words are assigned to individual memories, the different code words, however, having a common stem from which they were formed and the common stem being reconstructed by the processor in order to check the validity of the individual code words.
  • the routine for the code word comparison or for the validity check is queried in the processor each time it is switched on or when the program is continued. If a discrepancy is found in the comparison, the franking machine is blocked for further operation.
  • the number of new code words formed is counted from a predetermined point in time and is stored in the non-volatile memory in the processor. At the time of communication with the data center, the aforementioned number of code words formed in the past and the currently valid code word are queried. If the franking machine is blocked unintentionally due to invalid code words, this then enables the old state to be restored afterwards by appropriate data transmission from the data center to the franking machine.
  • a last operating state of the franking machine corresponding to the code word is a state as a result of the manufacture or reloading of the franking machine or a state before the franking machine is switched off or a state before a voltage failure or before a standstill (stand by) or before a program interruption includes.
  • Such last operating states can also occur when monitoring further criteria, in that the franking machine switches to a corresponding mode.
  • the overall flow chart for the franking machine shown in FIG. 3 has such steps 202 and 207 for monitoring further criteria. If one of the security criteria is violated, the franking machine enters a corresponding mode and additionally executes steps 106 to 109 according to the invention - shown in FIG. 7 - in corresponding subroutines.
  • the franking machine enters a sleeping mode, for example, if a connection to the data center has not yet been established after a predetermined number of pieces has been consumed, and if communication is not triggered manually by the user, there is automatic communication with the data center and one if the number of pieces credit is exhausted Implementation of the procedure to increase the security against manipulation of critical register data.

Abstract

Ein Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten umfaßt die Schritte: Laden eines Codewortes, eines Zeigers oder MAC's, welcher einem Codewortes zugeordnet ist, in einen ersten nichtflüchtigen Speicher (20 bzw. 25), der gegen Herausnahme und Manipulation abgesichert ist, Laden eines Codewortes oder eines mittels des Codewortes gebildeten MAC's in zweite die Postregisterdaten enthaltende zu schützende nichtflüchtige Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine zugeordnet ist, Gültigkeitsprüfung des Codewortes oder des mittels des Codewortes gebildeten MAC's mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend mindestens aufgrund einer Pseudozufallsfolge in Abständen, Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort, wenn der Prozessor, nach Gültigkeitsprüfung die Gültigkeit des alten Codewortes oder oder die Gültigkeit des mittels des Codewortes gebildeten MAC's anerkennt oder, Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozessor nach Gültigkeitsprüfung die Gültigkeit des alten Codewortes oder die Gültigkeit des mittels des Codewortes gebildeten MAC's aberkennt. <IMAGE>

Description

  • Die Erfindung betrifft ein Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten, welche in informationsverarbeitenden Einrichtungen vor einer Manipulation geschützt werden müssen, insbesondere von kritischen Registerdaten in elektronischen Frankiermaschinen oder in einer anderen elektronischen Einrichtung, in welcher sicherheitsrelevante Daten gehändelt werden bzw. in der eine Abrechnung von geldwerten Daten vorgenommen wird.
  • Frankiermaschinen sind, mit mindestens einem Eingabemittel, einem Steuermodul, einem Speichermittel und einem Druckermodul ausgerüstet. Im Speichermittel werden nichtflüchtig Daten gespeichert, welche zum Betrieb der Frankiermaschine erforderlich sind sowie Daten, welche Geldmitteln entsprechen.
  • Die Frankiermaschinentypen unterscheiden sich in Form und Ausstattung entsprechend des zu bearbeitenden Postaufkommens. Sollen aber verschiedene Typen an Frankiermaschinen produziert werden dann müssen eine Vielzahl an Schaltkreisen (ASIC's oder/ und andere Bauelemente) vorgesehen werden. Gerade die Vielzahl an Bauelementen und Schaltkreisen bietet dann Ansatzpunkte für eine Manipulation, wenn kein alternativer Aufwand getrieben oder ein Sicherheitsgehäuse eingesetzt wird.
  • Aus dem EP 465 236 A2 ist ein ASIC bekannt, welches eine Schaltung zur Drucksteuerung zur Motorsteuerung und zur Abrechnung umfaßt. Die Schaltung zur Drucksteuerung umfaßt einen Speicher für feste und einen anderen für variable Daten, welche mit den festen Daten überlagert werden. Ein Motorcontroller ist für ein Aktuieren eines Motorantriebes in Abhängigkeit von der Poststückzuführung vorgesehen. Ein Vorteil ist zweifellos die hohe Manipulationssicherheit aufgrund der Verwendung eines einzigen ASIC, d.h. resultierend allein bereits aus der eingeschränkten Anzahl an Ansatzpunkten für eine Manipulation. Ein Nachteil der Verwendung eines einzigen ASICs ist die schlechte Verwendbarkeit für unterschiedliche Frankiermaschinen, welche einen unterschiedlichen Drucker und Steuermodul je nach Art des realisierten Frankiermaschinensystems bzw. Poststraße aufweisen.
  • Aus der US 4 858 138 ist ein modulares System für eine Frankiermaschine mit Meter/Base-Trennung bekannt, wobei ein Sicherheitsmodul (Meter) mit einem Drucksteuermodul (Base) gekoppelt ist. Das Sicherheitsmodul kann Kreditkartenform aufweisen. Als elektrische Verbindungseinrichtung zum Drucksteuermodul dient hierbei ein als parallele CPU-Schnittstelle ausgebildeter Hochgeschwindigkeitskommunikationsbus. Der Drucksteuermodul weist einen Hochgeschwindigkeitsdrucker auf. Von der Tastatur des Drucksteuermoduls eingegebene Portobetrag wird zum Sicherheitsmodul übertragen. Der Sicherheitsmodul liefert eine digitale Darstellung des festen Teils des Postwertzeichens und eine verschlüsselte Gültigkeitsnummer. Die Gültigkeitsnummer umfaßt den Portobetrag und ggf. weitere Informationen, wie die Frankiermaschinenseriennummer und das Datum. Die verschlüsselte Gültigkeitsnummer ist geeignet, um ein illegales Drucken eines Geldbetrages, der nicht berechnet wurde, festzustellen. Die Fälschungsicherheit beruht auf einer in einer Sicherheitslogik vorgenommenen Verschlüsselung einer Gültigkeitsnummer, die über eine CPU-Schnittstelle übertragen wird. Diese Lösung bringt aber keinen Vorteil bei Manipulationen, welche im Sicherheitsmodul bzw. am Bus zwischen den Postwertspeichern und der Sicherheitslogik vorgenommen werden. Ein Nachteil ist hier, daß als einziger Schutz nur das Sicherheitsgehäuse des Sicherheitsmoduls vorgesehen ist. Nachteilig ist auch die hohe Anzahl der Leitungen der Meter/Base-Verbindung an der Schnittstelle zur Base und daß eine teure Hochgeschwindigkeitsschnittstelle erforderlich ist.
  • Eine weitere Manipulationsmöglichkeit besteht während der Dateneingabe beim Nachladen der Frankiermaschine mit einem Guthaben. In üblicher Weise wird von einer Datenzentrale bzw. von einem Speicher eines Übertragungsmittels, vorzugsweise einer Chipkarte, ein Guthaben geladen. Davon werden die durch die Frankiermaschine verbrauchten Portobeträge abgebucht.
  • Zur Sicherheit gegen betrügerische Manipulationen ist bereits weiterhin aus der DE 38 23 719 bekannt, ein repräsentatives Zeichenmuster ab einem bestimmten Datum auszudrucken. Bei der Prüfung der Post wird im Postamt das Druckdatum und das Zeichen mit dem Muster verglichen, das für dieses Datum berechtigt ist. Zum Drucken dient eine Berechtigungsvorrichtung, die eine Speichervorrichtung zur Speicherung einer Anzahl Zeichenmuster- und Datumsdaten aufweist. Die Daten, die das repräsentative Zeichenmuster einem definierten Datum zuordnen, werden über eine Fernwertvorgabe mittels einer externen Wahlvorrichtung dann aktualisiert, wenn die Anwender der Frankiermaschinen um eine Rekreditierung nachsuchen. Die Sicherheit der Daten beruht auf dem Prüfen der Daten in der Datenzentrale bevor ein Nachladen erfolgt und im Prüfen der Frankierabdrucke seitens der Postbehörde. Die Datenzentrale trägt somit zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten bei. Dieses Sicherheitssystem ist jedoch auf Festnetze beschränkt und für tragbare Frankiermaschinen, die von einem Ort zu einem anderen Ort mitgeführt werden (mobiles Büro) nicht anwendbar. Eine Selbstprüfung seitens der Frankiermaschine auf Manipulation ist nicht vorgesehen.
  • Ein Portorechner, welcher aus dem Gewicht des Poststückes den gültigen Portobetrag bestimmt, ist gewöhnlich bereits in der an die Frankiermaschine angeschlossenen Waage integriert. Jedoch wurden auch schon Lösungen mit einem in die Frankiermaschine integrierten Portorechner vorgeschlagen. Einer Portogebührentabelle ist die für das Poststück erforderliche Portogebühr entnehmbar.
  • Beispielsweise weist eine aus der DE 42 13 278 A1 bekannte transportierbare Frankiermaschine Speichermittel und mit diesen in Verbindung stehende Empfangsmittel für über ein Übertragungsmittel übertragbare Daten auf. Das Speichermittel der Frankiermaschine weist aktualisierbare Abschnitte für an bestimmte Bedingungen geknüpfte Tabellen auf, beispielsweise für mindestens eine aktuelle Portogebührentabelle, anhand derer die jeweilige Portogebühr ermittelt wird. Die Frankiermaschine weist im Steuermodul erste Mittel auf, die bei Inbetriebnahme der Frankiermaschine mindestens eine Portogebührentabelle für die Frankiermaschine aus dem Speicher des Übertragungsmittels über die Empfangsmittel in einen vorbestimmten Speicherraum des Speichermittels laden. Sie enthält zweite Mittel im Steuermodul, die mittels der über dritte Mittel eingegebenen Bedingungen anhand des bereits eingegebenen Absendelandes bzw. - ortes und des Datums die aktuelle in Kraft befindliche Portogebührentabelle auswählen, um diese zu laden. Diese ersten und zweiten Mittel sind hardware- und/oder softwaremäßig als ein fest- oder freiprogrammierbarer Logikmodul bzw. Programm einer Mikroprozessorsteuerung ausgebildet und bewirken bei jedem Einschalten eine Verbindungsaufnahme zum externen Speicher.
  • Solche aktualisierbaren Abschnitte des Speichermittels sind ebenfalls für andere Informationen und/oder Zusatzinformationen vorgesehen. Insbesondere kann die Sicherheit vor betrügerischen Manipulationen dadurch erhöht werden, daß bei der Aktualisierung eine dem Aktualisierungsdatum zugeordnete Anzahl von Funktionen in die Frankiermaschine ladbar sind und die weiteren zu ladenden auslösbaren Funktionen vielfältig und nicht wählbar vorgegeben sind. Zur Sicherheit gegen betrügerische Manipulationen kann von der nationalen Postbehörde, zu der der jeweilige Absendeort gehört, ein nur von der jeweiligen nationalen Postbehörde maschinenlesbarer Ausdruck vorgegeben sein. Dieser Ausdruck kann beispielsweise die Transaktionsnummer für eine Berechtigungprüfung in Strichcodedarstellung sein oder ein anderes vereinbartes Zeichen, welches unter Verwendung des gleichen oder weiteren Druckers an einer definierten Stelle auf dem Postgut abgedruckt wird.
  • Solche Sicherheitsmaßnahmen sind geeignet den Einsatz eines Farbkopierers zur unerlaubten Vervielfälltigung eines Frankierabdruckes zu vereiteln. Sie können jedoch nicht die innere Manipulationssicherheit der Daten in der Frankiermaschine erhöhen.
  • Einige der Postbehörden fordern ein redundantes Abspeichern von Abrechnungsdaten in Speichern von unterschiedlicher Technologie. Jede Technologie ist mit spezifischen Vor- und Nachteilen behaftet. Einige Halbleiterspeicher benötigen keine Batterie, um eine Ladung über viele Jahre zu speichern. Sie haben aber zu wenig Speicherkapazität. Elektrisch programmierbare nichtflüchtige Speicher, welche keine Beschränkungen durch eine gegrenzte Batterielebensdauer haben, sind beispielsweise E2PROM's. Der Nachteil der E2PROM's besteht in der beschränkten Anzahl an zulässigen Schreib/Lesezyklen. Bei Überschreitung der zulässigen Anzahl an Schreib/Lesezyklen, können Fehler in einem benutzten Speicherbereich auftreten.
  • Im EP 457 114 B1 wurde eine Frankiermaschine mit nichtflüchtiger Speicherung von Abrechnungsdaten vorgeschlagen, wobei jeder Abrechnungsdatensatz einen Anfangsabschnitt mit Stückzahldaten enthält. Über die Anfangsabschnitte läßt sich der aktuelle Datensatz bestimmen. Bei einem Fehler in einem benutztem Speicherbereich wird auf einen anderen bisher ungenutzten Speicherbereich umgeschaltet, um den Datensatz abzuspeichern. Somit ist ein EPROM um so länger benutzbar, je mehr ungenutzte Speicherbereiche im Speicher noch vorrätig sind. Das beschränkt aber die Anzahl an zu speichernden Daten.
  • Gewöhnlich werden in Frankiermaschinen batteriegestützte CMOS-RAM's verwendet, um die Abrechnungsdaten in den Postregistern nichtflüchtig zu speichern. Nur begrenzt durch die Batterielebensdauer, können die Abrechnungsdaten beliebig oft gespeichert werden. Wenn eine Batterie für CMOS-RAM's gewechselt werden muß, müssen die Daten auf einen anderen Speicher, beispielsweise auf einem anderen batteriegestützten CMOS-RAM kopiert werden. Dieses Kopieren aller Daten von einem Speicher auf einen anderen Speicher wird auch als Klonen bezeichnet. Der neue batteriegestützte CMOS-RAM oder der alte batteriegestützte CMOS-RAM mit ausgewechselter bzw. erneuerter Batterie sind beide voll einsetzbar, wenn in ihren Speicherbereichen alle Daten identisch vorhanden sind. Durch Klonen könnten bei geöffneten Gehäuse auch unbefugte Personen beliebig viele Speicher mit identischen Dateninhalten versehen.
  • Damit nicht unbefugt die Speicherinhalte geklont wiederverwertet werden, müßte aber die Abrechnungseinheit wieder mit einem Sicherheitsgehäuse ausgerüstet werden. Andererseits ist dann aber dadurch weiterhin der Austausch defekter Bauelemente erschwert.
  • In der EP 560 714 A2 sind die Montageeinheiten durch ein Sicherheitsgehäuse gekapselt. Zur fälschungssicheren Übertragung von Abrechnungsdaten von einem Speicher in einer defekten Montageeinheit auf den Speicher einer in die Frankiermaschine neu eingesetzten Montageeinheit wird jede Montageeinheit mit zwei Steckereinheiten ausgerüstet. Zunächst wird der Datenfluß durch eine besondere Übertragungsleitung einer ersten Steckereinheit geschlauft, wobei aber an der gleichen ersten Steckereinheit der alten Montageeinheit die Schlaufung entfernt und der normale Datenfluß unterbrochen und umgeleitet ist. Vom Speicher der alten Montageeinheit wird über die letztgenannte Steckereinheit und mittels einer zweiten Steckereinheit der neuen Montageeinheit der Datenfluß auf die neue Montageeinheit umgeleitet. Es sind mechanische Verriegelungsglieder vorgesehen, welche in Wirkverbindung mit einem eine elektronische Erkennungsmarke (Flag) setzenden Schalters stehen, welcher beim Herausnehmen der defekten Montageeinheit betätigt wird. Nach dem Übertragen der Daten auf die neue Montageeinheit wird ein zweites unlöschbares Flag gesetzt, so daß eine zweite Datenübertragung unmöglich gemacht ist. Die Sicherheit beruht im wesentlichen auf der Kapselung von CPU und nichtflüchtigem Speicher auf der Montageeinheit und dem vorgenannten Schalter zum Setzen der Flags. Bei Kenntnis der Lage bzw. Anordnung des Schalters kann ein Eindringen und eine Manipulation in Fälschungsabsicht aber nicht verhindert werden.
  • Aus der DE 41 29 302 A1 ist die Verwendung eines Sensors bekannt, welcher beim Öffnen des Frankiermaschinengehäuses die Postregister löscht. Jedoch kann damit nicht verhindert werden, daß neue Daten in das Postregister von einem geschickten Manipulator eingeschrieben werden können, wenn das Gehäuse erst einmal geöffnet ist.
  • Aus der EP 231 452 A2 ist das periodische Abfragen von Sensoren entsprechend einer Softwareroutine einer CPU bekannt. Der Nachteil dieser Lösung besteht in einer hohen Rechenzeit bedingt durch das periodische Abtasten der Sensoren. Dieser Nachteil wird noch vergrößert, wenn es sich um eine besonders zeitkritische Abfrage handelt. Um möglichst schnell auf eine Zustandsänderung reagieren zu können, muß die Abfragefrequenz hoch gewählt werden. Somit verbringt der Mikroprozessor einen großen Anteil seiner Rechenzeit mit der Abfrage. Insbesondere kann nicht die Manipulation einer ausgeschalteten Maschine verhindert werden. Ebenfalls in der EP 231 452 A2 wird von einer redundanten Abspeicherung von Abrechnungsdaten ausgegangen. Da eine Kontrolle der abgespeicherten Registerwerte nicht alle Fehler festzustellen gestattet, wurden separate Adreß- und Datenleitungen jeweils für zwei redundante Speicher eingesetzt. Dadurch wird das Auftreten von bisher nicht entdeckbaren Fehlerbedingungen reduziert, die aufgrund von Fehlfunktionen der Maschine oder durch Spannungsausfall entstehen können. Fälschungen aufgrund einer unbefugten Manipulation, d.h. wenn beim Klonen der Postregister vom Orginal die Abrechnungsdaten insgesamt kopiert werden, sind aber durch vorgenannte Maßnahmen nicht feststellbar, denn die Kopie und Orginal sind voreinander ununterscheidbar.
  • Es wurde bereits in der DE 42 17 830 A1 ein Verfahren zum Betreiben einer Datenverarbeitungsanlage mit einem ersten nichtflüchtigen Speicher, einem Zustandsspeicher und einem zweiten nichtflüchtigen Speicher vorgeschlagen. Eine Modulkennung ermöglicht die Fortsetzung des Programms und eine Zustandskennung ermöglicht die Bearbeitung und Fortsetzung des Programmsabschnitts bei dem eine Programmunterbrechung eintrat, d.h. ggf. die Korrektur fehlerhaft eingeschreibener Daten in einem NVM aufgrund redundant vorliegender Daten in dem anderen NVM. Diese Lösung kann aber nicht den Dateninhalt, auf Vorliegen einer Manipulation überprüfen. Beim Klonen von Speicherinhalten werden korrekte Daten auf externe Speicher überspielt. Beim Rückübertragen dieser Speicherinhalte bzw. beim Einsatz dieser externen Speicher in die Frankiermaschine zu einem späteren Zeitpunkt wird ein von der Frankiermaschine selbst nicht als fehlerhaft erkennbarer Zustand wiederhergestellt, der zu einem früheren Zeitpunkt einmal korrekt war.
  • Es ist bereits ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen worden (DE 43 44 476 A2) indem die Frankiermaschine zwischen autorisierten und unautorisierten Eingriff bzw. Öffnen ihres Gehäuses unterscheiden kann. Das Verfahren setzt aber voraus, daß die Frankiermaschine ständig mit Energie für die Selbstprüfung versorgt wird. In diesem Fall können keine sicherheitsrelevanten Daten aus der Frankiermaschine unerlaubt herausgeladen, abgenommen oder eingespeist werden, ohne daß dies im Rahmen der Selbstprüfung bemerkt würde. Dennoch sind zusätzliche Gehäuse, Siegel und/oder weitere Sicherheitsmaßnahmen erforderlich zum Schutz der ausgeschalteten Maschine.
  • Vielfach wird die Forderung erhoben, daß für Reparaturzwecke die Speicherbausteine leicht austauschbar sind, also weder gekapselt noch fest eingelötet sondern gesockelt werden. Nun wäre es damit aber nicht möglich, die tragbaren, d.h. die nicht fest über ein Telefonnetz installierten Frankiermaschinen im ausgeschalteten Zustand gegenüber betrügerischen Manipulationen abzusichern. Im Interesse der Manipulationssicherheit von kritischen Registerdaten muß bisher auf Verbesserungen beim Service für die Maschine verzichtet werden.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten zu entwickeln, welche die Nachteile des Standes der Technik vermeidet und für eine Vielzahl an Frankiermaschinenvarianten kostengünstig realisierbar ist, ohne dabei die Manipulationssicherheit zu vermindern.
  • Eine weitere Aufgabe ist es, bei einer Anordnung zum Frankieren von Postgut, vorzugsweise einer tragbaren ortsunabhängig betreibbaren Frankiermaschine der eingangs genannten Gattung eine Sicherheit gegen betrügerische Manipulationen jeder Art und ein Frankieren nach gültigen Posttarifen in Abhängigkeit von dem eingebbaren Gewicht und Format des Postgutes zu gewährleisten. Auch bei ausgeschalteter Frankiermaschine und ohne Stromversorgung soll die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten wirksam sein.
  • Die Aufgabe wird mit den Merkmalen der Ansprüche 1, 8, 22, 24 bzw. 25 gelöst.
  • Die Erfindung geht davon aus, daß ein Duplizieren bzw. Klonen des zu schützenden nichtflüchtigen Speichers NVM nicht verhindert werden braucht, sondern auch ein Duplikat des Speicherinhalts, welches gegen den Speicherinhalt des Orginals ausgetauscht wird, weiterverwendet werden kann. Im Reparaturfall wird oft ein Kopieren und Rücktausch der Speicherinhalte erforderlich, wobei allerdings vorausgesetzt wird, daß zwischenzeitlich keine gültigen Frankierungen vorgenommen werden.
  • Erfindungsgemäß wird ein interner Prozessorspeicher verwendet, um ein Codewort nichtflüchtig zu speichern. Es ist vorgesehen, daß jedem zu schützenden nichtflüchtigen Speicher oder Speicherbereich ein separates Codewort zugeordnet wird, wobei mindestens eines der vorgenannten separaten Codeworte in einem weiteren internen Speicher eines Prozessorsystems, einer Chipkarte und/oder in einem ähnlichen System nichtflüchtig gespeichert worden ist und daß eine Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt und danach eine Einspeicherung der neuen Codewörtern in die vorgenannten nichtflüchtigen Speicher vorgenommen wird.
  • Die erfindungsgemäße Lösung verhindert also nicht, daß die Postregister einschließlich Inhalt entfernt werden, um beliebig viele Kopien anzufertigen, sondern sie verhindert, daß mit Hilfe dieser Kopien Postgüter frankiert werden können, ohne daß eine adäquate Abrechnung bei der Datenzentrale bzw. Bezahlung bei der Post vorgenommen wird. Eine Verkapselung der Bauelemente für die herausnehmbaren die Postregister speichernden NV-RAMs mit einem Sicherheitsgehäuse oder das Vorsehen anderer zusätzlicher Maßnahmen zum Schutz vor Entnahme, wie Aufkleben auf die Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz sind nun nicht erforderlich.
  • Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten beruht auf nichtflüchtigen Speicherbausteinen. Bei der ausgeschalteten Frankiermaschine bzw. bei ausgefallener Stromversorgung bleiben die Daten gespeichert. Solche beispielsweise mit einer Lithiumbatterie gestützten CMOS-SRAM's sind während ihrer Lebensdauer von ca. 10 Jahren beliebig oft beschreibbar. Die Batterie kann weder nachgeladen noch entladen werden, ohne den Speicherbaustein zu zerstören. Es wird davon ausgegangen, daß im Leben einer Frankiermaschine bis zu 150 000 Abdrucke möglich sind und daß die Lithiumbatterie während dieser Zeit nicht ausgewechselt werden muß.
  • Ebenfalls können Speichermittel von anderer Speichertechnologie durch die Sicherheitsschaltung entsprechend vor Mißbrauch geschützt werden, wenn zu vorbestimmten Ereignissen sicherheitsrelevante Daten in diese nichtflüchtigen Speicher gespeichert werden.
  • Vom Herstellerwerk der Frankiermaschine wird in die nichtflüchtigen Speicherbausteine (Bat-NV-CMOS-SRAM's und E2PROM) ein Codewort eingespeichert, welches einer vorbestimmten Frankiermaschine zugeordnet ist. Das Codewort kann am Anfang beispielsweise die Seriennummer der Frankiermaschine umfassen oder kann ein Teil einer anderen Nummer sein. Außerdem werden die Registerspeicherplätze mit Anfangswerten vom Herstellerwerk vorbesetzt.
  • Die erfindungsgemäße Lösung vermeidet, daß die nichtflüchtigen Speicher (NV-RAMs, E2PROMs) in Fälschungsabsicht verwendet werden könnten, welche ausgewechselt und geklont wurden, um später mit den geklonten oder ausgewechselten NV-RAMs bzw. E2PROMs die Frankiermaschine FM zu betreiben. Die Erfindung geht von einem OTP-Prozessor mit einem internen OPT-ROM und internen OTP-RAM aus. Im internen OPT-ROM ist eine Liste von Codewörtern gespeichert, wobei jedes Codewort zeitweise und möglichst nur einmal aktiv ist. Das Codewort wird unabhängig vom Speicherinhalt der NV-RAMs aus der Tabelle - die im von außen nicht zugänglichen internen ROM-Bereich des OTP gespeichert vorliegt - ausgewählt.
  • Das neue Codewort wird mindestens beim Einschalten der Frankiermaschine der internen OTP-Tabelle entnommen und in den nichtflüchtigen Speichern (NV-RAMs, E2PROMs) abgespeichert, wenn das alte in der Liste das jeweilige Vorgänger-Codewort war.
  • Beispielsweise ist ein E2PROM der einzige nichtflüchtige Speicher der zusammen mit dem OTP-Prozessor unlösbar fest auf die Platine aufgeklebt ist. In einer bevorzugten Varianten wird während des Betriebes der Frankiermaschine vor jedem Abdruck und damit vor jeder neu zu registrierenden Stückzahl an Frankieraufdrucken auf Basis der vorhergehenden Stückzahl und gegebenenfalls der aktuellen vom Uhren/Datumsbaustein gelieferten Zeit eine Zufallszahl erzeugt. Hierzu kann ein Pseudo-zufallsgenerator hard- und/oder softwaremäßig realisiert werden. Im internen OPT-ROM des OTP-Prozessors liegt mindestens eines aus der Vielzahl von möglichen erzeugbaren Zufallswörtern gespeichert vor. Nach einem Vergleich innerhalb des OTP-Prozessors wird bei Übereinstimmung eine redundante Speicherung des neuen Codewortes einmal in die lösbaren nichtflüchtigen Speicher (NVRAMs) und erfindungsgemäß auch in den vorgenannten unlösbar fest auf die Platine aufgeklebten nichtflüchtigen Speicher (E2PROM) vorgenommen. Die zulässige Anzahl an Schreib/Lese-Zyklen für den E2PROM wird nicht überschritten, wenn beispielsweise durchschnittlich nur jede vierunzwanzigste Frankierung die nichtflüchtigen Speicher (E2PROM und NVRAMs) redundant mit einem neuen Codewort beschrieben werden.
  • Zusätzlich werden die nichtflüchtigen Speicher (E2PROM und NVRAMs) redundant mit einem neuen Codewort auch bei einem anderen letzten Betriebszustand der Frankiermaschine beschrieben, welcher vorbestimmten Zuständen zugeordnet ist, wie dem Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine bzw. dem Ausschalten bzw. vor Spannungsausfall oder einer Stillstandszeit (Stand by) bzw. Programmunterbrechung und entsprechend anderen Ereignissen.
  • Das Weiterschalten der im internen OPT-ROM gelisteten Codewörter wird über Flags oder Zeiger, die in dem unlösbar fest eingebauten nichtflüchtigen Speicher gespeichert sind, realisiert. Der Zeiger wird außerhalb des jeweils zu überprüfenden lösbar eingebauten nichtflüchtigen Speichers (NV-RAMs) in dem ständig eingebauten und/oder während der Laufzeit der Frankiermaschine mit ihrem Prozessorsystem in Kommunikationsverbindung stehenden und gegen Herausnahme während der Laufzeit der Frankiermaschine abgesicherten ersten Sicherheitsspeicher nichtflüchtig gespeichert. Zur Verhinderung von Manipulationen in Fälschungsabsicht des vorgenannten ständig eingebauten und gegen Herausnahme abgesicherten Sicherheitsspeicher sollten diese Flag oder Zeiger MAC-gesichert gespeichert sein.
  • Das Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten umfaßt in einer bevorzugten Variante die folgenden Schritte:
    • Laden einer Zahl oder eines Zeigers, welcher einem Codewortes zugeordnet ist, in einen ersten nichtflüchtigen Speicher, der gegen Herausnahme und Manipulation abgesichert ist,
    • Laden eines Codewortes in zweite die Postregisterdaten enthaltenden nichtflüchtigen Speicher (NVM), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine zugeordnet ist bzw. vom Prozessor entsprechend ausgewählt worden ist,
    • Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend aufgrund eines Ereignisses,
    • Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort, wenn der Prozessor, nach Gültigkeitsprüfung mit Bezug auf das in seinem internen Prozessorspeicher aus einer Liste mit gespeicherten Codewörten entsprechend der Zahl bzw. der Zeigerstellung ausgewählte Codewort, die Gültigkeit des alten Codewortes anerkennt oder
    • Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das ausgewählte in vorgenannter Liste gespeicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
  • Das Programm für die Auswahl des jeweils neuen Codewortes ist im internen Programmspeicher (internen OTP-ROM bzw. OTP-EPROM) gespeichert. Die Auswahl des neuen Codewortes wird vom vorherigen und/oder vom Zustand der Frankiermaschine zu einem vorbestimmten Zeitpunkt bzw. bei einer vorbestimmten Stückzahl abhängig durchgeführt. Jedem nichtflüchtigem Speicher oder Speicherbereich, der geschützt werden muß, kann ein separates Codewort zugeordnet werden. Das kann in der Frankiermaschine ermöglichen, eine automatische Analyse vorzunehmen, welcher Speicherbaustein aus einer Vielzahl an Speicherbausteinen entnommen wurde.
  • Der vorgenannte dem Codewort entsprechende letzte Betriebszustand der Frankiermaschine entspricht insbesondere einem Zustand im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine oder im Ergebnis der Bildung einer Pseudozufallsfolge oder einem Zustand vor dem Ausschalten der Frankiermaschine oder einem Zustand vor einem Spannungsausfall oder vor einer Stillstandszeit (Stand by) bzw. vor Programmunterbrechung. Es ist vorgesehen, daß die Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend mindestens aufgrund einer Pseudozufallsfolge durchgeführt wird.
  • Für eine Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten, insbesondere von Registerdaten in Frankiermaschinen mit Eingabe- und Anzeigemitteln, einer Steuereinrichtung und Speichern, ist vorgesehen, daß die Steuereinrichtung einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) aufweist. Im OTP sind neben einem Mikroprozessor CPU auch weitere Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM bzw. im internen OTP-RAM in einem gemeinsamen Bauelementgehäuse untergebracht, welche ein erstes Sicherheitsmittel gegen unbefugte Manipulation bilden. Es ist vorgesehen, daß ein erster und ein zweiter nichtflüchtiger Speicher mit der Steuereinrichtung verbunden sind, wobei der erste nichtflüchtige Speicher NVM ein zweites Sicherheitsmittel gegen unbefugte Manipulation bildet und gegen Herausnahme gesichert ist.
  • In einer Variante ist vorgesehen, daß der erste nichtflüchtige Speicher als interner Prozessorspeicher zur nichtflüchtigen Speicherung im Prozessor realisiert und damit gegen eine Herausnahme und Manipulation gesichert ist.
  • In einer anderen Variante ist der erste nichtflüchtige Speicher als externer nichtflüchtiger Speicher NVM mit dem Prozessor elektrisch und mechanisch unlösbar über eine Leiterplatte verbunden.
  • In einer weiteren Variante ist der externe nichtflüchtiger Speicher NVM über einen Ein/AusgabeSteuermodul am Prozessor angeschlossen und während der Laufzeit der Frankiermaschine gegen eine Herausnahme gesichert. Es ist auch vorgesehen, daß der externe nichtflüchtiger Speicher NVM Bestandteil einer Chipkarte ist und über eine Chipkarten-Schreib/Leseeinheit am Ein/Ausgabe-Steuermodul angeschlossen ist.
  • Ein alternatives Verfahren geht von einer speziellen Bildung von Codewörtern in der OTP-CPU aus. Eine Auflistung von Codewörtern im internen OTP-ROM ist dann unnötig. Das Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten umfaßt die Schritte:
    • Laden eines Codewortes in einen ersten internen Prozessorspeicher zur nichtflüchtigen Speicherung und in zweite die Postregisterdaten enthaltene nichtflüchtige Speicher (NVM), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine entspricht,
    • Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend aufgrund eines Ereignisses,
    • Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem ersten ersten nichtflüchtigen internen Prozessorspeicher (NVM) gespeicherte Codewort die Gültigkeit des alten Codewortes anerkennt oder
    • Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem ersten nichtflüchtigen internen Prozessorspeicher (NVM) gespeicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
  • Das Programm für die Bildung des jeweils neuen Codewortes ist im Programmspeicher (internen ROM bzw. EPROM) gespeichert. Die Bildung des neuen Codewort ist vom vorherigen abhängig. Jedem nichtflüchtigem Speicher oder Speicherbereich kann ein separates Codewort zugeordnet werden, wobei (vorher oder gleichzeitig) mindestens eines der vorgenannten Codeworte erfindungsgemäß im internen Prozessorspeicher nichtflüchtig gespeichert worden ist.
  • Es ist weiterhin alternativ zur vorgenannten Codewortauflistung vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbaren einzigartigen ersten Codewortes auch die Bildung des neuen zweiten Codewortes identisch zur Bildung des neuen ersten Codewortes erfolgt, um ein identisches neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden.
  • Alternativ ist in einer weiteren Variante vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbares einzigartigen ersten Codewortes auch die Bildung des neuen zweiten Codewortes als komplementärer Schatten zum neuen ersten Codewortes erfolgt, um ein komplementäres neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden.
  • Es ist in einer anderen Variante vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbares einzigartigen ersten Codewortes auch die Bildung des neuen zweiten Codewortes als zu dem neuen veränderbaren einzigartigen ersten Codewort identischen Codewort und als komplementärer Schatten zum neuen ersten Codewortes erfolgt, um mindestens ein neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden oder daß beim Schutz eines entsprechenden Speichers in mindestens einem der Speicherbereiche auch mit dem komplementären Schatten gearbeitet wird.
  • In Weiterführung der Erfindung kann das vorgenannte in zeitlichen oder stückzahlmäßigen Abständen geänderte Codewort auch zur MAC-Absicherung der Postregisterdaten verwendet werden. In den zu schützenden nichtflüchtigen Speichern wird dann statt des Codewortes der MAC gespeichert. Ein solches Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten ist gekennzeichnet durch die Schritte:
    • Laden eines mittels einem Codewort erzeugten Autentifikationscodes (MACn), welcher dem Codewort zugeordnet ist, welches Abrechnungsdaten verschlüsselt, in einen ersten nichtflüchtigen Speicher, der während der Laufdauer der Maschine gegen eine Herausnahme und Manipulation gesichert ist,
    • Laden der Abrechnungsdaten und des vorgenannten Autentifikationscodes (MACn) in zweite die Postregisterdaten enthaltende zu schützende nichtflüchtige Speicher NVM, wobei das Codewort dem letzten Betriebszustand der Maschine zugeordnet ist,
    • Gültigkeitsprüfung des Autentifikationscodes (MACn), welcher dem Codewort zugeordnet ist, mindestens zum Zeitpunkt des Einschaltens der Maschine und nachfolgend aufgrund eines Ereignisses,
    • Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort zur Bildung eines weiteren Autentifikationscodes (MACn+1), welcher dem neuen Codewort zugeordnet ist, welches Abrechnungsdaten verschlüsselt, wenn der Prozessor die Gültigkeit des alten Codewortes anerkennt oder
    • Blockierung der Maschine nach dem Zeitpunkt ihres Einschaltens, wenn der Prozessor nach Gültigkeitsprüfung die Gültigkeit des anhand des alten Codewortes geprüften Autentifikationscodes (MACn) aberkennt.
  • Die Abstände für das Laden eines MESSAGE AUTHENTIFICATION CODE (MAC) nach dem Zeitpunkt des Einschaltens der Frankiermaschine sind zeitliche oder stückzahlmäßige Abstände und/oder solche mindestens aufgrund einer Pseudozufallsfolge bestimmten Abstände.
  • Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
    • Figur 1a,
    Blockschaltbild einer Frankiermaschine mit erfindungsgemäß erhöhter Sicherheit nach einer ersten Variante mit E2PROM,
    Figur 1b,
    Blockschaltbild einer Frankiermaschine mit erfindungsgemäß erhöhter Sicherheit nach einer zweiten Variante mit OTP-internem E2PROM,
    Figur 2a,
    Variante mit OTP-Prozessor ohne internen E2PROM nach der ersten Variante,
    Figur 2b,
    Variante mit OTP-Prozessor mit internem E2PROM nach der ersten Variante,
    Figur 3,
    Gesamtablaufplan für die Frankiermaschine,
    Figur 4,
    Details des Ablaufplans nach Figur 3,
    Figur 5,
    Ablaufplan für den Frankiermodus,
    Figur 6,
    Details des Ablaufplans nach Figur 4,
    Figur 7,
    Flußplan für das erfindungsgemäße Verfahren zur Erhöhung der Manipulationssicherheit,
    Figur 8a bis c,
    Zeigerstellungen nach dem erfindungsgemäßen Verfahren der ersten Variante.
  • Die Figur 1a zeigt ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Druckermodul 1 für ein vollelektronisch erzeugtes Frankierbild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, welche über einen Ein/Ausgabe-Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit mindestens einem nichtflüchtigen Speicher 5a bzw. 5b für die variablen und einen Speicher 10, 11 für die konstanten Teile des Frankierbildes.
  • Ein Charakterspeicher 9 liefert die nötigen Druckdaten für einen flüchtigen Arbeitsspeicher 7. Der flüchtige Arbeitsspeicher 7 umfaßt beispielsweise einen externen RAM in Verbindung mit einem im Prozessor angeordneten internen RAM 6b. Die Steuereinrichtung 6 weist einen entsprechend ausgebildeten Mikroprozessor µP auf und ist mit dem Ein/Ausgabe-Steuermodul 4, dem Charakterspeicher 9, dem flüchtigen Arbeitsspeicher 7, mit einem nichtflüchtigen Kostenstellenspeicher NVM 5a und mit einem nichtflüchtigen Arbeitsspeicher NVM 5b, mit einem anwendungsspezifischen Programmspeicher ASP 10 (Klischee-EPROM), einem Programmspeicher PSP 11 (Programm-EPROM), mit dem Motor einer Transport- bzw. Vorschubvorrichtung ggf. mit Streifenauslösung 12, einem Encoder (Codierscheibe) 13, einem Briefsensor 16 sowie mit einem Uhren/Datums-Baustein 8 verbunden. Ein entsprechendes Verfahren zum Steuern eines spaltenweisen Drucks eines Postwertzeichenbildes ist beispielsweise in der EP 578 042 A2 oder in der EP 576 133 A2 ausführlicher beschrieben.
  • Bei dem in der Figur 1a gezeigten Blockschaltbild einer Frankiermaschine wird die erfindungsgemäß erhöhte Sicherheit in Verbindung mit einem E2PROM 20, welcher sich extern vom Mikroprozessorgehäuse befindet, erzielt. Beide sind unlösbar auf der Platine befestigt.
  • Die - in der Figur 2a näher dargestellte - Steuereinrichtung 6 weist einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) auf. Im OTP sind neben einem Mikroprozessor CPU 6a auch weitere Schaltungen in einem gemeinsamen Bauelementgehäuse untergebracht. Diese weiteren Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM 6c bzw. im internen OTP-RAM 6b in dem gemeinsamen Prozessorgehäuse bilden eine Sicherheitsschaltung bzw. ein erstes Sicherheitsmittel gegen unbefugte Manipulation. Der erste nichtflüchtige Speicher NVM 20 ist beispielsweise ein E2PROM und dient als zweites Sicherheitsmittel gegen unbefugte Manipulation.
  • Es ist außerdem vorgesehen, daß ein externer nichtflüchtiger Speicher NVM 25 ein zweites Sicherheitsmittel gegen unbefugte Manipulation bildet und über einen Ein/Ausgabe-Steuermodul 4 am Prozessor 6 angeschlossen ist und während der Laufzeit der Frankiermaschine gegen Herausnahme gesichert ist.
  • Die übrigen einzelnen Speicher können in mehreren physikalisch getrennten oder in gemäß der Figur 2a gezeigten Weise in wenigen Bausteinen zusammengefaßt verwirklicht sein. Vorzugsweise sind die Festwertspeicher CSP 9 und PSP 11 in einem EPROM und die zu schützenden nichtflüchtigen Speicher NVM 5a und 5b in einem Postregisterspeicher zusammengefaßt. Letzterer ist vorzugsweise doppelt vorhanden und wird in seinen Speicherbereichen redundant mit Daten beschrieben. Ein Verfahren zum Speichern Sicherheitsrelevanter Daten ist beispielsweise in der EP 615 211 A1 näher ausgeführt.
  • Das in der Figur 1b gezeigte Blockschaltbild einer Frankiermaschine erzielt erfindungsgemäß eine erhöhte Sicherheit mit einem OTP-internem nichtflüchtigen Speicher (NVM), vorzugsweise einem E2PROM 6d.
  • Die - in der Figur 2b näher dargestellte - Steuereinrichtung 6 weist einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) auf. Im OTP sind neben einem Mikroprozessor CPU 6a auch interne nichtflüchtige Speicher NVM 6d und weitere Schaltungen in einem gemeinsamen Bauelementgehäuse untergebracht. Der vorgenannte interne nichtflüchtige Speicher NVM 6d und weitere Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM 6c bzw. internen OTP-RAM 6b in dem gemeinsamen Prozessorgehäuse bilden wieder eine Sicherheitsschaltung bzw. ein Sicherheitsmittel gegen unbefugte Manipulation.
  • Ein interner nichtflüchtiger Speicher NVM 6d im Sicherheitsmittel des OTP-Prozessors (CPU) 6 arbeitet mit dem Programmspeicher 6c (internes EPROM oder ROM) und flüchtige Datenspeicher RAM 6b zusammen. Durch die Möglichkeit Sicherungsbits zu setzen (bei internen EPROM) bzw. während der Herstellung eine Maskenprogrammierung (bei internen ROM) vorzunehmen, kann das Auslesen des internen nichtflüchtigen Speichers von außen verhindert werden.
  • Bei der Lösung nach der in der Figur 1a gezeigten - ersten Variante mit nichtflüchtigem Speicher NVM 20 extern vom OTP-Prozessor 6 bildet letzterer ein zweites Sicherheitsmittel gegen unbefugte Manipulation. Der externe nichtflüchtige Speicher NVM 20 ist in der bevorzugten Variante dabei - wie in der Figur 1a gezeigt - ein Bestandteil des Prozessorsystems der Frankiermaschine und arbeitet mit dem Programmspeicher 6c (internes EPROM oder ROM) und flüchtige Datenspeicher RAM 6b zusammen.
  • Im vorgenannten Blockschaltbild der erfindungsgemäßen Frankiermaschine 1 wird auch eine Chipkarten-Schreib-Lese-Einheit 21 dargestellt. Diese steht über einen BUS 11 mit einem Prozessor 6 direkt oder über Ein/Ausgangsmittel (I/O-Ports) 4 in Verbindung. Weiter ist ein - in der Figur 1a nicht näher dargestellter - Anschluß eines MODEMs 23 über den BUS 11 direkt oder über vorgenanntes Ein/Ausgangsmittel 4 vorgesehen. Die Chipkarte, welche in die Chipkarten-Schreib-Lese-Einheit 21 eingesteckt werden muß, schließt einen externen nichtflüchtigen Speicher 25 ein. Ein solcher nichtflüchtiger Speicher kann aber auch in einem ähnlichen System vorhanden sein.
  • Wie bereits erwähnt kann durch die Möglichkeit Sicherungsbits zu setzen (bei internen EPROM) bzw. während der Herstellung eine Maskenprogrammierung (bei internen ROM) vorzunehmen, das Auslesen des internen Programm-Speichers von außen verhindert werden. Die Sicherungsbits werden durch Programmierung des internen EPROM während der Herstellung der Frankiermaschine im OTP-Prozessor gesetzt. Das Observieren solcher sicherheitsrelevanter Routinen, wie beispielsweise Abrechnungsroutinen, mit einem Emulator/Debugger würde ebenfalls zu einem veränderten Zeitablauf führen, was durch den OTP feststellbar ist. Dieser umfaßt auch eine Taktgeber/Zähler-Schaltung für die Vorgabe von Zeitintervallen bzw. Taktzyklen beispielsweise für die Time-out-Generierung oder Druckersteuerung. Vorteilhaft wird die Taktgeber/Zähler-Schaltung für eine Programmlaufzeitüberwachung eingesetzt, welche in der Anmeldung EP 660 269 A2 genauer beschrieben ist. Wenn eine bestimmte Zeit abgelaufen und das erwartete Ereignis nicht eingetreten ist, wird vom der Taktgeber/Zähler-Schaltung ein Interrupt generiert, der dem Mikroprozessor den ergebnislosen Ablauf der Zeitspanne meldet, woraufhin der Mikroprozessor weitere Maßnahmen veranlaßt. Die Überwachungsfunktion wird in vorgenannter Weise durch das vorgenannte erste Sicherheitsmittel übernommen, das Bestandteil des Prozessors (OTP) ist und die in Verbindung mit einer entsprechenden Software während des Betriebes der Frankiermaschine wirksam wird. Bei einer vorteilhaften weiteren Variante der Zeitkontrolle wird ein Codewort im externen NVM 5a, 5b oder 25 gelöscht. Das kann durch Überschreiben mit einem vorbestimmten anderen Wort, beispielsweise 0000 erfolgen. Der Vorteil liegt insbesondere darin, daß die Sicherheitsschaltung während des Betriebes auf eine Manipulation durch unbefugten Eingriff in die Frankiermaschine reagiert.
  • Die Überwachungsfunktion wird auch bei der - in der Figur 1b und 2b gezeigten - zweiten Variante in vorgenannter Weise durch nun aber von der durch Mittel 6a und 6d gebildeten Sicherheitsschaltung übernommen, die Bestandteil des Prozessors (OTP) ist und die in Verbindung mit einer entsprechenden Software während des Beriebes der Frankiermaschine wirksam wird. Als Prozessor kann beispielsweise ein CMOS-Einchip-8-Bit-Microcontroller Philips 80C851 bzw. 83C851 mit einem nichtflüchtigen 256x8-bit E2PROM als internen Prozessorspeicher eingesetzt werden. Das Codewort kann im o.g. internen Prozessorspeicher über 50 000 mal nichtflüchtig gespeichert werden. Der Datenerhalt wird ebenfalls für 10 Jahre garantiert. Ein anderer geeigneter Prozessor ist beispielsweise der TMS 370C010 von Texas Instruments, der ebenfalls einen internen 256 Byte E2PROM aufweist.
  • Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten schützt den Dateninhalt von nichtflüchtigen Speichern, beispielsweise von mit einer Lithiumbatterie gestützten CMOS-SRAM's, gegenüber einer Verwendung unerlaubt geklonter Kopien ohne Abrechnung.
  • Vorgenannte Lithiumbatterie gestützten CMOS-SRAM's haben eine Lebensdauer von mindestens 10 Jahren. Als nichtflüchtige Speicherbausteine sind beispielsweise von Dallas Semiconductor beim Typ DS1230Y/AB ein Speicherbereich von 256 K oder ein Speicherbereich von 1024 K für ein NV-SRAM beim Typ DS1245Y/AB verfügbar.
  • Ebenfalls kann der Uhren/Datums-Baustein 8 nach dem gleichen Verfahren geschützt werden. Dieser vorgenannte Baustein ist ein nichtflüchtiger Zeitgeber-RAM und enthält ebenfalls eine Lithiumbatterie für mindestens 10 Jahre. Der Baustein DS 1642 von Dallas Semiconductor weist einen 2K x 8 NV-SRAM auf.
  • Zusätzlich sind auch Speichermittel von anderer Speichertechnologie entsprechend ihrer Lebensdauer einsetzbar. Die Sicherheitsschaltung speichert in diese nichtflüchtigen Speicher beispielsweise nur Daten zum Zeitpunkt des Einschaltens bzw. Wiederinbetriebnahme der Frankiermaschine nach einem Stand by-Betrieb, also zu Zeitpunkten, wo kein Abrechnungserfordernis vorliegt und keine Frankierung erfolgt. Normale E2PROM-Speicher, insbesondere vom Typ 28256 benötigen keine interne Batterie und lassen mindestens 10 000 bis 100 000 Schreib-/Lese-Zyklen zu. Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten steuert entsprechend die vorgenannten nichtflüchtigen Speicherbausteine so an, daß die Lebensdauer erhöht bzw. ausreichend ist.
  • Wenn in den nichtflüchtigen Speichern 5a, 5b neben einem Codewort der Dateninhalt der Postregister als Checksumme verschlüsselt gespeichert wird, kann die Manipulation der Postregister wirksam von Anfang an verhindert werden. Beispielsweise wird ein OTP-Prozessor (ONE TIME PROGRAMMABLE) eingesetzt, der im internen ROM einen gespeicherten Algorithmus für ein solches Prüfsummenverfahren aufweist. Gesetzte Flags verhindern ein Auslesen der sicherheitsrelevanten Daten aus dem Prozessor. Ein bekanntes Prüfsummenverfahren beruht auf einem MAC (MESSAGE AUTHENTIFICATION CODE) der an die zu sichernden Daten angehängt wird. Eine solche MAC-Absicherung wird vorteilhaft über die Postregisterdaten gelegt. In Weiterführung der Erfindung kann das vorgenannte in zeitlichen oder stückzahlmäßigen Abständen geänderte Codewort auch zur MAC-Absicherung der Postregisterdaten verwendet werden. Im Regelfall genügt bereits ein gespeichertes Codewort, welches in Zeitabständen geändert wird, um die Sicherheit zu garantieren.
  • Die Überwachungsfunktion wird auch bei der - in der Figur 1a und 2a gezeigten - ersten Variante im Prozessor realisiert. Dies kann beispielsweise ein 8051-Prozessor mit einem 16 kByte On-Chip-EPROM als internen Programmspeicher eingesetzt werden. Der interne OTP-RAM hat einen Speicherbereich von 256 Byte.
  • Erfindungsgemäß ist nun vorgesehen, daß die die Postregisterdaten enthaltenen nichtflüchtigen Speicher, insbesondere batteriegestützte CMOS-RAM's (Bat-NV-CMOS-RAM's) ein Codewort enthalten, welches dem letzten Betriebszustand der Frankiermaschine vor dem Ausschalten bzw. Spannungsausfall oder vor einer gewissen Stillstandszeit (Stand by) bzw. vor Programmunterbrechung entsprechend gewählt wurde und daß mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine das alte Codewort durch ein vorbestimmtes neues Codewort ersetzt wird.
  • Erfindungsgemäß wird also das Codewort zu vorbestimmten Ereignissen durch die betriebsbereite Frankiermaschine automatisch in allen nichtflüchtigen Speichern, welche sicherheitsrelevante Daten händeln, geändert. Eine derartige Maßnahme verhindert, daR ein geklonter Speicherinhalt eines nichtflüchtigen Speichers (Bat-NV-CMOS-RAM's) öfter als einmal verwendet werden kann, weil das Codewort im nichtflüchtigen internen Prozessorspeicher und im Postregister (Bat-NV-CMOS-RAM's) geändert wird, sobald ein vorbestimmter Betriebszustand der Frankiermaschine nach dem Einschalten der Maschine bzw. nach Spannungswiederkehr nach einem Ausfall, nach Verlassen des Kommunikationsmodus bzw. dem Nachladen der Frankiermaschine mit einem Guthaben oder nach einer gewissen Stillstandszeit (Stand by) erreicht ist oder nach einer anderen Programmunterbrechung.
  • Dabei wird durch o.g. Maßnahme ein Duplizieren bzw. Klonen eines Bat-NV-CMOS-RAM's oder anderen NVRAM's nicht verhindert. Auch ein Duplikat des Speicherinhalts, welches gegen den Speicherinhalt des Orginals ausgetauscht wird, kann weiterverwendet werden. In diesem Fall wird das Codewort des Orginals später ungültig, d.h. ein Rücktausch der Speicherinhalte würde vom Prozessor aufgrund des inzwischen ebenfalls geänderten Codewortes im nichtflüchtigen internen Prozessorspeicher bemerkt werden.
  • Die Veränderung der Codeworte bei gleichgebliebenen Dateninhalt des Speichers kann ohne Kenntnis des Schlüssels und der Parameterdaten vom Manipulator auch nicht vorgenommen werden, wenn der Algorithmus zur Bildung des neuen Codewortes bekannt wäre. Deshalb kann ein bekanntes Verschlüsselungsverfahren, wie beispielsweise DES, eingesetzt werden.
  • Das Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten umfaßt weitere Sicherungsschritte, die in der Figur 7 dargestellt sind.
  • Im Schritt 106 werden nacheinander die in den zu schützenden nichtflüchtigen Speichern gespeicherten Codewörter gelesen und dann zum Prozessor übertragen. Der Prozessor führt einen Sicherungsschritt 107 zur Überprüfung des bisher gültigen Codewortes und einen Schritt 108 zur entsprechenden Veränderung des Codewortes aus, wenn die Überprüfung die Übereinstimmung bzw. Fehlerfreiheit ergeben hat. Anderenfalls wird vom Schritt 107 auf den Schritt 109 verzweigt, um einen eine den Kill-Mode kennzeichnende Zahl bzw. mindestens aber ein MAC-gesichertes Kill-Mode-Flag im ständig eingebauten nichtflüchtigen externen Sicherheits-Speicher zu setzen.
  • In den Figuren 8a bis c werden Zeigerstellungen nach dem erfindungsgemäßen Verfahren dargestellt. Die Figur 8a zeigt eine Anfangszustandsvoreinstellung. Eine solche wird im Schritt 107 (Fig.7) benötigt, um das richtige alte Codewort aus der gespeicherten Liste zu ermitteln. Der Zeiger steht beim ersten Initialisieren der Maschine im Herstellerwerk auf einer Zahl 1. Alternativ kann auch die Seriennummer der Frankiermaschine eine Anfangszahl bilden. Die Zeigerstellung (Zahl 1 bzw. Anfangszahl) wird gespeichert. Dann wird ein entsprechender erster Code, der in der Liste an einer ersten Stelle steht im zu schützenden NVM 5a bzw. 5b gespeichert. Die Frankiermaschine verläßt das Herstellerwerk auf eine Zahl 1 bzw. Anfangszahl gestellt. Beim Händler bzw. beim Kunden wird nun die Frankiermaschine eingeschaltet bzw. wiedereingeschaltet (Fig. 8b). Der erste Code wird entsprechend der Zeigerstellung aus der Liste gelesen und mit dem im zu schützenden NVM 5a bzw. 5b gespeichert vorliegenden ersten Code verglichen. Diese erste Phase entspricht dem Schritt 107 der Figur 7, in welcher festgestellt wird ob ein Speicher zwischenzeitlich ohne abzurechnen herausgenommen und durch einen anderen ersetzt worden war und nun erneut mit alten Datenbestand eingesetzt wurde. Sind die Code gleich, wird entsprechend der Figur 8c die Zeigerstellung auf ein zweites Codewort in der Liste weitergeschaltet, was dem Schritt 108 in der Figur 7 entnembar ist. Die Zeigerstellung wird in vorbestimmter Weise verändert. Im einfachsten Fall wird die Zeigerstellung inkrementiert oder dekrementiert. Der erste Code im zu schützenden NVM 5a bzw. 5b wird nun durch den zweiten Code ausgetauscht, d.h. überschrieben. Wird nun nach dem Ausschalten die Frankiermaschine eingeschaltet bzw. wiedereingeschaltet wird eine Überprüfung auf der Basis des aktuellen Code analog zu der Fig. 8b und Fig. 7, Schritt 107 gezeigten Weise vorgenommen.
  • Im bevorzugten Ausführungsbeispiel wird für zwei nichtflüchtige Speicher NVM 6d und NVM 5a im Schritt 107 zur Überprüfung des bisher gültigen Codewortes V(-1), U(-1) ein für jeden physikalischen Speicherbaustein vorgesehenes separates Codewort W(-1), T(-1) verwendet.
  • Für zwei nichtflüchtige Speicher NVM 20 und NVM 5a wird nach Überprüfung des alten Codewortes im Schritt 107 und vor der entsprechenden Veränderung von Codewötern V und U zunächst im Schritt 108 ein neues Codewort W' und dannach ein Codewort T' gebildet, nach den Gleichungen: (1) W' := F {P1} und (2) T' := F {P2},
    Figure imgb0001
     wobei P1 und P2 gelistete Codewörter sind.
  • In einer Variante werden mit den gelisteten Codewörtern und mit internen Daten nach einem internen Programm ein neues Codewort mittels einer solchen mathematischen Funktion F erzeugt, welche das externe Nachbilden von Codewörtern wesentlich erschwert, so daß eine Manipulation in Fälschungsabsicht praktisch unmöglich gemacht wird.
  • Im einfachsten Fall wird im internen NVM 20 ein Zählwert inkrementiert, bevor ein neues Codewort (W', T', U', V') gebildet wird. Als mathematische Funktion F kann beispielsweise eine kryptographische Funktion verwendet werden, welche im internen OTP-ROM als Algorithmus bzw. Programm gespeichert vorliegt. Zum Beispiel kann der DES-Algorithmus (Data-Encryption-Standard) oder eine Zufallsfunktion eingesetzt werden, beispeilsweise um den neuen Zeiger entsprechend F zu ermitteln.
  • Das vorgenannte Bilden von Codewörtern umfaßt das Berechnen und/oder das Auswählen aus einer Liste von Codewörtern, welche im internen OTP-ROM gespeichert vorliegt. Im Idealfall soll jedes Codewort nur ein einziges mal zur Absicherung der externen nichtflüchtigen Schreib/Lese-Speicher verwendet werden. Das erfordert aber eine Vielzahl von Codewörtern, welche im internen OTP-ROM gespeichert werden.
  • Lediglich die Zeigerstellung oder Zahl die auf die Stellung des jeweiligen Codewortes in der in OTP-ROM gespeicherten Liste hinweist muß extern vom OTP-Prozessor und extern von den zu schützenden nichtflüchtigen Schreib/Lese-Speichern NVM 5a und 5b besonders gesichert gespeichert werden. Dieses Sichern des zweiten Sicherheitsmittels 20 gegen Entnahme aus dem Prozessorsystem kann durch ein Aufkleben oder ein gesichertes Kapseln des vorgenannten Sicherheits-Speichers zusammen mit dem Prozessor gewährleistet werden.
  • Bei den erfindungsgemäßen Varianten mit Speicherung in der Chipkarte kann auf ein Aufkleben oder ein gesichertes Kapseln mindestens eines der externen nichtflüchtigen Schreib/Lese-Speicher verzichtet werden.
  • Diesen Varianten liegt die Voraussetzung zugrunde, daß der Speicher der Chipkarte nicht manipuliert oder geklont werden kann. Ein Manipulator darf das neu zu bildende Codewort vor dem Einschalten nicht abfragen können, um damit seine geklonten Speicher auszurüsten. Die Zeigerstellung bzw. Zahl kann mittels DES verschlüsselt werden, wenn diese zur Chipkarte transferiert wird. Alternativ wird das Codewort übermittelt, oder nur die Anweisung zu seiner Wiederherstellung oder wesentliche Teile der Anweisung. Die Übermittlung erfolgt wieder verschlüsselt bzw. als MAC-gesicherte Daten. Ein solches Verfahren hat den Vorteil, daß man ohne o.g. speziellen Prozessor auskommt und daß dennoch alle Postregister-NVRAMs weiterhin gesockelt und somit leicht austauschbar montiert sind.
  • Alternativ ist es auch möglich, daß ein in der Liste gespeichertes Codewort verschlüsselt ausgelesen werden kann, wenn ein spezieller Prozessor vorliegt. Die Codewörter aus dem zu schützenden Speicher und das Codewort aus der vorgenannten Liste, auf welches der Zeiger weist, werden verschlüsselt zur Chipkarte übertragen, die ebenfalls einen Prozessor aufweist, der auch einen Vergleich zwecks Sicherheitsüberprüfung vornemmen kann.
  • In einer weiteren Variante wird von der Frankiermaschine das Codewort zum Speicher eines entfernten ähnlichen Prozessorsystems übertragen. Bei jedem Einschalten der Frankiermaschine wird eine Verbindung zum Speicher des entfernten ähnlichen Prozessorsystems hergestellt. Die Fehlerfreiheit wird durch Vergleich des extern in dem entfernten ähnlichen Prozessorsystem gespeicherten Codewortes mit dem in den PostregisterNVRAM gespeicherten Codewort festgestellt, um dann ein neues Codewort zu bilden und im NVRAM des entfernten ähnlichen Prozessorsystems und im Postregister-NVRAM abzuspeichern. Der Vergleich der einzigartigen Codewörter wird in der Frankiermaschine durchgeführt.
  • Eine zweckmäßige Variante besteht im Abspeichern des nach einem Algorithmus gebildeten einzigartigen Codewortes in einem näherem speziellen Übertragungsmittel (z.B. Chipkarte). Eine Kommunikationsverbindung zum entfernten ähnlichen Prozessorsystem wäre dann keine Voraussetzung zur Inbetriebnahme der Frankiermaschine, wenn zu Beginn die Chipkarte gesteckt wurde, welche auch bei letzten Mal, d.h. bei vorherigen Frankieren eingesteckt war. Es ist selbstverständlich ein entsprechender Kommunikations-Modus 300 nach dem Einschalten während der Laufzeit der Frankiermaschine vorgesehen.
  • Bei der - in der Figur 1b und 2b gezeigten - zweiten Variante werden im Schritt 106 nacheinander in den zu schützenden nichtflüchtigen Speichern gespeicherten die Codewörter gelesen und dann zum Prozessor übertragen. Der Prozessor führt einen Sicherungsschritt 107 zur Überprüfung des bisher gültigen Codewortes und einen Schritt 108 zur entsprechenden Veränderung des Codewortes aus, wenn die Überprüfung die Übereinstimmung bzw. Fehlerfreiheit ergeben hat. Anderenfalls wird vom Schritt 107 auf den Schritt 109 verzweigt, um ein Codewort Y zu löschen oder um mindestens ein Kill-Mode-Flag im prozessorinternen nichtflüchtigen Speicher 6d zu setzen.
  • Für zwei nichtflüchtige Speicher NVM 6d und NVM 5a wird nach Überprüfung des alten Codewortes im Schritt 107 und vor der entsprechenden Veränderung von Codewortern V und U zunächst im Schritt 108 ein neues Codewort W' und dannach ein Codewort T' für den zweiten prozessorinternen NVM 6d gebildet, nach den Gleichungen: (1) W' := F {P1} und (2) T' := F {P2},
    Figure imgb0002
     wobei P1 und P2 verschiedene monoton stetig veränderbare Parameter sind, beispielsweise die aktuelle Zeit, Anzahl von Programmunterbrechungen bzw. andere Programm-, Zeit- oder pysikalische Parameter oder gelistete Code sind. In einer Variante werden wieder mit internen Daten und nach einem internen Programm ein neues Codewort mittels einer solchen mathematischen Funktion F erzeugt, welche das externe Nachbilden von Codewörtern wesentlich erschwert, so daß eine Manipulation in Fälschungsabsicht praktisch unmöglich gemacht wird.
  • Bei der erfindungsgemäßen zweiten Variante kann auf die Einbeziehung von Postregisterwerten als Prüfkennwert und auf ein Aufkleben oder ein gesichertes Kapseln mindestens eines der externen nichtflüchtigen Schreib/Lese-Speicher verzichtet werden. Erst später, beispielsweise im Frankiermodus 400 (Fig.5), wird bei der Abrechnung der Dateninhalt überprüft, ob die Registerwertsumme R3 gleich der Summe aus ascending Register R1 (Restwert) und descending Register R2 ist und/oder ob die Postregisterwerte gültig sind (z.B. durch Authentizitätsprüfungen, Plausibilitätsprüfungen und ähnliche Prüfungen).
  • Das erfindungsgemäße Verfahren ist in einem - in der Figur 3 dargestellten - Gesamtablaufplan der Frankiermaschine eingebunden. Nach dem Start 100 erfolgen in einem die Startroutine und Initialisierung umfassenden Schritt 101 Maßnahmen zur Sicherheitsüberprüfung und zur Wiederherstellung eines definierten Anfangszustandes.
  • Die weiteren Schritte 102 bis 105 erfolgen gegebenenfalls zur Wiederherstellung der Betriebbereitschaft beispielsweise nach einer Reparatur der Frankiermaschine und sind in der Figur 7 näher dargestellt.
  • In den Schritten 106 bis 109 werden die gelesenen alten Codewörter überprüft und gegen neue Codewörter ausgetauscht. Anschließend wird das neue Codewort auch in die NV-RAMs NVM 5a und NVM 5b übertragen und bildet dort ein entsprechendes Codewort (V', U'). Der Schritt 108 beinhaltet außerdem die Überprüfung des ordnungsgemäßen Einspeicherns der Codewörter (U',V' bzw. W', T'). Wird bei der Überprüfung des bisher gültigen Codewortes eine nicht plausible Abweichung festgestellt, wird zu einem Schritt 109 verzweigt, der Maßnahmen umfaßt, die letztlich weitere Frankierungen mit der Frankiermaschine verhindern. Beispielsweise kann ein drittes von einer Datenzentrale vorgegebenes Codewort Y gelöscht werden, dessen Fehlen die Manipulation belegt. Nachfolgend wird auf die Systemroutine (Punkt s) verzweigt.
  • Der in der Figur 3 dargestellte Gesamtablaufplan für die Frankiermaschine weist Schritte 201 bis 206 und 207 bis 208 für eine Überwachung weiterer Kriterien auf. Bei einer Verletzung beispielsweise eines im Schritt 207 überprüften Sicherheitskriteriums tritt die Frankiermaschine in einen entsprechenden Kill-Modus ein (Schritt 208), Die Frankiermaschine tritt aufgrund eines im Schritt 202 überprüften Sicherheitskriteriums in einen Sleeping-(Warn)-Modus (203-206) ein, wenn nach Verbrauch einer vorbestimmten Stückzahl noch keine Verbindung zur Datenzentrale aufgenommen wurde.
  • Die Frankiermaschine und die Datenzentrale verabreden jeweils eine vorbestimmte Stückzahl S, d.h. die Menge, die bis zur nächsten Verbindungsaufnahme frankiert werden kann. Falls eine Kommunikation nicht zustande kommt (Stückzahlkontrolle), verlangsamt die Frankiermaschine ihre Arbeitsweise (Sleeping Modus-Variante 1), damit bis zu einer nächsten Stückzahlgrenze ohne Anzeige einer Warnung weiter gearbeitet werden kann. Jedoch ist es möglich in immer kürzeren Abständen, d.h. nach einer vorbestimmten Anzahl an Frankierungen, eine erneute Warnung auszugeben, welche so immer dringlicher auf das Erfordernis einer Kommunikation mit der Datenzentrale aufmerksam macht (Sleeping Modus-Variante 2). Schließlich ist es möglich (Sleeping Modus-Variante 3), eine ständige Warnung für ein bevorstehendes Schlafenlegen der Frankierfunktion im Schritt 203 auszugeben, wenn dieser aufgrund des erfüllten Abfragekriteriums in Schritt 202 ständig durchlaufen werden muß, bevor Schritt 205 erreicht wird. Es ist weiterhin vorgesehen, daß der Schritt 203 einen Subschritt zur Fehlerstatistik entsprechend dem Statistik- und Fehlerauswertungsmodus 213 umfaßt. Diese Variante kommt ohne den vorgenannten Schritt 204 aus. Das Frankieren wird durch den Sleeping Modus nicht beeinträchtigt. Solange die Überprüfung im Schritt 205 ergibt, daß die Stückzahl S noch größer Null ist, wird der Schritt 207 erreicht. Lediglich die Warnung erscheint immer öfter in der Anzeige. Anderenfalls wird auf den Schritt 206 verzweigt, wobei beispielsweise ein FLAG gesetzt wird, welches später im Schritt 301 abgefragt und als Kommunikationsersuchen gewertet wird. Im Schritt 206 kann ebenfalls eine zusätzliche Anzeige erfolgen, daß nun automatisch die Kommunikation erfolgt und solange die Frankierfunktion ruht, bis die Kommunikation erfolgreich abgeschlossen ist. Natürlich kann jederzeit der Frankiermaschinenbenutzer schon vorher den Kommunikationsmodus 300 aufrufen. In einem dem Kommunikationsmodus 300 vorausgehenden Schritt 207 werden weitere für die Manipulationssicherheit relevante Kriterien überprüft. Bei einer festgestellten Manipulation der Maschine, die in Fälschungsabsicht vorgenommen wurde, wird zum Schritt 208 verzeigt, um ein Frankieren mit der manipulierten Maschine zu verhindern. Die Maschine würde in einem solchen Fall in den Kill-Mode eintreten. Befindet sich die Frankiermaschine nur im Sleeping-Mode wird ein Frankieren nicht verhindert.
  • Nach der Überprüfung der Kriterien für den Kill-Modus (Schritte 207 bis 208) und für den Sleeping-Modus (Schritte 202 bis 206) wird ein in der Figur 3 gezeigter Punkt t erreicht. Im Schritt 209 können Eingaben getätigt werden, bevor der Punkt e erreicht wird.
  • Mit dem Eintritt in den Kommunikationsmodus 300 besteht für den Nutzer die Möglichkeit eine Kommunikation mit der Datenzentrale herbeizuführen bzw. es wird gegebenenfalls eine Kommunikation mit der Datenzentrale automatisch - gemäß dem in der Figur 3 gezeigten Gesamtablaufplan - herbeigeführt.
  • Falls die Kommunikation erfolgreich war, wird im Schritt 211 abgefragt, ob Daten übermittelt wurden. Anschließend wird der Schritt 213 erreicht. Im Schritt 213 werden die aktuellen Daten ermittelt bzw. geladen, welche im Schritt 201 aufgerufen und anschließend wieder beim Vergleich im Schritt 202 benötigt werden. Das übermittelte Entscheidungskriterium ist vorzugsweise die neue Stückzahl S'.
  • Der Auswertemodus im Schritt 213 umfaßt erfindungsgemäß auch die Bildung neuer Codewörter U', V' für die zu schützenden nichtflüchtigen Speicher im Ergebnis eines Nachladevorganges, der in Kommunikationsverbindung mit einer Datenzentrale vorgenommen wurde. Hierbei laufen die in der Figur 7 für Codewort Y beispielhaft gezeigten Schritte 106 bis 109 in analoger Weise auch für die Codewörter U', V' ab.
  • Wurde zuvor bei der Datenzentrale eine Eingriffsbefugnis für die Frankiermaschine angefordert, wird ein von der Datenzentrale vorgegebenes neues drittes Codewort Y' geladen, welches das alte dritte Codewort Y ersetzen kann. Für Reparaturzwecke ist ein Öffnen der Frankiermaschine und ein Austausch defekter Bauelemente ggf. unvermeidlich. Deshalb sind vorausgehende Maßnahmen zur Erlangung einer Eingriffsbefugnis erforderlich, welche den Betrieb der Frankiermaschine nach deren Instandsetzung erlauben. Ein unbefugtes Öffnen der Frankiermaschine wird dabei ausgeschlossen. Wenn die Frankiermaschine nach dem Eingriff wieder in Betrieb genommen wird, kann aufgrund der Eingriffsbefugnis für die Frankiermaschine jenes von einer Datenzentrale vorgegebenes neues dritte Codewort Y' das alte dritte Codewort Y ersetzen, wie dies beispielsweise in der Anmeldung DE 43 44 476 A1 vorgeschlagen wurde.
  • Sollte also das von einer Datenzentrale vorgegebene alte dritte Codewort Y gelöscht werden, weil die Speicher vollständig ausgetauscht wurden und deren veränderbares Codewort (V, U) nicht vorhanden ist, bzw. nicht mit dem intern gespeicherten übereinstimmt, würde die Frankiermaschine weiterbetrieben werden können.
    Der Weiterbetrieb der Frankiermaschine ist möglich, weil ein neues drittes Codewort Y'verwendet wird, wobei - wie in der Figur 7 dargestellt ist - auf den Schritt 108 verzweigt wird, um ein neues veränderbares Codewort (T', W') zu bilden und als Codewort (V', U') in die NV-RAMs zu laden.
  • In einer - gegenüber dem in der Figur 7 gezeigten Flußplan - modifizierten Flußplanvariante kann anstatt mit einem zu dem veränderbaren Codewort (W, T) identischen Codewort (V, U ) auch mit dem komplementären Schatten (V'', U'' ) in mindestens einem der Speicherbereiche bzw. NVRAM's gearbeitet werden. Entsprechend verändern sich auch die Form der Überprüfung der bisher gültigen Codewörter und deren Ersatz durch neue Codewörter in einem der Speicherbereiche des nichtflüchtigen Speichers NVM 5a, 5b gemäß der - in den Figuren 3 und 5 gezeigten - Schritte 102 bis 105. Nach einem Verifizieren der gegebenenfalls in einem Speicherbereich E des NVM 5a, 5b gespeichert vorliegenden neuen Codewörter V', U' und/oder Y' werden die alten Codewörter gelöscht und die neuen Codewörter entsprechend abrufbar adressiert. Das kann vorteilhaft analog zum Ablauf - wie er in der Figur 7 in DE 43 44 476 A1 dargestellt ist - erfolgen, indem die neuen Codewörter V', U' und/oder Y'auf die Adresse der alten Codewörter V, U und/oder Y gesetzt werden.
  • Nach einem vorausgehenden Ereignis bzw. einer Programmunterbrechung (Stand by) wird ein Punkt p erreicht und gemäß den - in der Figur 4 dargestellten - Details des Ablaufplanes wird über Schritte 102 bis 105 ein erster Sicherungsschritt 106 des in der Figur 7 gezeigten Flußplanes des erfindungsgemäßen Verfahrens erreicht.
  • Nur bei einer Inbetriebnahme oder nach Spannungsausfall wird nach einem Initialisieren in einem dem vorgenannten Punkt p vorgelagerten Schritt 1050 zuerst das aktuelle Programmodul PM entsprechend der Modulkennung aufgerufen, dessen Abschnitte anschließend weiter bearbeitet werden sollen. Der in der Figur 3 gezeigte Schritt 101 umfaßt mehrere Subschritte, welche nachfolgend anhand der Figur 4 näher erläutert werden.
  • Zunächst laufen im Schritt 1010 übliche Hardware- und Anzeige-Initialisierungsroutinen ab, bevor ein Schritt 1011 zum Timer- und Interrupt-Start erreicht wird. Das interne Programm beginnt dann mit Startsicherheitsüberprüfungen. In vorteilhafter Weise kann hier im Schritt 1020 bereits geprüft werden, ob ein Codewort oder Speicherinhalt gültig ist. Anschließend wird bei Gültigkeit ein Schritt 1040 zur automatischen Eingabe gespeicherter Daten mit Druckdatenaufbereitung und Einbettung der Bilddaten erreicht.
  • Nach dem Aufruf des Merkers oder Zeigers im Schritt 1051 wird in einem weiteren Schritt 1052 getestet, ob der Programmodul weiterabgearbeitet werden muß. Ist das nicht der Fall wird im Schritt 1054 der nächste Programmodul PM(+1) aufgerufen. Anderenfalls wird in einem Schritt 1053 überprüft, ob Programmabschnitte eines vorhergehenden Programmoduls PM(-1) zuende abgearbeitet werden müssen und zu einem Schritt 1056 verzweigt oder zu einem Schritt 1055 verzweigt, wenn ein Programmabschnitt des aktuellen Programmoduls PM weiter abgearbeitet werden muß. Nach Feststellung des aktuellen Programmoduls gemäß den Schritten 1054, 1055 oder 1056 wird auf den Punkt p verzweigt.
  • Für eine Abarbeitung kritischer und unkritischer Programmabschnitte innerhalb dieses Programmoduls werden Merker, beispielsweise eine Phasenkennung gesetzt, wie das aus DE 42 17 830 A1 bekannt ist, oder Zeiger gestellt, welche nach Spannungsausfall und Wiedereinschalten eine Rekonstruktion definierter Zustände für die weitere Programmabarbeitung ermöglicht.
  • Gemäß der Figur 3 wird nach Ausführung der Schritte 102 bis 105 und 106 bis 109 der Punkt s und damit die Systemroutine 200 erreicht. Außerdem wird der Punkt s nach Ausführung der Schritte für einen Testmodus 216, für einen Anzeigemodus 215 und für einen Frankiermodus 400 erreicht.
  • Die Erläuterung der Abläufe nach dem - in der Figur 5 gezeigten - Frankiermodus 400 erfolgt in Verbindung mit dem - in der Figur 1a dargestellten - Blockschaltbild und in dem - in der Figur 3 dargestellten - Gesamtablaufplan der elektronischen Frankiermaschine.
  • Die Erfindung geht davon aus, daß nach dem Einschalten automatisch der Postwert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben werden, daß für den Abdruck die variablen Daten in die festen Daten für den Rahmen und für alle unverändert bleibenden zugehörigen Daten elektronisch eingebettet werden (Fig.4, Schritt 1040).
  • Außerdem läuft die Zeit im batteriegestützten Uhren/Datums-Baustein 8 ständig auch bei ausgeschalteter Frankiermaschine weiter und wird ständig aktuell mindestens als Datum gespeichert und im Schritt 1040 der Figur 4 in der Initialisierungsroutine 101 eingebettet.
  • Wird also nach dem Einschalten der Frankiermaschine, nach der durchgeführten Systemroutine 200 und während des Betriebsmodus der Schritt 401 im Frankiermodus 400 erreicht, kann auch ohne Eingabe auf bereits gespeicherte Daten zurückgegriffen werden. Diese Einstellung betrifft insbesondere die letzte Einstellung der Frankiermaschine hinsichtlich des Portowertes, welche im Schritt 209 angezeigt wird, bevor ggf. eine erneute Eingabe, Anzeige und Druckdatenaufbereitung erfolgt. Hierbei werden die aktuellen variablen Pixelbilddaten (Datum und Portowert) in die festen Rahmenpixelbilddaten eingebettet. Anschließend erfolgt im Schritt 401 eine Abfrage der Eingabemittel auf eventuelle weitere Eingaben. Liegen weitere Eingaben vor wird ein Schleifenzähler im Schritt 403 zurückgesetzt und zum Punkt t (Fig. 3) zurückverzweigt.
  • Die Eingabedaten, die mit einer Tastatur 2 oder aber über eine an die Ein/Ausgabeeinrichtung 4 angeschlossene, den Portowert errechnende, elektronische Waage 22 eingegeben werden, werden automatisch im Speicherbereich D des nichtflüchtigen Arbeitsspeichers NVM 5 gespeichert. Außerdem sind auch Datensätze der Subspeicherbereiche, zum Beispiel Bj, C usw., nichtflüchtig gespeichert. Damit ist gesichert, daß die letzten Eingabegrößen auch beim Ausschalten der Frankiermaschine erhalten bleiben, so daß nach dem Einschalten automatisch der Portowert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben wird. Im Schritt 209 wird die eventuelle Eingabe neuer Werte abgefragt. Wenn beispielsweise kein neuer Portowert eingegeben wurde, dann wird auf den im Speicherbereich gespeichert vorliegenden bisherigen Portowert zurückgegriffen und der Punkt e (Fig.3) erreicht, um weitere Eingaben abzufragen, bevor der Frankiermodus 400 (Fig.5) erreicht wird.
  • Bei einer im Schritt 401 festgestellten erneuten Eingabeanforderung wird über den Schritt 403 wieder auf den Schritt 209 zurückverzweigt. Anderenfalls wird auf den Schritt 402 verzweigt, um den Schleifenzähler zu inkrementieren. Über den Schritt 404, in welchen die durchlaufenen Schleifenanzahl überprüft wird, wird der Schritt 405 erreicht, um die Druckausgabeanforderung abzuwarten. Durch einen Briefsensor wird ein Brief detektiert, welcher frankiert werden soll. Dadurch wird ein Signal für die Druckausgabeanforderung generiert.
  • Im Schritt 405 wird die Druckausgabeanforderung abgewartet, um dann über die Schritte 407, 409 und 410 zur Abrechnungs- und Druckroutine im Schritt 406 zu verzweigen. Liegt keine Druckausgabeanforderung (Schritt 405) vor, wird - nach dem in der Figur 3 gezeigten Gesamtablaufplan - zum Schritt 209 (Punkt t) und gegebenenfalls, wenn kein Kommunikationsersuchen vorliegt über die Schritte 211, 212 und 214 zum Schritt 401 des Frankiermodus 400 zurückverzweigt.
  • Wenn nach der - in der Figur 5 dargestellten - Weise nunmehr zum Punkt t zurückverzweigt und nach Schritt 209 der Schritt 301 erreicht wird, kann jederzeit durch manuelle Eingabe ein Kommunikationsersuchen gestellt oder eine andere Eingabe gemäß den Schritten Testanforderung 212 und Registercheck 214 getätigt werden. Wieder wird Schritt 401 erreicht. Wenn keine Eingabeanforderung erkannt wird, werden weitere Schritte 402 und 404 - wie in der Figur 5 gezeigt - durchlaufen. Ein weiteres Abfragekriterium kann in einem Schritt 404 abgefragt werden, um im Schritt 408 ein Standby-Flag zu setzen, wenn nach einer durchlaufenen Schleifenanzahl weder eine Eingabe getätigt wurde, noch keine Druck-ausgabeanforderung vorliegt.
  • Der Standby-Modus wird in einer anderen Variante auch erreicht, wenn ein ansich bekannter - in der Figur 1a dargestellter - Briefsensor 16 in vorbestimmter Zeit keinen nächsten Briefumschlag ermittelt, welcher frankiert werden soll. Der - in der Figur 4 gezeigte - Schritt 404 im Frankiermodus 400 umfaßt entweder eine Abfrage nach einem Zeitablauf oder nach der Anzahl an Durchläufen durch die Programmschleife, welche letztendlich wieder auf die Eingaberoutine gemäß Schritt 401 führt. Wird das Abfragekriterium erfüllt, wird im Schritt 408 ein Standby-Flag gesetzt und direkt auf den Punkt p oder alternativ dazu auf den Punkt s zur Systemroutine 200 zurückverzweigt, ohne daß die Abrechnungs- und Druckroutine im Schritt 406 durchlaufen wird. Bei einer Verzweigung auf den Punkt p kann ein zusätzlicher Wechsel der Codewörter während des Standby-Modus erzielt werden. Bei einer - in der Figur 5 nicht dargestellte - Variante mit einer Verzweigung auf den Punkt s kann dagegen nur ein Wechsel der Codewörter nur nach dem Einschalten erzielt werden.
  • Das Standby-Flag wird während der Systemroutine 200 im Schritt 211 abgefragt und gegebenenfalls nach der Checksummenprüfung im Schritt 213 zurückgesetzt, falls kein Manipulationsversuch erkannt wird.
  • Das Abfragekriterium im Schritt 211 wird dazu um die Frage erweitert, ob das Standby-Flag gesetzt ist, d.h. ob der Standby Modus erreicht ist. In diesem Fall wird einmal auf den Schritt 213 verzweigt. Eine bevorzugte Variante mit Manipulationsüberwachung während des Standby-Modus besteht darin, ein Codewort Y in der bereits beschriebenen Weise zu löschen, wenn ein Manipulationsversuch im Standby-Modus auf vorgenannte Weise im Schritt 213 festgestellt worden ist. Das Fehlen des Codewortes Y wird im Schritt 207 erkannt und dann auf den Schritt 208 verzweigt. Der Vorteil dieses Verfahrens in Verbindung mit dem ersten Modus besteht darin, daß der Manipulationsversuch statistisch im Schritt 213 erfaßt wird.
  • Somit kann das Standby-Flag im auf den Kommunikationsmodus 300 folgenden Schritt 211 abgefragt werden. Damit wird nicht auf den Frankiermodus 400 verzweigt, bevor nicht die Checksummenprüfung die Vollzähligkeit und Gültigkeit aller oder mindestens einiger ausgewählter sicherheitsrelevanter Programme ergeben hat.
  • Falls eine Druckausgabeanforderung im Schritt 405 erkannt wird, werden weitere Abfragen in den nachfolgenden Schritten 409 und 410 sowie im Schritt 406 getätigt. Beispielsweise kann im Schritt 407 eine Überprüfung der Registerwerte und zusätzlich des Codewortes Y vorgenommen werden und im Schritt 409 wird die Gültigkeit und zusätzlich das Vorhandensein eines im Schritt 208 (Fig.3) gesetzten Kill-Mode-Flag's festgestellt, um auf den Schritt 410 zu verzweigen. Anderenfalls wird auf den Schritt 413 zur Statistik- und/oder Fehlerauswertung und Schritt 415 zur Anzeige des Fehlers verzweigt, wenn die Registerwerte nicht authentisch waren.
  • Im Schritt 410 wird das Erreichen eines weiteren Stückzahlkriterium abgefragt. War die zum Frankieren vorbestimmte Stückzahl bei der vorhergehenden Frankierung verbraucht, d.h. Stückzahl gleich Null, wird automatisch zum Punkt e verzweigt, um in den Kommunikationsmodus 300 einzutreten, damit von der Datenzentrale eine neue vorbestimmte Stückzahl S wieder kreditiert wird. War jedoch die vorbestimmte Stückzahl noch nicht verbraucht, wird vom Schritt 410 über Schritte 4060, 4061 bzw. 4062 und 4063 auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt.
  • Im Schritt 4060 wird eine Pseudozufallsfolge während des Betriebes der Frankiermaschine vor jedem Abdruck und damit vor jeder neu zu registrierenden Stückzahl an Frankieraufdrucken auf Basis der vorhergehenden Stückzahl und gegebenenfalls der aktuellen vom Uhren/Datumsbaustein gelieferten Zeit eine Zufallszahl erzeugt. Dafür ist ein Pseudozufallsgenerator mit entsprechender - nicht dargestellter - Hardware oder mit einem im internen OPT-ROM des OTP-Prozessors gespeicherten Programm vorgesehen. Im internen OPT-ROM des OTP-Prozessors liegt mindestens eines aus der Vielzahl von möglichen erzeugbaren Zufallswörtern gespeichert vor. Nach einem Vergleich im Schritt 4061 und einer anschließenden Authentizitätsprüfung des MACs im Schritt 4062 innerhalb des OTP-Prozessors wird bei Übereinstimmung eine redundante Speicherung des neuen Codewortes einmal in die lösbaren nichtflüchtigen Speicher (NVRAMs) und erfindungsgemäß auch in den vorgenannten unlösbar fest auf die Platine aufgeklebten nichtflüchtigen Speicher (E2PROM) 20 oder im internen OTP-NVM 6d bzw. im externen Speicher 25 vorgenommen. In - nicht näher dargestellten - Subschritten zum Schritt 4061 sind außerdem eine Vielzahl gespeicherter weiterer Bedingungen abfragbar, bei deren Eintreffen im Ergebnis die Abspeicherung eines neuen Codewortes in einem nichtflüchtigen Speicher 20, 25 bzw. im internen OTP-Speicher 6d zur Folge hat. Dabei ist ein E2PROM einsetzbar. Die zulässige Anzahl an Schreib/Lese-Zyklen für einen E2PROM wird nicht überschritten, wenn beispielsweise durchschnittlich nur jede vierunzwanzigste Frankierung die nichtflüchtigen Speicher (E2PROM und NVRAMs) redundant mit einem neuen Codewort beschrieben werden.
  • Wird ein Codewort zur Verschlüsselung von Abrechnungsdaten eingesetzt, entsteht ein sogenannter MAC. Zur Speicherung von Abrechnungsdaten mit angehängten MAC in den zu schützenden nichtflüchtigen Speichern 5a und 5b bei jeder Abrechnung existiert parallel in unregelmäßigen Abständen eine Speicherung von Abrechnungsdaten mit angehängten MAC in dem jeweiligen als zweite Sicherungsmitteln gegen unbefugte Manipulation dienenden nichtflüchtigen Speicher, vorzugsweise einem E2PROM 20 oder 25. Vor dem nächsten Abrechnen werden im Schritt 406 gewöhnlich die Abrechnungsdaten in den zu schützenden nichtflüchtigen Speichern 5a und 5b anhand des angehängten MAC's überprüft. Aber im Falle eines nächsten im Schritt 4061 eintreffenden Ereignis wird in - nicht näher dargestellten - Subschritten des Schrittes 4062 der Abrechnungsdatensatz in den OTP 6 übertragen, um ihn anhand desjenigen MAC's oder Codewortes zu überprüfen, welches im - als zweites Sicherungsmittel gegen unbefugte Manipulation dienenden - nichtflüchtigen Speicher gespeichert vorliegt. Der Abrechnungsdatensatz wird mittels des Codewortes zu einem MAC verschlüsselt. Der so gebildete MAC wird mit dem an den Abrechnungsdatensatz angehängten MAC im zu schützenden nichtflüchtigen Speicher 5a und 5b verglichen. Der Vergleich kann auch im kreuzweisen Vergleich erfolgen. Bei authentischen MAC'Is wird auf den Schritt 4063 verzweigt.
  • Es ist vorgesehen, im Schritt 4063 sowohl die Bildung des neuen Codewortes als auch die Speicherung von Abrechnungsdaten zumindest vorzubereiten, bevor auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt wird. Vom Schritt 4062 wird bei einem festgestellen Fehler bzw. bei Nichtübereinstimmung der MACs auf den Schritt 413 zur Statistik- und Fehlerauswertung zurückverzweigt.
  • Anderenfalls, wenn im Schritt 4060 eine nicht passende Pseudozufallszahl Zist während des Betriebes der Frankiermaschine vor jedem Abdruck erzeugt wird, d.h. eine Pseudozufallszahl Zist, welche beim Vergleich im Schritt 4061 eine Nichtübereinstimmung mit der mindestens einen im internen OPT-ROM des OTP-Prozessors gespeichert vorliegenden Zufallszahl Zsoll ergibt, dann wird ohne ein neues Codewort zu bilden auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt. Die MAC-Bildung erfolgt dann mittels des bisher gültigen Codewortes.
  • Die Erfindung vermeidet, daß wenn die Postregister samt Inhalt unbefugt entfernt werden, um beliebig viele Kopien anzufertigen, daß dann ohne Abrechnung bei der Datenzentrale bzw. Bezahlung bei der Post Postgüter frankiert werden können, wenn geklonte Speicherinhalte eingesetzt werden. Eine Verkapselung der NVRAM-Bauelemente für die Postregister mit einem Sicherheitsgehäuse ist nicht erforderlich. Wenn ein potentieller Manipulator, beispielsweise von der 1. bis 23. Frankierung mit geklonten Speichern (batteriegestützten CMOS-RAMs) arbeitet, ist dies mittels einer Selbstüberprüfung durch die Frankiermaschine automatisch nachträglich feststellbar, wenn dazwischen ein Codewortwechsel stattfand.
  • Es ist vorgesehen, daß die in den Postregister - d.h. insbesondere in den batteriegestützten CMOS-NVRAM's - enthaltenen Daten nach einer Zufalls- bzw. Pseudozufallsfolge ermittelten Stückzahl an Frankierungen auch im E2PROM 20, 25 bzw. im internen OTP-Speicher 6d nichtflüchtig gespeichert werden.
  • Ein potentieller Verletzer kann nicht voraussehen, wann dies geschieht. Dabei ergibt sich ein durchschnittliches Abspeichern von beispielsweise 24 Frankierungen, so daß die Lebensdauer der E2PROMs nicht gegenüber der bisherigen Lösung verringert wird.
  • Es wird von einem Code ausgegangen, der vor jeder (im Ý ca. nach der 24.Frankierung erfolgenden) Abspeicherung im E2PROM vom Prozessor überprüft wird (im Schritt 4062, Fig.5) und welcher für jede neue Abspeicherung im E2PROM gewechselt wird (im Schritt 4063, Fig.5). Dieser Prüfcode wird in einem k-ten Register der NVRAMs gespeichert und kann zugleich eine Prüfsumme, beispielsweise eine MAC-Absicherung für die Registerwerte bilden. Die Prüfsumme bzw. MAC-Absicherung für die Registerwerte wird mittels wechselnder und für NVRAM und E2PROM unterschiedlicher Algorithmen und Schlüssel gebildet, welche in einem OTP-ROM eines OTP-Prozessors gespeichert vorliegen. Damit ist ein Kopieren des E2PROM-Speicherinhalt auf den NVRAM sinnlos, wenn verschiedenen Prüfcode verschiedene Speicher mit zusammengehörigen bzw. aufeinander bezogenen Speicherinhalten absichern.
  • In einer einfachen Variante, wird zur Überprüfung ein verschlüsselter Prüfcode aus den Registerwerten für jede Stückzahl n = i -1
    Figure imgb0003
     gebildet und mit dem im E2PROM gespeicherten MAC verglichen. Bei Gleichheit, gibt es eine Stückzahl n = m
    Figure imgb0004
     , bei der im NVRAM und im E2PROM Daten entsprechend gespeichert wurden. Die einzelnen Registerwerte bilden für eine Anzahl n = z
    Figure imgb0005
     Frankierungen eine Tabelle, welche eine Zeile für die Stückzahl m einschließt, bei welcher der Prüfcode im E2PROM als MAC gespeichert wurde. Somit ergibt sich eine historische Abfolge von Daten für eine begrenzte Anzahl z. Für eine redundante Abspeicherung der Registerwerte kann jeder einzelne Registerwert verschlüsselt im E2PROM gespeichert werden. Ein Vorteil der Erfindung ist aber, daß dies nicht bei jeder Abrechnung erfolgen muß. Ebensowenig muß jeder einzelne Registerwert im E2PROM redundant gespeichert werden. Ein potentieller Manipulator vermag die Zugehörigkeit der Daten zu einer Zeile der Tabelle selbst nicht wiederherzustellen. Welche Schlüssel und Algorithmen wo eingesetzt werden, ist im OTP-ROM gelistet.
  • Ein Zeiger, dessen Daten verschlüsselt oder MAC-gesichert im E2PROM gespeichert werden, weist auf entsprechende Stellen in der Liste im OTP-ROM (siehe Fig.8). Hierzu kann ein Zähler de- oder inkrementiert werden, um den Zeiger zu bilden.
  • Wenn eine Pseudozufallszahl (im Schritt 4061, Fig.5) erreicht ist und die Überprüfung der MACs vom NVRAM und vom E2PROM eine Authentizität der Daten ergab, wird in einer bevorzugten Variante, eine Abrechnung vorgenommen und eine CRC-Prüfsumme über alle Registerwerte zum Zeitpunkt unmittelbar vor einer Frankierung bzw. vor dem Schritt 406 für die übliche Abrechnungs-und Druckroutine gebildet und unterschiedlich verschlüsselt zum NVRAM im E2PROM gespeichert (im Schritt 4063, Fig.5). Wird dann zum Schritt 406, (Fig.5) verzweigt, braucht nur noch die Druckroutine ausgeführt werden, wie sie beispielsweise im EP 576 113 A2, im Schritt 49 der Fig.6 ausgeführt wird. Anderenfalls wird vom Schritt 4061 auf die normale Abrechnungs- und Druckroutine (im Schritt 406, Fig.5) direkt verzweigt und die Abrechnung im Schritt 406 ausgeführt, bevor ein Drucken erfolgt.
  • Die erfindungsgemäße Lösung basiert auf einer Ausbausicherheit von Prozessor mit internen oder externen E2PROM mit einer unlösbaren E2PROM-Befestigung auf der Prozessor-Leiterplatte. Vor jeder neu zu registrierenden Stückzahl an Frankieraufdrucken wird auf Basis der vorhergehenden Stückzahl und gegebenenfalls der aktuellen vom Uhren/Datumsbaustein gelieferten Zeit eine Zufallszahl erzeugt. Solche elektronischen Zähler können auch mittels des batteriegestützten Uhren/Datums-Bausteins 8 realisiert werden. Der Uhren/Datums-Baustein kann dabei nicht auf ein zurückliegendes Datum vor dem aktuellen Datum eingestellt werden. Die laufende Zeit wird gemessen und in einen Zufallsalgorithmus eingegeben, um eine Zahl zu bilden. Wird eine vorbestimmte Zahl erreicht, wird bei der nächstfolgenden Frankierung eine redundante Abspeicherung im E2PROM und NVRAM in o.g. Weise entsprechend gesichert vorgenommen.
  • In einer anderen Variante wird ein Pseudozufalls-Algorithmus mittels eines Bitmustergenerators hardwaremäßig generiert. Hierbei handelt es sich um ein n-fach-Schieberegister mit spezieller Rückkopplung, welches vorzugsweise Bestandteil eines ASICs sein kann.
  • In dem vorgenannten ASIC können E2PROM und Prozessor mindestens mit ihren sicherheitsrelevanten Teilen realisiert sein.
  • Durch den Pseudozufalls-Algorithmus ergibt sich ein durchschnittlicher Wert von ca. 24 Frankierungen, bei welchen redundant abgespeichert wird. Ein E2PROM (ca.10.000 Zyklen) könnte somit 24 * 10.000 = 240.000 Frankierungen durchhalten.
  • Vorteilhaft wird von einem nichtflüchtigen Speicher im OTP bzw. (ausbau)sicher zum OTP angeordneten E2PROM ausgegangen, um die Manipulationssicherheit gegenüber geklonten Speicherinhalten zu gewährleisten. Dabei wird nicht nur von bestimmten Zeitpunkten abhängig, wie beim Einschalten und/oder Übergang in den Standby-Betrieb, eine Speicherung vorgenommen, um die Manipulationssicherheit gegenüber geklonten Speicherinhalten zu gewährleisten (Verzweigung auf Punkt p, Fig.3), sondern der vorgenannte zeitpunkt ist nunmehr zufällig gewährt. Der Zeitpunkt des Abspeicherns kann somit von einem potentiellen Fälscher nicht mehr logisch abgeleitet bzw. vorausgesehen, sondern nur noch nachträglich in Bezug zur Stückzahl ermittelt werden.
  • Im Schritt 406 werden die in bekannter Weise zur Abrechnung eingezogenen Registerdaten ggf. inhaltlich überprüft und entsprechend geändert. Beispielsweise wird bei einem gültigen Frankieren mit einem Wert > 0 der Stückzähler R4 inkrementiert. Der Registerwert R1 wird verringert und der Registerwert R2 entsprechend erhöht, so daß der Registerwert R3 konstant bleibt. Danach wird eine Prüfsumme (beispielsweise CRC) über jeden der Registerwerte gebildet und im NVM 5a und/oder NVM 5b zusammen mit den zugehörigen Registerwerten gespeichert. Eine solche Absicherung, die über die einzelnen Registerdaten gelegt wurde, um eine Manipulation Verringern von R2 (Verbrauchssumme) und Erhöhung von R1 (Restwert) bei gleichbleibenden R3 während des laufenden Betriebes zu verhindern, wurde bereits in der Anmeldung DE 43 44 476 A1 vorgeschlagen. Der MAC (Message Authentification Code) ist eine verschlüsselte Checksumme, welche an den Registerwert bei Abrechnung im Schritt 406 (Fig.4) angehängt wird. Geeignet ist beispielsweise eine DES-Verschlüsselung. Im Frankiermodus 400 (Fig.4) kann bei der Abrechnung zusätzlich noch der Dateninhalt überprüft werden, ob die Registerwertsumme R3 gleich der Summe aus Ascending-Register R1 (Restwert) und Descending-Register R2 ist. Aufgrund der Absicherung mit den verschlüsselten Prüfsummen kann aber auf eine inhaltliche Überprüfung völlig verzichtet werden, zumal eine solche von der Datenzentrale bei jeder Kommunikation mit der Frankiermaschine durchgeführt wird. Sind alle Spalten eines Druckbildes gedruckt worden, wird wieder zur Systemroutine 200 zurückverzweigt.
  • Zusätzlich zur vorgenannten Bildung von neuen Codewörtern mittels Pseudozufallsfolge werden auch bei einem anderen letzten Betriebszustand der Frankiermaschine die nichtflüchtigen Speicher (E2PROM und NVRAMs) redundant mit einem neuen Codewort beschrieben. Ein solche andere letzter Betriebszustand ist vorbestimmten Zuständen zugeordnet ist, wie vorstehen beschrieben wurde.
  • Die Anzahl von gedruckten Briefen, und die aktuellen Werte in den Postregistern werden entsprechend der eingegebenen Kostenstelle im nichtflüchtigen Speicher 5a der Frankiermaschine während der Abrechnungsroutine 406 registriert und stehen für eine spätere Auswertung zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird während der unmittelbar vor dem Druck erfolgenden Abrechnungsroutine veranlaßt, einen Zählschritt weiterzuzählen. Die Registerwerte können bei Bedarf im Anzeigemodus 215 (Fig.3) abgefragt werden. Von diesem wird anschließend zur Systemroutine 200 zurückverzweigt.
  • Für die frankiermaschineninterne Sicherheitsschaltung eignet sich der TMS370 C010 aus der Prozessor-Familie von Texas Instrument. Dieser weist ein internes E2PROM von 256 Bytes als NVM auf.
  • In einer Variante enthalten der nichtflüchtige interne Prozessorspeicher und der zu schützende nichtflüchtige Postregisterspeicher (Bat-NV-CMOS-RAM's) nicht das identische, sondern einer von beiden das komplementäre Codewort. Das prozessorinterne Codewort ist nicht von außen abfragbar.
  • In einer anderen Variante sind verschiedene Codeworter einzelnen Speichern zugeordnet, wobei die verschiedenen Codewörter jedoch einen gemeinsamen Stamm haben, aus dem sie gebildet wurden und wobei der gemeinsame Stamm vom Prozessor rekonstruiert wird, um die Gültigkeit der einzelnen Codewörter zu überprüfen.
  • Die Routine zum Codewörter-Vergleich bzw. zur Gültigkeitsprüfung wird im Prozessor jeweils nach dem Einschalten bzw. bei Programmfortsetzung abgefragt. Wird beim Vergleich eine Unstimmigkeit festgestellt, wird die Frankiermaschine für den weiteren Betrieb blockiert.
  • Es ist weiterhin vorgesehen, daß die Anzahl der Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt gezählt und nichtflüchtig prozessorintern gespeichert wird. Zum Zeitpunkt einer Kommunikation mit der Datenzentrale wird die vorgenannte Anzahl an in der Vergangenheit gebildeten Codewörtern und das aktuell gültige Codewort abgefragt. Das erlaubt bei einer unabsichtlichen Blockierung der Frankiermaschine aufgrund ungültiger Codewörter dann bei Bedarf die nachträgliche Wiederherstellung des alten Zustandes durch entsprechende Datenübermittlung seitens der Datenzentrale an die Frankiermaschine.
  • Es ist vorgesehen, daß ein dem Codewort entsprechender letzter Betriebszustand der Frankiermaschine einen Zustand im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine oder einen Zustand vor dem Ausschalten der Frankiermaschine oder einen Zustand vor einem Spannungsausfall oder vor einer Stillstandszeit (Stand by) bzw. vor Programmunterbrechung einschließt. Ebenfalls können bei der Überwachung weiterer Kriterien solche letzten Betriebszustände eintreten, indem die Frankiermaschine zu einem entsprechenden Modus übergeht. Solche Schritte 202 bzw. 207 für eine Überwachung weiterer Kriterien weist der in der Figur 3 dargestellte Gesamtablaufplan für die Frankiermaschine auf. Bei einer Verletzung eines der Sicherheitskriterien tritt die Frankiermaschine in einen entsprechenden Modus ein und führt zusätzlich in entsprechenden Subroutinen die - in der Figur 7 dargestellten - erfindungsgemäßen Schritte 106 bis 109 aus. Tritt die Frankiermaschine beispielsweise in einen Sleeping-Modus ein, wenn nach Verbrauch einer vorbestimmten Stückzahl noch keine Verbindung zur Datenzentrale aufgenommen wurde, und wird keine manuelle Auslösung einer Kommunikation durch den Nutzer vorgenommen, erfolgt bei Erschöpfung des Stückzahlkredites eine automatische Kommunikation mit der Datenzentrale und eine Durchführung des Verfahrens zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten.
  • Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen des Verfahrens für andere informationsverarbeitende Einrichtungen entwickelt bzw. eingesetzt werden können, die vom gleichen Grundgedanken der Erfindung ausgehend, von den anliegenden Ansprüchen umfaßt werden.

Claims (29)

  1. Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten, insbesondere von Registerdaten in Frankiermaschinen, gekennzeichnet, durch die Schritte:
    - Laden einer Zahl oder eines Zeigers, welcher einem Codewortes zugeordnet ist, in einen ersten nichtflüchtigen Speicher (20 bzw 6d), der gegen Herausnahme und Manipulation abgesichert ist,
    - Laden eines Codewortes in zweite die Postregisterdaten enthaltenden nichtflüchtigen Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine zugeordnet ist bzw. vom Prozessor (6, 6a) entsprechend ausgewählt worden ist,
    - Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend aufgrund eines Ereignisses,
    - Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort, wenn der Prozessor, nach Gültigkeitsprüfung mit Bezug auf das in seinem internen Prozessorspeicher (NVM 6c) aus einer Liste mit gespeicherten Codewörten entsprechend der Zahl bzw. der Zeigerstellung ausgewählte Codewort, die Gültigkeit des alten Codewortes anerkennt oder
    - Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das ausgewählte in vorgenannter Liste gespeicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
  2. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, daß ein dem Codewort entsprechender letzter Betriebszustand der Frankiermaschine einen Zustand im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine oder im Ergebnis der Bildung einer Pseudozufallsfolge oder einen Zustand vor dem Ausschalten der Frankiermaschine oder einen Zustand vor einem Spannungsausfall oder vor einer Stillstandszeit (Stand by) bzw. vor Programmunterbrechung einschließt und daß die Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend mindestens aufgrund einer Pseudozufallsfolge in Abständen durchgeführt wird.
  3. Verfahren, nach den Ansprüchen 1 bis 2, dadurch gekennzeichnet, daß ein Laden eines neuen Codewortes in zu schützende nichtflüchtige Speicher (NVM 5a, 5b), erfolgt, wobei das Programm für die Berechnung der Zeigerstellung bzw. Bildung des jeweils neuen Codewortes im Programmspeicher (PSP 11) gespeichert ist.
  4. Verfahren, nach den Ansprüchen 1 bis 3, dadurch gekennzeichnet, daß der Zeiger außerhalb des jeweils zu überprüfenden lösbar eingebauten nichtflüchtigen Speichers (NVM 5a, 5b) in dem ständig eingebauten und/oder während der Laufzeit der Frankiermaschine mit ihrem Prozessorsystem in Kommunikationsverbindung stehenden und gegen Herausnahme und Manipulation während der Laufzeit der Frankiermaschine abgesicherten ersten Sicherheitsspeicher nichtflüchtig gespeichert wird und daß die Auswahl des neuen Codewortes vom vorherigen abhängig ist.
  5. Verfahren, nach den Ansprüchen 1 bis 4, dadurch gekennzeichnet, daß die Nachladung mit einem monetären Guthaben, Stückzahl S und/oder anderen Daten in einem Kommunikationsmodus (300) erfolgt, daß die Anzahl der Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt gezählt und nichtflüchtig prozessorintern gespeichert wird und zum Zeitpunkt einer Kommunikation mit der Datenzentrale die vorgenannte Anzahl an in der Vergangenheit gebildeten Codewörtern und das aktuell gültige Codewort abgefragt wird, zum Überwinden einer unabsichtlichen Blockierung der Frankiermaschine aufgrund ungültiger Codewörter bzw. bei Bedarf die nachträgliche Wiederherstellung des alten Zustandes durch entsprechende Datenübermittlung seitens der Datenzentrale an die Frankiermaschine.
  6. Verfahren, nach den Ansprüchen 1 bis 5, dadurch gekennzeichnet, daß eine Überwachung weiterer Kriterien erfolgt und solche vorgenannten letzten Betriebszustände eintreten, indem die Frankiermaschine zu einem entsprechenden Modus bei einer Verletzung eines der Sicherheitskriterien übergeht, daß die in einen entsprechenden Modus eingetretene Frankiermaschine in zusätzlichen entsprechenden Subroutinen die Schritte (106 bis 109) zur Durchführung des Verfahrens zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten ausführt.
  7. Verfahren, nach den Ansprüchen 1 bis 6, dadurch gekennzeichnet, daß jedem nichtflüchtigem Speicher oder Speicherbereich ein separates Codewort zugeordnet wird, wobei mindestens eines der vorgenannten separaten Codeworte in einem weiteren internen Speicher eines Prozessorsystems, einer Chipkarte und/oder eines ähnlichen Systems nichtflüchtig gespeichert worden ist, welches während der Laufzeit der Frankiermaschine mit dem Prozessorsystem der Frankiermaschine in Kommunikationsverbindung steht und gegen Herausnahme und Manipulation während der Laufzeit der Frankiermaschine abgesichert ist und daß eine Bildung von neuen Codewörtern ab einem vorbestimmten Ereignis und danach eine Einspeicherung der neuen Codewörter in die zu schützenden nichtflüchtigen Speicher und in die weiteren nichtflüchtigen Speicher vorgenommen wird.
  8. Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten, insbesondere von Registerdaten in Frankiermaschinen, gekennzeichnet, durch die Schritte:
    - Laden eines Codewortes in einen ersten internen Prozessorspeicher (NVM 6d) zur nichtflüchtigen Speicherung und in zweite die Postregisterdaten enthaltenen nichtflüchtigen Speicher (NVM 5a, 5b), wobei das Codewort dem letzten Betriebszustand der Frankiermaschine entspricht,
    - Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend aufgrund eines Ereignisses,
    - Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem ersten nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes anerkennt oder
    - Blockierung der Frankiermaschine nach dem Zeitpunkt des Einschaltens der Frankiermaschine, wenn der Prozessor nach Gültigkeitsprüfung mit Bezug auf das in seinem ersten nichtflüchtigen internen Prozessorspeicher (NVM 6d) gespeicherte Codewort die Gültigkeit des alten Codewortes aberkennt.
  9. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, daß ein dem Codewort entsprechender letzter Betriebszustand der Frankiermaschine einen Zustand im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine oder im Ergebnis der Bildung einer Pseudozufallsfolge oder einen Zustand vor dem Ausschalten der Frankiermaschine oder einen Zustand vor einem Spannungsausfall oder vor einer Stillstandszeit (Stand by) bzw. vor Programmunterbrechung einschließt und daß die Gültigkeitsprüfung des Codewortes mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine und nachfolgend mindestens aufgrund einer Pseudozufallsfolge in Abständen durchgeführt wird.
  10. Verfahren, nach Anspruch 9, dadurch gekennzeichnet, daß die Nachladung mit einem monetären Guthaben, Stückzahl S und/oder anderen Daten in einem Kommunikationsmodus (300) erfolgt, daß die Anzahl der Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt gezählt und nichtflüchtig prozessorintern gespeichert wird und zum Zeitpunkt einer Kommunikation mit der Datenzentrale die vorgenannte Anzahl an in der Vergangenheit gebildeten Codewörtern und das aktuell gültige Codewort abgefragt wird, zum Überwinden einer unabsichtlichen Blockierung der Frankiermaschine aufgrund ungültiger Codewörter bzw. bei Bedarf die nachträgliche Wiederherstellung des alten Zustandes durch entsprechende Datenübermittlung seitens der Datenzentrale an die Frankiermaschine.
  11. Verfahren, nach Anspruch 9, dadurch gekennzeichnet, daß eine Überwachung weiterer Kriterien erfolgt und solche vorgenannten letzten Betriebszustände eintreten, indem die Frankiermaschine zu einem entsprechenden Modus bei einer Verletzung eines der Sicherheitskriterien übergeht, daß die in einen entsprechenden Modus eingetretene Frankiermaschine in zusätzlichen entsprechenden Subroutinen die Schritte (106 bis 109) zur Durchführung des Verfahrens zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten ausführt.
  12. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, Laden eines Codewortes in den ersten internen Prozessorspeicher (NVM 6d) zur nichtflüchtigen Speicherung und in eine Vielzahl an zweiten die zusichernden Daten enthaltenen nichtflüchtigen Speichern (NVM 5a, 5b), wobei das alte Codewort dem vorletzten Betriebszustand der Frankiermaschine entsprechend für die Vielzahl nichtflüchtiger Speicher (NVM 6d, NVM 5a und NVM 5b) im Schritt 107 überprüft wird und vor der entsprechenden Veränderung von Codewörtern V und U zunächst im Schritt 108 ein neues Codewort W' und dannach ein Codewort T' für den zweiten prozessorinternen nichtflüchtigen Speicher (NVM 6d) gebildet wird, nach den Gleichungen: (1) W' := f {P1} und (2) T' := f {P2}
    Figure imgb0006
     wobei P1 und P2 verschiedene monoton stetig veränderbare Parameter sind, beispielsweise die aktuelle Zeit, Anzahl von Programmunterbrechungen bzw. andere Programm-, Zeit- oder pysikalische Parameter.
  13. Verfahren, nach Anspruch 12, dadurch gekennzeichnet, daß vor dem Laden eines neuen Codewortes ein Zählwert inkrementiert und dann das neue Codewort (W', T', U', V') berechnet wird.
  14. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, daß die Bildung des neuen Codewort vom vorherigen abhängig ist, wobei für einen ersten und zweiten nichtflüchtige Speicher NVM (6d, 20, 25 und 5a, 5b) nach Uberprüfung des alten Codewortes im Schritt 107 und vor der entsprechenden Veränderung von Codewötern V und U zunächst im Schritt 108 ein neues Codewort W' und dannach ein Codewort T' gebildet wird, nach den Gleichungen: (1) W' := F {P1} und (2) T' := F {P2},
    Figure imgb0007
        wobei P1 und P2 gelistete Codewörter sind.
  15. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, daß ein Laden eines neuen Codewortes erfolgt, wobei das Programm für die Berechnung des jeweils neuen Codewortes im Programmspeicher (PSP 11 ) gespeichert ist.
  16. Verfahren, nach Anspruch 15, dadurch gekennzeichnet, daß als Programmspeicher ein ROM bzw. EPROM verwendet wird.
  17. Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten, dadurch gekennzeichnet, daß jedem nichtflüchtigem Speicher oder Speicherbereich ein separates Codewort zugeordnet wird, wobei (vorher oder gleichzeitig) mindestens eines der vorgenannten separaten Codeworte im internem Prozessorspeicher nichtflüchtig gespeichert worden ist, daß ein Wechsel des Codewortes ab einem vorbestimmten Ereignis und danach eine Einspeicherung der neuen Codewörter in die zu schützenden nichtflüchtigen Speicher vorgenommen wird, wobei der Wechsel vorgenommen wird, nach dem die Gültigkeit des Codewortes festgestellt worden ist, oder anderenfalls bei Ungültigkeit die Maschine gesperrt wird.
  18. Verfahren, nach Anspruch 17, dadurch gekennzeichnet, daß das Codewort in zeitlichen oder stückzahlmäßigen Abständen gewechselt wird und daß die Bildung des neuen Codewortes vom vorherigen abhängig ist.
  19. Verfahren, nach Anspruch 17, dadurch gekennzeichnet, daß in einem Schritt (108) zur Bildung eines neuen veränderbaren ersten Codewortes (T', W') auch die Bildung des neuen zweiten Codewortes (V', U') identisch zur Bildung des neuen ersten Codewortes (T', W') erfolgt, um ein identisches neues zweites Codewort (V', U') in die zu schützenden nichtflüchtigen Speicher (NVMs 5a, 5b) zu laden.
  20. Verfahren, nach Anspruch 17, dadurch gekennzeichnet, daß in einem Schritt (108) zur Bildung eines neuen veränderbares ersten Codewortes (T', W') auch die Bildung des neuen zweiten Codewortes (V'', U'') als komplementärer Schatten (V'', U'' ) zum neuen ersten Codewortes (T', W') erfolgt, um ein komplementäres neues zweites Codewort (V', U') in die zu schützenden nichtflüchtigen Speicher (NVMs 5a, 5b) zu laden.
  21. Verfahren, nach Anspruch 17, dadurch gekennzeichnet, daß in einem Schritt (108) zur Bildung eines neuen veränderbares ersten Codewortes (T', W') auch die Bildung des neuen zweiten Codewortes (V',U'') als zu dem veränderbaren neuen ersten Codewort (W') identischen Codewort (V') und als komplementärer Schatten (U'' ) zum neuen ersten Codewortes (T') erfolgt, um mindestens ein neues zweites Codewort (V', U'') in die zu schützenden nichtflüchtigen Speicher (NVMs 5a, 5b) zu laden oder daß beim Schutz eines entsprechenden Speichers (NVM's) in mindestens einem der Speicherbereiche auch mit dem komplementären Schatten (V'' oder U'' ) gearbeitet wird.
  22. Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten gekennzeichnet durch die Schritte:
    - Laden eines mittels einem Codewort erzeugten Autentifikationscodes (MACn), welcher dem Codewort zugeordnet ist, welches Abrechnungsdaten verschlüsselt, in einen ersten nichtflüchtigen Speicher (20 oder 25), der während der Laufdauer der Maschine gegen eine Herausnahme und Manipulation gesichert ist,
    - Laden der Abrechnungsdaten und des vorgenannten Autentifikationscodes (MACn) in zweite die Postregisterdaten enthaltende zu schützende nichtflüchtige Speicher NVM (5a, 5b), wobei das Codewort dem letzten Betriebszustand der Maschine zugeordnet ist,
    - Gültigkeitsprüfung des Autentifikationscodes (MACn), welcher dem Codewort zugeordnet ist, mindestens zum Zeitpunkt des Einschaltens der Maschine und nachfolgend aufgrund eines Ereignisses,
    - Ersetzen des alten Codewortes durch ein vorbestimmtes neues Codewort zur Bildung eines weiteren Autentifikationscodes (MACn+1), welcher dem neuen Codewort zugeordnet ist, welches Abrechnungsdaten verschlüsselt, wenn der Prozessor die Gültigkeit des alten Codewortes anerkennt oder
    - Blockierung der Maschine nach dem Zeitpunkt ihres Einschaltens, wenn der Prozessor nach Gültigkeitsprüfung die Gültigkeit des anhand des alten Codewortes geprüften Autentifikationscodes (MACn) aberkennt.
  23. Verfahren, nach Anspruch 22, dadurch gekennzeichnet, daß die Abstände für das Laden eines Autentifikationscodes (MAC) nach dem Zeitpunkt des Einschaltens der Frankiermaschine zeitliche oder stückzahlmäßige Abstände und/oder solche mindestens aufgrund einer Pseudozufallsfolge bestimmten Abständen sind.
  24. Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten, dadurch gekennzeichnet, daß in jedem nichtflüchtigem Speicher oder Speicherbereich ein mittels einem separaten Codewort erzeugter Autentifikationscodes (MACn) gespeichert wird, wobei mindestens eines der vorgenannten Autentifikationscodes (MACn) und separaten Codeworte in einem ersten internen Speicher eines Prozessorsystems, einer Chipkarte und/oder eines ähnlichen Systems nichtflüchtig gespeichert worden ist, welches während der Laufzeit der Maschine mit ihrem Prozessorsystem in Kommunikationsverbindung steht und gegen Herausnahme und Manipulation während der Laufzeit der Maschine abgesichert ist und daß eine Bildung von neuen Codewörtern ab einem vorbestimmten Ereignis und danach eine Einspeicherung der mittels der neuen Codewörter erzeugten Autentifikationscodes (MACn+1) in die zu schützenden nichtflüchtigen Speicher und in die ersten nichtflüchtigen Speicher vorgenommen wird.
  25. Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten, insbesondere von Registerdaten in Frankiermaschinen mit Eingabe- und Ausgabemitteln, einer Steuereinrichtung und Speichern, dadurch gekennzeichnet, daß die Steuereinrichtung (6) einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) aufweist, in welchem neben einem Mikroprozessor CPU (6a) auch weitere Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM (6c) bzw. im internen OTP-RAM (6b) in einem gemeinsamen Bauelementgehäuse untergebracht sind, welche ein erstes Sicherheitsmittel gegen unbefugte Manipulation bilden, daß ein erster und ein zweiter nichtflüchtiger Speicher mit der Steuereinrichtung (6) verbunden ist, wobei der erste nichtflüchtige Speicher NVM (6d, 20, 25) ein zweites Sicherheitsmittel gegen unbefugte Manipulation bildet und gegen Herausnahme gesichert ist.
  26. Anordnung, nach Anspruch 25, dadurch gekennzeichnet, daß der erste nichtflüchtige Speicher als interner Prozessorspeicher (NVM 6d) zur nichtflüchtigen Speicherung im Prozessor (6) realisiert ist oder als externer nichtflüchtiger Speicher NVM (20, 25) am Prozessor (6) angeschlossen ist.
  27. Anordnung, nach den Ansprüchen 25 bis 26, dadurch gekennzeichnet, daß der externe nichtflüchtiger Speicher NVM (25) über einen Ein/Ausgabe-Steuermodul (4) am Prozessor (6) angeschlossen ist und während der Laufzeit der Frankiermaschine gegen Herausnahme gesichert ist.
  28. Anordnung, nach Anspruch 27, dadurch gekennzeichnet, daß der externe nichtflüchtiger Speicher NVM (25) Bestandteil einer Chipkarte ist und über eine Chipkarten-Schreib/Leseeinheit (21) am Ein/Ausgabe-Steuermodul (4) angeschlossen ist.
  29. Anordnung, nach Anspruch 25, dadurch gekennzeichnet, daß der Programmspeicher ein EPROM ist.
EP96250191A 1995-09-08 1996-09-06 Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten Withdrawn EP0762337A3 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE1995134527 DE19534527C2 (de) 1995-09-08 1995-09-08 Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE1995134529 DE19534529C2 (de) 1995-09-08 1995-09-08 Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE19534529 1995-09-08
DE19534527 1995-09-08

Publications (2)

Publication Number Publication Date
EP0762337A2 true EP0762337A2 (de) 1997-03-12
EP0762337A3 EP0762337A3 (de) 2000-01-19

Family

ID=26018690

Family Applications (1)

Application Number Title Priority Date Filing Date
EP96250191A Withdrawn EP0762337A3 (de) 1995-09-08 1996-09-06 Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten

Country Status (2)

Country Link
US (1) US5771348A (de)
EP (1) EP0762337A3 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2758033A1 (fr) * 1996-12-31 1998-07-03 Motorola Inc Dispositif et procede de protection d'information electronique dans un dispositif de communication sans fil
EP1811460A1 (de) * 2005-12-22 2007-07-25 Pitney Bowes, Inc. Sicherheitssoftwaresystem und -Verfahren für einen Drucker

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998024021A1 (fr) * 1996-11-29 1998-06-04 Hitachi, Ltd. Systeme de commande de micro-ordinateur
DE19810730A1 (de) * 1998-03-12 1999-09-16 Philips Patentverwaltung Microcontrollerschaltung
US7028014B1 (en) * 1998-03-18 2006-04-11 Ascom Hasler Mailing Systems Tamper resistant postal security device with long battery life
FR2786285B1 (fr) * 1998-11-24 2001-02-02 Secap Dispositif et procede de protection contre le debordement de pile dans une memoire et machine a affranchir les mettant en oeuvre
FR2786286B1 (fr) * 1998-11-24 2001-08-31 Secap Dispositif et procede de detection de debordement de pile dans une memoire et machine a affranchir les mettant en oeuvre
FR2787899A1 (fr) * 1998-12-29 2000-06-30 Secap Dispositif et procede de protection de donnees sensibles et machine a affranchir les mettant en oeuvre
DE19958941B4 (de) 1999-11-26 2006-11-09 Francotyp-Postalia Gmbh Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial
DE19958948B4 (de) 1999-11-26 2005-06-02 Francotyp-Postalia Ag & Co. Kg Verfahren zur Bestimmung der Anzahl von mit einer Tintenrestmenge ausführbaren Drucken und Vorrichtung zur Durchführung des Verfahrens
US6862683B1 (en) 2000-03-24 2005-03-01 Novell, Inc. Method and system for protecting native libraries
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
DE10136608B4 (de) 2001-07-16 2005-12-08 Francotyp-Postalia Ag & Co. Kg Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7458098B2 (en) 2002-03-08 2008-11-25 Secure Computing Corporation Systems and methods for enhancing electronic communication security
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7302020B2 (en) * 2002-05-20 2007-11-27 Hewlett-Packard Development Company, L.P. Encoded multi-access bus system and method
US20040112950A1 (en) * 2002-12-12 2004-06-17 Manduley Flavio M. Secure stamp system
DE20318751U1 (de) * 2003-12-04 2004-02-26 Francotyp-Postalia Ag & Co. Kg Einrichtung zum automatischen Ermitteln einer Produktbeschreibung zur Anzeige mittels einem Postverarbeitungsgerät
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
CN100505796C (zh) * 2004-11-24 2009-06-24 中兴通讯股份有限公司 一种手机显示时间的方法
US7890721B2 (en) * 2005-02-16 2011-02-15 Atmel Corporation Implementation of integrated status of a protection register word in a protection register array
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
TWI303038B (en) * 2005-11-15 2008-11-11 Asustek Comp Inc Computer dada security method, system
US8572399B2 (en) * 2006-10-06 2013-10-29 Broadcom Corporation Method and system for two-stage security code reprogramming
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US20100145882A1 (en) * 2008-12-10 2010-06-10 Pitney Bowes Inc. Method and system for securely transferring the personality of a postal meter at a non-secure location
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US9471812B2 (en) 2012-03-06 2016-10-18 Freescale Semiconductor, Inc. Method for implementing security of non-volatile memory
US9927990B2 (en) * 2015-09-10 2018-03-27 Toshiba Memory Corporation Memory system, memory controller and memory control method
EP3373178A1 (de) 2017-03-08 2018-09-12 Secure-IC SAS Vergleich von ausführungkontextdaten signaturen mit referenzen

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2121569A (en) * 1982-05-12 1983-12-21 Bally Mfg Corp System guaranteeing integrity of a gambling system
US4606003A (en) * 1982-09-30 1986-08-12 Pitney Bowes Inc. Mailing system peripheral interface with replaceable prom for accessing memories
US5124926A (en) * 1990-03-02 1992-06-23 Pitney Bowes Inc. Carrier management system having accounting registers
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS594054B2 (ja) * 1979-04-17 1984-01-27 株式会社日立製作所 マルチプロセツサ障害検出方式
US4447890A (en) * 1980-07-14 1984-05-08 Pitney Bowes Inc. Remote postage meter systems having variable user authorization code
US4486853A (en) * 1981-04-01 1984-12-04 Telemet American, Inc. Apparatus for receiving and displaying continuously updated data
EP0231452B2 (de) * 1982-01-29 2002-01-16 Pitney Bowes Inc. Mikroprozessorsysteme für elektronische Frankiereinrichtungen
JPS59192740U (ja) * 1983-06-02 1984-12-21 パイオニア株式会社 コンピユ−タ装置
DE3685191D1 (de) * 1985-10-16 1992-06-11 Pitney Bowes Inc Systeme zur nichtfluechtigen speicherung von daten und frankiermaschinensysteme.
US4907150A (en) * 1986-01-17 1990-03-06 International Business Machines Corporation Apparatus and method for suspending and resuming software applications on a computer
JPH0754536B2 (ja) * 1986-02-17 1995-06-07 株式会社日立製作所 Icカ−ド利用システム
US4858138A (en) * 1986-09-02 1989-08-15 Pitney Bowes, Inc. Secure vault having electronic indicia for a value printing system
GB8704883D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure information storage
US4933849A (en) * 1987-07-16 1990-06-12 Pitney Bowes Security system for use with an indicia printing authorization device
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
JPH02293930A (ja) * 1989-05-08 1990-12-05 Victor Co Of Japan Ltd 記録媒体の記録内容の盗用防止方式
GB2246098B (en) * 1990-07-04 1994-05-25 Alcatel Business Systems Franking machine
DE4129302A1 (de) * 1991-09-03 1993-03-04 Helmut Lembens Frankiermaschine
CH683652A5 (de) * 1992-03-10 1994-04-15 Frama Ag Frankiermaschine.
US5442341A (en) * 1992-04-10 1995-08-15 Trw Inc. Remote control security system
US5421006A (en) * 1992-05-07 1995-05-30 Compaq Computer Corp. Method and apparatus for assessing integrity of computer system software
DE4217830C2 (de) * 1992-05-29 1996-01-18 Francotyp Postalia Gmbh Verfahren zum Betreiben einer Datenverarbeitungsanlage
US5448719A (en) * 1992-06-05 1995-09-05 Compaq Computer Corp. Method and apparatus for maintaining and retrieving live data in a posted write cache in case of power failure
FR2700043B1 (fr) * 1992-12-30 1995-02-10 Neopost Ind Machine à affranchir permettant de mémoriser un historique.
US5490077A (en) * 1993-01-20 1996-02-06 Francotyp-Postalia Gmbh Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account
US5363447A (en) * 1993-03-26 1994-11-08 Motorola, Inc. Method for loading encryption keys into secure transmission devices
US5509120A (en) * 1993-11-30 1996-04-16 International Business Machines Corporation Method and system for detecting computer viruses during power on self test
US5488702A (en) * 1994-04-26 1996-01-30 Unisys Corporation Data block check sequence generation and validation in a file cache system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2121569A (en) * 1982-05-12 1983-12-21 Bally Mfg Corp System guaranteeing integrity of a gambling system
US4606003A (en) * 1982-09-30 1986-08-12 Pitney Bowes Inc. Mailing system peripheral interface with replaceable prom for accessing memories
US5124926A (en) * 1990-03-02 1992-06-23 Pitney Bowes Inc. Carrier management system having accounting registers
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2758033A1 (fr) * 1996-12-31 1998-07-03 Motorola Inc Dispositif et procede de protection d'information electronique dans un dispositif de communication sans fil
DE19755796B4 (de) * 1996-12-31 2009-02-05 Motorola Inc. (N.D.Ges.D. Staates Delaware), Schaumburg Vorrichtung und Verfahren zum Sichern elektronischer Information in einer drahtlosen Kommunikationseinrichtung
EP1811460A1 (de) * 2005-12-22 2007-07-25 Pitney Bowes, Inc. Sicherheitssoftwaresystem und -Verfahren für einen Drucker

Also Published As

Publication number Publication date
US5771348A (en) 1998-06-23
EP0762337A3 (de) 2000-01-19

Similar Documents

Publication Publication Date Title
EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
EP0969422B1 (de) Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen
DE3613007B4 (de) System zur Ermittlung von nicht-abgerechneten Drucken
EP0660270B1 (de) Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
DE69729409T2 (de) Elektronisches Frankiermaschinensystem mit internem Abrechnungssystem und entfernbarem externem Abrechnungssystem
EP0762335B1 (de) Verfahren zur Veränderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine
DE3729342A1 (de) Sicherheitsdrucker fuer ein wertdrucksystem
EP1035517B1 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP1278164B1 (de) Anordnung und Verfahren zum Andern der Funktionalität eines Sicherheitsmoduls
EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
EP0930586A2 (de) Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten
DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
DE19928057B4 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE19757653C2 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
EP0969420B1 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE69636360T3 (de) Auf Transaktionen mit geschlossener Schleife basierendes Rechnungs- und Bezahlungssystem für Postsendungen mit durch Freigabe der Postversandinformation ausgelöster Bezahlung des Beförderers durch eine dritte Partei
EP0996097B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
DE69926222T2 (de) Betrugssichere frankiermaschinenvorrichtung mit langer nutzungsdauer der batterie

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): CH DE FR GB IT LI

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): CH DE FR GB IT LI

17P Request for examination filed

Effective date: 20000204

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: FRANCOTYP-POSTALIA AG & CO. KG

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: FRANCOTYP-POSTALIA GMBH

17Q First examination report despatched

Effective date: 20060906

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20100401