EP0996097A2 - Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung - Google Patents

Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung Download PDF

Info

Publication number
EP0996097A2
EP0996097A2 EP00250033A EP00250033A EP0996097A2 EP 0996097 A2 EP0996097 A2 EP 0996097A2 EP 00250033 A EP00250033 A EP 00250033A EP 00250033 A EP00250033 A EP 00250033A EP 0996097 A2 EP0996097 A2 EP 0996097A2
Authority
EP
European Patent Office
Prior art keywords
franking machine
data center
transaction
franking
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP00250033A
Other languages
English (en)
French (fr)
Other versions
EP0996097A3 (de
EP0996097B1 (de
EP0996097A9 (de
Inventor
Enno Bischoff
George G. Gelfer
Wolfgang Dr. Thiel
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP0996097A2 publication Critical patent/EP0996097A2/de
Publication of EP0996097A3 publication Critical patent/EP0996097A3/de
Publication of EP0996097A9 publication Critical patent/EP0996097A9/de
Application granted granted Critical
Publication of EP0996097B1 publication Critical patent/EP0996097B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00258Electronic hardware aspects, e.g. type of circuits used
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00419Software organization, e.g. separation into objects
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency

Definitions

  • the invention relates to a method for improvement the security of franking machines when transferring credit, especially for fund retransfer to Data center, according to the in the preamble of claim 1 or 3 specified Art.
  • a franking machine usually creates an imprint right-justified in a form agreed with Swiss Post, starting parallel to the upper edge of the mail with the content of postage in the postmark, date in Daily stamps and stamp impressions for advertising slogan and if necessary, type of shipment in the election stamp.
  • the post value that The date and the type of shipment form the corresponding ones variable information to be entered into the item of mail.
  • the post value is usually that of the sender prepaid transportation fee (franking), the one taken from the refillable credit register and at Postage is used.
  • a register is opened in the current account procedure Dependence on those made with the post value Frankings only counted up and in regular Intervals, read by a postal inspector.
  • a known franking machine has at least one Input means, an output means, an input / output control module, a program, data and in particular the storage device carrying the accounting register, a control device and a printer module.
  • a printer module with print mechanics Measures are also taken so that when switched off Condition the print mechanics not for unpaid Imprints can be misused.
  • the invention relates to a method for franking machines, which produces a fully electronic impression for franking mail, including printing a Deliver advertising clichés. The result is that only a non-billed valid one when switched on Franking must be prevented.
  • a method of controlling the printing a postage stamp image in columns proposed a franking machine EP 578 042 A2, which is separated from each other in graphical Pixel image data converted fixed and variable data during column printing. It would therefore be difficult without great and expensive effort to manipulate the pressure control signal, when printing at a high speed he follows.
  • the storage device comprises at least a non-volatile memory device that currently contains remaining credit, which results from that from earlier into the franking machine loaded credit of the respective postage value to be printed is subtracted. The franking machine is blocked, if the remaining balance is zero.
  • Known franking machines contain at least one Store three relevant postal registers for total value used (increasing register), still available balance (falling register) and Register for a checksum.
  • the checksum is with the sum of the total value used and available credit compared. That is one Verification of correct billing possible.
  • a security housing for franking machines which has internal sensors, is from DE 41 29 302 A1 known.
  • the sensors are especially with a battery connected switches, which when opening the safety housing to be active to the remaining credit storing memory (falling postal register) by interrupting the energy supply Clear.
  • memory falling postal register
  • the residual value balance at least partially discharged. But that would be one Inspection disadvantageous, because the residual value which had been paid by the franking machine user, too the amount of this remaining credit must be reloaded however by the above Influences are falsified can. Finally, the description cannot be seen how to prevent a manipulator restores an unpaid remaining balance.
  • the password can be obtained through a personal computer MODEM, through a chip card or manually in the Postage meter can be entered. After positive Comparison with one in the franking machine The franking machine will save the saved password Approved.
  • a safety module EPROM
  • an encryption module separate microprocessor or program for FM CPU based on DES or RSA code provided the one the postage value, the subscriber number, a transaction number and similar comprehensive identification number generated in the franking stamp. With enough criminal energy could also be a password researched and owned together with franking machine of a manipulator.
  • a manipulation is found, the franking machine during remote inspection via modem a signal emanating from the data center is blocked. Skillful manipulation could on the other hand consist of producing after billing Franking imprints, the flag and the registers to restore it to its original state. A such manipulation would be via remote inspection by the Data center not recognizable if this reverses manipulation before the remote inspection. Also the receipt of the postcard from the data center which is a franking to be made for inspection purposes the manipulator is allowed to Franking machine in sufficient time in the original Reset state. So that's still no higher security can be achieved.
  • a security imprint in accordance with FP's own European patent application EP 576 113 A2 provides symbols in a marking field in the franking stamp which contain cryptified information. This allows the postal authority, which interacts with the data center, to identify manipulation of the franking machine at any point in time from the respective security imprint.
  • a current control n is such provided with a security imprint of mail ting via appropriate security markings in the stamp image technically possible, but this means an extra effort in the post office. In the case of a control based on random samples, however, manipulation is usually only detected late.
  • a franking machine is known from US Pat. No. 4,785,417 a program sequence monitoring known. The correct one The course of a larger program is carried out using a Special codes assigned to each program section checked that when the program part was called in a specific memory cell is stored in RAM. It is now checked whether the in the aforementioned Memory cell stored code in the currently running Program part is still available. Would at one Manipulation of the run of a program part interrupted and another part of the program is running such control question an error can be found. The comparison can only be carried out in the main process become. Secondary processes, for example security-relevant Calculations made by several main processes can be used by such monitoring but not checked for the execution of the program part because the program control is independent of the The program runs.
  • Another type of expected manipulation is that Reloading the franking machine register with a not billed credit value. This results in the requirement secure reloading.
  • An additional Safety measure is the comparison according to US 4,549,281 an internal one in a non-volatile register stored fixed combination with an entered external combination, after a number of failed attempts, i.e. Non-identity of the combinations that Franking machine using escapement electronics is blocked. According to US 4,835,697 can prevent unauthorized access to the franking machine the combination can always be changed.
  • From US 5,077,660 is also a method for Change in the configuration of the franking machine is known, the franking machine by means of suitable input Using a keyboard from the operating mode to a configuration mode switched and a new meter type number can be entered, which of the desired number corresponds to characteristics.
  • the franking machine generates a code for communicating with the computer Data center and the entry of the identification data and the new meter type number in the aforementioned computer, which also has a corresponding code for transmission and input generated in the franking machine, in the two code are compared. If they match with both codes the franking machine is configured and switched to the operating mode.
  • the data center has thereby of the respectively set meter type for the corresponding franking machine always accurate records.
  • security is solely from encryption the transmitted code depends.
  • EP 388 840 A2 is a comparable one Safety technology for setting one Postage meter is known to get this from data clean without the franking machine going to the manufacturer must be transported.
  • the Security solely from the encryption of the transmitted Code dependent.
  • the transactions are known from US 4,811,234 encrypted and the registers of To query the franking machine and the register data of the Data center to transmit a temporal reference the reduction in the right of disposal stored in the register Amount.
  • the franking machine at the data center when a preset threshold is reached is by means of its encrypted register content.
  • the data center is modified by appropriate ones
  • Authorization signals the desired franking amount, up to which postage can be paid.
  • the encryption is the only security against a manipulation of the register status. So if a manipulator properly the same amount loads at the same time intervals, but in the meantime with the manipulated franking machine franked much higher amount than he paid the data center found no manipulation.
  • the franking machine communicates according to GB 22 33 937 A and US 5 181 245 the franking machine periodically with the data center.
  • the franking machine permits a blocking means Expiration of a predetermined time or after a predetermined time Number of operation cycles, block and provides a warning to the user.
  • To unlock an encrypted code must be entered from the outside which is encrypted with an internally generated Code is compared.
  • the warning coincides with the blocking of the Franking machine takes place without the user Possibility to act accordingly in time to change.
  • a franking machine is known from US Pat. No. 5,243,654. where the current delivered by clock / date block Time data compared with stored decommissioning time data become. Is the saved shutdown time reached by the current time, the Franking machine deactivated, i.e. printing prevented.
  • the franking machine When connecting to a Data center, which the accounting data from the reading the rising register, the franking machine an encrypted combination value is transmitted and set a new deadline, causing the franking machine is made operational again.
  • the Amount of consumption representing the postage used contains summed and read from the data center is also part of the encrypted transmitted Combination value. After decryption of the combination value becomes the total consumption amount separated and with that stored in the franking machine Amount of consumption compared.
  • a postal treatment system is included Postage transfer and billing capability known.
  • Information is sent to the data center via Telephone using the touch tone common in the USA Procedure transmitted. By pressing one The operator can press the corresponding key on the telephone transfer a digit.
  • Information from the data center are sent to the operator using a computer voice which transfers the transferred values into the Franking machine must enter.
  • For fund transfer is the transfer of a negative postal Funds to a postal device in a first step Establishing communication with a central station intended. The central station monitors the Total amount of mail (residual value credit) that is in the Postal device is stored.
  • a second step the central station is supplied with information related to a desired change, to reduce the total amount of postage, which is available in the aforementioned postal device, and with a clear identification regarding the aforementioned Postal device.
  • a third step involves Receive from the central station and input one first unique codes in the aforementioned postal device, where the input is operated to the total on postage values stored in the postal device, to reduce in accordance with the aforementioned desire.
  • the fourth step is generating one provided second unique codes in the postal device, when the first unique code is entered into the postal device , the second unique code is a Indication so that the aforementioned postage value, which is available for printing on the post, has been reduced in the aforementioned postal device.
  • the task was to solve a process for Improve the security of franking machines too create and a significant increase in security to ensure when transferring credit.
  • the solution according to the invention is based on the one hand on the Realization that only centrally in a data center stored data sufficient before manipulation can be protected.
  • a significant increase in Security and synchronicity in the stored data is predetermined by reporting data before each Action on the franking machine reached. Likewise increases that in more or less large intervals reports, especially for reloading a Credit in connection with the above Logging the security against possible manipulation.
  • the data to be stored centrally include at least Date, time, identification number of the franking machine (ID number or PIN) and the type of data (e.g. Register values, parameters) if the franking machine starts communication with the data center.
  • ID number or PIN identification number
  • the type of data e.g. Register values, parameters
  • the control unit of the franking machine checked whether with predetermined actuating means defined procedure for entering the site Special mode for negative remote value specification made and a predetermined timing during the negative Remote value specification was complied with, and if so further steps for automatic execution of communication must be carried out in order to Retransmission to complete if the previous ones Steps to execute a negative remote value specification interrupted or faulty to the franking machine encrypted data was transmitted.
  • communication takes place between Franking machine and data center with at least encrypted Messages, preferably the DES algorithm is used.
  • the franking machine thus points to the task at least two special modes.
  • a first fashion is provided to deal with fraudulent acts or Intention to manipulate the franking machine at franking with postage values to prevent (kill mode). This inhibition can be carried out at the next inspection on site by of an authorized person.
  • the Postage meter has another fashion to The franking machine fulfills selected criteria for automatic communication with the To initiate data center. With such a Another fashion is according to the invention Special mode negative remote value transmission or by one second (sleeping) mode. After completing the special mode is only for checking the franking machine a limited number of ZERO frankings possible. If the intended number of pieces is used up, automatic communication with the Data center triggered, which is thus informed and learns relevant register data. The franking machine is inhibited in sleeping mode. By the interaction of at least two aforementioned modes security in the handling of credit, which are loaded into or out of the franking machine Data center are to be retransmitted fraudulent manipulation.
  • An authorized operator of the franking machine preferably the service technician leads to the side entrance a negative remote value specification in the special mode predetermined operating action, which in addition to Service technicians only known to the data center is.
  • a special flag is set, which as special transaction request is evaluated.
  • the time is also monitored by the Data center when a transaction in special mode negative remote value specification is made.
  • the Register data of the franking machine are central can be checked if a connection to the A remote value specification is carried out, for example to top up a credit. Either takes if the transaction has not been completed, the franking machine automatically reconnects to the To complete the transaction or the authorized Service technician hands over to the data center by End of day a message about the current status the franking machine for the purpose of canceling the im Special mode negative remote value mode transmitted data. Otherwise the time monitoring on the part of Data center after the predetermined time period has expired, a recognition of the negative in special mode Remote value specification transmitted data.
  • security is achieved by a check of the operating sequence for compliance with a predetermined operating sequence in the franking machine and by checking the default request in the data center in accordance with one stored there Code for a predetermined default request elevated. It is possible to change the operating sequence depending on the time to change, being in the data center and in the Franking machine the same calculation algorithm is used to create a current operating sequence determine. A transfer of a valid operating sequence from the data center to the franking machine it becomes superfluous.
  • the security is through a combination of a number of measures increases.
  • a first transaction is distinguishable Log in to the data center. This is transmitted in
  • a new security flag X and / or a predetermined operating procedure for a side entry in the special mode negative remote value specification for Postage meter if the postage meter machine is switched on normally was and the communication link records in a first transaction a predetermined Default request in the data center and in the franking machine has been saved.
  • the transmitted default request corresponds to a predetermined default request.
  • the registered transaction is carried out and a default value according to the default request in the corresponding memory of the franking machine and also to check the transaction in one corresponding memory of the data center added.
  • the service technician For a side entry into the special mode negative The service technician must specify the remote value for the operating sequence while the franking machine is switched on as it was transmitted from the data center, be carried out, i.e. at the same time as switching on a certain key combination has to be pressed.
  • the solution according to the invention also assumes that the funds stored in the franking machine protected against unauthorized access have to. Adulteration in the franking machine stored data is so difficult that the effort for a manipulator is no longer worth it.
  • MAC message authentication code
  • MAC message authentication code
  • DES Data Encryption Standard
  • the procedure to improve the security of a Franking machine, which is used for communication with a remote data center is capable and a microprocessor in a control device of the franking machine also includes forming one Checksum in the OTP processor about the content of the external Program memory and comparison of the result with a predetermined value stored in the OTP processor before and / or after the franking mode or operating mode has expired, especially during initialization (i.e. when the franking machine is started), or at times when there is no printing (i.e. when the franking machine is operated in standby mode). In the event of an error, logging and subsequent blocking of the franking machine.
  • a decremental Counter or an incremental counter is used to an exceeding of the time t1 in the special mode as on sure indication of a failed transmission too detect and that a special subroutine is called, which means that the Special mode negative remote value specification prepared and automatically triggers so the first and second Transaction will be repeated automatically.
  • security is ensured an additional input security means increased, which brought into contact with the franking machine is to get a remaining balance from an authorized Transfer person back to the data center.
  • Figure 1 shows a block diagram of each Franking machine according to the invention with a printer module 1 for a fully electronically generated franking image, with at least one of several actuators having input means 2, a display unit 3, and communication with a data center manufacturing MODEM 23, which has an input / output control module 4 coupled to a control device 6 and with a non-volatile memory 5 or 11 for the variable or the constant parts of the Franking image.
  • a character memory 9 supplies the necessary print data for a volatile working memory 7.
  • the control device 6 has a microprocessor ⁇ P which with the input / output control module 4, with the character memory 9, with the volatile memory 7 and with the non-volatile memory 5, with a Cost center memory 10, with a program memory 11, with the motor of a transport or feed device if necessary with stripe release 12, an encoder (Coding disk) 13 and with a clock / date module 8 communicates.
  • the individual stores can be in several physically separate or in summarized in a few modules, not shown be realized by at least one additional measure, for example sticking on the PCB, sealing or potting with epoxy resin, are secured against removal.
  • FIG. 2 shows a flow chart for a franking machine with a security system according to a preferred one Variant of the solution according to the invention shown.
  • Start 100 is then within a start routine 101 a functional test with subsequent Initialization done.
  • This step also includes several - in FIG. 7 illustrated in more detail - sub-steps 102 to 105 for Storage of a security flag or code word.
  • a step 103 if according to step 102 new security flag X'in another predetermined one Storage location E of the non-volatile memory 5 exists, this new security flag X 'in the Memory location of old security flag X copied, if there is no longer a valid safety flag X there saved.
  • the security flag X be deleted (kill mode). If not a valid one Security flag X is stored more can in Franking mode 400 no more postage value can be printed. If no action is taken, no new code word is transmitted been. In this case it is not copied and after Step 104 remains the old security flag X in Get memory.
  • Step 104 remains the old security flag X in Get memory.
  • the system routine 200 comprises several steps 201 to 220 of the security system.
  • step 201 the Calling up current data, which is linked below with the invention for a second fashion, namely for the sleeping mode is executed.
  • step 202 it is shown in step 202 whether the Criteria for entering sleeping mode met are. If this is the case, the process branches to step 203, by at least one warning by means of the display unit 3 display. According to the above In any case, steps will the point t reached.
  • Step 217 the aforementioned security flag X deleted.
  • the safety flag X also act as a MAC-secured security flag, as well as an encrypted code.
  • the verification the security flag X is valid, for example in step 409 of a franking mode 400 using a selected checksum procedure within a OTP processor (ONE TIME PROGRAMMABLE) carried out, the internally the corresponding program parts and also the code for forming a MAC (MESSAGE AUTHENTIFICATION CODE), which is why the The manipulator does not manipulate the type of checksum procedure can understand.
  • step 217 where a relevant deficiency identified and the safety flag X was deleted in step 209, the point e, i.e. the start of a communication mode 300 is reached and in a - shown in Figures 2 and 3a - Step 301 queries whether a transaction request is present. If this is not the case, the Leave communication mode 300 and point f, i.e. operating mode 290 reached. Have relevant data transmitted in communication mode, then is to To branch data evaluation to step 213. Or otherwise if in step 211 the non-transmission step 212 is determined branch. Now it is checked whether appropriate Inputs have been made to test request 212 in test mode 216, otherwise at intended registry check 214 into one Display mode 215 to enter. Is not that the case, the point d, i.e. the franking mode 400 reached.
  • the point d i.e. the franking mode 400 reached.
  • step 213 becomes Statistics and error evaluation achieved.
  • step 213 enters display mode 215 and then branched back to the system routine. Locking can thus advantageously take place by the branching on the franking mode 400 no longer executed becomes.
  • Step 213 carried out a statistical and error evaluation to get more current data, which after branching to system routine 200 in Step 201 can also be called, for example for a aforesaid second fashion or another Special fashion.
  • Step 217 In the event of an authorized operation, the - in of FIG. 2 - step 217 recognized that none prohibited side entry was carried out. On allowed side entry for another entry was carried out, is not shown in Figure 2 been shown. However, such a removal criterion is also provided for example in Step 212 to determine whether an operator action was made to get into a test mode. With the allowed side entry, which is not the right one Side entry for the special mode of a negative Remote value specification for the purpose of transferring funds back from Postage meter to the data center becomes a point The system routine 200 branches. Otherwise when entering the correct side to step 220 branches to a special flag for entry into the To set special mode.
  • Step 219 possibly a further query step 219 before the Step 220 provided to go with another criterion security against unauthorized access to the Special mode to increase further, if not of the criterion to point e of system routine 200 is branched.
  • the one in FIG query step 219 shown such another Query criterion whether the identification number (ID no. or PIN) was entered. Through the side entrance the security is already high enough so that in the interest of easier operation such additional additional criteria queries too can be dispensed with.
  • the special flag set in step 220 N also a MAC-secured for the special mode Flag N is.
  • Security is additionally checked in the data center increased whether a predetermined Default request transmitted by the franking machine has been. It is envisaged that the transmitted Requirement specified in the data center as code to perform a very specific transaction.
  • the transmitted default request can be in the data center be used as a code for a fund retransfer to allow. Otherwise, the transmitted Default request in the data center as code be evaluated, a transfer for a security flag To allow X or for an X code word.
  • FIGS. 3a and 3b show the Security processes of those in communication mode Franking machine on the one hand and the security processes the data center in communication mode on the other hand.
  • the user selects the communication or remote value default mode the franking machine by entering the Identification number (eight-digit postage call number) on. It is now assumed, for example, that the Fund transfer back to the amount in the franking machine remaining residual value. Here the descending register is queried first R1, which contains the residual value saved. After the franking machine is switched off, the Reactivate a side entry into the special mode performed. After entering the identification number the entry is made with the Teleset key confirmed and the default request in the amount of the previously queried residual value entered. Through the side entrance the default request is automatically closed subtracting default value. The default request is activated by pressing the Teleset key (T key) approved.
  • T key Teleset key
  • FIG. 3a That part of the communication is shown in FIG. 3a represented a transaction with unencrypted Messages is made. Still, these can Messages contain data which are secured by MAC, for example the identification number of the franking machine.
  • step 302 an input of the identification number (ID no.) And the intended input parameters done in the following way.
  • ID no. it can the serial number of the franking machine
  • the input parameter is a combination of numbers which in the data center is understood as a request, for example a new security flag or code word X 'to be transmitted if previously an authorization has been caught up. If the above is entered incorrectly
  • the display can be input parameters by pressing a C key.
  • the data center Only through the previous notification, for example by means of a separate call to the data center or another form of communication, the data center notified that a new security flag X ' to be transmitted to the franking machine if then within a predetermined period of time on the part of the franking machine a transaction for the Value zero is started.
  • the request for intervention only applies then as posed if after registering one authorized intervention in the franking machine in such a way agreed communication mode occurs.
  • any other input parameter agreed with the data center takes place upon entry this input parameter except the transmission of a new security flags X 'according to the pre-agreed Codes of by the predetermined default request a reload of the credit is also formed according to the entered default value in the result a second transaction.
  • the Modification of the input parameter via MODEM connection started.
  • the input is checked (step 303) and the further process runs automatically, the process accompanied by a corresponding ad.
  • the franking machine checks whether a MODEM is connected and is ready for use. Isn't that Case, a branch is made to step 310 to indicate that the transaction requests are repeated got to. Otherwise the franking machine reads the selection parameters, consisting of the selection parameters (Main / extension, etc.) and the telephone number the NVRAM memory area F and sends it with a Dial request command to the modem 23. Then the connection setup required for communication takes place via the MODEM 23 with the data center in a step 304.
  • Step 501 is constantly checked whether there is a call in the Data center is done. If so, and that MODEM 23 has dialed the opposite side, takes place in Step 502 parallel the connection establishment also in the Data center. And in step 503 it is constantly monitored whether the connection to the data center was broken has been. If this is the case, an error message appears in step 513 a branch back to step 501.
  • the step in the franking machine 305 monitors whether communication errors have occurred and optionally branched back to step 304 to on the part of the franking machine the connection again build up.
  • a predetermined number n unsuccessful Redials to establish a connection via a display step 310 to point e branched back.
  • the step 307 branches to an opening message or identification, leader or register data to send.
  • the subsequent step 308 the same check as performed in step 305, i.e. in the event of a communication error branched back to step 304. Otherwise an opening message from the franking machine sent the data center.
  • the Postage call number to announce the caller, i.e. the franking machine included in the data center.
  • This opening message is in the data center in Step 504 checked for plausibility and on evaluated by then again in step 505 it is checked whether the data is transmitted without errors have been. If this is not the case, a Back to the error message in step 513.
  • the data is error-free and in the data center it is recognized that the franking machine is a Has made requests for reloading, then in step 506 a reply message to the franking machine as a leader Posted.
  • step 507 it is checked whether in Step 506 including the header message Leader end has been sent. But it is not if so, the process branches back to step 513.
  • step 309 it is checked in step 309 whether from the data center now a leader as Reply message was sent or received. Is if not, will be displayed on the step 310 branched back and then on again Transaction requests queried in step 301.
  • Has been received a leader and has the franking machine received an OK message a occurs in step 311 Checking the preload parameters with regard to a Change phone number. If an encrypted parameter no phone number change has been transmitted before and it goes to step 313 in the Figure 3b branches.
  • the safety processes are shown in FIG. 3b the one in communication mode Franking machine and parallel to that in the Data center.
  • step 313 the franking machine sends the Data center sent a start message encrypted.
  • step 314 the communication error message checked. There is a communication error the process branches back to step 304 and it another attempt is made to connect to the data center build up to encrypt the start message to send.
  • This encrypted start message is sent from the data center received if at step 506 the header message had been sent completely and in step 507 the leader end has been communicated.
  • the Step 508 checks in the data center whether this has received the start message and the data in Are okay. If not, the crotch 509 checks whether the error can be remedied. Is the Error cannot be corrected, go to step 513 branches after an error message from the Data center DZ to the FM franking machine in step 511 was transmitted. Otherwise, in step 510 performed an error handling and on the step 507 branches.
  • the data center begins to detect data perform a transaction in step 511. in the aforementioned example will be at least the identification number by means of an encrypted message to the Transfer franking machine, which in step 315 the Transaction data received.
  • step 316 the data is checked. If there is an error, the method branches back to step 310. Otherwise it takes place in the data center in Step 512 storing the same above Data like in the franking machine. In step 318 the transaction with the in the franking machine Data storage completed. Then becomes Step 305 branches back. Shouldn't be another Transaction is performed, step 310 is displayed and then reached step 301.
  • step 211 If no transaction request is made, will in step 211 according to FIG. 2 checks whether data have been transmitted. If data has been transmitted, step 213 is reached. According to the input request the franking machine places the current one Default request or the new code word Y 'or others Transaction data, for example in the memory area E the non-volatile memory 5.
  • an input parameter in step 302 is a entered a combination of numbers other than zero and the Entry was OK (step 303)
  • a connection is established (Step 304).
  • Step 305 a connection is established (Step 306), an identification and leader message sent to the data center.
  • the opening message is again also the postage call number PAN to identify the franking machine included in the data center.
  • the data center recognizes from the entered number combination, if the data is error-free (step 505), that in the Franking machine, for example, a credit with a Default value should be increased.
  • step 506 the data center a reply message with the elements change the phone number and current phone number are unencrypted Posted.
  • the franking machine that this Receives message recognizes in step 311 that the phone number should be changed. Now it becomes a step 312 branches to the current phone number to save.
  • step 304 branched back. Is the connection still established and a communication error does not exist (305), is Step 306 then checked to see if there was another Transaction should take place. If that is not the case, the method branches to step 301 via step 310.
  • the transmission of the telephone number can also be MAC-secured respectively.
  • the franking machine After saving the current phone number the franking machine automatically builds a new one Connection to the data center with the help of new phone number.
  • the default request is thus automatic, i.e. without one further intervention by the user of the franking machine, carried out.
  • a Communication can be a phone number storage, as also a credit reload or fund retransfer include. Without interrupting communication so multiple transactions are carried out.
  • a successful transaction runs as follows: The franking machine sends your ID number and one Default value for the amount of the desired Reload credit together with a MAC to the Data center. This checks such a transmitted Message against the MAC, then also a MAC-secured OK message to the franking machine send. The OK message does not contain the default value more.
  • At least one encrypted message to the data center as well Franking machine transmitted is only in the encrypted message of the first transaction contain. Every transmitted message, which security-relevant Transaction data is encrypted.
  • an encryption algorithm for the encrypted messages is, for example, the DES algorithm intended.
  • a transaction request results in the franking machine to a specially secured credit reload.
  • the outside of the processor is secured in the cost center memory 10 postal register also during the credit reload using a time control.
  • the communication and Billing routines not within a predetermined one Time is running out. If so, i.e. who need routines considerably more time, becomes part of the DES key changed.
  • the data center can do this modified key during a communication routine determine with register query and then report the franking machine as suspect as soon as in accordance with Step 313 an encrypted start message is sent becomes.
  • step 509 determines that the error cannot be remedied.
  • the data center cannot then carry out a transaction (step 511), because branching back to step 513.
  • step 310 opens up branched back to step 301 for a display to recheck whether a transaction request continues is provided.
  • Safety sets in the event of an authorized intervention ahead, the reliability of the authorized person (Service, inspector) and the possibility of their presence to check. Control of the seal and checking the register status during an inspection the franking machine and regardless of the data in the data center then provides verification security. The control of the franked postal items under Inclusion of a security imprint provides one additional security of verification.
  • the franking machine performs regularly and / or at Switch on the register check and can thus Detect missing information if in the machine intervened unauthorized or if this is unauthorized had been served. The franking machine will then blocked. Without the invention in connection with a security flag X the manipulator would Clear blockage easily. But that's how it works Security flag X lost and it would Manipulator cost too much time and effort, the valid one MAC-secured security flag X or code word Attempts to determine. In the meantime, that would be Franking machine long ago in the data center as suspect registered.
  • a suitable processor type is, for example, the TMS 370 C010 from Texas Instruments, which has a 256 bytes E 2 PROM. This allows security-relevant data (keys, flags, etc.) to be stored in the processor in a tamper-proof manner.
  • the franking machine is converted into the first mode is effective with franking with a Postage value prevented.
  • the potential manipulator of a franking machine must overcome multiple thresholds, which of course a certain Time required. Takes place at certain intervals no connection from the franking machine the franking machine becomes the data center already suspect. It can be assumed that the one who tampered with the franking machine commits himself hardly at the data center again will report.
  • the error register are, for example, with the help of a special Service EPROM can be read out, which replaces the Advert EPROM is inserted. If on this EPROM slot is not accessed by the processor usually access to the data lines special - not shown in FIG. 1 - Driver circuits prevented. The data lines, which can be reached here through a sealed housing door can not be contacted without authorization become. Another variant is the reading out of Error register data through an interface connected service computer.
  • the registers of the franking machine become intervening queried to determine the type of intervention required determine. Before intervening in the franking machine and the housing is opened, there is a separate one Call the data center. Then inside a predetermined period of time the default value to zero changed and become the data center in the context of a transaction transmitted, i.e. the type of intervention and the Register data was communicated to the data center, was done a transmission of data from a data center to the franking machine according to one requested Authorized intervention in the franking machine, which is logged as an allowed intervention.
  • the franking machine is able to differentiate between requested authorized and unauthorized Intervention in the franking machine by means of the control unit the franking machine in connection with the of the data center transmitted data, with unauthorized Intervention in the franking machine this intervention is logged as an error, but after authorized intervention in the franking machine the original operating state by means of the aforementioned transmitted data is restored.
  • the old MAC is secured loaded from the NV-RAM 5 and with the newly determined MAC-secured checksum compared in the OTP.
  • the security against manipulation is in a another variant for a kill mode 2 the checksum in the processor about the content of the external program memory PSP 11 formed and the result with an im Processor stored predetermined value compared. This is preferably done in step 101 if the Franking machine is started, or in step 213, when the franking machine is operating in standby mode becomes. Standby mode is reached when a predetermined time no input or print request he follows. The latter is the case if one is in itself known - not shown - letter sensor no next envelope determines which one to be franked.
  • the - shown in Figure 4 - Step 405 in franking mode 400 therefore includes another further query after a time lapse or after the Number of passes through the program loop, which ultimately corresponds to the input routine Step 401 leads. If the query criterion is met, a standby flag is set in step 408 and directly branched back to system routine 200 at point s, without the billing and printing routine in step 406 is run through. The standby flag will appear later in the Step 211 queried and after the checksum check reset in step 213 if no manipulation attempt is recognized.
  • the query criterion in step 211 is increased by the Question extended whether the standby flag is set, i.e. whether the standby mode is reached.
  • the standby flag is set, i.e. whether the standby mode is reached.
  • a preferred variant is in those already described Way to clear the security flag X if a Manipulation attempt in standby mode on the aforementioned Has been determined in step 213.
  • the specially secured special flag N can also be in the Step 213 should be checked, especially if it is MAC secured is by the flag content with the MAC content is compared.
  • the absence of the security flag X will recognized in query step 409 and then on the step 213 branches.
  • the advantage of this procedure in Connection with the first mode is that the Manipulation attempt statistically recorded in step 213 becomes.
  • FIG. 4 shows the flow chart for the franking mode according to a preferred variant.
  • the invention goes assume that the Postage value in the imprint according to the last one Entry before switching off the franking machine and the date in the day stamp according to the current one Date specified that the variable data in the fixed data for the frame and for all associated data that remain unchanged be electronically embedded.
  • the number strings (sTrings) that are used to generate the Input data with a keyboard 2 or via one connected to the input / output device 4, the Postage calculated electronic scale 22 entered are automatically stored in memory area D of the non-volatile memory 5 stored. Moreover there are also records of the sub-storage areas, for example Bj, C etc. This ensures that the last input values even when the Franking machine remain intact so that after switching on automatically the postage value in the value print accordingly the last entry before switching off the Franking machine and the date in the day stamp accordingly the current date. If a scale 22 is connected, the postage will be off taken from memory area D. In step 404 waited until one is currently saved. If a new input request is made in step 404 the method branches back to step 401.
  • step 405 is branched to Wait for print output request.
  • a letter sensor the letter to be franked is detected and thus triggering a print request.
  • step 406 the billing and printing routine in step 406 be branched.
  • Step 405 goes to step 301 (point e) branched back.
  • a communication request can be made at any time or another entry according to the Steps test request 212, register check 214, Input routine 401 are made.
  • a further query criterion can be made in step 405 are queried in order to obtain a standby flag in step 408 set if none after a predetermined time Print request is pending.
  • the standby flag can be in the communication mode 300 following step 211 are queried. This does not branch to franking mode 400, before the checksum check is complete result in all or at least selected programs Has.
  • Step 409 Presence of a valid security flag X or a corresponding MAC-secured flag X, the Reaching a further quantity criterion and / or in Step 406 for billing in the known manner queried register data.
  • the predetermined number of pieces at the previous one Franking used i.e. Number of pieces equal Zero is automatically branched to point e in order to Communication mode 300 to enter so that from the Data center a new predetermined number of pieces S again is credited.
  • the predetermined number of pieces is not yet consumed, is from step 410 to Billing and printing routine branches in step 406.
  • the number of letters printed, and the current one Values in the postal registers are made according to the entered cost center in the non-volatile memory 10 of the franking machine in a billing routine 406 registered and are available for later evaluation to disposal.
  • a special sleeping mode counter is used during those immediately before printing Billing routine causes a counting step to continue.
  • the register values can be displayed 215 if necessary be queried. It is also provided that Register values with the print head of the franking machine Print out billing purposes. For example as well as in the German one Laid-open specification P 42 24 955 A1 becomes.
  • Another variant also provides that also variable pixel image data during printing be embedded in the remaining pixel image data. Corresponding the position report provided by encoder 13 about the feed of the postal items or Strips of paper in relation to the printer module 1 the compressed data from the working memory 5 read and using the character memory 9 in one converted binary image printed image, which is also in such decompressed form in volatile memory 7 is stored. Closer Executions are the European applications EP 576 113 A2 and EP 578 042 A2 can be removed.
  • the pixel memory area in the pixel memory 7c is thus for the selected decompressed data of the fixed Parts of the franking image and for the selected decompressed ones Data of the variable parts of the franking image intended.
  • the actual Print routine (at step 406).
  • the Pixel memory 7c is on the output side to a first one Input of the printer controller 14 switched to the further control inputs, output signals of the microprocessor control device 6 concerns. Are all columns of a printed image is printed again System routine 200 branches back.
  • FIG. 5 shows the process with two transactions for reloading with a credit value, preferably shown in simplified form with a zero credit value.
  • a zero remote value specification always comprises two Transactions.
  • the first transaction of communication with the Data center DZ includes the notification of a predetermined default request.
  • a ZERO default request suitable.
  • Such leads during a second transaction at a NULL default value at Descending register value can be added without the Change the value of the remaining credit.
  • the first step in a first transaction includes after entering the communication mode (positive remote value specification or teleset mode) one Sub-step 301 to check for a set Transaction requests and further sub-steps 302 to 308 for entering the identification and others Data to establish the communication link and to communicate with unencrypted data in order at least identification and transaction type data to transfer to the data center.
  • the communication mode positive remote value specification or teleset mode
  • a first step of the first Transaction sub-steps 301 to 308 of the franking machine includes to establish the connection, for communication with unencrypted data and at least Identification, transaction type and other data to transfer to the data center.
  • the transaction type data (1 byte), includes the message to the data center DZ below the teleset mode for one Desired positive remote value specification with the identified Franking machine.
  • a second step of the first transaction involves Sub-steps 501 to 506 in the data center to Receive the data and check the identification the franking machine and for transmitting one unencrypted ok -Message to the franking machine.
  • the second step of the first transaction also includes Sub-steps to deal with incorrect unencrypted messages 505 via a sub-step 513 for Error message on a sleep point q in the sub-step To branch 501 in the data center until the Communication from a franking machine again is recorded.
  • a third step involves the first transaction Sub-steps 309 to 314 of the franking machine, for Formation of a first encrypted message Crypto cv by means of a stored in the franking machine first key Kn and for the transmission of encrypted Data on the data center, including at least the default request, identification and postal register data.
  • the security measures includes this encrypted message too Data in the form of CRC data (cyclic redundancy check data).
  • CRC data cyclic redundancy check data
  • the default request, the identification, Postal register and other data, such as a Checksum (CRC data) are in one with the DES algorithm encrypted message transmitted;
  • a fourth step of the first transaction the sub-steps 507 to 511 in the data center to receive and decrypt the first encrypted Notification provided.
  • An exam for Decryptibility is determined by means of a Data center stored key performed. If successful, a calculation is made in the data center to form a second key Kn + 1, corresponding to that used by the franking machine Key. Then a second is encrypted Message crypto Cv + 1 formed which at least the aforementioned second key Kn + 1, the Contains identification and transaction data, again the DES algorithm for encryption is being used. In conclusion is a transfer of the second encrypted message crypto Cv + 1 Postage meter provided.
  • Additional sub-steps are used to help you determine of irreversibly incorrect encrypted messages in sub-step 509 via a sub-step 513 Error message on a hibernation in the 501 Data center to branch out until communication is resumed by a franking machine.
  • Sub-steps are also provided in order to Sub-step 509 detected incorrect encrypted Notices but with correctable errors a sub-step 510 for canceling the previous one Transaction and then to step 511 in the Branch data center.
  • This sub-step serves to form a second key Kn + 1, which for Franking machine should be transmitted encrypted, to form a second encrypted message crypto Cv + 1 and to transfer the encrypted Message about the franking machine.
  • the fourth step of the first transaction is a sub-step 512 of the data center for storing the default request from which to the first sub-step 701 of the second Step of the second transaction is branched to the first key Kn as the previous key and the second key Kn + 1 as successor key to save.
  • a fifth step of the first transaction which comprises sub-steps 315 to 318 of the postage meter machine, serves to receive and to decrypt the second encrypted message, to extract at least the identification data and the transmitted second key Kn + 1 Cv + 1 , and to verify the encrypted received Notification based on the extracted identification data. Upon verification, the transmitted second key Kn + 1 Cv + 1 and the default request are stored in the franking machine. Otherwise, if not verified, the process branches back to the first step of the first transaction.
  • a second transaction which is preferably through an additional manual Entry in step 602 is triggered.
  • This temporary entry is triggered the second transaction or leaving the second transaction in communication mode if the Entry time is exceeded.
  • the T key are actuated within 30 seconds or the Entry time is exceeded and it becomes the first Branched back step of the first transaction.
  • the Communication can now be omitted as required be repeated.
  • a first step of the second transaction comprises sub-steps 602 to 608 of the franking machine for communication with unencrypted data to connect to build up and at least identification and Transmit transaction type data to the data center.
  • a second step of the second transaction the sub-steps 701 to 706 of the data center is for Receive the data and check the identification the franking machine and for transmitting one unencrypted ok -Message to the franking machine intended. It is also contemplated that the second Step of the second transaction includes sub-steps to in the case of incorrect unencrypted messages 705 via a sub-step 513 to the error message on one To branch to sleep state 501 in the data center until communication from a franking machine again is recorded.
  • a third step of the second transaction comprises sub-steps 609 to 614 of the franking machine for education a third encrypted message crypto cv + 2 by means of the aforementioned in the franking machine stored second key Kn + 1 and for Transmission of the third encrypted message crypto cv + 2 to the data center, comprising at least Identification and postal register data, but without Data for a default value.
  • a fourth step of the second transaction the sub-steps 707 to 711 of the data center for reception and to decrypt the third encrypted Message containing crypto Cv + 2 lists their check Decryptibility by means of a in the data center saved key. Then there is a Form a third key Kn + 2, which for Franking machine should be transmitted encrypted, forming a fourth encrypted message crypto Cv + 3, which is at least the aforementioned third Key Kn + 2, the identification and the Contains transaction data and the transfer of the fourth encrypted message crypto Cv + 3 Franking machine.
  • the fourth step of the second transaction closes Sub steps to get rid of undetectable errors encrypted messages (substep 709) a sub-step 513 for the error message on one To branch to sleep state 501 in the data center until communication from a franking machine again is recorded. If determined in a step 709 incorrect encrypted messages with recoverable error goes to a step 710 Cancellation of the previous transaction branches. This is followed in the data center in sub-step 711 forming a third key Kn + 2, which is used for Franking machine should be transmitted encrypted. To form a fourth encrypted message crypto Cv + 3 uses the DES algorithm again. Then the encrypted is transmitted Message about the franking machine.
  • the fourth step of the second transaction to save the default value comprises a data center sub-step 712 which is based on the first sub-step 501 of the second step of first transaction branches to the second key Kn + 1 as the previous key Kn-1 and the third Key Kn + 2 as successor key Kn for others save first and second transactions.
  • a fifth step of the second transaction which includes sub-steps 615 to 618 of the postage meter machine, serves to receive and decrypt the fourth encrypted message, to extract at least the identification data and the transmitted third key Kn + 2 Cv + 3 and the transaction data, and to verify the received encrypted message based on the extracted identification data.
  • the transmitted second key Kn + 2 Cv + 3 and the default value in the franking machine are correspondingly added to the descending register value R1 and the resulting credit is stored or, if not verified, the process branches back to the first step of the first transaction.
  • a negative remote value specification differs in Special mode especially through special tamper-proof Flags and a time watch.
  • Such tamper evident Flags are especially a MAC secured Security flag X and a MAC-secured Special flag N.
  • the process is with two transactions for reloading with a negative credit value, i.e. a negative remote value requirement for fund retransfer presented to the data center.
  • a negative Remote value specification comprises at least two transactions.
  • the first transaction of communication with the Data center DZ includes the notification of a predetermined default request, preferably one Zero default request to the consistency of the Register statuses between the data center DZ and the Manufacture franking machine FM.
  • a Securing individual data in the message can again by a MAC or by means of CRC data in the can be achieved.
  • the defined side entry is achieved by pressing a secret predetermined key combination while switching on the franking machine.
  • the control unit of the franking machine can distinguish between authorized actions (service technician) and unauthorized actions (intention to manipulate) in connection with the data previously transmitted by the data center and an input process.
  • authorized action a special flag N is set in step 220, because if the franking machine FM is switched off, the continuation of the transactions must be ensured after the franking machine is switched on again.
  • the special flag N is also stored in a non-volatile MAC-protected manner.
  • a step 209 is initiated to prevent further franking. It is envisaged that a predetermined key combination for each franking machine is stored in the data center and only the authorized person (service technician) is informed in order to achieve a predetermined operating sequence on the franking machine. The correct side entry causes a message on the display about the opening of the communication.
  • a flag N is protected against manipulation Step 220 set if a specific criteria fulfilled, with the specific criterion for the special mode negative remote value specification at least the Use the predetermined key combination for Side entry into special mode while switching on the franking machine comprises.
  • T key Teleset key
  • Communication with the data center comprises at least two transactions, which in the event of an error be run repeatedly, after interruption communication automatically resumes and / or is carried out as long as the aforementioned Special flag N for the special mode is set by which made an automatic transaction request is to complete the retransfer of the credit.
  • a first step of the first Transaction sub-steps 301 to 308 of the franking machine includes to establish the connection, for communication with unencrypted data and at least Identification, transaction type and other data to transfer to the data center.
  • the transaction type data (1 byte), includes the message to the data center DZ then the special mode of a desired one negative remote value specification with the identified Franking machine.
  • a second step of the first transaction involves Sub-steps 501 to 506 in the data center to Receive the data and check the identification the franking machine and for transmitting one unencrypted OK notification to the franking machine.
  • the second step of the first transaction also includes Sub-steps to deal with incorrect unencrypted messages 505 via a sub-step 513 for Error message on a hibernation in the 501 Data center to branch out until communication is resumed by a franking machine.
  • a third step involves the first transaction Sub-steps 309 to 314 of the franking machine, for Formation of a first encrypted message Crypto cv by means of a stored in the franking machine first key Kn and for the transmission of encrypted Data on the data center, including at least the default request, identification and postal register data.
  • the security measures includes this encrypted message in Form of CRC data (cyclic redundancy check data) Notification to the data center DZ below Special mode of a desired negative remote value specification perform.
  • CRC data cyclic redundancy check data
  • the two-byte Cyclic Redundancey Check is a checksum which is a manipulation of the individual to the checksum processed data can be recognized. This checksum can individual data or the components of all communications Include (transaction type) on the part of the franking machine.
  • the default request, the identification, Postal register and CRC data are merged with the DES algorithm encrypted message transmitted. So it is not necessary to have data in the first Step MAC-secured or encrypted to the data center transferred to.
  • a fourth step of the first transaction the sub-steps 507 to 511 in the data center to receive and decrypt the first encrypted Notification or its check for decryptibility by means of one in the data center stored key, to form a second Key Kn + 1 corresponding to that of the franking machine key used to form a second encrypted message crypto Cv + 1 which at least the aforementioned second key Kn + 1, the Contains identification and transaction data and to transmit the second encrypted message crypto Cv + 1 intended for franking machine.
  • the fourth step of the first Transaction also includes sub-steps to get rid of incorrect encrypted messages over 509 a sub-step 513 for the error message on one To branch to sleep state 501 in the data center until communication from a franking machine again is recorded.
  • This sub-step serves to form a second or third key Kn + 1, which is transmitted in encrypted form to the franking machine should be used to form a second encrypted Message crypto Cv + 1 and to transfer the encrypted message to the franking machine.
  • the fourth step of the first transaction a sub-step 512 of the data center for storage of the default request, of which the first sub-step 701 of the second step of the second transaction is branched to the first key Kn as Previous key and the second key Kn + 1 as Store successor key.
  • a fifth step of the first transaction which comprises sub-steps 315 to 318 of the postage meter machine, serves to receive and to decrypt the second encrypted message, to extract at least the identification data and the transmitted second key Kn + 1 Cv + 1 , and to verify the encrypted received Notification based on the extracted identification data. Upon verification, the transmitted second key Kn + 1 Cv + 1 and the default request are stored in the franking machine. Otherwise, if not verified, the process branches back to the first step of the first transaction.
  • a first step of the second transaction includes Sub-steps 602 to 608 of the franking machine for Communication with unencrypted data to the Establish connection and at least identification and transaction type data to the data center transferred to.
  • a second step of the second transaction the sub-steps 701 to 706 of the data center is for Receive the data and check the identification the franking machine and for transmitting one unencrypted OK notification to the franking machine intended. It is also contemplated that the second Step of the second transaction includes sub-steps to in the case of incorrect unencrypted messages 705 via a sub-step 513 to the error message on one To branch to sleep state 501 in the data center until communication from a franking machine again is recorded.
  • a third step of the second transaction comprises sub-steps 609 to 614 of the franking machine for education a third encrypted message crypto cv + 2 by means of the aforementioned in the franking machine stored second key Kn + 1 and for Transmission of the third encrypted message crypto cv + 2 to the data center, comprising at least Identification and postal register data, but without Data for a default value.
  • a fourth step of the second transaction the sub-steps 707 to 711 of the data center for reception and to decrypt the third encrypted Message containing crypto Cv + 2 lists their check Decryptibility by means of a in the data center saved key. Then there is a Form a third key Kn + 2, which is to the franking machine should be transmitted in encrypted form Form a fourth encrypted message crypto Cv + 3, at least the aforementioned third key Kn + 2, the identification and transaction data contains and transmitting the fourth encrypted Message crypto Cv + 3 to the franking machine.
  • the fourth step of the second transaction closes Sub steps to get rid of undetectable errors encrypted messages 709 about a sub-step 513 for the error message on a sleep state 501 in the Data center to branch out until communication is resumed by a franking machine.
  • Encrypts to the franking machine should be transmitted.
  • To form a fourth encrypted Message crypto Cv + 3 will be the again DES algorithm used. Then there is a Transfer the encrypted message to Franking machine.
  • the fourth step of the second transaction to save the default value comprises a data center sub-step 712 which is based on the first sub-step 501 of the second step of first transaction branches to the second key Kn + 1 as the previous key Kn-1 and the third Key Kn + 2 as successor key Kn for others save first and second transactions.
  • a fifth step of the second transaction which includes sub-steps 615 to 618 of the postage meter machine, serves to receive and decrypt the fourth encrypted message, to extract at least the identification data and the transmitted third key Kn + 2 Cv + 3 and the transaction data, and to verify the received encrypted message based on the extracted identification data.
  • the above step has a further query criterion for identifying the completion in contrast to the positive remote value specification.
  • the franking machine FM is to receive the fourth crypto message within a predetermined time from the sending of the third crypto message. If the connection was free of interruption, the reception would take place in the predetermined time t1.
  • the corresponding program section a Routine activated, which sets a counter that in turn by the system clock or its multiple is decremented. For a longer period of time, for example in the order of 10 seconds monitor several meters are cascaded. Reached now the fourth within the critical period Crypto message from the data center, the franking machine, the counter is deactivated. This remains the last crypto message, however, is set Counter decremented further.
  • interrupt At the zero crossing of the A program interrupt signal (interrupt) triggered.
  • This signal triggers the call a special subroutine, which is a new one Prepared and triggered transaction. Part of this Another transaction is the transmission of the Contents of the postal register.
  • One that takes place in the data center Consistency check then leads to the result that an unfinished transaction in special mode negative Remote value specification preceded.
  • the inconsistent records are corrected and the negative remote value specification is accomplished.
  • Another variant of the invention results if an incremental counter instead of a decremental counter is used.
  • the after each counting cycle Comparison can be made with the number that the monitored period corresponds.
  • Exceeding time t1 is a sure indication for a failed transmission and causes the call a special subroutine, which is a new one Execution of the special mode negative remote value specification prepared and triggered automatically. The first and second transaction will be automatic in this case repeated with key Kn + 2.
  • the transmitted second key Kn + 2 Cv + 3 and the default value in the franking machine are added to the descending register value R1 and the resulting credit is saved or, if not verified or the time is exceeded, the first step is the branched back in the first transaction.
  • the fifth step of the second transaction closes a sub-step (620) of the franking machine for Resetting the aforementioned special flag N or Return to the normal mode of the franking machine, whereby the aforementioned automatic transaction request is canceled again when performing the second transaction has been completed.
  • the service technician present secures the others trouble-free process until the completion of the negative Remote value specification.
  • the negative remote value specification when entering the special mode set special flag N was successful Transaction rolled back.
  • the franking machine prevents all frankings with values greater than zero because no more credit is loaded.
  • the franking machine is still zero for frankings with values and other modes of operation as long as these No credit required or as long as no postage franked and the quantity limit is not reached.
  • PIN identification number
  • step 603 takes place triggering the second transaction and one Leave or repeat the first transaction in communication mode or in special mode if the Entry time is exceeded.
  • the T key are actuated within 30 seconds or the Entry time has been exceeded.
  • the data center any desired request agreed as a code.
  • a zero default request is preferably agreed. Is now within a certain time after the Agreement of the special mode negative remote value specification called and the zero default request entered or confirmed as the default request is in the franking machine automatically the remaining amount R1 to zero reset.
  • a corresponding query step 219 according to such another specific criterion for the franking machine was dashed in FIG. 2 shown. From this, step 220 proceeds to Setting the special flag N branches.
  • a third variant security is increased by a combination of different measures.
  • a first communication link is established between the authorized user and the data center for storing a code for registering an authorized action on the franking machine by means of a default request that is transmitted later.
  • the franking machine can now be switched on to carry out an authorized predetermined operating sequence in order to enter a negative remote value specification via a side entry into a special mode.
  • a second communication connection is established between the franking machine and the data center and the input of a default request.
  • a distinguishable logon to the data center takes place if the transmitted request matches a corresponding code.
  • a new code word or security flag and / or operating sequence is transmitted to the franking machine.
  • the security-relevant data is transmitted and its storage in the franking machine is completed.
  • the specification value is added to the remaining credit in the corresponding memory of the franking machine and, in order to check the transaction, in an appropriate memory of the data center. Otherwise, execution of a step 209 for deleting a tamper-proof stored security flag X as a result of at least one unauthorized deviation from the predetermined operating sequence or because the franking machine has been interfered with is provided.
  • the franking machine is thus transferred to a first mode in order to effectively put it out of operation for franking (franking mode 400) (step 409), in contrast to the authorized action or intervention.
  • a transfer of a valid operating sequence from the data center to the franking machine becomes superfluous if the operating sequence is changed depending on the time.
  • the same calculation algorithm is used in the data center and in the franking machine to determine a current operating sequence.
  • Another variant is based on the storage of the current operating sequence in the franking machine by means of a special reset E 2 PROM by the service technician.
  • the security of an authorized person by means of an additional Input security means increased, which with the Franking machine is brought in contact to a Transfer remaining credit back to the data center.
  • the topicality of the data center produced by the register stands by means of a Zero remote value specification can be reported.
  • the service technician Reset read-only memory chip to a predetermined one Base of the at least partially opened franking machine used.
  • a reset read-only memory chip Refunds EPROM
  • step 209 for deletion of a flag X are branched, which in step 409 of the Franking mode ( Figure 4) would be noticed and for statistics and error evaluation or registration in step 213 leads. Otherwise, with the correct side entry and when the refund EPROM is inserted, a special flag N what is automatically set in communication mode Transfer the remaining credit back to the data center triggers.
  • steps 218 and 219 run reversed in order according to FIG. 2, so that only with regard to the inserted refund EPROM and only after the correct side entry is asked.
  • Such a sub-variant has the advantage that the information about the correct side entry can also be saved in the Refunds EPROM, instead of in the franking machine. With that the Protection against tampering further increased.
  • the input security means can of course also be implemented as a chip card.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Theoretical Computer Science (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung, mit mindestens zwei Modi. Im Ergebnis des Überwachens einer autorisierten Handlung an der Frankiermaschine, wird in einem Schritt (209) der Systemroutine (200) ein. Sicherheits-Flag X gelöscht und bei seinem Fehlen die Frankiermaschine in einen ersten Modus überführt (Schritt 409), um sie damit wirksam außer Betrieb zu setzen. Anderenfalls wird in einem Sondermodus negative Fernwertvorgabe durch Setzen eines Sonder-Flags N eingetreten, wenn die vorbestimmte Bedienhandlung zum Seiteneinstieg in den Sondermodus beim Einschalten vorgenommen wird. Die Kommunikation (300) mit der Datenzentrale läuft unter zeitlicher und zustandsmäßiger (Flags) Überwachung durch die Steuereinheit der Frankiermaschine bis zur Vollendung der Transaktion ab. Von der Datenzentrale wird das Verhalten des Frankiermaschinenbenutzers auf der Basis von während der Kommunikation übermittelten Daten überwacht. <IMAGE>

Description

Die Erfindung betrifft ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung, speziell bei der Fondsrückübertragung zur Datenzentrale, gemäß der im Oberbegriff des Anspruchs 1 bzw. 3 angegebenen Art.
Eine Frankiermaschine erzeugt in der Regel einen Aufdruck in einer mit der Post vereinbarten Form rechtsbündig, parallel zur oberen Kante des Postgutes beginnend mit dem Inhalt Postwert im Poststempel, Datum im Tagesstempel und Stempelabdrucke für Werbeklischee und ggf. Sendungsart im Wahldruckstempel. Der Postwert, das Datum und die Sendungsart bilden hierbei die entsprechend dem Poststück einzugebenden variablen Informationen.
Beim Postwert handelt es sich meist um die vom Absender vorausbezahlte Beförderungsgebühr (Franko), die einen wiederauffüllbaren Guthabenregister entnommen und zum Freimachen der Postsendung verwendet wird. Im Gegensatz dazu wird beim Kontokorrentverfahren ein Register in Abhängigkeit von den mit dem Postwert vorgenommenen Frankierungen lediglich hochgezählt und in regelmäßigen Abständen, von einem Postinspektor abgelesen.
Grundsätzlich ist jede vorgenommene Frankierung abzurechnen und jede Manipulation, welche zu einer nichtabgerechneten Frankierung führt, muß verhindert werden.
Eine bekannte Frankiermaschine ist mit mindestens einem Eingabemittel, einem Ausgabemittel, einem Ein/Ausgabe-Steuermodul, einer Programm-, Daten- und insbesondere die Abrechnungsregister tragenden Speichereinrichtung, einer Steuereinrichtung und einem Druckermodul ausgerüstet. Bei einem Druckermodul mit Druckmechanik müssen auch Maßnahmen ergriffen werden, damit im ausgeschalteten Zustand die Druckmechanik nicht für unabgerechnete Abdrucke mißbraucht werden kann.
Die Erfindung betrifft ein Verfahren für Frankiermaschinen, die einen vollelektronischen erzeugten Abdruck zum Frankieren von Postgut einschließlich Abdruck eines Werbeklischees liefern. Das hat zur Folge, daß nur noch im eingeschalteten Zustand ein nicht abgerechnetes gültiges Frankieren verhindert werden muß.
Bei einer aus der US 4 746 234 bekannten Frankiermaschine werden feste und variable Informationen in Speichermitteln (ROM, RAM) gespeichert, um diese dann, wenn ein Brief auf dem Transportpfad vor der Druckposition einen Mikroschalter betätigt, mittels eines Mikroprozessors auszulesen und um ein Drucksteuersignal zu bilden. Beide sind danach elektronisch zu einem Druckbild zusammengesetzt und können durch Thermotransferdruckmittel auf einen zu frankierenden Briefumschlag ausgedruckt werden.
Es wurde auch bereits ein Verfahren zum Steuern des spaltenweisen Druckens eines Postwertzeichenbildes in einer Frankiermaschine vorgeschlagen EP 578 042 A2, welches getrennt voneinander in graphische Pixelbilddaten umgesetzte feste und variable Daten während des spaltenweisen Druckens zusammensetzt. Es wäre daher schwierig, ohne großen und teuren Aufwand eine Manipulation am Drucksteuersignal vorzunehmen, wenn das Drucken mit einer hohen Geschwindigkeit erfolgt.
Andererseits umfaßt die Speichereinrichtung mindestens einen nichtflüchtigen Speicherbaustein, der das aktuell verbliebene Restguthaben enthält, welches daraus resultiert, daß von einem früher in die Frankiermaschine geladenen Guthaben der jeweilige zu druckenden Portowert abgezogen wird. Die Frankiermaschine blockiert, wenn das Restguthaben Null ist.
Bekannte Frankiermaschinen enthalten in mindestens einem Speicher drei relevante Postregister für verbrauchten Summenwert (steigendes Register), noch verfügbares Restguthaben (fallendes Register) und Register für eine Kontrollsumme. Die Kontrollsumme wird mit der Summe aus verbrauchten Summenwert und aus verfügbaren Guthaben verglichen. Bereits damit ist eine Überprüfung auf richtige Abrechnung möglich.
Weiterhin ist es auch möglich von einer Datenzentrale über eine Fernwertvorgabe eine Wiederaufladeinformation zur die Frankiermaschine zu übertragen, um in das Register für das Restguthaben (Restwert) ein Guthaben nachzuladen. Es versteht sich von selbst, daß hierfür geeignete Sicherheitsmaßnahmen getroffen werden müssen, damit das in der Frankiermaschine gespeicherte Guthaben nicht in unbefugter Art und Weise aufgestockt werden kann. Die vorgenannten Lösungen gegen Mißbrauch und Fälschungsversuche zu schützen, erfordert einen zusätzlichen materiellen und zeitlichen Aufwand.
Aus der US 48 64 506 ist bekannt, daß wenn der Wert des Guthabens im fallenden Register unter einem Schwellwert liegt und eine vorbestimmte Zeit erreicht ist, eine Kommunikation zur entfernten Datenzentrale von der Frankiermaschine aufgenommen wird.
Aus o.g. Patent ist weiterhin bekannt, daß die Datenzentrale zum Empfang von Registerdaten und zur Kontrolle, ob die Frankiermaschine noch an eine bestimmte Telefonnummer angeschlossen ist - die Verbindung mit der Frankiermaschine nach einer definierten Zeitdauer aufnimmt und die Frankiermaschine nur zu vorbestimmten Zeiten antwortet.
Es ist nach o.g. Patent außerdem vorgesehen, vor einer Guthabennachladung in die Frankiermaschine, zur Autorisierung durch die Datenzentrale die Identitätsnummer der Frankiermaschine und die Werte im fallenden und steigenden Register abzufragen.
Weiterhin ist aus o.g. Patent bekannt, daß die Kommunikation der Datenzentrale mit der Frankiermaschine nicht auf bloße Guthabenübertragung in die Frankiermaschine beschränkt bleiben braucht. Vielmehr wird im Falle einer Abmeldung der Frankiermaschine die Kommunikation der Datenzentrale mit der Frankiermaschine zur Übertragung des Restguthabens der Frankiermaschine in die Datenzentrale genutzt. Der Wert im fallenden Postregister der Frankiermaschine ist dann Null, was die Frankiermaschine wirksam außer Betrieb setzt.
Ein Sicherheitsgehäuse für Frankiermaschinen, welches innere Sensoren aufweist, ist aus der DE 41 29 302 A1 bekannt. Die Sensoren sind insbesondere mit einer Batterie verbundene Schalter, welche beim Öffnen des Sicherheitsgehäuses aktiv werden, um einen das Restwertguthaben speichernden Speicher (fallendes Postregister) durch Unterbrechen der Energiezufuhr zu löschen. Es ist bekanntlich aber nicht vorhersagbar, welchen Zustand ein spannungsloser Speicherbaustein beim Wiederkehr der Spannung einnimmt. Somit könnte auch ein nicht bezahltes höheres Restguthaben entstehen. Andererseits kann nicht ausgeschlossen werden, daß sich auf oben genannte Weise, das Restwertguthaben zumindest teilweise entlädt. Das wäre aber bei einer Inspektion nachteilig, da das Restwertguthaben, welches vom Frankiermaschinennutzer bezahlt worden war, auch wieder geladen werden muß, die Höhe dieses Restguthabens jedoch durch o.g. Einflüsse verfälscht sein kann. Schließlich ist der Beschreibung nicht entnehmbar, wie verhindert werden kann, daß ein Manipulator ein nicht bezahltes Restguthaben wieder herstellt.
Bei bekannten Frankiermaschinen FM sind bereits weitere Sicherheitsmaßnahmen wie Wegbrechschrauben und gekapseltes abgeschirmtes Sicherheitsgehäuse bekannt. Üblich sind auch Schlüssel und ein Zahlenschloß um den Zugriff auf die Frankiermaschine zu erschweren.
In der US 4 812 994 soll ein unautorisierter Zugriff einer Benutzung der Frankiermaschine darüber hinaus durch Sperrung der Frankiermaschine bei Falscheingabe eines vorbestimmten Paßwortes verhindert werden. Außerdem kann die Frankiermaschine mittels Paßwort und entsprechender Eingabe über Tastatur so eingestellt werden, daß ein Frankieren nur während eines vorbestimmten Zeitintervalls bzw. Tageszeiten möglich ist.
Das Paßwort kann durch einen Personalcomputer über MODEM, durch eine Chipkarte oder manuell in die Frankiermaschine eingegeben werden. Nach positiven Vergleich mit einem in der Frankiermaschine gespeicherten Paßwort wird die Frankiermaschine freigegeben. Im Steuermodul der Abrechnungseinheit ist ein Sicherheitsmodul (EPROM) integriert. Als weitere Sicherheitsmaßnahme ist ein Verschlüsselungsmodul (separater Mikroprozessor oder Programm für FM-CPU basierend auf DES-oder RSA-Code) vorgesehen, der eine den Portowert, die Teilnehmernummer, eine Transaktionsnummer und ähnliches umfassende Erkennungsnummer im Frankierstempel erzeugt. Bei genügend krimineller Energie könnte aber auch ein Paßwort ausgeforscht und samt Frankiermaschine in den Besitz eines Manipulators gebracht werden.
Es ist bereits in der US 4,812,965 ein Ferninspektionssystem für Frankiermaschinen vorgeschlagen worden, welches auf speziellen Mitteilungen im Abdruck von Poststücken, die der Zentrale zugesandt werden müssen, oder auf einer Fernabfrage über MODEM basiert. Sensoren innerhalb der Frankiermaschine sollen jede vorgenommene Verfälschungshandlung detektieren, damit in zugehörigen Speichern ein Flag gesetzt werden kann, falls in die Frankiermaschine zu Manipulationszwecken eingegriffen wurde. Ein solcher Eingriff könnte erfolgen, um ein nicht bezahltes Guthaben in die Register zu laden.
Bei Feststellung einer Manipulation wird die Frankiermaschine während der Ferninspektion über Modem durch ein von der Datenzentrale ausgehendes Signal gesperrt. Eine geschickte Manipulation könnte aber andererseits darin bestehen, nach der Herstellung von nicht abgerechneten Frankieraufdrucken, das Flag und die Register in den ursprünglichen Zustand zurückzuversetzen. Eine solche Manipulation wäre über Ferninspektion durch die Datenzentrale nicht erkennbar, wenn diese rückgängig gemachte Manipulation vor der Ferninspektion lag. Auch der Empfang der Postkarte von der Datenzentrale, auf welche eine zu Inspektionszwecken vorzunehmende Frankierung erfolgen soll, gestattet dem Manipulator die Frankiermaschine in ausreichender Zeit in den ursprünglichen Zustand zurückzuversetzen. Damit ist also noch keine höhere Sicherheit erreichbar.
Der Nachteil eines solchen Systems besteht darin, daß nicht verhindert werden kann, daß ein genügend qualifizierter Manipulator, welcher in die Frankiermaschine einbricht, seine hinterlassenen Spuren nachträglich beseitigt, indem die Flags gelöscht werden. Auch kann damit nicht verhindert werden, daß der Abdruck selbst manipuliert wird, welcher von einer ordnungsgemäß betriebenen Maschine hergestellt wird. Bei bekannten Maschinen besteht die Möglichkeit, einer Herstellung von Abdrucken mit dem Portowert Null. Derartige Nullfrankierungen werden zu Testzwecken benötigt, und könnten auch nachträglich gefälscht werden, indem ein Portowert größer Null vorgetäuscht wird.
Ein Sicherheitsabdruck gemäß der FP-eigenen europäische Patentanmeldung EP 576 113 A2 sieht Symbole in einem Markierungsfeld im Frankierstempel vor, die eine kryptifizierte Information enthalten. Dies gestattet der Postbehörde, welche mit der Datenzentrale zusammenwirkt, aus dem jeweiligem Sicherheitsabdruck eine Erkennung einer Manipulation an der Frankiermaschine zu beliebigen Zeitpunkten. Zwar ist eine laufende Kontrolle solcher mit einem Sicherheitsabdruck versehenen Poststncke nber entsprechende Sicherheitsmarkierungen im Stempelbild technisch möglich, jedoch bedeutet das einen zusätzlichen Aufwand im Postamt. Bei einer auf Stichproben beruhenden Kontrolle, wird aber eine Manipulation in der Regel erst spät festgestellt.
Andererseits kann im Datenzentrum eine zusätzliche Auswertung hinsichtlich eines Nutzers einer Frankiermaschine, die vom Nutzer über das Inspektionsdatum hinaus weiterbetrieben wurde, erfolgen. Jedoch kann bisher aus diesen Informationen noch nicht eine in Fälschungsabsicht vorgenommene Manipulation geschlußfolgert werden.
In der US 4 251 874 wird ein mechanisches Druckwerk, das zum Drucken voreingestellt werden muß, mit einer Detektoreinrichtung verwendet, um die Voreinstellung zu überwachen. Ferner sind im elektronischen Abrechnungssystem Mittel zum Feststellen von Fehlern in Daten- und Steuersignalen vorgesehen. Erreicht diese Fehlerzahl einen vorgegebenen Wert, wird der weitere Betrieb der Frankiermaschine unterbrochen. Der plötzliche Ausfall der Frankiermaschine ist aber für den Frankiermaschinenbenutzer nachteilig. Bei einem nichtmechanischen Druckprinzip sind andererseits kaum solche internen Fehler zu erwarten und bei einem schweren Fehler ist die Frankiermaschine ohnehin sowieso sofort abzuschalten. Außerdem wird die Sicherheit gegenüber einer Manipulation der Frankiermaschine dadurch kaum größer, indem die Frankiermaschine nach einer vorbestimmten Fehleranzahl abgeschaltet wird.
Aus der US 4 785 417 ist eine Frankiermaschine mit einer Programmsequenzüberwachung bekannt. Der korrekte Ablauf eines größeren Programmstücks wird mittels eines jedem Programmteil zugeordneten speziellen Codes kontrolliert, der bei Aufruf des Programmstücks in einer bestimmten Speicherzelle im RAM abgelegt wird. Es wird nun überprüft, ob der in der vorgenannten Speicherzelle abgelegte Code im gerade ablaufenden Programmteil immer noch vorhanden ist. Würde bei einer Manipulation der Lauf eines Programmteils unterbrochen und ein anderer Programmteil läuft ab, kann durch eine solche Kontrollfrage ein Fehler festgestellt werden. Der Vergleich kann aber nur im Hauptablauf durchgeführt werden. Nebenabläufe, beispielsweise sicherheitsrelevante Berechnungen, welche von mehreren Hauptabläufen benutzt werden, können durch eine solche Überwachung auf Ausführung des Programmteils jedoch nicht kontrolliert werden, weil die Programmkontrolle unabhängig vom Programmablauf erfolgt. Wird auf der Basis von erlaubten Programmteilen und Nebenabläufen so manipuliert, daß Nebenabläufe zusätzlich in Hauptabläufe eingebunden oder aus lezteren weggelassen werden oder auf Nebenabläufe verzweigt wird, dann würde kein Fehler festgestellt werden, da weder die Länge des Programmteils festgestellt, noch festgestellt werden kann, welcher Programmzweig wie oft durchlaufen wurde.
Eine andere Art einer erwarteten Manipulation ist das Nachladen der Frankiermaschinenregister mit einem nicht abgerechneten Guthabenwert. Damit ergibt sich das Erfordernis einer gesicherten Nachladung. Eine zusätzliche Sicherheitsmaßnahme ist nach US 4 549 281 der Vergleich einer internen in einem nichtflüchtigen Register gespeicherten festen Kombination mit einer eingegebenen externen Kombination, wobei nach einer Anzahl an Fehlversuchen, d.h. Nichtidentität der Kombinationen, die Frankiermaschine mittels einer Hemmungselektronik gesperrt wird. Nach US 4 835 697 kann zur Verhinderung eines unautorisierten Zugriffs auf die Frankiermaschine die Kombination grundsätzlich gewechselt werden.
Aus der US 5,077,660 ist außerdem eine Methode zum Wechsel der Konfiguration der Frankiermaschine bekannt, wobei die Frankiermaschine mittels geeigneter Eingabe über eine Tastatur vom Betriebsmode in einen Konfigurationsmode umgeschaltet und eine neue Metertypnummer eingegeben werden kann, welche der gewünschten Anzahl an Merkmalen entspricht. Die Frankiermaschine generiert einen Code für die Kommunikation mit dem Computer der Datenzentrale und die Eingabe der Identifikationsdaten und der neuen Metertypnummer in vorgenannten Computer, der ebenfalls einen entsprechenden Code zur Übermittlung und Eingabe in die Frankiermaschine generiert, in der beide Code verglichen werden. Bei Übereinstimmung beider Code wird die Frankiermaschine konfiguriert und in den Betriebsmode umgeschaltet. Die Datenzentrale hat dadurch vom jeweils eingestellten Metertyp für die entsprechende Frankiermaschine immer genaue Aufzeichnungen. Jedoch ist die Sicherheit allein von der Verschlüsselung der übertragenen Code abhängig.
Darüber hinaus ist aus der EP 388 840 A2 eine vergleichbare Sicherheitstechnik für ein Setzen einer Frankiermaschine bekannt, um diese von Daten zu säubern, ohne daß die Frankiermaschine zur Herstellerfirma transportiert werden muß. Auch hier ist die Sicherheit allein von der Verschlüsselung der übertragenen Code abhängig.
Die gesicherte Nachladung einer Frankiermaschine mit einem Guthaben wurde in US 3 255 439 einerseits bereits mit einer automatischen Signalübertragung von der Frankiermaschine zur Datenzentrale verbunden, wenn immer eine vorbestimmte Geldmittelsumme, welche frankiert wurde, oder Stückzahl an bearbeiteten Poststücken oder eine vorbestimmte Zeitperiode erreicht wurde. Alternativ kann ein der Geldmittelsumme, Stückzahl oder Zeitperiode entsprechendes Signal übermittelt werden. Dabei erfolgt die Kommunikation mittels binärer Signale über miteinander über eine Telefonleitung verbundene Konverter. Die Maschine erhält eine ebenso gesicherte Nachladung entsprechend der Kreditbalance und blockiert in dem Fall, wenn kein Kredit nachgeliefert wird.
Aus der US 4 811 234 ist bekannt, die Transaktionen verschlüsselt durchzuführen und dabei die Register der Frankiermaschine abzufragen und die Registerdaten der Datenzentrale zu übermitteln, um einen zeitlichen Bezug der Verringerung des im Register gespeicherten verfügungsberechtigten Betrages anzuzeigen. Einerseits identifiziert sich die Frankiermaschine bei der Datenzentrale, wenn ein voreinstellbarer Schwellwert erreicht ist, mittels ihres verschlüsselten Registerinhaltes. Andererseits modifiziert die Datenzentale durch entsprechende Berechtigungssignale den gewünschten Frankierbetrag, bis zu dem frankiert werden darf. Die Verschlüsselung ist somit die einzige Sicherheit gegen eine Manipulation der Registerstände. Wenn also ein Manipulator zwar ordnungsgemäß immer den gleichen Betrag in gleichen zeitlichen Intervallen lädt, aber zwischenzeitlich mit der manipulierten Frankiermaschine einen viel höheren Betrag frankiert, als er bezahlt hat, kann die Datenzentrale keine Manipulation feststellen.
Aus der EP 516 403 A2 ist bekannt, die in der Vergangenheit protokollierten und in einem Speicher gespeicherten Fehler der Frankiermaschine regelmäßig zu einem entfernten Fehleranalysecomputer zur Auswertung zu übertragen. Eine solche Ferninspektion erlaubt eine frühe Warnung vor einem auftretenden Fehler und ermöglicht weitere Maßnahmen (Service) zu ergreifen. Allein dies bietet noch kein ausreichendes Kriterium für eine Manipulation.
Gemäß der GB 22 33 937 A und US 5 181 245 kommuniziert die Frankiermaschine periodisch mit der Datenzentrale. Ein Blockiermittel gestattet die Frankiermaschine nach Ablauf einer vorbestimmten Zeit bzw. nach einer vorbestimmten Anzahl an Operationszyklen, zu blockieren und liefert eine Warnung an den Benutzer. Zum Freischalten muß von außen ein verschlüsselter Code eingegeben werden, welcher mit einem intern erzeugten verschlüsselten Code verglichen wird. Um zu verhindern, daß falsche Abrechnungsdaten an die Datenzentrale geliefert werden, werden in die Verschüsselung des vorgenannten Codes die Abrechnungsdaten mit einbezogen. Nachteilig ist, daß die Warnung zugleich mit dem Blockieren der Frankiermaschine erfolgt, ohne daß der Benutzer eine Möglichkeit hat, sein Verhalten rechtzeitig entsprechend zu ändern.
Aus der US 5 243 654 ist eine Frankiermaschine bekannt, wo die laufenden von Uhr/Datumsbaustein gelieferten Zeitdaten mit gespeicherten Stillegungszeitdaten verglichen werden. Ist die gespeicherte Stillegungszeit durch die laufende Zeit erreicht, wird die Frankiermaschine deaktiviert, das heißt ein Drucken verhindert. Bei Verbindungsaufnahme mit einer Datenzentrale, welche die Abrechnungsdaten aus dem steigenden Register ausliest, wird der Frankiermaschine ein verschlüsselter Kombinationswert übermittelt und eine neue Frist gesetzt, wodurch die Frankiermaschine wieder betriebsfähig gemacht wird. Dabei ist der Verbrauchssummenbetrag, der das verbrauchte Porto summiert enthält und von der Datenzentrale gelesen wird, ebenfalls Bestandteil des verschlüsselt übermittelten Kombinationswertes. Nach der Entschlüsselung des Kombinationswertes wird der Verbrauchssummenbetrag abgetrennt und mit dem in der Frankiermaschine gespeicherten Verbrauchssummenbetrag verglichen. Ist der Vergleich positiv, wird die Sperre der Frankiermaschine automatisch aufgehoben. Durch diese Lösung wird erreicht, daß sich die Frankiermaschine bei der Datenzentrale periodisch meldet, um Abrechnungsdaten zu übermitteln. Es sind jedoch Benutzungsfälle durchaus denkbar, wo das zu frankierende Postaufkommen schwankt (Saisonbetrieb). In diesen Fällen würde in nachteiliger Weise die Frankiermaschine unnötig oft blockiert werden.
Aus der US 4.760.532 ist ein Postbehandlungssystem mit Postwertübertragungs- und Abrechnungsfähigkeit bekannt. Dabei werden Informationen an das Datenzentrum via Telefon mittels des in den USA verbreiteten touch-tone Verfahrens übermittelt. Durch Drücken einer entsprechenden Taste des Telefons kann der Bediener eine Ziffer übertragen. Informationen vom Datenzentrum werden mittels Computerstimme an den Bediener übertragen, welcher die übertragenen Werte in die Frankiermaschine eingeben muß. Zur Fondsrückübertragung ist das Transferieren eines negativen postalischen Funds zu einem Postgerät in einem ersten Schritt zur Errichtung einer Kommunikation mit einer Zentralstation vorgesehen. Die Zentralstation überwacht die Gesamtsumme an Post (Restwertguthaben), die in dem Postgerät gespeichert ist. In einem zweiten Schritt erfolgt die Versorgung der vorgenannten Zentralstation mit einer auf einen gewünschten Wechsel bezogene Information, um die Gesamtsumme an Postwerten zu reduzieren, die in vorgenannten Postgerät verfügbar ist, und mit einer eindeutigen Identifikation betreff des vorgenannten Postgerätes. Ein dritter Schritt beinhaltet ein, Empfangen von der Zentralstation und Eingabe eines ersten eindeutigen Codes in das vorgenannte Postgerät, wobei das Eingeben betrieben wird, um die Gesammtsumme an Postwerten, die in dem Postgerät gespeichert sind, in Übereinstimmung mit vorgenanntem Wunsch zu reduzieren. Und im vierten Schritt ist ein Generieren eines zweiten eindeutigen Codes in dem Postgerät vorgesehen, wenn der erste eindeutige Code in das Postgerät eingegeben wurde, wobei der zweite eindeutige Code eine Indikation derart liefert, daß der vorgenannte Postwert, der zum Bedrucken der Post zur Verfügung steht, in vorgenannten Postgerät reduziert worden ist. Ist jedoch die Übertragung gestört bzw. unterbrochen, dann wird von der Datenzentrale kein erster Code empfangen und der Fonds in der Frankiermaschine bliebe unverändert, während in der Datenzentrale bereits eine Rückbuchung vorgenommen worden ist. Zur Überprüfung könnten natürlich die Registerstände der Frankiermaschine abgefragt werden, um diese mit den in der Datenzentrale gespeicherten zu vergleichen. Es ist zu befürchten, daß ein potentieller Manipulator letzteres unterlassen würde. In US 4,760,532 ist als abschliessender Verfahrensschritt das Übertragen des vorgenannten zweiten eindeutigen Codes zu der Zentralstation vorgesehen. Unter den Bedingungen des touch-tone Verfahrens ist wieder das Betätigen von Zifferntasten erforderlich, was bei mehrstelligen Code umständlich und in der Regel nicht frei von Eingabefehlern abläuft. Außerdem ist vorgesehen, seitens der Datenzentrale einen dritten eindeutigen Code zu generieren, um das rückübertragene Guthaben an eine andere Frankiermaschine zu übertragen. Somit kann die verantwortliche Behörde durch Fehler während der Übertragung geschädigt werden. Damit tritt bei der positiven wie negativen Fernwertvorgabe die selbe Frage auf, nämlich danach, wie auf einfache Art und Weise eine Synchronität der Daten in der Zentrale und Frankiermaschine erreicht werden kann.
Es war die Aufgabe zu lösen, ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen zu schaffen und einen signifikanten Zuwachs an Sicherheit bei der Guthabenübertragung zu gewährleisten.
Dabei soll zwischen autorisiertem Handeln (Service-Techniker) und unautorisiertem Handeln (Manipulationsabsicht) unterschieden und die Manipulationssicherheit erhöht werden. Eine weitere Aufgabe ist es, die Sicherheit bei einer Kommunikation mit dem Datenzentrum zu verbessern, wenn Daten in beiden Richtungen übermittelt werden.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 bzw. 3 gelöst.
Die erfindungsgemäße Lösung beruht einerseits auf der Erkenntnis, daß nur zentral in einer Datenzentrale gespeicherte Daten vor einer Manipulation hinreichend geschützt werden können. Ein signifikanter Zuwachs an Sicherheit und Synchronität in den gespeicherten Daten wird durch ein Daten-Melden vor jeder vorbestimmten Handlung an der Frankiermaschine erreicht. Ebenfalls erhöht das in mehr oder weniger großen Zeitabständen erfolgende Melden, insbesondere zum Nachladen eines Guthabens in Verbindung mit der o.g. Protokollierung die Sicherheit gegen eine eventuelle Manipulation. Die zentral zu speichernden Daten umfassen mindestens Datum, Uhrzeit, Identifikationsnummer der Frankiermaschine (ID-Nr. bzw. PIN) und die Art der Daten (z.B. Registerwerte, Parameter), wenn die Frankiermaschine eine Kommunikation mit der Datenzentrale aufnimmt. Zwecks Vorsynchronisation der Daten der Frankiermaschine mit den Daten der Datenzentrale kann ein bestimmter Vorgabewunsch für eine erste Transaktion verwendet werden.
Andererseits erfolgt zur Erhöhung der Sicherheit ein Unterscheiden zwischen autorisiertem Handeln (Service-Techniker) und unautorisiertem Handeln (Manipulationsabsicht) mittels der Steuereinheit der Frankiermaschine in Verbindung mit Schritten für die Ausführung einer negativen Fernwertvorgabe zur Rückübertragung eines Guthabenwerts in die Datenzentrale, wobei seitens der Frankiermaschine ein Vorgabewunsch an die Datenzentrale übermittelt und dort und in der Frankiermaschine gespeichert wird.
Dabei wird von der Steuereinheit der Frankiermaschine geprüft, ob mit vorbestimmten Betätigungsmitteln ein definierter Ablauf zum Seiteneinstieg in den Sondermodus zur negativen Fernwertvorgabe vorgenommen und ein vorbestimmter Zeitablauf während der negativen Fernwertvorgabe eingehalten wurde, und ob gegebenenfalls weitere Schritte zur automatischen Durchführung der Kommunikation ausgeführt werden müssen, um die Rückübertragung zu vollenden, wenn die vorausgegangenen Schritte zur Ausführung einer negativen Fernwertvorgabe unterbrochen oder an die Frankiermaschine fehlerhafte verschlüsselte Daten übermittelt wurden.
Erfindungsgemäß erfolgt eine Kommunikation zwischen Frankiermaschine und Datenzentrale mindestens mit verschlüsselten Meldungen, wobei vorzugsweise der DES-Algorithmus verwendet wird.
Zur Lösung der Aufgabe weist damit die Frankiermaschine mindestens zwei spezielle Modi auf. Ein erster Mode ist vorgesehen, um bei betrügerischen Handlungen bzw. bei Manipulationsabsicht die Frankiermaschine am Frankieren mit Portowerten zu hindern (Kill-Mode). Diese Hemmung kann anläßlich der nächsten Inspektion vor Ort von einer dazu berechtigten Person aufgehoben werden. Die Frankiermaschine weist einen weiteren Mode auf, um bei Erfüllung ausgewählter Kriterien die Frankiermaschine gegebenenfalls zur automatischen Kommunikation mit der Datenzentrale zu veranlassen. Bei einem solchen weiteren Mode handelt es sich erfindungsgemäß um den Sondermodus negative Fernwertübertragung bzw. um einen zweiten (Sleeping) Mode. Nach Vollendung des Sondermodus ist zwecks Überprüfung der Frankiermaschine nur noch eine beschränkte Anzahl an NULL-Frankierungen möglich. Ist die vorgesehene Stückzahl verbraucht, wird zwangsweise eine automatische Kommunikation mit der Datenzentrale ausgelöst, welche somit informiert wird und relevante Registerdaten erfährt. Die Frankiermaschine ist solange im Sleeping Mode gehemmt. Durch das Zusammenwirken mindestens zweier vorgenannter Modi wird die Sicherheit bei der Handhabung von Guthaben, welche in die Frankiermaschine geladen oder daraus zur Datenzentrale rückübertragen werden sollen, gegenüber einer betrügerischen Manipulation erhöht.
Wird jedoch ein anderer als der vorbestimmte Bedienablauf während des Einschaltens der Frankiermaschine für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gewählt, welcher verboten ist, schaltet die Frankiermaschine in den vorgenannten ersten Mode, um die Frankiermaschine für ein Frankieren mit einem Portowert zu sperren (Kill-Mode).
Gegebenenfalls wird zwecks Erhöhung der Manipulationssicherheit ein bereits früher dem autorisierten Bediener (Service-Techniker) von der Datenzentrale mitgeteilter Seiteneinstieg in den Sondermodus negative Fernwertvorgabe geändert. Der zukünftig gültige Bedienablauf kann in Verbindung mit mindestens einer Transaktion während einer positiven oder negativen Fernwertvorgabe wenigsten teilweise übermittelt werden.
Ein authorisierter Bediener der Frankiermaschine, vorzugsweise der Service-Techniker, führt zum Seiteneinstieg in den Sondermodus negative Fernwertvorgabe eine vorbestimmte Bedienhandlung aus, welche außer dem Service-Techniker nur noch der Datenzentrale bekannt ist. Dabei wird ein Sonder-Flag gesetzt, welches als spezielles Transaktionsersuchen gewertet wird.
Eine Überwachung durch die Steuereinheit der Frankiermaschine während der Ausführung einer Transaktion im Sondermodus sichert, daß bei unvollendet gebliebener Transaktion die Transaktionen im Sondermodus negative Fernwertvorgabe bis zum Ende durchgeführt werden. Bei vollendeter Transaktion im Sondermodus wird das Sonder-Flag zurückgesetzt.
Hinzu tritt eine Zeitüberwachung durch die Steuereinheit der Frankiermaschine während der Ausführung einer Transaktion im Sondermodus, welche bei Zeitüberschreitung bzw. bei unvollendet gebliebener Transaktion wirksam werden, um die Transaktion zuende durchzuführen.
Eine Zeitüberwachung erfolgt ebenfalls seitens der Datenzentrale, wenn eine Transaktion im Sondermodus negative Fernwertvorgabe vorgenommen wird. Die Registerdaten der Frankiermaschine sind zentral überprüfbar, wenn wieder eine Verbindungsaufnahme zur Durchführung einer Fernwertvorgabe erfolgt, um beispielsweise ein Guthaben nachzuladen. Entweder nimmt bei unvollendet gebliebener Transaktion die Frankiermaschine automatisch wieder die Verbindung auf, um die Transaktion zuende durchzuführen oder der autorisierte Service-Techniker übergibt der Datenzentrale bis zum Tagesende eine Mitteilung über den aktuellen Zustand der Frankiermaschine zwecks Annullierung der im Sondermodus negative Fernwertmodus übertragenen Daten. Andernfalls ergibt die Zeitüberwachung seitens der Datenzentrale nach Ablauf des vorbestimmten Zeitabschnittes, eine Anerkennung der im Sondermodus negative Fernwertvorgabe übertragenen Daten.
In einer bevorzugten Variante wird die Sicherheit durch eine Prüfung des Bedienablaufes auf Übereinstimmung mit einem vorgegebenen Bedienablauf in der Frankiermaschine und durch eine Prüfung des Vorgabewunsches in der Datenzentrale auf Übereinstimmung mit einem dort gespeicherten Code für einen vorbestimmten Vorgabewunsch erhöht. Es ist möglich, den Bedienablauf zeitabhängig zu ändern, wobei in der Datenzentrale und in der Frankiermaschine der gleiche Berechnungsalgorithmus verwendet wird, um einen aktuellen Bedienablauf zu ermitteln. Eine Übertragung eines gültigen Bedienablaufes von der Datenzentrale zur Frankiermaschine wird damit überflüssig.
In einer weiteren Variante wird die Sicherheit durch eine Kombination einer Reihe von Maßnahmen erhöht. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale. Diese übermittelt in Reaktion darauf ein neues Sicherheits-Flag X und/oder einen vorbestimmten Bedienablauf für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe zur Frankiermaschine, wenn die Frankiermaschine normal eingeschaltet wurde und die Kommunikationsverbindung aufnimmt, wobei in einer ersten Transaktion ein vorbestimmter Vorgabe-Wunsch in der Datenzentrale und in der Frankiermaschine gespeichert wurde. In der Datenzentrale wird geprüft, ob der übermittelte Vorgabe-Wunsch einem vorbestimmten Vorgabe-Wunsch entspricht. In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt und in einer zweiten Transaktion wird die angemeldete Transaktion durchgeführt und entsprechend des Vorgabewunsches ein Vorgabewert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale addiert.
Für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe muß vom Service-Techniker der Bedienablauf während des Einschaltens der Frankiermaschine so, wie er von der Datenzentrale übermittelt wurde, durchgeführt werden,d.h. gleichzeitig mit dem Einschalten ist eine bestimmte Tastenkombination zu drücken.
In der zweiten Transaktion erfolgt das Nachladen der Frankiermaschine - gemäß dem entsprechenden Vorgabe-Wert - mit einem negativen Guthaben, so daß sich im Ergebnis ein Restwertguthaben von NULL ergibt.
Die erfindungsgemäße Lösung geht weiterhin davon aus, daß die in der Frankiermaschine gespeicherten Geldmittel vor unautorisiertem Zugriff geschützt werden müssen. Die Verfälschung von in der Frankiermaschine gespeicherten Daten wird so weit erschwert, daß sich der Aufwand für einen Manipulator nicht mehr lohnt.
Handelsübliche OTP-Prozessoren (ONE TIME PROGRAMMABLE) können alle sicherheiterelevanten Programmteile im Inneren des Prozessorgehäuses enthalten, außerdem den Code zur Bildung des Message Authentification Code (MAC). Letzterer ist eine verschlüsselte Checksumme, die an eine Information angehängt wird. Als Kryptoalgorithmus ist beispielsweise Data Encryption Standard (DES) geeignet. Damit lassen sich MAC- Informationen an die relevanten Sicherheits- und Sonder-Flags bzw. an die Registerdaten anhängen und somit die Schwierigkeit der Manipulation an den vorgenannten Flags bzw. Postregistern maximal erhöhen.
Das Verfahren zur Verbesserung der Sicherheit einer Frankiermaschine, welche zur Kommunikation mit einer entfernten Datenzentrale fähig ist und einen Mikroprozessor in einer Steuereinrichtung der Frankiermaschine aufweist, umfaßt außerdem ein Bilden einer Checksumme im OTP-Prozessor über den Inhalt des externen Programmspeichers und Vergleich des Ergebnisses mit einem im OTP-Prozessor gespeicherten vorbestimmten Wert vor und/oder nach Ablauf des Frankiermodus bzw. Betriebsmodus, insbesondere während der Initialisierung (d.h. wenn die Frankiermaschine gestartet wird), oder in Zeiten, in welchen nicht gedruckt wird (d.h. wenn die Frankiermaschine im Standby-Modus betrieben wird). Im Fehlerfall erfolgt dann eine Protokollierung und anschließende Blockierung der Frankiermaschine.
Zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation erfolgt ein Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung, indem während eines Betriebsmodus eine Überwachung der Zeitdauer des Ablaufes von Programmen, Programmteilen bzw. sicherheitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Vergleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit. Auch während einer Kommunikation soll damit eine Manipulation in Betrugsabsicht vereitelt werden, insbesondere durch eine im Kommunikationsmodus vorgenommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe. Es wird die Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine gesendeten vierten verschlüsselten Mitteilung in der Frankiermaschine, welche bei Verifizierung ein Null-Setzen des Guthabenwerts auslöst, überwacht. Es ist vorgesehen, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogrammm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.
In einer optionalen Variante wird die Sicherheit durch ein zusätzliches Eingabesicherheitsmittel erhöht, welches mit der Frankiermaschine in Kontakt gebracht wird, um ein Restguthaben von einer autorisierten Person zurück zur Datenzentrale zu übertragen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
Figur 1,
Blockschaltbild einer Frankiermaschine,
Figur 2,
Ablaufplan nach der erfindungsgemäßen Lösung,
Figur 3a und 3b,
Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und Datenzentrum,
Figur 4,
Ablaufplan für den Frankiermodus nach einer bevorzugten Variante,
Figur 5,
allgemene Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem Null-Guthabenwert,
Figur 6,
Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem negativen-Guthabenwert,
Figur 7,
Ablaufplan zur Einspeicherung eines Sicherheits-Flags bzw. Codewortes nach der erfindungsgemäßen Lösung
Die Figur 1 zeigt je ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Druckermodul 1 für ein vollelektronisch erzeugtes Frankierbild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, und einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, welche über einen Ein/Ausgabe-Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit einem nichtflüchtigen Speicher 5 bzw. 11 für die variablen bzw. die konstanten Teile des Frankierbildes.
Ein Charakterspeicher 9 liefert die nötigen Druckdaten für einen flüchtigen Arbeitsspeicher 7. Die Steuereinrichtung 6 weist einen Mikroprozessor µP auf, der mit dem Ein/Ausgabe-Steuermodul 4, mit dem Charakterspeicher 9, mit dem flüchtigen Arbeitsspeicher 7 und mit dem nichtflüchtigen Arbeitspeicher 5, mit einem Kostenstellenspeicher 10, mit einem Programmspeicher 11, mit dem Motor einer Transport- bzw. Vorschubvorrichtung ggf. mit Streifenauslösung 12, einem Encoder (Codierscheibe) 13 sowie mit einem Uhren/Datums-Baustein 8 in Verbindung steht. Die einzelnen Speicher können in mehreren physikalisch getrennten oder in nicht gezeigter Weise in wenigen Bausteinen zusammengefaßt verwirklicht sein, welche durch mindestens eine zusätzliche Maßnahme, beispielsweise Aufkleben auf der Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz, gegen Entnahme gesichert sind.
In der Figur 2 ist ein Ablaufplan für eine Frankiermaschine mit einem Sicherheitssystem nach einer bevorzugten Variante der erfindungsgemäßen Lösung dargestellt.
Nach dem Einschalten der Frankiermaschine im Schritt Start 100 wird anschließend innerhalb einer Startroutine 101 eine Funktionsprüfung mit anschließender Initialisierung vorgenommen.
Dieser Schritt umfaßt auch mehrere - in der Figur 7 näher dargestellte - Subschritte 102 bis 105 zur Einspeicherung eines Sicherheits-Flags bzw. Codewortes. Mit einem Schritt 103 wird, wenn gemäß Schritt 102 ein neues Sicherheits-Flag X'in einem anderen vorbestimmten Speicherplatz E des nichtflüchtigen Speichers 5 existiert, dieses neue Sicherheits-Flag X' in den Speicherplatz des alten Sicherheits-Flags X kopiert, falls dort kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt. Letzteres betrifft gleichermaßen den Fall eines autorisierten als auch unautorisierten Eingriffs, weil bei jedem Eingriff das alte Sicherheits-Flag X gelöscht wird. Ebenso kann bei einer anderen unautorisierten Handlung das Sicherheits-Flag X gelöscht werden (Kill-Mode). Falls kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt, kann im Frankiermodus 400 kein Portowert mehr gedruckt werden. Bei Nichteingriff ist kein neues Codewort übermittelt worden. In diesen Fall wird nicht kopiert und nach Schritt 104 bleibt das alte Sicherheits-Flag X im Speicher erhalten. Abschließend wird mit Punkt s die Systemroutine 200 erreicht.
Die Systemroutine 200 umfaßt mehrere Schritte 201 bis 220 des Sicherheitssystems. Im Schritt 201 erfolgt der Aufruf aktueller Daten, was weiter unten in Verbindung mit der Erfindung für einen zweiten Mode, nämlich für den Sleeping-Mode ausgeführt wird. Wie in der Figur 2 dargestellt wird im Schritt 202 überprüft, ob die Kriterien für den Eintritt in den Sleeping-Mode erfüllt sind. Ist das der Fall wird zum Schritt 203 verzweigt, um mindestens eine Warnung mittels der Anzeigeeinheit 3 anzuzeigen. Nach den o.g. Schritten wird im jeden Fall der Punkt t erreicht.
Bei Feststellung eines verbotenen Seiteneinstieges (Schritt 217), wird das vorgenannte Sicherheits-Flag X gelöscht. Dabei kann es sich beim Sicherheits-Flag X ebenso um ein MAC-gesichertes SicherheitsFlag handeln, wie auch um einen verschlüsselten Code. Die Überprüfung auf Gültigkeit des Sicherheits-Flags X wird beispielsweise im Schritt 409 eines Frankiermodus 400 mittels einem ausgewählten Prüfsummenverfahren innerhalb eines OTP-Prozessors (ONE TIME PROGRAMMABLE) durchgeführt, der intern die entsprechenden Programmteile und außerdem den Code zur Bildung eines MAC (MESSAGE AUTHENTIFICATION CODE) gespeichert enthält, weshalb der Manipulator die Art des Prüfsummenverfahrens nicht nachvollziehen kann. Auch weitere sicherheitsrelevante Schlüsseldaten und Abläufe sind ausschließlich im Inneren des OTP-Prozessors gespeichert, beispielsweise um Schlüsseldaten mit dem von der Datenzentrale zur Frankiermaschine übertragenen neuen Schlüssel zu ergänzen, damit mit den so ergänzten Schlüsseldaten eine Verschüsselung von Meldungen vorgenommen werden kann, welche zur Datenzentrale übermittelt werden. Andererseits erlauben die gleichen sicherheitsrelevanten Schlüsseldaten bzw. Abläufe eine Absicherung über die Postregister zu legen.
Eine weitere Sicherungsvariante, welche ohne OTP-Prozessor auskommt, besteht im Erschweren des Auffindens der Schlüssel durch dessen Kodierung und partielle Ablage in unterschiedlichen Speicherbereichen. Wieder werden MAC an jede Information in den sicherheitsrelevanten Registern angehängt. Eine Manipulation der Registerdaten kann durch Kontrolle über den MAC erkannt werden. Diese Routine erfolgt im Schritt 406 im Frankiermodus, der in der Figur 4 dargestellt ist. Damit läßt sich die Schwierigkeit der Manipulation an den Postregistern maximal erhöhen.
Bei erfolgter Prüfung im Schritt 217, wobei ein relevanter Mangel festgestellt und das Sicherheits-Flag X im Schritt 209 gelöscht wurde, wird der Punkt e, d.h. der Beginn eines Kommunikationsmodus 300 erreicht und in einem - in den Figuren 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d.h. der Betriebsmodus 290 erreicht. Wurden relevante Daten im Kommunikationsmodus übermittelt, dann ist zur Datenauswertung auf den Schritt 213 zu verzweigen. Oder anderenfalls, wenn im Schritt 211 die Nichtübermittlung festgestellt wird, ist auf den Schritt 212 zu verzweigen. Nun wird überprüft, ob entsprechende Eingaben getätigt worden sind, um bei Testanforderung 212 in den Testmodus 216, anderenfalls um bei beabsichtigter Registerstandüberprüfung 214 in einen Anzeigemodus 215 zu gelangen. Ist das nicht der Fall, wird automatisch der Punkt d, d.h. der Frankiermodus 400 erreicht.
Im Falle einer Manipulation wird der Schritt 213 zur Statistik- und Fehlerauswertung erreicht. Über den Schritt 213 wird der Anzeigemodus 215 erreicht und dann zur Systemroutine zurückverzweigt. Das Sperren kann also vorteilhaft dadurch erfolgen, indem die Verzweigung auf den Frankiermodus 400 nicht mehr ausgeführt wird. Erfindungsgemäß ist weiterhin vorgesehen, daß im Schritt 213 eine Statistik- und Fehlerauswertung durchgeführt wird, um weitere aktuelle Daten zu gewinnen, welche nach Verzweigung zur Systemroutine 200 in Schritt 201 ebenfalls aufrufbar sind, beispielsweise für einen vorgenannten zweiten Mode oder einen anderen Sondermode.
Zwischen den Punkten s und t der Systemroutine 200 können eine Vielzahl von weiteren Abfragen nach Erfüllung weiterer Kriterien für weitere Modi liegen. Nähere Ausführungen bezüglich einer Abfrage nach einem ersten Mode, welcher zum Verhindern des Drucken bzw. zum Sperren der Frankiermaschine dient, sind der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen. Im Falle einer Öffnung des Frankiermaschinengehäuses durch dazu befugte Personen ist eine schriftliche ggf. fernmündliche Anmeldung im Datenzentrum zur autorisierte Öffnung vorgeschlagen worden, welche das Öffnungsdatum und die Uhrzeit für den ungefähren Öffnungsbeginn mitteilt. Bevor dann die Frankiermaschine tatsächlich geöffnet werden kann, muß über MODEM eine Kommunikation mit dem Datenzentrum aufgenommen werden, um die Öffnungsbefugnis zu ersuchen und einen neuen zukünftigen Code Y' zu laden, der den alten ersetzen kann.
Im Unterschied dazu wird jedoch das Vorhandensein des Sicherheits-Flags X nicht zwischen den Punkten s und t sondern ausschließlich im Schritt 409 im Frankiermodus abgefragt. Dadurch kann der Service-Techniker durch Laden des neuen Sicherheits-Flags X' dennoch auch nach einer Löschung des vorgenannten Flags anschließend die volle Funktionsfähigkeit der Frankiermaschine wiederherstellen. Das erlaubt nun beispielsweise auch eine Überprüfung durchzuführen, ob eine unautorisierte Handlung tatsächlich zur Löschung des Sicherheits-Flags bzw. Codewortes führt, oder ob das Löschen durch Manipulation verhindert worden ist.
Bei autorisierter Bedienungshandlung wird in dem - in der Figur 2 gezeigten - Schritt 217 erkannt, daß kein verbotener Seiteneinstieg durchgeführt wurde. Ein erlaubter Seiteneinstieg, der für eine andere Eingabe durchgeführt wurde, ist in der Figur 2 nicht näher dargestellt worden. Jedoch ist ein solches Abtragekriterium ebenfalls vorgesehen, um beispielsweise im Schritt 212 zu erkennen, ob eine Bedienhandlung vorgenommen wurde, um in einen Testmode zu gelangen. Beim erlaubten Seiteneinstieg, der nicht der richtige Seiteneinstieg für den Sondermodus einer negativen Fernwertvorgabe zwecks Fondsrückübertragung von der Frankiermaschine zur Datenzentrale ist, wird zum Punkt e der System-routine 200 verzweigt. Anderenfalls wird beim richtigen Seiteneinstieg zum Schritt 220 verzweigt, um ein Sonder-Flag für den Eintritt in den Sondermodus zu setzen. Es ist in weiterer Ausgestaltung eventuell ein weiterer Abfrageschritt 219 vor dem Schritt 220 vorgesehen, um mit einem weiteren Kriterium die Sicherheit gegen unautorisierten Aufruf des Sondermodus weiter zu erhöhen, wobei bei Nichterfüllung des Kriteriums auf den Punkt e der Systemroutine 200 verzweigt wird. Beispielsweise kann der im Figur 2 gezeigte Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob die Identifikationsnummer (ID-Nr. bzw. PIN) eingegeben wurde. Durch den Seiteneinstieg ist die Sicherheit bereits ausreichend hoch, so daß im Interesse einer einfacheren Bedienung auf solche zusätzlichen weiteren Kriterinabfragen auch verzichtet werden kann. Eine andere Möglichkeit in dem in der Figur 2 gezeigten Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob mindestens n-mal der gleiche vorbestimmte Vorgabewunsch gestellt und ein entsprechender Vorgabewert zum Guthabenrestwert addiert wurde, ist ebenfalls nur optional und deshalb gestrichelt in der Figur 2 gezeichnet. Hierbei kann es sich um einen NULL-Vorgabewunsch handeln, der zur Übertragung eines NULL-Vorgabewertes führt und zum Restwert addiert werden kann, ohne daß dadurch die Höhe des gespeicherten Guthabens verändert wird.
Um die Sicherheit gegen Manipulation weiter zu erhöhen, ist vorgesehen, daß das im Schritt 220 gesetzte Sonder-Flag N für den Sondermodus ebenfalls ein MAC-gesichertes Flag N ist.
Die Sicherheit wird zusätzlich durch eine Überprüfung in der Datenzentrale erhöht, ob ein vorbestimmter Vorgabewunsch von der Frankiermaschine übermittelt worden ist. Es ist vorgesehen, daß der übermittelte Vorgabewunsch in der Datenzentrale als Code gewertet wird, eine ganz bestimmte Transaktion durchzuführen. Der übermittelte Vorgabewunsch kann in der Datenzentrale als Code gewertet werden, um eine Fondsrückübertragung zu erlauben. Andernfalls kann der übermittelte Vorgabewunsch in der Datenzentrale als Code gewertet werden, eine Übertragung für ein Sicherheits-Flag X bzw. für ein X-Codewort zu erlauben.
In den Figuren 3a und 3b erfolgt eine Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine einerseits und der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Datenzentrale andererseits.
Wird der Punkt e, d.h. der Beginn des nachfolgend erläuterten Kommunikationsmodus 300 erreicht, wird in einem - in den Figuren 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ein solches kann beispielsweise zur Guthabennachladung, Telefonnummernänderung u.a. gestellt werden.
Der Benutzer wählt den Kommunikations- bzw. Fernwertvorgabemodus der Frankiermaschine über die Eingabe der Identifikationsnummer (achtstelligen Portoabrufnummer) an. Es wird nun beispielsweise angenommen, es soll die Fondsrückübertragung in Höhe des in der Frankiermaschine verbliebenen Restwertes erfolgen. Hierbei erfolgt zuerst eine Registerabfrage des Descending-registers R1, welches den Restwert gespeichert enthält. Nach einem Ausschalten der Frankiermaschine wird beim Wiedereinschalten ein Seiteneinstieg in den Sondermodus vorgenommen. Nach der Eingabe der Identifikationsnummer wird die Eingabe mit der Teleset-Taste bestätigt und der Vorgabewunsch in Höhe des vorher abgefragten Restwertes eingegeben. Durch den Seiteneinstieg wird der Vorgabewunsch automatisch als zu subtrahierender Vorgabewert gewertet. Der Vorgabewunsch wird durch Betätigung der Teleset-Taste (T-Taste) bestätigt. Da bei jeder Kommunikation von der Datenzentrale auch der Restwert abgefragt wird, kann damit ein Vergleich in der Datenzentrale beider, d.h. von Restwert und Vorgabe-Wunsch erfolgen. Anderenfalls können im Sondermodus die vorgenannten Eingaben für eine bevorzugte Variante auch automatisch von der Frankiermaschine ausgeführt werden, um die Bedienung zu vereinfachen.
Anderenfalls soll beispielsweise eine Kommunikation erfolgen, um ein neues Sicherheits-Flag X' zu laden, der das alte Sicherheits-Flag X ersetzen kann. Wird nur ein solches Transaktionsersuchen gestellt, muß der Vorgabebetrag geändert werden, denn in diesem Fall muß das Guthaben in der Frankiermaschine natürlich nicht aufgestockt werden. Andererseits kann auch ein anderer Wert außer Null vereinbart werden, insbesondere ein Wert, dem nur ein minimaler Betrag entspricht, um den der Descending-Registerwert aufgestockt werden müßte.
In der Figur 3a wird derjenige Teil der Kommunikation einer Transaktion dargestellt, der mit unverschlüsselten Meldungen vorgenommen wird. Dennoch können diese Meldungen Daten enthalten, welche MAC-abgesichert sind, beispielsweise die Identifikationsnummer der Frankiermaschine.
Im Schritt 302 kann eine Eingabe der Identifikations-Nummer (ID-Nr.) und der beabsichtigten Eingabeparameter auf folgende Weise erfolgen. Bei der ID-Nr. kann es sich um die Serien-Nummer der Frankiermaschine, um eine PIN bzw. PAN (Portoabrufnummer) handeln, die durch Betätigung mittels vorbestimmter T-Taste des Eingabemittels 2 quittiert wird. In der Anzeigeeinheit 3 erscheint der bei der letzten Fernwertvorgabe(Nachladung) benutzte Eingabeparameter(Vorgabewert), der nun durch die Eingabe des gewünschten Eingabeparameters überschrieben oder beibehalten wird. Beim Eingabeparameter handelt es sich um eine Zahlenkombination, welche in der Datenzentrale als Aufforderung verstanden wird, beispielsweise ein neues Sicherheits-Flag bzw. Codewort X' zu übermitteln, wenn zuvor eine Eingriffsbefugnis eingeholt worden ist. Bei Falscheingabe des vorgenannten Eingabeparameters kann die Anzeige durch Drücken einer C-Taste gelöscht werden.
Beispielsweise wird eine Änderung eingegeben, um bei einer Transaktion ein Guthaben mit dem Wert Null zu laden, aber es wird keine Eingriffsbefugnis zuvor eingeholt. Somit dient der Eingabeparameter nur als neuer Vorgabewert. Dabei wird aber weder das Guthaben für Frankierungen wertmäßig erhöht, wenn der Eingabeparameter den Wert Null hat, noch ein neues Sicherheitsflag geladen. Jedoch kann bei jeder Kommunikation eine Stückzahl S' übermittelt werden, wie ebenfalls der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen ist.
Nur durch das vorhergehende Mitteilen, beispielsweise mittels eines separaten Anrufes bei der Datenzentrale oder einer anderen Kommunikationsform, wird der Datenzentrale mitgeteilt, daß ein neues Sicherheits-Flag X' zur Frankiermaschine übermittelt werden soll, wenn anschließend innerhalb einer vorbestimmten Zeitdauer seitens der Frankiermaschine eine Transaktion für den Wert Null gestartet wird. Das Eingriffsgesuch gilt nur dann als gestellt, wenn nach dem Anmelden eines autorisierten Eingriffs die Frankiermaschine in den so vereinbarten Kommunikationsmodus eintritt.
Wird aber zuvor ein beliebig anderer Eingabeparameter mit der Datenzentrale vereinbart, erfolgt bei Eingabe dieses Eingabeparameters außer der Übermittlung eines neuen Sicherheitsflags X' entsprechend des vorvereinbarten Codes der durch den vorbestimmten Vorgabewunsch gebildet wird auch noch eine Nachladung des Guthabens entsprechend des eingegebenen Vorgabewertes im Ergebnis einer zweiten Transaktion bewirkt.
Wird ein anderer Eingabeparameter als der vereinbarte eingegeben, führt dies im Ergebnis lediglich zur Nachladung in Höhe des gewählten neuen Vorgabebetrages, wo bei im Unterschied zu den anderen Transaktionsdaten jedoch der Vorgabebetrag nicht zur Frankiermaschine übermittelt werden braucht. Vielmehr ist die Tatsache, daß eine gültige Transaktion verifiziert wurde für die Frankiermaschine ausreichend, eine Aufstockung bzw. Minderung des Descendingregisterinhaltes um den Vorgabebetrag entsprechend dem gespeicherten Vorgabewunsch vorzunehmen.
Ist der gewünschte Eingabeparameter richtig angezeigt, wird dies durch erneutes Betätigen der vorbestimmten T-Taste des Eingabemittels 2 bestätigt. In der Anzeigeeinheit 3 erscheint dann eine Darstellung entsprechend einer Eingabeparameteränderung oder entsprechend der Nichtänderung (alter Vorgabewert).
Durch Betätigung der vorbestimmten T-Taste wird die Veränderung des Eingabeparameters über MODEM-Verbindung gestartet. Die Eingabe überprüft (Schritt 303) und der weitere Vorgang läuft automatisch ab, wobei der Ablauf durch eine entsprechende Anzeige begleitet wird.
Dazu prüft die Frankiermaschine, ob ein MODEM angeschlossen und betriebsbereit ist. Ist das nicht der Fall, wird auf den Schritt 310 verzweigt, um anzuzeigen, daß das Transaktionsersuchen wiederholt werden muß. Anderenfalls liest die Frankiermaschine die Wahlparameter, bestehend aus den Herauswahlparametern (Haupt-/Nebenstelle, usw.) und der Telefonnummer aus dem NVRAM-Speicherbereich F und sendet diese mit einem Wahlaufforderungskommando an das Modem 23. Anschließend erfolgt der für die Kommunikation erforderliche Verbindungsaufbau über das MODEM 23 mit der Datenzentrale in einem Schritt 304.
In der Figur 3a ist auf der linken Hälfte ebenfalls der parallel erfolgende Ablauf in der Datenzentrale dargestellt, welcher für die Kommunikation notwendig ist. Im Schritt 501 wird ständig geprüft, ob ein Anruf in der Datenzentrale erfolgt ist. Ist das der Fall, und das MODEM 23 hat die Gegenseite angewählt, erfolgt im Schritt 502 parallel der Verbindungsaufbau auch in der Datenzentrale. Und im Schritt 503 wird ständig überwacht, ob die Verbindung zur Datenzentrale gelöst wurde. Ist das der Fall, erfolgt nach einer Fehlermeldung im Schritt 513 eine Rückverzweigung zum Schritt 501.
Parallel dazu wird in der Frankiermaschine im Schritt 305 überwacht, ob Kommunikationsfehler aufgetreten sind und gegebenenfalls zum Schritt 304 zurückverzweigt, um seitens der Frankiermaschine die Verbindung erneut aufzubauen. Nach einer vorbestimmten Anzahl n ergebnisloser Wahlwiederholungen zwecks Verbindungsaufbau wird über einen Anzeigeschritt 310 auf den Punkt e zurückverzweigt. Lag kein im Schritt 305 ermittelbarer Fehler vor, wird im Schritt 306 seitens der Frankiermaschine festgestellt, daß die Verbindung aufgebaut ist und eine Transaktion erst noch erfolgen soll, wird auf den Schritt 307 verzweigt, um eine Eröffnungsnachricht bzw. um Identifikations-, Vorspann- bzw. Registerdaten zu senden. Im nachfolgenden Schritt 308 wird die gleiche Überprüfung, wie im Schritt 305 durchgeführt, d.h. bei einem aufgetretenen Kommunikationsfehler wird zum Schritt 304 zurückverzweigt. Anderenfalls wurde eine Eröffnungsnachricht von der Frankiermaschine an die Datenzentrale geschickt. Darin ist u.a. die Portoabrufnummer zur Bekanntmachung des Anrufenden, d.h. der Frankiermaschine, bei der Datenzentrale enthalten.
Diese Eröffnungsnachricht wird in der Datenzentrale im Schritt 504 auf Plausibilität überprüft und weiter ausgewertet, indem anschließend im Schritt 505 wieder überprüft wird, ob die Daten fehlerfrei übermittelt worden sind. Ist dies nicht der Fall, erfolgt eine Rückverzweigung zur Fehlermeldung auf den Schritt 513. Sind andererseits die Daten fehlerfrei und in der Datenzentrale wird erkannt, daß die Frankiermaschine ein Nachladeersuchen gestellt hat, so wird im Schritt 506 eine Erwiderungsnachricht zur Frankiermaschine als Vorspann gesendet. Im Schritt 507 wird überprüft, ob im Schritt 506 die Vorspannmeldung einschließlich Vorspann-Ende gesendet worden ist. Ist das aber nicht der Fall, dann wird auf den Schritt 513 zurückverzweigt.
In der Frankiermaschine wird im Schritt 309 geprüft, ob von der Datenzentrale inzwischen ein Vorspann als Erwiderungsnachricht gesendet bzw. empfangen wurde. Ist das nicht der Fall, wird zur Anzeige auf den Schritt 310 zurückverzweigt und danach erneut ein Transaktionsersuchen im Schritt 301 abgefragt. Wurde ein Vorspann empfangen und die Frankiermaschine hat eine OK-Meldung erhalten, erfolgt im Schritt 311 eine Überprüfung der Vorspannparameter hinsichtlich einer Telefonnummernänderung. Wenn ein verschlüsselter Parameter übermittelt wurde, liegt keine Telefonnummernänderung vor und es wird auf den Schritt 313 in der Figur 3b verzweigt.
In der Figur 3b erfolgt eine Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und parallel dazu derjenigen in der Datenzentrale.
Im Schritt 313 wird von der Frankiermaschine an die Datenzentrale eine Beginnmeldung verschlüsselt gesendet. Im Schritt 314 wird die Meldung auf Kommunikationsfehler überprüft. Liegt ein Kommunikationsfehler vor, wird zum Schritt 304 zurückverzweigt und es erfolgt erneut ein Versuch, die Verbindung zur Datenzentrale aufzubauen, um die Beginn-Meldung verschlüsselt zu senden.
Von der Datenzentrale wird diese verschlüsselte Beginn-Meldung empfangen, wenn im Schritt 506 die Vorspann-Meldung vollständig gesendet worden war und im Schritt 507 das Vorspann-Ende übermittelt worden ist. Im Schritt 508 wird in der Datenzentrale überprüft, ob diese die Beginn-Meldung erhalten hat und die Daten in Ordnung sind. Ist das nicht der Fall, wird im Schritt 509 überprüft, ob der Fehler behebbar ist. Ist der Fehler nicht behebbar, wird auf den Schritt 513 verzweigt nachdem eine Fehlermeldung von der Datenzentrale DZ an die Frankiermaschine FM im Schritt 511 übermittelt wurde. Anderenfalls wird im Schritt 510 eine Fehlerbehandlung durchgeführt und auf den Schritt 507 verzweigt. Wird im Schritt 508 der Empfang ordnungsgemäßer Daten festgestellt, beginnt die Datenzentrale im Schritt 511 eine Transaktion durchzuführen. Im vorgenannten Beispiel wird mindestens die Identifikationsnummer mittels einer verschlüsselten Meldung zur Frankiermaschine übertragen, welche im Schritt 315 die Transaktionsdaten empfängt.
Im nachfolgenden Schritt 316 werden die Daten geprüft. Liegt ein Fehler vor, wird auf den Schritt 310 zurückverzweigt. Anderenfalls erfolgt in der Datenzentrale im Schritt 512 eine Speicherung der gleiche vorgenannten Daten, wie in der Frankiermaschine. Im Schritt 318 wird also in der Frankiermaschine die Transaktion mit der Datenspeicherung abgeschlossen. Anschließend wird zum Schritt 305 zurückverzweigt. Soll keine weitere Transaktion erfolgen, wird zur Anzeige der Schritt 310 und danach Schritt 301 erreicht.
Wenn nun kein Transaktionsersuchen gestellt wird, wird im Schritt 211 gemäß Figur 2 überprüft, ob Daten übermittelt worden sind. Wurden Daten übermittelt, wird der Schritt 213 erreicht. Entsprechend des Eingabewunsches plaziert die Frankiermaschine den aktuellen Vorgabewunsch oder das neue Codewort Y' bzw. andere Transaktionsdaten beispielsweise im Speicherbereich E des nichtflüchtigen Speichers 5.
Wird als Eingabeparameter im Schritt 302 aber eine andere Zahlenkombination als Null eingegeben und die Eingabe war in Ordnung (Schritt 303), erfolgt ein Verbindungsaufbau (Schritt 304). Und wenn ohne Fehler (Schritt 305) eine Verbindung aufgebaut vorliegt (Schritt 306), wird eine Identifizierungs- und Vorspann-Meldung an die Datenzentrale gesendet. In dieser Eröffnungsnachricht ist wieder u.a. auch die Portoabrufnummer PAN zur Identifizierung der Frankiermaschine bei der Datenzentrale enthalten. Die Datenzentrale erkennt aus der eingegebenen Zahlenkombination, falls die Daten fehlerfrei sind (Schritt 505), daß in der Frankiermaschine beispielsweise ein Guthaben mit einem Vorgabewert aufgestockt werden soll.
Hat sich inzwischen die aktuelle Telefonnummer der Datenzentrale geändert, müssen Maßnahmen ergriffen werden, daß diese in der Frankiermaschine gespeichert wird. Im Schritt 506 wird dann von der Datenzentrale eine Erwiderungsnachricht mit den Elementen Änderung der Telefonnummer und aktuelle Telefonnummer unverschlüsselt gesendet. Die Frankiermaschine, die diese Meldung erhält, erkennt im Schritt 311, daß die Telefonnummer geändert werden soll. Nun wird zum Schritt 312 verzweigt, um die aktuelle Telefonnummer zu speichern. Anschließend wird auf den Schritt 304 zurückverzweigt. Ist die Verbindung noch aufgebaut und ein Kommunikationsfehler liegt nicht vor (305), wird im Schritt 306 anschließend geprüft, ob eine weitere Transaktion erfolgen soll. Wenn das nicht der Fall ist, wird über den Schritt 310 zum Schritt 301 verzweigt. Die Übermittlung der Telefonnummer kann ebenfalls MAC-abgesichert erfolgen.
Nach erfolgter Abspeicherung der aktuellen Telefonnummer baut die Frankiermaschine automatisch eine neue Verbindung zur Datenzentrale unter Zuhilfenahme der neuen Telefonnummer auf. Die eigentliche, vom Benutzer beabsichtigte Transaktion, eine Fernwertvorgabe des neuen Sicherheits-Flag X' oder eine Übermittlung einer zur Verifizierung geeigneten verschlüsselten Meldung zur Nachladung des Restwertguthabens entsprechend einem Vorgabe-wunsch wird somit automatisch, d.h. ohne einen weiteren Eingriff durch den Benutzer der Frankiermaschine, durchgeführt. In der Anzeige erscheint eine entsprechende Mitteilung, daß aufgrund der Telefonnummernänderung die Verbindung automatisch neu aufgebaut wird.
Es ist vorgesehen, daß nach einem Eingriff, die Frankiermaschine in den Kommunikationsmodus 300 gesteuert wird. Der Berechtigte kann auch der Datenzentrale die beendete Überprüfung noch anschließend mitteilen. Eine Kommunikation kann eine Telefonnummernspeicherung, als auch eine Guthabennachladung bzw. Fondsrückübertragung umfassen. Ohne Unterbrechung der Kommunikation können so mehrere Transaktionen durchgeführt werden.
Soll die Höhe des nachzuladenden Guthabens in der gleichen Höhe verbleiben, wie bei der letzten Guthabennachladung, ist nur eine Transaktion notwendig.
Soll die Höhe des nachzuladenden Guthabens aber geändert werden, sind zwei Transaktionen erforderlich. Beide Transaktionen erfolgen auf vergleichbare Weise.
Eine gelungene Transaktion läuft dabei wie folgt ab: Die Frankiermaschine schickt ihre ID-Nummer und einen Vorgabewert für die Höhe des gewünschten Nachladeguthabens ggf. zusammen mit einem MAC an die Datenzentrale. Diese prüft eine derartige übermittelte Nachricht gegen den MAC, um dann eine ebenfalls MAC-gesicherte OK-Meldung an die Frankier-maschine zu senden. Die OK-Meldung enthält den Vorgabewert nicht mehr.
Es ist vorgesehen, daß die Übermittlung eines neuen Sicherheitsflags X' bzw. von relevanten Daten für eine Änderung der Guthabenhöhe in der Frankiermaschine in verschlüsselter Form, aber die Übermittlung von Telefonnummer in unverschlüsselter Form erfolgt. Jedoch ist eine MAC-Absicherung zusätzlich möglich. Wird in der Datenzentrale festgestellt, daß die Verbindung zur Frankiermaschine gelöst wurde (Schritt 503) oder fehlerhafte Daten (505) bzw. nicht behebbare Fehler (509) vorliegen oder kein Vorspannende gesendet wurde (507), ist die Kommunikation beendet. Nach einer Fehlermeldung erfolgt das Lösen der Kommunikationsverbindung, das Speichern der übermittelten Daten und deren Auswertung im Schritt 513 seitens der Datenzentrale.
Während einer ersten Transaktion wird mindestens eine verschlüsselte Nachricht zur Datenzentrale als auch zur Frankiermaschine übermittelt. Der Vorgabewunsch ist nur in der verschlüsselten Nachricht der ersten Transaktion enthalten. Jede übermittelte Nachricht, welche sicherheitsrelevante Transaktionsdaten enthält, ist verschlüsselt. Als Verschlüsselungsalgorithmus für die verschlüsselten Meldungen ist beispielsweise der DES-Algorithmus vorgesehen.
Ein Transaktionsersuchen führt in der Frankiermaschine zu einer speziell gesicherten Guthabennachladung. Vorzugsweise erfolgt ein Absichern der außerhalb des Prozessors im Kostenstellenspeicher 10 vorliegenden Postregister außerdem während der Guthabennachladung mittels einer Zeitsteuerung. Wird die Frankiermaschine beispielsweise mit einem Emulator/Debugger observiert, dann ist es wahrscheinlich, daß die Kommunikations- und Abrechnungsroutinen nicht innerhalb einer vorbestimmten Zeit ablaufen. Ist das der Fall, d.h. die Routinen benötigen erheblich mehr Zeit, wird ein Teil des DES-Schlüssels geändert. Das Datenzentrum, kann diesen modifizierten Schlüssel während einer Kommunkikationsroutine mit Registerabfrage feststellen und daraufhin die Frankiermaschine als suspekt melden, sobald gemäß Schritt 313 eine Beginn-Meldung verschlüsselt gesendet wird.
In der Datenzentrale wird im Schritt 509 festgestellt, daß der Fehler nicht behebbar ist. Die Datenzentrale kann dann keine Transaktion (Schritt 511) durchführen, weil zum Schritt 513 zurückverzweigt wurde. Da in der Frankiermaschine im Schritt 315 keine Daten empfangen wurden, war die Transaktion nicht fehlerfrei erfolgt (Schritt 316). Dann wird also über den Schritt 310 auf den Schritt 301 zurückverzweigt, um nach einer Anzeige erneut zu prüfen, ob ein Transaktionsersuchen weiterhin gestellt wird.
Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d.h. der Betriebsmodus 290 erreicht. Somit konnten im oben erörterten Fall, mit modifizierten DES-Schlüssel, keine Daten übermittelt werden (Schritt 211). Ebenfalls wird davon ausgegangen, daß weder eine Testanforderung (Schritt 212) noch ein Registerabruf (Schritt 214) veranlaßt wurde, um das Restguthaben zu prüfen. Dann aber wird der Frankiermodus 400 erreicht.
Die Sicherheit setzt bei einem autorisierten Eingriff voraus, die Zuverlässigkeit der berechtigten Person (Service, Inspektor) und die Möglichkeit deren Anwesenheit zu überprüfen. Die Kontrolle des Siegels und die Kontrolle der Registerstände bei einer Inspektion der Frankiermaschine und unabhängig davon der Daten in der Datenzentrale ergibt dann die Überprüfungssicherheit. Die Kontrolle der frankierten Postgüter unter Einbeziehung eines Sicherheitsabdruckes liefert eine zusätzliche Überprüfungssicherheit.
Die Frankiermaschine führt regelmäßig und/oder beim Einschalten den Registercheck durch und kann somit die fehlende Information erkennen, falls in die Maschine unautorisiert eingegriffen bzw. falls diese unautorisiert bedient worden war. Die Frankiermaschine wird dann blockiert. Ohne die Erfindung in Verbindung mit einem Sicherheits-Flag X würde der Manipulator die Blockierung leicht überwinden. So geht aber das Sicherheits-Flag X verloren und es würde dem Manipulator zuviel Zeit und Aufwand kosten, das gültige MAC-gesicherte Sicherheits-Flag X bzw. Codewort durch Versuche zu ermitteln. In der Zwischenzeit wäre die Frankiermaschine längst in der Datenzentrale als suspekt registriert.
Andere Varianten bzw. eine Kombination mit anderen Varianten, wie beispielsweise das Löschen eines Teils des DES-Schlüssel oder der redundanten Registerstände bzw. Löschen anderer Daten oder Schlüssel, welche für die Datenzentrale bei einer Transaktion Bedeutung haben, sind durch den Erfindungsgedanken eingeschlossen. Dabei ist wesentlich, daß kritische Programmteile im OTP gespeichert vorliegen und die Programmlaufzeitüberwachungsmittel software- und/oder hardwaremäßige Bestandteile des OTP sind. Damit können mit diesen Programmteilen die extern vom OTP im Programmspeicher PSP 11 gespeicherten kritischen Programme überwacht werden. Der Vorteil besteht darin, daß das Überwachungsprogramm selbst nicht observiert oder manipuiert werden kann, da es ständig im OTP verbleibt und auch nicht ausgelesen werden kann.
Ein geeigneter Prozessortyp ist beispielsweise der TMS 370 C010 von Texas Instruments, welcher einen 256 Bytes E2PROM aufweist. Damit können im Prozessor sicherheitsrelevante Daten (Schlüssel, Flags, u.a.) manipulationssicher gespeichert werden.
Nimmt ein Manipulator einen unautorisierten Eingriff vor, wird die Frankiermaschine durch das Überführen in den ersten Modus wirksam am Frankieren mit einem Portowert gehindert.
Der potentielle Manipulator einer Frankiermaschine muß mehrere Schwellen überwinden, was natürlich einen gewissen Zeitaufwand bedarf. Erfolgt in gewissen Zeitabständen keine Verbindungsaufnahme von der Frankiermaschine zur Datenzentrale, wird die Frankiermaschine bereits suspekt. Es ist dabei davon auszugehen, daß derjenige, der eine Manipulation an der Frankiermaschine begeht, sich kaum wieder bei der Datenzentrale melden wird.
Bei einer Inspektion werden zunächst das Siegel der Frankiermaschine auf Unversehrtheit und dann die Registerstände überprüft. Bei Bedarf kann ein Probeabdruck mit dem Wert 0 gemacht werden. Bei einer Reparatur durch den Service vor Ort muß eventuell in die Frankiermaschine eingegriffen werden. Die Fehlerregister sind beispielsweise mit Hilfe eines speziellen Service-EPROM auslesbar, welches an die Stelle des Advert-EPROM gesteckt wird. Wenn auf diesen EPROM-Steckplatz vom Prozessor nicht zugegriffen wird, wird gewöhnlich ein Zugriff auf die Datenleitungen durch spezielle - in der Figur 1 nicht dargestellte - Treiberschaltkreise verhindert. Die Datenleitungen, welche hier durch eine versiegelte Gehäusetür erreichbar sind, können somit nicht unbefugt kontaktiert werden. Eine andere Variante ist das Auslesen von Fehlerregisterdaten durch einen über eine Schnittstelle angeschlossenen Service-Computer. Zur Vorbereitung des Eingriffs werden die Register der Frankiermaschine abgefragt, um die Art des erforderlichen Eingriffs zu ermitteln. Bevor in die Frankiermaschine eingegriffen und das Gehäuse geöffnet wird, erfolgt ein separater Anruf bei der Datenzentrale. Wird dannach innerhalb einer vorbestimmten Zeitdauer der Vorgabewert auf Null geändert und zur Datenzentrale im Rahmen einer Transaktion übermittelt, d.h. die Art des Eingriffs und die Registerdaten wurden der Datenzentrale mitgeteilt, erfolgt ein Übermitteln von Daten von einer Datenzentrale zur Frankiermaschine entsprechend einem beantragten äutorisierten Eingriff in die Frankiermaschine, welcher als erlaubter Eingriff protokolliert wird.
Wird innerhalb einer vorbestimmten Zeitdauer aber der Vorgabewert auf einen Wert verschieden von Null geändert und zur Datenzentrale im Rahmen einer Transaktion übermittelt, bleibt ein zuvor erfolgter separater Anruf zur Datenzentrale folgenlos, d.h. ein Eingriffsgesuch gilt als nicht gestellt und eine Befugnis zum autorisierten Eingriff in die Frankiermaschine wird nicht erteilt und folglich kein neues Sicherheits-Flag bzw. Codewort X'übermittelt.
Die Frankiermaschine ist fähig, zu unterscheiden zwischen beantragten autorisierten und unautorisierten Eingriff in die Frankiermaschine mittels der Steuereinheit der Frankiermaschine in Verbindung mit den von der Datenzentrale übermittelten Daten,wobei bei unautorisierten Eingriff in die Frankiermaschine dieser Eingriff als Fehlerfall protokolliert wird, aber nach erfolgten autorisierten Eingriff in die Frankiermaschine der ursprüngliche Betriebszustand mittels den vorgenannten übermittelten Daten wiederhergestellt wird.
Die Erläuterung der Abläufe nach dem - in der Figur 4 gezeigten - Frankiermodus erfolgt in Verbindung mit dem - in der Figur 2 dargestellten - Ablaufplan. Es ist außerdem auch in Zeiten in welchen nicht gedruckt wird (Standby Modus) vorgesehen, daß eine Abfrage hinsichtlich Manipulationsversuchen erfolgt und/ oder die Checksumme der Registerstände und/oder über den Inhalt des Programmspeichers PSP 11 gebildet wird. Die vorgenannte Checksumme wird vom Frankiermaschinen-Hersteller MAC-gesichert im nichtflüchtigen Speicher 5 (Speicherbereich E des NV-RAMs) abgelegt. Zur Überprüfung des Inhaltes des Programmspeichers PSP 11 wird die Checksumme erneut ermittelt und unter Verwendung eines gespeicherten unverändert gebliebenen Schlüssels ein MAC gebildet. Beim vorgenannten Schlüssel handelt es sich um einen manipulationsgesicherten (nichtauslesbaren) Teilschlüssel. Nun wird die alte MAC-gesicherte aus dem NV-RAM 5 geladen und mit der neu ermittelten MAC-gesicherten Checksumme im OTP verglichen. Zur Verbesserung der Manipulationssicherheit wird in einer anderen Variante für einen Kill-Mode 2 die Checksumme im Prozessor über den Inhalt des externen Programmspeichers PSP 11 gebildet und das Ergebnis mit einem im Prozessor gespeicherten vorbestimmten Wert verglichen. Dies erfolgt vorzugsweise im Schritt 101, wenn die Frankiermaschine gestartet wird, oder im Schritt 213, wenn die Frankiermaschine im Standby-Modus betrieben wird. Der Standby-Modus wird erreicht, wenn eine vorbestimmte Zeit keine Eingabe- bzw. Druckanforderung erfolgt. Letzteres ist der Fall, wenn ein ansich bekannter - nicht näher dargestellter - Briefsensor keinen nächsten Briefumschlag ermittelt, welcher frankiert werden soll. Der - in der Figur 4 gezeigte - Schritt 405 im Frankiermodus 400 umfaßt daher noch eine weitere Abfrage nach einem Zeitablauf oder nach der Anzahl an Durchläufen durch die Programmschleife, welche letztendlich wieder auf die Eingaberoutine gemäß Schritt 401 führt. Wird das Abfragekriterium erfüllt, wird im Schritt 408 ein Standby-Flag gesetzt und direkt auf den Punkt s zur Systemroutine 200 zurückverzweigt, ohne daß die Abrechnungs- und Druckroutine im Schritt 406 durchlaufen wird. Das Standby-Flag wird später im Schritt 211 abgefragt und nach der Checksummenprüfung im Schritt 213 zurückgesetzt, falls kein Manipulationsversuch erkannt wird.
Das Abfragekriterium in Schritt 211 wird dazu um die Frage erweitert, ob das Standby-Flag gesetzt ist, d.h. ob der Standby Modus erreicht ist. In diesem Fall wird ebenfalls auf den Schritt 213 verzweigt. Eine bevorzugte Variante besteht darin, in bereits beschriebenen Weise das Sicherheitsflag X zu löschen, wenn ein Manipulationsversuch im Standby Modus auf vorgenannte Weise im Schritt 213 festgestellt worden ist. Das besonders gesicherte Sonder-Flag N kann ebenfalls im Schritt 213 überprüft werden, insbesondere wenn es MAC-gesichert ist, indem der Flaginhalt mit dem MAC-Inhalt verglichen wird. Das Fehlen des Sicherheitsflags X wird im Abfrageschritt 409 erkannt und dann auf den Schritt 213 verzweigt. Der Vorteil dieses Verfahrens in Verbindung mit dem ersten Modus besteht darin, daß der Manipulationsversuch statistisch im Schritt 213 erfaßt wird.
Die Figur 4 zeigt den Ablaufplan für den Frankiermodus nach einer bevorzugten Variante. Die Erfindung geht davon aus, daß nach dem Einschalten automatisch der Postwert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben werden, daß für den Abdruck die variablen Daten in die festen Daten für den Rahmen und für alle unverändert bleibenden zugehörigen Daten elektronisch eingebettet werden.
Die Zahlenketten (sTrings), die für die Erzeugung der Eingabedaten mit einer Tastatur 2 oder aber über eine an die Ein/Ausgabeeinrichtung 4 angeschlossene, den Portowert errechnende, elektronische Waage 22 eingegeben werden, werden automatisch im Speicherbereich D des nichtflüchtigen Arbeitsspeichers 5 gespeichert. Außerdem bleiben auch Datensätze der Subspeicherbereiche, zum Beispiel Bj, C usw., erhalten. Damit ist gesichert, daß die letzten Eingabegrößen auch beim Ausschalten der Frankiermaschine erhalten bleiben, so daß nach dem Einschalten automatisch der Portowert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben wird. Ist eine Waage 22 angeschlossen, wird der Portowert aus dem Speicherbereich D entnommen. Im Schritt 404 wird gewartet, bis ein solcher aktuell gespeichert vorliegt. Bei einer erneuten Eingabeanforderung im Schritt 404 wird wieder auf den Schritt 401 zurückverzweigt. Anderenfalls wird auf den Schritt 405 verzweigt, um die Druckausgabeanforderung abzuwarten. Durch einen Briefsensor wird der zu frankierende Brief detektiert und damit eine Druckanforderung ausgelöst. Somit kann auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt werden. Liegt keine Druckausgabeanforderung (Schritt 405) vor, wird zum Schritt 301 (Punkt e) zurückverzweigt.
Da nach der - in der Figur 4 dargestellten - Variante zum Punkt e zurückverzweigt und der Schritt 301 erreicht wird, kann jederzeit ein Kommunikationsersuchen gestellt oder eine andere Eingabe gemäß den Schritten Testanforderung 212, Registercheck 214, Eingaberoutine 401 getätigt werden.
Ein weiteres Abfragekriterium kann im Schritt 405 abgefragt werden, um im Schritt 408 ein Standby-Flag zu setzen, wenn nach einer vorbestimmten Zeit noch keine Druckausgabeanforderung vorliegt. Wie bereits oben erläutert, kann das Standby-Flag im auf den Kommunikationsmodus 300 folgenden Schritt 211 abgefragt werden. Damit wird nicht auf den Frankiermodus 400 verzweigt, bevor nicht die Checksummenprüfung die Vollzähligkeit aller oder mindestens ausgewählter Programme ergeben hat.
Falls eine Druckausgabeanforderung im Schritt 405 erkannt wird, werden weitere Abfragen in den nachfolgenden Schritten 409 und 410 sowie im Schritt 406 getätigt. Beispielsweise werden im Schritt 409 das Vorhandensein eines gültigen Sicherheitsflags X bzw. eines entsprechenden MAC-abgesicherten Flags X, das Erreichen eines weiteren Stückzahlkriterium und/oder im Schritt 406 die in bekannten Weise zur Abrechnung eingezogenen Registerdaten abgefragt. War die zum Frankieren vorbestimmte Stückzahl bei der vorhergehenden Frankierung verbraucht, d.h. Stückzahl gleich Null, wird automatisch zum Punkt e verzweigt, um in den Kommunikationsmodus 300 einzutreten, damit von der Datenzentrale eine neue vorbestimmte Stückzahl S wieder kreditiert wird. War jedoch die vorbestimmte Stückzahl noch nicht verbraucht, wird vom Schritt 410 auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt.
Die Anzahl von gedruckten Briefen, und die aktuellen Werte in den Postregistern werden entsprechend der eingegebenen Kostenstelle im nichtflüchtigen Speicher 10 der Frankiermaschine in einer Abrechnungsroutine 406 registriert und stehen für eine spätere Auswertung zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird während der unmittelbar vor dem Druck erfolgenden Abrechnungsroutine veranlaßt, einen Zählschritt weiterzuzählen.
Die Registerwerte können bei Bedarf im Anzeigemodus 215 abgefragt werden. Es ist ebenfalls vorgesehen, die Registerwerte mit dem Druckkopf der Frankiermaschine zu Abrechnungszwecken auszudrucken. Das kann beispielsweise ebenso erfolgen, wie das bereits in der deutschen Offenlegungsschrift P 42 24 955 A1 näher ausgeführt wird.
Es ist bei einer anderen Variante weiterhin vorgesehen, daß auch variable Pixelbilddaten während des Druckens in die übrigen Pixelbilddaten eingebettet werden. Entsprechend der vom Encoder 13 gelieferten Positionsmeldung über den Vorschub der Postgutes bzw. Papierstreifens in Relation zum Druckermodul 1 werden die komprimierten Daten aus dem Arbeitsspeicher 5 gelesen und mit Hilfe des Charakterspeichers 9 in ein binäre Pixeldaten aufweisendes Druckbild umgewandelt, welches ebenfalls in solcher dekomprimierten Form im flüchtigen Arbeitsspeicher 7 gespeichert wird. Nähere Ausführungen sind den europäischen Anmeldungen EP 576 113 A2 und EP 578 042 A2 entnehmbar.
Der Pixelspeicherbereich im Pixel-Speicher 7c ist also für die ausgewählten dekomprimierten Daten der festen Teile des Frankierbildes und für die ausgewählten dekomprimierten Daten der variablen Teile des Frankierbildes vorgesehen. Nach der Abrechnung erfolgt die eigentliche Druckroutine (im Schritt 406). Wie aus der Figur 1 hervorgeht, stehen der Arbeitsspeicher 7b und der Pixelspeicher 7c mit dem Druckermodul 1 über eine ein Druckregister (DR) 15 und eine Ausgabelogik aufweisende Druckersteuerung 14 in Verbindung. Der Pixelspeicher 7c ist ausgangsseitig an einen ersten Eingang der Druckersteuerung 14 geschaltet, an deren weiteren Steuereingängen Ausgangssignale der Mikroprozessorsteuereinrichtung 6 anliegen. Sind alle Spalten eines Druckbildes gedruckt worden, wird wieder zur Systemroutine 200 zurückverzweigt.
Die Übermittlung einer neuen Stückzahl S' kann dann auf die gleiche Art und Weise erfolgen, wie das im Zusammenhang mit der Übermittlung des neuen Sicherheits-Flags X' bereits erläutert wurde. Bei einer Kommunikation gemäß Figuren 3a und 3b wird dann eine neue vorbestimmte Stückzahl S' übermittelt und als Stückzahl S bei laufender Frankierung dekrementiert. Aus der neuen vorbestimmten Stückzahl S' wird intern die Vergleichsstückzahl Sref errechnet (Schritt 213). Damit kann im Schritt 203 eine Warnung "CALL FP" vor Erreichen der Stückzahl Null abgegeben werden. Der Benutzer der Frankiermaschine wird damit aufgefordert in Kommunikation mit der Datenzentrale durchzuführen, um mindestens eine NULL-Fernwertvorgabe zur Nachkreditierung wenigstens der Stückzahl S vorzunehmen.
In der Figur 5 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Guthabenwert, vorzugsweise mit einem Null-Guthabenwert vereinfacht dargestellt. Eine solche NULL-Fernwertvorgabe umfaßt immer zwei Transaktionen.
Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches. Um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen, ist ein NULL-Vorgabe-Wunsch geeignet. Ein solcher führt während einer zweiten Transaktion zu einem NULL-Vorgabe-Wert der zum Descending-Register-Wert addiert werden kann, ohne den Wert der Restguthabens zu ändern.
Bei einem normalen Einstieg in den Kommunikationsmodus wird nach dem Start der Frankiermaschine im Schritt 218 der - in Figur 2 dargestellten - Systemroutine 200 abgefragt, ob vom Benutzer ein richtiger Seiteneinstieg durchgeführt wurde. Ist das nicht der Fall wird zum Punkt e der Systemroutine 200 verzweigt. Auf dem Display erscheint eine Meldung über eine Eröffnung der Kommunikation, wenn eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste) erfolgt. Zusätzlich wird der bisherige Vorgabewert angezeigt, der durch den neuen Vorgabe-Wunsch NULL überschrieben werden kann. Nach der Null-Eingabe wird wieder die T-Taste betätigt. Nun besteht ein Transaktionsersuchen und die Kommunikation kann durchgeführt werden.
Der erste Schritt während einer ersten Transaktion umfaßt nach dem Einstieg in den Kommunikationsmodus (positive Fernwertvorgabe bzw. Teleset-Modus) einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit unverschlüsselten Daten, um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschine umfaßt, um die Verbindung aufzubauen, zur Kommunikation mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp-Daten (1 byte), umfaßt die Mitteilung an die Datenzentrale DZ nachfolgend den Teleset-Modus für eine gewünschte positive Fernwertvorgabe mit der identifizierten Frankiermaschine durchzuführen.
Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K. -Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mitteilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand Punkt q im Subschritt 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüsselten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister-Daten. In weiterer Ausgestaltung der Sicherheitsmaßnahmen umfaßt diese verschlüsselte Mitteilung auch Daten in Form von CRC-Daten (Cyclic Redundancey Check-Daten). Der Vorgabewunsch, die Identifizierungs-, Postregister- und andere Daten, wie beispielsweise eine Prüfsumme (CRC-Daten) werden in einer mit dem DES-Algorithmus verschlüsselten Mitteilung übertragen;
Ein vierter Schritt der ersten Transaktion, der Subschritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten verschlüsselten Mitteilung vorgesehen. Eine Prüfung auf Decryptifizierbarkeit wird mittels eines in der Datenzentrale gespeicherten Schlüssels durchgeführt. Bei Erfolg wird in der datenzentrale eine Berechnung zum Bilden eines zweiten Schlüssels Kn+1 vorgenommen, entsprechend dem von der Frankiermaschine benutzten Schlüssel. Anschließend wird eine zweite verschlüsselten Mitteilung crypto Cv+1 gebildet, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält, wobei zur Verschlüsselung wieder der DES-Algorithmus genutzt wird. Abschließend ist ein Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.
Weitere Subschritte dienen dazu, um bei Feststellung von unbehebbar fehlerhaften verschlüsselten Mitteilungen im Subschritt 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Es sind weiterhin Subschritte vorgesehen, um bei im Subschritt 509 festgestellten fehlerhaften verschlüsselten Mitteilungen aber mit behebbaren Fehler, auf einen Subschritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außerdem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem auf den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.
Ein fünfter Schritt der ersten Transaktion, der Subschritte 315 bis 318 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der zweiten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1Cv+1, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+1Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert. Andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine beginnt eine zweite Transaktion, welche vorzugsweise durch eine zusätzliche manuelle Eingabe im Schritt 602 ausgelöst wird. Im Ergebnis dieser zeitlich befristeten Eingabe erfolgt eine Auslösung der zweiten Transaktion oder ein Verlassen der zweiten Transaktion im Kommunikationsmodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T-Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten und es wird zum ersten Schritt der ersten Transaktion zurückverzweigt. Die Kommunikation kann nun je nach Bedarf unterlassen oder wiederholt werden.
Ein erster Schritt der zweiten Transaktion umfaßt Subschritte 602 bis 608 der Frankiermaschine zur Kommunikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Ein zweiter Schritt der zweiten Transaktion, der Subschritte 701 bis 706 der Datenzentrale umfaßt, ist zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K. -Mitteilung zur Frankiermaschine vorgesehen. Es ist weiterhin vorgesehen, daß der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mitteilungen 705 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der zweiten Transaktion umfaßt Subschritte 609 bis 614 der Frankiermaschine zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, jedoch ohne Daten für einen Vorgabewert.
Ein vierter Schritt der zweiten Transaktion, der Subschritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, welche mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.
Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen (Subschritt 709) über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festgestellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Datenzentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.
Es ist außerdem vorgesehen, daß der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt 712 der Datenzentrale umfaßt, der auf den ersten Subschritt 501 des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgängerschlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern.
Ein fünfter Schritt der zweiten Transaktion, der Subschritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+2Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descendingregisterwert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Entweder wird wieder zum ersten Schritt zurückgekehrt, um eine weitere Auslösung der Transaktionen zu bewirken, oder im fünften Schritt der zweiten Transaktion wird das vorgenannte Transaktionsersuchen wieder aufgehoben.
Von dieser NULL-Fernwertvorgabe im Kommunikationsmodus unterscheidet sich eine negative Fernwertvorgabe im Sondermodus vor allem durch spezielle manipulationssichere Flags und eine Zeitüberwachung. Solche manipulationssichere Flags sind insbesondere ein MAC-gesichertes Sicherheits-Flag X und ein MAC-gesichertes Sonder-Flag N.
In der Figur 6 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Negativ-Guthabenwert, d.h. eine negative Fernwertvorgabe zur Fondsrückübertragung an die Datenzentrale dargestellt. Eine solche negative Fernwertvorgabe umfaßt mindestens zwei Transaktionen.
Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches, vorzugsweise eines NULL-Vorgabe-Wunsches, um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen.
Der erste Schritt während einer ersten Transaktion umfaßt nach einen definierten Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gegenüber einem normalen Einstieg in den Kommunikationsmodus (Teleset-Modus) nach dem Start der Frankiermaschine einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit einer unverschlüsselten Mitteilung, um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen. Eine Absicherung einzelner Daten in der Mitteilung kann wieder durch einen MAC bzw. mittels CRC-Daten in der vorgenannten Weise erreicht werden.
Der definierte Seiteneinstieg wird durch Drücken einer geheimen vorbestimmten Tastenkombination während des Einschaltens der Frankiermaschine erreicht. Die Steuereinheit der Frankiermaschine kann erfindungsgemäß in Verbindung mit den von der Datenzentrale bereits früher übermittelten Daten und einem Eingabe-Vorgang zwischen autorisierten Handeln (Service-Techniker) und unautorisierten Handeln (Manipulationsabsicht) unterscheiden.
Beim autorisierten Handeln wird ein Sonder-Flag N im Schritt 220 gesetzt, denn falls die Frankiermaschine FM ausgeschaltet wird, muß die Weiterführung der Transaktionen nach dem Wiedereinschalten der Frankiermaschine gesichert sein. Als Schutz gegen eine eventuelle Manipulation wird das Sonder-Flag N ebenfalls MAC-gesichert nichtflüchtig gespeichert.
Erfolgt ein Fehlversuch oder wird eine andere Tastenkombination für den Seiteneinstieg eingegeben, wird dies als unautorisiertes Handeln bzw. als Manipulationsabsicht gewertet (Fehlermeldung) und gespeichert sowie ein Schritt 209 zur Verhinderung einer weiteren Frankierung ausgelöst.
Es ist vorgesehen, daß eine vorbestimmte Tastenkombination für jede Frankiermaschine in der Datenzentrale gespeichert wird und nur der autorisierten Person (Service-Techniker) mitgeteilt wird, um einen yorbestimmten Bedienablauf bei der Frankiermaschine zu erzielen. Der richtige Seiteneinstieg bewirkt eine Meldung auf dem Display über eine Eröffnung der Kommunikation.
Zur Überführung der Frankiermaschine in einen Sondermodus wird ein gegen Manipulation gesichertes Flag N im Schritt 220 gesetzt, wenn ein spezifisches Kriterium erfüllt vorliegt, wobei das spezifische Kriterium für den Sondermodus negative Fernwertvorgabe mindestens die Verwendung der vorbestimmten Tastenkombination zum Seiteneinstieg in den Sondermodus während des Einschaltens der Frankiermaschine umfaßt.
In einer Variante erfolgt, wie bei der positiven Fernwertvorgabe eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste), dann Null-Eingabe und Drücken der T-Taste, bevor die Kommunikation durchgeführt wird.
Die Kommunikation mit der Datenzentrale umfaßt mindestens zwei Transaktionen, welche im Fehlerfall wiederholt durchlaufen werden, wobei nach Unterbrechung die Kommunikation automatisch erneut wieder aufgenommen und/oder solange durchgeführt wird, wie das vorgenannte Sonder-Flag N für den Sondermodus gesetzt ist, durch das ein automatisches Transaktionsersuchen gestellt ist, um die Rückübertragung des Guthabens zu vollenden.
Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschine umfaßt, um die Verbindung aufzubauen, zur Kommunikation mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp-Daten (1 byte), umfaßt die Mitteilung an die Datenzentrale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe mit der identifizierten Frankiermaschine durchzuführen.
Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mitteilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüsselten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister-Daten. In weiterer Ausgestaltung der Sicherheitsmaßnahmen umfaßt diese verschlüsselte Mitteilung in Form von CRC-Daten (Cyclic Redundancey Check-Daten) die Mitteilung an die Datenzentrale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe durchzuführen. Bei dem zwei Byte umfassenden Cyclic Redundancey Check handelt es sich um eine Prüfsumme, die eine Manipulation an einzelnen der zur Prüfsumme verarbeiteten Daten erkennen läßt. Diese Prüfsumme kann einzelne Daten bzw. die Bestandteile aller Mitteilungen (Transaktionstyp) seitens der Frankiermaschine einschließen. Der Vorgabewunsch, die Identifizierungs-, Postregister- und die CRC-Daten werden in einer mit dem DES-Algorithmus verschlüsselten Mitteilung übertragen. Somit ist es nicht erforderlich, Daten im ersten Schritt MAC-gesichert bzw. verschlüsselt an die Datenzentrale zu übertragen.
Ein vierter Schritt der ersten Transaktion, der Subschritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten verschlüsselten Mitteilung bzw. deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels, zum Bilden eines zweiten Schlüssels Kn+1 entsprechend dem von der Frankiermaschine benutzten Schlüssel, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält und zum Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.
Es ist vorgesehen, daß der vierte Schritt der ersten Transaktion auch Subschritte umfaßt, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Es sind weiterhin Subschritte vorgesehen, um bei fehlerhaften verschlüsselten Mitteilungen 509 mit behebbaren Fehler, auf einen Schritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten bzw. dritten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außerdem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.
Ein fünfter Schritt der ersten Transaktion, der Subschritte 315 bis 318 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der zweiten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1Cv+1, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+1Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert. Andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine erfolgt eine zweite Transaktion. Ein erster Schritt der zweiten Transaktion umfaßt Subschritte 602 bis 608 der Frankiermaschine zur Kommunikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Ein zweiter Schritt der zweiten Transaktion, der Subschritte 701 bis 706 der Datenzentrale umfaßt, ist zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine vorgesehen. Es ist weiterhin vorgesehen, daß der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mitteilungen 705 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der zweiten Transaktion umfaßt Subschritte 609 bis 614 der Frankiermaschine zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, jedoch ohne Daten für einen Vorgabewert.
Ein vierter Schritt der zweiten Transaktion, der Subschritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, die mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.
Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 709 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festgestellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Datenzentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.
Es ist außerdem vorgesehen, daß der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt 712 der Datenzentrale umfaßt, der auf den ersten Subschritt 501 des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgängerschlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern.
Ein fünfter Schritt der zweiten Transaktion, der Subschritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Der vorgenannte Schritt weist zur Identifikation der vollendeten Durchführung im Unterschied zur positiven Fernwertvorgabe ein weiteres Abfragekriterium auf. Innerhalb einer vorbestimmten Zeit, ab der Absendung der dritten Crypto-Mitteilung soll von der Frankiermaschine FM die vierte Crypto-Mitteilung empfangen werden. Bei Unterbrechungsfreiheit der Verbindung würde der Empfang in der vorbestimmten Zeit t1 erfolgen.
In der bevorzugten Ausführungsform wird also der letzte und besonders kritische Abschnitt der zweiten Transaktion auf Überschreiten der Zeit t1 überwacht. Damit ist die mögliche Manipulationszeit stark eingeschränkt. Hierzu wird während der vorletzten zu übertragenen Nachricht, ab Absendung der dritten Crypto-Mitteilung im Prozessor (Steuereinheit 6) der Frankiermaschine eine Zeitzählung gestartet. Dies wird vorzugsweise so gelöst, daß der entsprechende Programmabschnitt eine Routine aktiviert, welche einen Zähler setzt, der seinerseits durch den Systemtakt oder dessen Vielfaches decrementiert wird. Um einen größeren Zeitabschnitt, beispielsweise in der Größenordnung von 10 sec, zu überwachen werden mehrere Zähler kaskadiert. Erreicht nun innerhalb des kritischen Zeitabschnittes die vierte Crypto-Mitteilung von der Datenzentrale die Frankiermaschine, wird der Zähler deaktiviert. Bleibt diese letzte Crypto-Mitteilung hingegen aus wird der gesetzte Zähler weiter decrementiert. Beim Nulldurchgang des Zählers wird ein Programmunterbrechungssignal (Interrupt) ausgelöst. Dieses Signal veranlaßt den Aufruf eines speziellen Unterprogrammes, welches eine erneute Transaktion vorbereitet und auslöst. Bestandteil dieser erneuten Transaktion ist wieder die Übermittlung der Postregisterinhalte. Eine in der Datenzentrale stattfindende Konsistenzprüfung führt dann zum Ergebnis, daß eine unvollendete Transaktion im Sondermodus negative Fernwertvorgabe vorausging. Die inkonsistenten Datensätze werden korrigiert und die negative Fernwertvorgabe wird vollendet.
Eine weitere Variante der Erfindung ergibt sich, wenn statt eines decrementalen Zählers ein incrementaler verwandt wird. Dabei muß nach jedem Zähltakt der Vergleich mit der Zahl durchgeführt werden, die dem überwachten Zeitabschnitt entspricht.
Ein Überschreiten der Zeit t1 ist ein sicheres Indiz für eine mißglückte Übertragung und bewirkt den Aufruf eines speziellen Unterprogrammms, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst. Die erste und zweite Transaktion werden in diesem Fall automatisch mit Schlüssel Kn+2 wiederholt.
Nach erfolgreicher Abfrage bzw. Verifizierung im fünften Schritt der zweiten Transaktion wird der übertragene zweite Schlüssel Kn+2Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descendingregisterwert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung oder Zeitüberschreitung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Der fünfte Schritt der zweiten Transaktion schließt einen Subschritt (620) der Frankiermaschine zum Rücksetzen des vorgenannten Sonder-Flags N bzw. zur Rückkehr in den Normalmodus der Frankiermaschine ein, wodurch das vorgenannte automatische Transaktionsersuchen wieder aufgehoben wird, wenn die Durchführung der zweiten Transaktion vollendet worden ist.
Der anwesende Service-Techniker sichert den weiteren störungefreien Ablauf bis zur Vollendung der negativen Fernwertvorgabe.
Ist die Vollendung aufgrund einer längeren bzw. ständigen Unterbrechung der Verbindung zwischen Frankiermaschine und Datenzentrale nicht möglich, muß der Service-Techniker die Frankiermaschine in das Dealer-Büro mitnehmen und von dort die Vollendung weiterbetreiben. Anderenfalls würde sich ein Guthaben in der Frankiermaschine ergeben, welches nach Information in der Datenzentrale bereits als rückübertragen gilt. Die erfolgreiche Vollendung der negativen Fernwertvorgabe, d.h. der Fonds-Rückübertragung, ist durch eine Abfrage der Registerstände R1 = 0 bzw. R2 = R3 und R3 = R2 + R1 überprüfbar.
Die Frankiermaschine kann der Datenzentrale Registerwerte beispielsweise vor einer Nachladung mit einem NULL-Vorgabewert übermitteln. Dabei sind:
  • R1 (descending register) vorrätige Restbetrag in der Frankiermaschine,
  • R2 (ascending register) Verbrauchssummenbetrag in der Frankiermaschine,
  • R3 (total resetting) die bisherige Gesamtvorgabesumme aller Fernwertvorgaben,
  • R4 (piece count õprinting with value Ï O) Anzahl gültiger Drucke,
  • R8 (R4 + piece count õprinting with value = O) Anzahl aller Drucke
  • Bei jeder Fernwertvorgabe läßt sich mindestens R1 abfragen und statistisch auswerten.
    Seitens der Datenzentrale wird am Tages-Ende über die Gültigkeit der Fondsrückübertragung im Ergebnis des Sondermodus negative Fernwertvorgabe entschieden. Wenn vom Service-Techniker kein Vorkommnis gemeldet wird, daß beispielsweise die negative Fernwertvorgabe nicht durchführbar war, bzw. wenn von derselben Frankiermaschine keine Anforderung zum Nachladen eines positiven Guthabens erfolgt, wird die Gültigkeit vorausgesetzt.
    Das bei Eintritt in den Sondermodus negative Fernwertvorgabe gesetzte Sonder-Flag N wurde bei erfolgreicher Transaktion zurückgesetzt. Die Frankiermaschine verhindert alle Frankierungen mit Werten größer Null, weil kein mehr Guthaben geladen ist. Die Frankiermaschine ist weiterhin für Frankierungen mit Werten gleich Null und andere Betriebsarten betriebsbereit, solange diese kein Guthaben erfordern bzw. solange damit kein Porto frankiert und die Stückzahlgrenze nicht erreicht wird.
    Entweder wird, wie bei der einen Variante, durch den vorbestimmten Seiteneinstieg eine Auslösung der Transaktionen im Sondermodus bewirkt oder es ist in einer anderen Variante mindestens ein manueller Schritt 302 im Sondermodus negative Fernwertvorgabe nach einem Seiteneinstieg zur Eingabe einer Identifizierungsnummer (PIN) und zur Eingabe des vorbestimmten Vorgabewunsches wie bei der positiven Fernwertvorgabe vorgesehen, welche im Schritt 303 abgefragt wird. Durch einen zusätzlichen manuellen Schritt zur zeitlich befristeten Eingabe, welche im Schritt 603 abgefragt wird, erfolgt eine Auslösung der zweiten Transaktion und ein Verlassen bzw. die Wiederholung der ersten Transaktion im Kommunikationsmodus bzw. im Sondermodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T-Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten.
    Es ist weiterhin eine Anzahl an Varianten mit unterschiedlichen Sicherheitsniveau realisierbar. So kann in der Datenzentrale eine Prüfung auf Übermittlung eines vorbestimmten Vorgabewunsches durchgeführt werden. Im einfachsten Fall muß der Vorgabewunsch - analog dem im Anzeigemodus 215 abfragbaren im Descendingregister noch vorrätigen Restbetrag R1 - eingegeben und zur Datenzentrale übermittelt werden. Da zur Datenzentrale automatisch bei jeder Transaktion die Postregisterinhalte, mindestens aber R1 übermittelt werden, wird eine negative Fernwertvorgabe zur Fondsrückübertragung bei Übereinstimmung des Vorgabebetrages mit dem Restbetrag erzielt.
    In einer zweiten Variante wird mit der Datenzentrale ein beliebiger Vorgabewunsch als Code vereinbart. Vorzugsweise wird ein NULL-Vorgabewunsch vereinbart. Wird nun innerhalb einer bestimmten Zeit nach der Vereinbarung der Sondermodus negative Fernwertvorgabe aufgerufen und der NULL-Vorgabewunsch eingegeben bzw. als Vorgabewunsch bestätigt, wird in der Frankiermaschine automatisch der Restbetrag R1 auf NULL zurückgesetzt. Eine entsprechender Abfrageschritt 219 nach einem solchen weiteren spezifischen Kriterium für die Frankiermaschine wurde in der Figur 2 gestrichelt dargestellt. Von diesem wird auf den Schritt 220 zum Setzen des Sonder-Flags N verzweigt. In weiterer Ausgestaltung kann die Bedienung vereinfacht werden, wenn eine NULL-Fernwertvorgabe als letzte Transaktion bereits erfolgte. Dann ist lediglich noch die Bedienungshandlung für den Seiteneinstieg vorzunehmen, um die negative Fernwertvorgabe vollautomatisch durchzuführen bzw. um einen NULL-Restwert R1 = 0 zu erreichen.
    Durch ein Starten einer Zeitüberwachung ab dem Subschritt 613 der Absendung der dritten Crypto-Mitteilung an die Datenzentrale bis zum Empfang der vierten Crypto-Mitteilung seitens der Frankiermaschine wird eine Manipulation zeitlich beschränkt. Wenn die vierte Crypto-Mitteilung nicht innerhalb einer vorbestimmten Zeit t1 empfangen werden konnte, wird ein spezielles Unterprogrammm aufgerufen, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst. Durch weitere Subschritte 615, 616, 301 zur automatischen Wiederaufnahme der Kommunikation nach Unterbrechung der Kommunikationsverbindung zwischen Datenzentrale und Frankiermaschine oder nach dem Aus- und Wiedereinschalten der Frankiermaschine wird solange, wie das vorgenannte Sonder-Flag N gesetzt ist, die Kommunikation weiter durchgeführt. Das als Transaktionsersuchen gewertete Sonder-Flag N ist nichtflüchtig und gegen Manipulation MAC-gesichert gespeichert. Erst nach Vollendung der Rückübertragung des Guthabens wird das Sonder-Flag N im Schritt 620 zurückgesetzt.
    In einer dritten Variante wird die Sicherheit durch eine Kombination verschiedener Maßnahmen erhöht. Unabhängig von der Frankiermaschine wird eine erste Kommunikationsverbindung zwischen authorisierten Benutzer und der Datenzentrale zur Speicherung eines Codes für ein Anmelden einer autorisierten Handlung an der Frankiermaschine durch ein später übermittelten Vorgabewunsch hergestellt. Nun kann ein Einschalten der Frankiermaschine zur Vornahme eines autorisierten vorbestimmten Bedienablaufes erfolgen, um über einen Seiteneinstieg in einen Sondermodus negative Fernwertvorgabe einzutreten. Daraufhin wird eine zweite Kommunikationsverbindung zwischen Frankiermaschine und der Datenzentrale sowie Eingabe eines Vorgabewunsches hergestellt. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale, wenn der übermittelte Vorgabewunsch mit einem entsprechenden Code übereinstimmt. In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt. Durch das Durchführen mindestens einer weiteren Transaktion und der automatischen Durchführung der vorgenannten Kommunikation werden die sicherheitsrelevanten Daten übertragen und deren Speicherung in der Frankiermaschine vollendet. Entsprechend des Vorgabewunsches wird der Vorgabewert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale zum Restguthaben addiert.
    Anderenfalls ist eine Ausführung eines Schrittes 209 zur Löschung eines manipulationssicher gespeicherten Sicherheitsflags X im Ergebnis mindestens einer unerlaubten Abweichung vom vorbestimmten Bedienablauf bzw. weil in die Frankiermaschine eingegriffen wurde, vorgesehen. Damit wird die Frankiermaschine in einen ersten Modus überführt, um sie damit für ein Frankieren (Frankiermodus 400) wirksam außer Betrieb zu setzen (Schritt 409), im Gegensatz zur authorisierten Handlung bzw. Eingriff.
    Eine Übertragung eines gültigen Bedienablaufes von der Datenzentrale zur Frankiermaschine wird überflüssig, wenn der Bedienablauf zeitabhängig geändert wird. In der Datenzentrale und in der Frankiermaschine wird der gleiche Berechnungsalgorithmus verwendet, um einen aktuellen Bedienablauf zu ermitteln. Eine andere Variante geht von der Einspeicherung des aktuellen Bedienablaufes in die Frankiermaschine mittels eines speziellen Reset-E2PROMs durch den Service-Techniker aus.
    In einer weiteren Variante wird die Sicherheit von einer autorisierten Person mittels einem zusätzlichen Eingabesicherheitsmittel erhöht, welches mit der Frankiermaschine in Kontakt gebracht wird, um ein Restguthaben zurück zur Datenzentrale zu übertragen. Zunächst wird bei der Datenzentrale die Aktualität hergestellt, indem die Registerstände mittels einer Null-Fernwertvorgabe gemeldet werden. Anschließend wird als Eingabesicherheitsmittel vom Service-Techniker ein Rücksetz-Nurlese-Speicherbaustein in einen vorbestimmten Sockel der mindestens teilweise geöffneten Frankiermaschine eingesetzt. Nachdem Einschalten bzw. einem Seiteneinstieg in das Programm der Frankiermaschine wird geprüft, ob ein Rücksetz-Nurlese-Speicherbaustein (Refunds-EPROM) eingesetzt wurde. Die kann vorteilhaft im - in der Figur 2 gezeigten - Schritt 219 zur überprüfung eines weiteren Kriteriums erfolgen. Ein richtiger Seiteneinstieg bei nicht vorhandenen Refunds-EPROM führt zum Punkt e oder in einer nicht gezeigten Variante einen Schritt zum Abbruch der Routine. Beispielsweise kann auf einen Schritt 209 zum Löschen eines Flags X verzweigt werden, was im Schritt 409 des Frankiermodus (Figur 4) bemerkt würde und zur Statistik und Fehlerauswertung bzw. Registrierung im Schritt 213 führt. Anderenfalls, beim richtigen Seiteneinstieg und bei gestecktem Refunds-EPROM wird ein Sonder-Flag N gesetzt, was im Kommunikationsmodus automatisch das Rückübertragen des Restguthabens zur Datenzentrale auslöst.
    In einer Subvariante können die Schritte 218 und 219 gemäß Figur 2 in ihrer Reihenfolge vertauscht ablaufen, so daß erst hinsichtlich des gesteckten Refunds-EPROM und erst danach nach dem richtigen Seiteneinstieg gefragt wird. Eine solche Subvariante hat den Vorteil, daß die Information über den richtigen Seiteneinstieg ebenfalls im Refunds-EPROM gespeichert werden kann, anstatt in der Frankiermaschine. Damit wird die Sicherheit vor einer Manipulation in Fälschungsabsicht weiter erhöht.
    In der Datenzentrale wird der Zustand der Frankiermaschine (out of Service) gespeichert. Die autorisierte Person entfernt das Eingabesicherheitsmittel aus dem Sockel und schließt das Gehäuse der Frankiermaschine. In der Datenzentrale werden wie in der Frankiermaschine die Guthaben registrierenden Postregister für verfügbares Restguthaben R1, Verbrauchssummenbetrag R2 und Gesammtbetrag R3 auf Null gesetzt (R1 = 0; R2 = 0; R3 = R1 + R2 = 0).
    Bei einer in der Frankiermaschine vorhandenen Chipkarten-Schreib/Leseeinheit kann das Eingabesicherheitsmittel natürlich auch als Chipkarte realisiert werden.
    Die Erfindung ist nicht auf die vorliegenden Ausführungsformen beschränkt. Vielmehr ist eine Anzahl von Varianten im Rahmen der Ansprüche denkbar.

    Claims (4)

    1. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs-und Druckroutine in die Systemroutine zurückverzweigtwird, gekennzeichnet, durch Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung (6), indem während eines Betriebsmodus (290) eine Überwachung der Zeitdauer des Ablaufes von Programmen, Programmteilen bzw. sicherheitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Vergleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit.
    2. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogrammm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.
    3. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs-und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet, durch während einer Kommunikation im Kommunikationsmodus (300) vorgenommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe, insbesondere der Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine gesendeten vierten verschlüsselten Mitteilung in der Frankiermaschine, welche bei Verifizierung ein Null-Setzen des Guthabenwerts auslöst.
    4. Verfahren, nach Anspruch 3, dadurch gekennzeichnet, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogrammm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.
    EP00250033A 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung Expired - Lifetime EP0996097B1 (de)

    Applications Claiming Priority (3)

    Application Number Priority Date Filing Date Title
    DE4446667A DE4446667C2 (de) 1994-12-15 1994-12-15 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    DE4446667 1994-12-15
    EP95250286A EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Related Parent Applications (2)

    Application Number Title Priority Date Filing Date
    EP95250286.2 Division 1995-11-21
    EP95250286A Division EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Publications (4)

    Publication Number Publication Date
    EP0996097A2 true EP0996097A2 (de) 2000-04-26
    EP0996097A3 EP0996097A3 (de) 2004-06-16
    EP0996097A9 EP0996097A9 (de) 2005-06-22
    EP0996097B1 EP0996097B1 (de) 2006-05-03

    Family

    ID=6537174

    Family Applications (3)

    Application Number Title Priority Date Filing Date
    EP95250286A Expired - Lifetime EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung
    EP00250033A Expired - Lifetime EP0996097B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    EP00250032A Expired - Lifetime EP0996096B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung und Anordnung zur Durchführung des Verfahrens

    Family Applications Before (1)

    Application Number Title Priority Date Filing Date
    EP95250286A Expired - Lifetime EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Family Applications After (1)

    Application Number Title Priority Date Filing Date
    EP00250032A Expired - Lifetime EP0996096B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung und Anordnung zur Durchführung des Verfahrens

    Country Status (2)

    Country Link
    EP (3) EP0717379B1 (de)
    DE (4) DE4446667C2 (de)

    Families Citing this family (3)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE19731304B4 (de) * 1997-07-14 2005-02-24 Francotyp-Postalia Ag & Co. Kg Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    US6058384A (en) * 1997-12-23 2000-05-02 Pitney Bowes Inc. Method for removing funds from a postal security device
    DE19818708A1 (de) * 1998-04-21 1999-11-04 Francotyp Postalia Gmbh Verfahren zum Nachladen eines Portoguthabens in eine elektronische Frankiereinrichtung

    Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4251874A (en) 1978-10-16 1981-02-17 Pitney Bowes Inc. Electronic postal meter system
    US4746234A (en) 1983-07-23 1988-05-24 Francotyp-Postalia Gmbh Relating to postal franking machines
    US4785417A (en) 1986-04-28 1988-11-15 Pitney Bowes Inc. Electronic postage meter having an out of sequence checking arrangement
    US4812994A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Postage meter locking system
    US4812965A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Remote postage meter insepction system
    US4835697A (en) 1984-04-02 1989-05-30 Pitney Bowes Inc. Combination generator for an electronic postage meter
    US4846506A (en) 1987-09-04 1989-07-11 U.S. Plastics Corporation Quick connect coupling
    EP0576113A2 (de) 1992-06-26 1993-12-29 Francotyp-Postalia GmbH Verfahren und Anordnung zur schnellen Erzeugung eines Sicherheitsabdruckes

    Family Cites Families (17)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US3255439A (en) 1961-07-13 1966-06-07 Gen Res Inc Postage metering system
    US4549281A (en) 1985-02-21 1985-10-22 Pitney Bowes, Inc. Electronic postage meter having keyboard entered combination for recharging
    CH675497A5 (de) * 1985-08-06 1990-09-28 Pitney Bowes Inc
    US4760532A (en) 1985-12-26 1988-07-26 Pitney Bowes Inc. Mailing system with postage value transfer and accounting capability
    US4864506A (en) * 1986-04-10 1989-09-05 Pitney Bowes Inc. Postage meter recharging system
    US4811234A (en) * 1986-04-10 1989-03-07 Pitney Bowes Inc. Postage meter recharging system
    US5077660A (en) 1989-03-23 1991-12-31 F.M.E. Corporation Remote meter configuration
    DE69014361T2 (de) 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
    CH678368A5 (de) * 1989-03-29 1991-08-30 Frama Ag
    GB2233937B (en) 1989-07-13 1993-10-06 Pitney Bowes Plc A machine incorporating an accounts verification system
    US5237506A (en) * 1990-02-16 1993-08-17 Ascom Autelca Ag Remote resetting postage meter
    US5243654A (en) * 1991-03-18 1993-09-07 Pitney Bowes Inc. Metering system with remotely resettable time lockout
    GB2256396B (en) 1991-05-29 1995-03-29 Alcatel Business Systems Method of remote diagnostics for franking machines
    DE4129302A1 (de) 1991-09-03 1993-03-04 Helmut Lembens Frankiermaschine
    GB2261748B (en) * 1991-11-22 1995-07-19 Pitney Bowes Inc Method of diagnosis in an electrically controlled mechanical device
    US5309363A (en) * 1992-03-05 1994-05-03 Frank M. Graves Remotely rechargeable postage meter
    DE4224955C2 (de) 1992-07-24 1998-11-26 Francotyp Postalia Gmbh Anordnung und Verfahren für einen internen Kostenstellendruck

    Patent Citations (8)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4251874A (en) 1978-10-16 1981-02-17 Pitney Bowes Inc. Electronic postal meter system
    US4746234A (en) 1983-07-23 1988-05-24 Francotyp-Postalia Gmbh Relating to postal franking machines
    US4835697A (en) 1984-04-02 1989-05-30 Pitney Bowes Inc. Combination generator for an electronic postage meter
    US4812994A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Postage meter locking system
    US4812965A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Remote postage meter insepction system
    US4785417A (en) 1986-04-28 1988-11-15 Pitney Bowes Inc. Electronic postage meter having an out of sequence checking arrangement
    US4846506A (en) 1987-09-04 1989-07-11 U.S. Plastics Corporation Quick connect coupling
    EP0576113A2 (de) 1992-06-26 1993-12-29 Francotyp-Postalia GmbH Verfahren und Anordnung zur schnellen Erzeugung eines Sicherheitsabdruckes

    Also Published As

    Publication number Publication date
    EP0996096A2 (de) 2000-04-26
    EP0996097A3 (de) 2004-06-16
    EP0717379A3 (de) 1998-04-15
    DE59511045D1 (de) 2006-06-08
    DE59508807D1 (de) 2000-11-30
    EP0717379B1 (de) 2000-10-25
    EP0996097B1 (de) 2006-05-03
    EP0996096B1 (de) 2006-05-10
    DE4446667A1 (de) 1996-06-20
    EP0996096A3 (de) 2004-06-16
    EP0717379A2 (de) 1996-06-19
    DE4446667C2 (de) 1998-09-17
    DE59511048D1 (de) 2006-06-14

    Similar Documents

    Publication Publication Date Title
    EP0969421B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
    EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
    DE3712138B4 (de) Verfahren zum Betrieb eines Frankiermaschinensystems
    DE3040559C2 (de)
    EP0892368B1 (de) Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    DE3626580A1 (de) Fernfrankiermaschinen-inspektionssystem
    DE3712100A1 (de) Frankiermaschinen-botschaft-drucksystem
    DE19534528A1 (de) Verfahren zur Veränderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine
    EP1103924B1 (de) Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens
    EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
    DE69221538T2 (de) Ferndiagnoseverfahren für Frankiermaschine
    EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
    EP1035517A2 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
    DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
    EP1063619B1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
    EP0717379B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung
    WO1989011134A1 (en) Electronic computing and storage system for franking machines
    DE10305730B4 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
    EP0969420B1 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
    EP1619630A2 (de) Verfahren und Anordnung zum Erstatten von Porto
    EP0996097A9 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
    DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
    EP1061479A2 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
    DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AC Divisional application: reference to earlier application

    Ref document number: 717379

    Country of ref document: EP

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Free format text: LT;LV;SI

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Extension state: LT LV SI

    17P Request for examination filed

    Effective date: 20040630

    AKX Designation fees paid

    Designated state(s): CH DE FR GB IT LI

    17Q First examination report despatched

    Effective date: 20050222

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA GMBH

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AC Divisional application: reference to earlier application

    Ref document number: 0717379

    Country of ref document: EP

    Kind code of ref document: P

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): CH DE FR GB IT LI

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT;WARNING: LAPSES OF ITALIAN PATENTS WITH EFFECTIVE DATE BEFORE 2007 MAY HAVE OCCURRED AT ANY TIME BEFORE 2007. THE CORRECT EFFECTIVE DATE MAY BE DIFFERENT FROM THE ONE RECORDED.

    Effective date: 20060503

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: NV

    Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG

    REF Corresponds to:

    Ref document number: 59511045

    Country of ref document: DE

    Date of ref document: 20060608

    Kind code of ref document: P

    GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

    Effective date: 20060817

    ET Fr: translation filed
    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20070206

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: DE

    Payment date: 20090916

    Year of fee payment: 15

    Ref country code: CH

    Payment date: 20091124

    Year of fee payment: 15

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: FR

    Payment date: 20091201

    Year of fee payment: 15

    Ref country code: GB

    Payment date: 20091119

    Year of fee payment: 15

    Ref country code: IT

    Payment date: 20091121

    Year of fee payment: 15

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    GBPC Gb: european patent ceased through non-payment of renewal fee

    Effective date: 20101121

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101130

    Ref country code: LI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101130

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: ST

    Effective date: 20110801

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R119

    Ref document number: 59511045

    Country of ref document: DE

    Effective date: 20110601

    Ref country code: DE

    Ref legal event code: R119

    Ref document number: 59511045

    Country of ref document: DE

    Effective date: 20110531

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: DE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20110531

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: FR

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101130

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101121

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101121