EP0996097A9 - Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung - Google Patents

Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung Download PDF

Info

Publication number
EP0996097A9
EP0996097A9 EP00250033.8A EP00250033A EP0996097A9 EP 0996097 A9 EP0996097 A9 EP 0996097A9 EP 00250033 A EP00250033 A EP 00250033A EP 0996097 A9 EP0996097 A9 EP 0996097A9
Authority
EP
European Patent Office
Prior art keywords
data center
franking machine
data
transaction
postage meter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP00250033.8A
Other languages
English (en)
French (fr)
Other versions
EP0996097A3 (de
EP0996097B1 (de
EP0996097A2 (de
Inventor
Enno Bischoff
George G. Gelfer
Wolfgang Dr. Thiel
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE4446667A external-priority patent/DE4446667C2/de
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP0996097A2 publication Critical patent/EP0996097A2/de
Publication of EP0996097A3 publication Critical patent/EP0996097A3/de
Publication of EP0996097A9 publication Critical patent/EP0996097A9/de
Application granted granted Critical
Publication of EP0996097B1 publication Critical patent/EP0996097B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Definitions

  • the invention relates to a method for improvement the security of franking machines in the credit transfer, especially in the case of fund redemption to Data center, according to the preamble of claim 1 or 3 specified type.
  • a postage meter usually generates a print in a form agreed with the post office, right-justified, Starting parallel to the top edge of the mail with the content postal value in the postmark, date in Daily stamps and stamps for advertising clichés and if necessary, shipment type in the optional cancellation stamp.
  • the postal value, the The date and the type of shipment are the corresponding ones variable information to be entered in the mail piece.
  • the postage is usually the one from the sender prepaid transport fee (Franko), the one taken from the refillable credit register and the Freeing the mail item is used.
  • a register is created in the current account procedure Dependence on those made with the postage value Frankings only counted up and in regular Intervals, read by a postal inspector.
  • a known postage meter is with at least one Input means, an output means, an input / output control module, a program, data and in particular the billing register bearing storage device, a control device and a printer module equipped.
  • a printer module with print mechanics must also measures are taken so that in the off Condition the print mechanics not for unbilled Imprints can be misused.
  • the invention relates to a method for franking machines, which produced a fully electronic impression for franking mail including an imprint Deliver advertising clichés. This has the consequence that only in the switched on state a not billed valid Franking must be prevented.
  • the memory device comprises at least a non-volatile memory device that is the current contains remaining credit balance resulting from that from one earlier into the franking machine loaded credit the respective postage value to be printed is deducted.
  • the franking machine blocks, if the balance is zero.
  • Known franking machines contain at least one Store three relevant postal registers for consumed sum value (rising register), still available balance (falling register) and Register for a checksum.
  • the checksum is with the sum of the used sum value and off available credit. Already with that is one Check for correct billing possible.
  • Patent is also known that the data center to receive register data and to check, whether the postage meter still has a specific one Phone number is connected - the connection with the franking machine after a defined period of time picks up and the franking machine only to predetermined Times answers.
  • a security housing for franking machines which has internal sensors, is known from DE 41 29 302 A1 known.
  • the sensors are in particular with a battery connected switches, which when opening the security case become active to clear the balance storing memory (falling post register) by interrupting the energy supply too Clear. It is known, but not predictable, which state a voltage-free memory module when the voltage returns. Thus could also an unpaid higher remaining balance arise.
  • the residual value credit at least partially discharges. But that would be at one Inspection disadvantageous, since the residual value credit, which paid by the meter user, too must be reloaded, the amount of this remaining balance however by o.g. Influences be distorted can.
  • the description is not removable, how can a manipulator be prevented restores an unpaid balance.
  • the password can be transmitted through a personal computer MODEM, by a smart card or manually in the Postage meter be entered. After positive Comparison with one in the franking machine stored password is the postage meter Approved.
  • a safety module EPROM
  • an encryption module separate microprocessor or program for FM CPU based on DES or RSA code
  • the postage meter Upon detection of tampering, the postage meter will during remote inspection via modem a signal coming from the data center is blocked.
  • a clever manipulation could, however, on the other hand consist in the production of unbilled Franking imprints, the flag and the registers to return to the original state. A Such manipulation would be via remote inspection by the Data center not recognizable if this undo made manipulation before the remote inspection.
  • the receipt of the postcard from the data center, on which is a postage to be made for inspection purposes should allow the manipulator the Postage meter in sufficient time in the original Restore condition. So that is still no higher security achievable.
  • a security print according to the FP's own European patent application EP 576 113 A2 provides symbols in a marking field in the franking stamp, which contain a cryptified information. This allows the postal authority, which interacts with the data center, to detect a manipulation of the franking machine at any time from the respective security print. Although a running control of such item of mail provided with a security imprint n ting via appropriate security markings in the stamp image is technically possible, but this means an extra effort in the post office. In a sample-based control, however, a manipulation is usually detected late.
  • ancillary processes are additionally integrated into main processes or omitted from last or on ancillary processes is branched, then no error would be detected because neither the length of the program part found, nor can it be determined which Program branch how often was passed.
  • From US 5,077,660 is also a method for Changing the configuration of the franking machine known wherein the franking machine by means of a suitable input via a keyboard from the operating mode into a configuration mode switched and a new meter type number can be entered, which of the desired number corresponds to characteristics.
  • the franking machine generates a code for communicating with the computer the Data center and the input of identification data and the new meter type number in the aforementioned computer, which also has a corresponding code for transmission and input to the postage meter machine generated in the two codes are compared. With agreement both codes will configure the postage meter and switched to the operating mode.
  • the data center has from the set meter type for the corresponding franking machine always accurate records. However, security is just about encryption depending on the transmitted code.
  • US 4 811 234 discloses the transactions encrypted and doing the registers of To query franking machine and the register data of the Data center to submit to a temporal reference the reduction of the person entitled to vote in the register Amount display.
  • the franking machine at the data center when a presettable threshold is reached is, by means of their encrypted register content.
  • the data center is modified by appropriate ones
  • Authorization signals the desired franking amount, up to which may be franked.
  • the encryption is thus the only security against a manipulation of the register states. So if a manipulator Although always the same amount properly loads in equal time intervals, but in the meantime with the manipulated franking machine one franked much higher than he has paid can the data center does not detect any tampering.
  • a blocking agent allows the postage meter to Expiration of a predetermined time or after a predetermined Number of operation cycles to block and provides a warning to the user.
  • To unlock must be entered from the outside an encrypted code which is encrypted with an internally generated Code is compared.
  • To prevent wrong billing data delivered to the data center Become in the encryption of the above Codes include the billing data. adversely is that the warning coincides with the blocking of the Franking machine is done without the user a Possibility to adjust his behavior on time to change.
  • a second step the supply of the aforementioned central station takes place with information related to a desired change, to reduce the total amount of postage, which is available in the aforementioned postal device, and with a clear identification of the above Post device.
  • a third step involves one, Received from the central station and entering a first unique codes in the aforementioned postal device, wherein the inputting is operated to the total amount Postal values stored in the postal device to reduce in accordance with the aforementioned desire.
  • the fourth step is generating one second unique codes provided in the mailing device, when the first unique code is entered into the postal device where the second unique code is a Indication such that the aforementioned postal value, which is available for printing the mail, has been reduced in the aforementioned postal device.
  • the solution according to the invention is based on the one hand on the Realization that only centrally in a data center stored data before manipulation sufficient can be protected.
  • a significant increase Security and synchronicity in the stored data is determined by a data reporting before each predetermined Action on the franking machine achieved. Likewise increases this in more or less large intervals reporting, in particular for reloading a Balance in connection with the o.g. logging the security against a possible manipulation.
  • the data to be stored centrally include at least Date, time, identification number of the franking machine (ID number or PIN) and the type of data (e.g. Register values, parameters) when the postage meter establishes communication with the data center.
  • ID number or PIN identification number
  • the type of data e.g. Register values, parameters
  • a communication takes place between Postage meter machine and data center at least with encrypted Messages, preferably the DES algorithm is used.
  • a first fashion is provided for in fraudulent actions or in Intended to manipulate the franking machine at the franking with postage values to prevent (kill mode). This inhibition can on the occasion of the next on-site inspection of a person authorized to do so.
  • the Postage meter has another mode to at Fulfillment of selected criteria the franking machine if necessary for automatic communication with the To initiate data center.
  • Another fashion according to the invention is the Special mode negative remote value transmission or by one second (Sleeping) mode. After completing the special mode is for checking the postage meter only still a limited number of zero-frankings possible.
  • An authorized operator of the postage meter preferably the service technician, leads to the page entry in the special mode negative remote value default one predetermined operator action, which except the Service technician only known the data center is.
  • a special flag is set, which as special transaction request.
  • a monitoring by the control unit of the franking machine while executing a transaction in the Special mode ensures that when left unfinished Transaction the transactions in special mode negative Remote value specification to be carried out to the end. at completed transaction in special mode becomes the special flag reset.
  • a time monitoring is also carried out by the Data center when a transaction in special mode negative remote value default is made.
  • the Register data of the franking machine are central verifiable when reconnecting to the Carrying out a remote value specification takes place, for example to recharge a credit. Either takes if the transaction remained unfinished, the franking machine automatically reconnect to the Transaction completion or authorized Service technician hands over the data center by End of day a message about the current state the franking machine for the purpose of canceling the im Special mode negative remote mode transmitted data. Otherwise, the time monitoring results from the Data center after expiration of the predetermined period of time, a recognition of the negative mode in special mode Remote value specification transmitted data.
  • the security is through a check of the operation for conformity with a predetermined operation in the franking machine and by checking the default request in the data center to match with a stored there Code for a predetermined default elevated. It is possible to control the operation time-dependent to change, being in the data center and in the Postage meter the same calculation algorithm is used to a current operation determine. A transmission of a valid operating procedure from the data center to the franking machine becomes superfluous.
  • the security is through a combination of a number of measures increased.
  • a first transaction is a distinct one Log in to the data center. This transmits in Reaction to this a new security flag X and / or a predetermined operation for a page entry in the special mode negative remote value default to Postage meter, when the meter is turned on normally was and the communication link receives, wherein in a first transaction a predetermined Default request in the data center and in the postage meter was stored. In the data center a check is made as to whether the transmitted default request corresponds to a predetermined default request.
  • the registered transaction is performed and according to the default request a default value in the corresponding memory of the franking machine and in order to verify the transaction also in one corresponding memory of the data center added.
  • the second transaction reloads the Postage meter - according to the corresponding default value - with a negative balance, so that in the Result returns a residual value of zero.
  • the solution according to the invention furthermore assumes that the funds stored in the franking machine funds protected against unauthorized access have to.
  • the adulteration of in the franking machine stored data is so difficult that the effort for a manipulator is no longer worthwhile.
  • OTP processors ONE TIME PROGRAMMABLE
  • All security relevant program parts in the Inside the processor housing in addition to the Code for forming the message authentication code (MAC).
  • MAC message authentication code
  • the latter is an encrypted checksum, which is attached to an information.
  • a crypto-algorithm is for example Data Encryption Standard (DES) suitable. This allows for MAC information the relevant security and special flags or on attach the register data and thus the difficulty the manipulation of the aforementioned flags or Increase postregisters maximally.
  • DES Data Encryption Standard
  • the method for improving the safety of a Postage meter which is used for communication with a remote data center is capable and a microprocessor in a control device of the franking machine Also includes forming a Checksum in the OTP processor about the contents of the external Program memory and comparison of the result with a predetermined value stored in the OTP processor before and / or after expiry of the franking mode or operating mode, especially during initialization (i.e., when the postage meter machine is started), or in times not printed (i.e., when the postage meter is operated in standby mode). In the event of an error then a logging and subsequent blocking of the franking machine.
  • the security is through an additional input safety agent increases, which brought into contact with the franking machine is to have a remaining balance from an authorized one Transfer person back to the data center.
  • FIG. 1 shows a block diagram of each Postage meter according to the invention with a printer module 1 for a fully electronically generated franking picture, with at least one multiple actuators having input means 2, a display unit 3, and one communicating with a data center producing MODEM 23, which via an input / output control module 4 coupled to a control device 6 are and with a non-volatile memory 5 and 11, respectively for the variable or the constant parts of the Franking.
  • a character memory 9 provides the necessary print data for a volatile working memory 7.
  • the control device 6 has a microprocessor ⁇ P, the with the input / output control module 4, with the character memory 9, with the volatile memory 7 and with the non-volatile working memory 5, with a Cost center memory 10, with a program memory 11, with the engine of a transport or feed device if necessary with strip release 12, an encoder (Coding disc) 13 and with a clock / date module 8 communicates.
  • the individual memories can be in several physically separated or in not shown way summarized in a few blocks be realized, which by at least one additional measure, such as sticking on the Printed circuit board, sealing or casting with epoxy resin, secured against removal.
  • FIG. 2 shows a flowchart for a franking machine with a security system according to a preferred Variant of the solution according to the invention shown.
  • Start 100 After switching on the postage meter in step Start 100 will then be within a startup routine 101 a functional test followed by Initialization made.
  • This step also includes several - in the figure 7 shown in detail - sub-steps 102 to 105 for Storage of a security flag or codeword.
  • step 103 if in step 102, a new security flag X'in another predetermined Memory E of the nonvolatile memory 5 exists, this new security flag X 'in the Memory space of the old security flag X copied, if there is no valid security flag X anymore stored exists.
  • the latter applies equally the case of an authorized as well as unauthorized Intervention, because with each intervention the old Security flag X is deleted.
  • the security flag X be deleted (kill mode).
  • If not valid Security flag X is more present, can be stored in the Franking mode 400 no postage value can be printed anymore. In case of non-intervention, no new code word is transmitted Service. In this case will not be copied and after Step 104 remains the old security flag X in Memory received.
  • the System routine 200 reached.
  • the system routine 200 comprises a plurality of steps 201 to 220 of the security system.
  • step 201 the Calling up current data, what's below with the invention for a second mode, namely for the sleeping mode is executed.
  • step 202 checks whether the Criteria for entering the sleeping mode met are. If this is the case, a branch is made to step 203, by at least one warning by means of the display unit 3 display. After the o.g. Steps will definitely work the point t reached.
  • the aforementioned security flag X Upon detection of a prohibited page decline (Step 217), the aforementioned security flag X becomes deleted. It may be the security flag X also a MAC secured security flag, as well as an encrypted code.
  • the verification for example, validity of the security flag X becomes in step 409 of a franking mode 400 by means of a selected checksum method within a OTP processor (ONE TIME PROGRAMMABLE) performed, internally the corresponding program parts and also the code for forming a MAC (MESSAGE AUTHENTIFICATION CODE) contains, which is why the Manipulator the type of checksum method not can understand.
  • step 217 Upon examination in step 217, wherein a relevant defect detected and the safety flag X was deleted in step 209, the point e, i. the beginning of a communication mode 300 is reached and in a - shown in Figures 2 and 3a - Step 301 queried if a transaction request is present. If that is not the case, the Leave communication mode 300 and point f, i. the operating mode reaches 290. Were relevant data transmitted in communication mode, then is to Data branching to step 213 branch. Or otherwise, if in step 211 the non-transmission is determined, is the step 212 to branch. Now it is checked if appropriate Entries have been made to test request 212 in the test mode 216, otherwise at intended register check 214 in a Display mode 215 to arrive. Is not that the case, automatically the point d, i. the franking mode 400 reached.
  • Step 213 becomes Statistics and error evaluation achieved.
  • the display mode 215 is reached and then branched back to the system routine.
  • the lock can thus advantageously done by the branching no longer run on the franking mode 400 becomes.
  • Step 213 performed a statistics and error evaluation will be to gain more current data, which after branching to the system routine 200 in Step 201 are also invoked, for example for an aforementioned second mode or another Special fashion.
  • step 217 recognizes that no Prohibited page entry. On allowed page entry, that for another input has been performed is not closer in Figure 2 been presented. However, such a removal criterion is also provided, for example, in Step 212 to recognize if an operator action was made to enter a test mode. At the allowed side entry, which is not the right one Side entry for the special mode of a negative Defaults for the purpose of fund repatriation from the Franking machine to the data center is, becomes the point e system routine 200 branches. Otherwise it will at the correct page entry to step 220 branches to a special flag for entry into the To set special mode.
  • Step 219 possibly another query step 219 before Step 220 provided with a further criterion the security against unauthorized call of the Special mode continues to increase, failing to comply of the criterion to the point e of the system routine 200 is branched.
  • Query step 219 shown such another Check criterion whether the identification number (ID no. or PIN). Through the side entrance is the security already high enough, so for the sake of easier operation such additional additional queries queries also can be waived.
  • query step 219 such query another criterion, if at least n times the same predetermined default request made and a corresponding default value added to the credit balance was is also optional and therefore dashed lines drawn in the figure 2. It can do this are a NULL default request to the Transmission of a NULL default value leads to and Residual value can be added without affecting the height stored credit is changed.
  • step 220 special flag N for the special mode also a MAC-secured Flag N is.
  • the security is additionally checked by a review in the data center increases, whether a predetermined Default request transmitted from the franking machine has been. It is envisaged that the transmitted Default request in the data center evaluated as a code will do a very specific transaction. The transmitted default request can be in the data center be considered a code to fund redemption to allow. Otherwise, the transmitted Default request in the data center as code be evaluated, a transmission for a security flag X or for an X codeword to allow.
  • FIGS. 3 a and 3 b show a representation of FIG Safety procedures of the communication mode Franking machine on the one hand and the safety procedures the data center in communication mode on the other hand.
  • the user selects the communication or remote value default mode the franking machine via the input of Identification number (eight-digit postage code number) on. It is now assumed, for example, it should be the Fund reverse transfer equal to that in the franking machine Remaining residual value.
  • Identification number epi-digit postage code number
  • R1 the register query of the Descending-register takes place R1 which contains the residual value stored.
  • R1 contains the residual value stored.
  • After switching off the postage meter is at Restart a page entry into the special mode performed.
  • After entering the identification number will input with the teleset button confirmed and the default request in the amount of the previous entered residual value. Through the side entrance the default is automatically considered as too subtracting default value.
  • the default wish is activated by pressing the Teleset button (T button) approved.
  • step 302 an input of the identification number (ID No.) and the intended input parameter done in the following way.
  • ID no. it can about the serial number of the postage meter, about a PIN or PAN (postage code) act by pressing by means of a predetermined T-key of the input means 2 is acknowledged.
  • PIN or PAN postage code
  • the display unit 3 appears at the last remote value specification (recharge) used input parameter (default value), which now by overwrite the input of the desired input parameter or maintained.
  • the input parameter it is a combination of numbers, which in the data center is understood as an invitation, For example, a new security flag or code word X 'to transmit, if previously an intervention authority has been obtained. In case of incorrect entry of the aforementioned Input parameters can be displayed by pressing a C key.
  • the desired input parameter is displayed correctly, this is done by re-pressing the predetermined T-key the input means 2 confirmed. In the display unit 3 then a representation appears accordingly an input parameter change or according to the Non-change (old default value).
  • the postage meter checks to see if a MODEM is connected and is ready. Is not that the Case, branching is made to step 310 to indicate that the transaction request will be repeated got to. Otherwise, the franking machine reads the election parameters, consisting of the selection parameters (Main / extension, etc.) and the telephone number the NVRAM memory area F and sends them with a Dial request command to the modem 23. Then the connection establishment required for the communication takes place via the MODEM 23 with the data center in a step 304.
  • Step 501 is constantly checking to see if there is a call in the Data center is done. Is that the case, and that MODEM 23 has dialed the far side, takes place in Step 502 parallel the connection establishment also in the Data center. And in step 503 is constantly monitored whether the connection to the data center is solved has been. If this is the case, an error message occurs in step 513, branch back to the step Five hundred and first
  • step 305 monitors for communication errors and optionally branched back to step 304 to on the part of the franking machine the connection again build.
  • Step 307 branches to an opening message or to identification, preload or register data to send.
  • step 308 the same check as performed in step 305, i.e. when a communication error occurs branched back to step 304. Otherwise it was an opening message from the franking machine sent the data center.
  • the Postage code for the notice of the caller, i.e. the postage meter, at the data center included.
  • Step 504 This opening message will be in the data center in Step 504 checked for plausibility and continue evaluated by then in step 505 again It checks whether the data is transmitted without errors have been. If this is not the case, a Return branch to the error message at step 513.
  • the data is error-free and in the data center it is recognized that the franking machine a Has asked for reimbursement, then in step 506 a reply message to the franking machine as a header Posted.
  • step 507 it is checked whether in Step 506 includes the preamble message Header end has been sent. Is not that If so, then branch back to step 513.
  • step 309 it is checked in step 309 whether from the data center meanwhile a header as Reply message was sent or received. is If not, it will be displayed on the step 310 branches back and then again Transaction request queried in step 301.
  • Has been received a header and has the postage meter receive an OK message in step 311 a Verification of the preload parameters with regard to a Telephone number change. If an encrypted parameter has been transmitted, there is no telephone number change and it is on the step 313 in the Figure 3b branches.
  • step 313 from the postage meter to the Data center sent a start message encrypted.
  • step 314 the message becomes communication error checked. Is there a communication error , it is branched back to step 304 and it another attempt is made to connect to the data center build up to the beginning message encrypted to send.
  • step 508 From the data center is this encrypted start message received when in step 506 the preamble message had been completely sent and in step 507 the header end has been transmitted.
  • step 508 checks in the data center whether this has received the start message and the data in Order are. If this is not the case, in step 509 checks if the error is recoverable. Is the Error not recoverable, is moved to step 513 branches out after receiving an error message from the Data central DZ to the franking machine FM in step 511 was transmitted. Otherwise, in step 510 performed an error handling and on the step 507 branches.
  • step 508 the reception becomes more proper Data is detected, the data center begins to perform a transaction in step 511. in the above example, at least the identification number by means of an encrypted message to Postage meter, which in step 315 the Receives transaction data.
  • step 316 the data is checked. If there is an error, branch back to step 310. Otherwise, the data center is in the Step 512 is a storage of the same ones mentioned above Data, as in the franking machine. In step 318 So in the franking machine the transaction with the Data storage completed. Subsequently, the Step 305 branches back. Should no further Transaction will be displayed to step 310 and then reached step 301.
  • step 211 checks whether data have been transmitted. If data has been transmitted, it will reached step 213. According to the input request the franking machine places the current one Default request or the new codeword Y 'or other Transaction data, for example, in memory area E the nonvolatile memory 5.
  • Step 303 Is used as an input parameter in step 302 but a other number combination entered as zero and the Input was OK (step 303), a connection is established (Step 304). And if without mistakes (Step 305) a connection is established (Step 306), an identification and preamble message sent to the data center. In this Opening message is again u.a. also the postage code PAN for identification of the franking machine included in the data center. The data center recognizes from the entered number combination, if the data is error free (step 505) that in the Franking machine, for example, a credit with a Default value should be increased.
  • step 506 is then from the data center a reply message with the elements change the phone number and current phone number unencrypted Posted.
  • the franking machine this one Message receives, in step 311 that the phone number to be changed. Now it becomes a step 312 branches to the current phone number to save. Subsequently, the step 304 branches back. Is the connection still established and a communication error is not present (305), is in Step 306 then checked if another Transaction should take place. If that is not the case, is branched via step 310 to step 301.
  • the transmission of the telephone number can also be MAC-secured respectively.
  • the franking machine After saving the current telephone number the franking machine automatically builds a new one Connection to the data center with the help of the new phone number.
  • a remote value default of the new security flag X 'or a submission of a for verification suitable encrypted message for reloading the residual value credit corresponding to one Preset-request is thus automatically, i. without one further intervention by the user of the franking machine, carried out.
  • the display will show a appropriate communication that due to the Phone number change the connection automatically is built.
  • a Communication can be a phone number storage, as also a credit recharge or fund redemption include. Without interruption of communication can so several transactions are performed.
  • a successful transaction runs as follows: The franking machine sends its ID number and one Default value for the height of the desired Reload credit if applicable together with a MAC to the Data center. This checks such transmitted Message against the MAC, then a likewise MAC-secured OK message to the franking machine too send. The OK message does not contain the default value more.
  • At least one encrypted message to the data center as well as to Postage meter transmitted is transmitted.
  • the default is only in the encrypted message of the first transaction contain.
  • Each message sent, which is security relevant Transaction data is encrypted.
  • encryption algorithm for the encrypted messages is for example the DES algorithm intended.
  • a transaction request results in the postage meter machine for a specially secured credit recharge.
  • a fuse is taken out of the processor in the cost center memory 10 present postal register also during the credit recharge by means of a time control.
  • the postage meter For example, with an emulator / debugger observed, then it is likely that the communication and Billing routines not within a predetermined Time running out. If that is the case, i. need the routines Significantly more time will be part of the DES key changed.
  • the data center this can modified key during a communication routine determine with register query and then report the postage meter as suspect as soon as Step 313 sent a start message encrypted becomes.
  • step 509 it is determined in step 509, that the error can not be corrected.
  • the data center then can not perform a transaction (step 511) because branching back to step 513. Because in the Postage meter received in step 315 no data were, the transaction was not done correctly (Step 316). Then, then, via step 310 branched back to step 301 to look for an indication to re-examine whether a transaction request continues is provided.
  • Safety begins with an authorized intervention advance, the reliability of the authorized person (Service, inspector) and the possibility of their presence to check.
  • the control of the seal and the control of the register status during an inspection the franking machine and regardless of the data in the data center then gives the verification security.
  • the control of the franked mail under Inclusion of a security impression provides a additional verification security.
  • the franking machine performs regularly and / or at Turn on the register check and can thus the Detect missing information if in the machine unauthorized intervention or if unauthorized had been served. The franking machine will then blocked. Without the invention in connection with a security flag X would the manipulator the Overcome blocking easily. That's how it works Security flag X lost and it would Manipulator too much time and effort cost, the valid MAC-secured security flag X or codeword Attempts to determine. In the meantime, that would be Franking machine long ago in the data center as Suspicious registered.
  • a suitable processor type is, for example, the TMS 370 C010 from Texas Instruments, which has a 256 bytes E 2 PROM.
  • security-relevant data keys, flags, etc.
  • the franking machine is transformed by transferring into the first mode is effective at franking with a Postage value hindered.
  • the potential manipulator of a franking machine must overcome several thresholds, which of course a certain Time required. Occurs at certain intervals no connection from the franking machine to the data center, is the postage meter already suspect. It is assumed that the one who manipulates the postage meter commits to barely getting back to the data center will report.
  • the error registers are for example with the help of a special Service EPROM readable, which replaces the Advert EPROM is plugged. If on this EPROM slot will not be accessed by the processor usually accessing the data lines through special - not shown in the figure 1 - Driver circuits prevented. The data lines, which can be reached through a sealed door can not be contacted without authorization become. Another variant is the reading of Error register data through one via an interface connected service computer.
  • the franking machine is capable of distinguishing between requested authorized and unauthorized Engaging in the franking machine by means of the control unit the franking machine in conjunction with the the data center transmitted data, with unauthorized Engaging in the postage meter this intervention is logged as an error case, but after Authorized intervention in the franking machine the original operating state by means of the aforementioned transmitted data is restored.
  • Tampering security is in one another variant for a kill mode 2 the checksum in the processor about the contents of the external program memory PSP 11 formed and the result with an im Processor stored predetermined value compared. This is preferably done in step 101 when the Franking machine is started, or in step 213, when the postage meter is operating in standby mode becomes.
  • the standby mode is reached when a predetermined time no input or print request he follows. The latter is the case if a ansich known - not shown - letter sensor no next envelope determined, which to be franked.
  • the - shown in Figure 4 - Step 405 in franking mode 400 therefore still includes one further inquiry after a time expiration or after the Number of passes through the program loop, which finally back to the input routine according to Step 401 leads. If the query criterion is met, At step 408, a standby flag is set and directly branched back to system routine 200 at point s, without the billing and printing routine in step 406 is passed. The standby flag will appear later in the Step 211 queried and after the checksum check reset in step 213 if no manipulation attempt is recognized.
  • step 211 The query criterion in step 211 is added to the Question expands whether the standby flag is set, i. whether the standby mode is reached. In this case will also branched to step 213.
  • a preferred variant consists in already described Way to clear the security flag X when a Manipulation attempt in standby mode on the aforementioned Way has been determined in step 213.
  • the specially secured special flag N can also be found in the Step 213 will be checked, especially if it is MAC-secured is by changing the flag content with the MAC content is compared.
  • the absence of the security flag X will detected in query step 409 and then on the step 213 branches.
  • the advantage of this method in Connection with the first mode is that the Manipulation attempt statistically detected in step 213 becomes.
  • FIG. 4 shows the flow chart for the franking mode according to a preferred variant.
  • the invention works assume that after switching automatically the Postal value in the value impression corresponding to the last one Input before turning off the franking machine and the date in the day stamp according to the current one Date are given, that for the impression the variable data in the fixed data for the frame and for all unchanged data embedded electronically.
  • the number strings (sTrings) used to generate the Input data with a keyboard 2 or via a connected to the input / output device 4, the Postage value calculating electronic balance 22 entered are automatically stored in memory area D of the nonvolatile random access memory 5 stored. also remain also records of sub-storage areas, for example, Bj, C, etc., received. This is assured that the last input sizes even when you turn off the Postage meter will be preserved, so that after switching automatically the postage value in the value impression accordingly the last entry before switching off the Franking machine and the date in the day stamp accordingly the current date is given. If a scale 22 is connected, the postage value is canceled taken from the memory area D. In step 404 waited until one is currently stored.
  • step 404 Upon a renewed input request in step 404 is branched back to the step 401 again. Otherwise, branching is made to step 405 to obtain the To wait for print output request. Through a letter sensor the letter to be franked is detected and to trigger a print request. Thus, can up the billing and printing routine in step 406 be branched. There is no print output request (Step 405), it goes to Step 301 (Point e) branches back.
  • Steps test request 212 register check 214
  • Input routine 401 are made.
  • Another query criterion may be in step 405 to request a standby flag in step 408 set if no after a predetermined time Print output request is present.
  • the standby flag in the communication mode 300 following step 211 are queried. This is not branched to the franking mode 400, before not the checksum check the completeness all or at least selected programs Has.
  • Step 409 the Presence of a valid safety flag X resp. a corresponding MAC-secured flag X, the Achieving a further quantity criterion and / or im Step 406 in the known manner for billing retrieved registered register data.
  • the Presence of a valid safety flag X resp. a corresponding MAC-secured flag X the Achieving a further quantity criterion and / or im Step 406 in the known manner for billing retrieved registered register data.
  • Quantity equal Zero is automatically branched to the point e to enter the Communication mode 300 to enter from the Data Center a new predetermined number S again is credited.
  • the predetermined number of pieces not yet consumed from step 410 to the Billing and printing routine branches in step 406.
  • the number of printed letters, and the current ones Values in the postal registers are calculated according to the entered cost center in non-volatile memory 10 of the franking machine in a billing routine 406 registered and stand for a later evaluation to disposal.
  • a special Sleeping Mode counter will be during the immediately before printing Billing routine causes counting on a counting step.
  • the register values can be displayed in display mode 215 be queried. It is also envisaged that Register values with the print head of the franking machine too To print billing purposes. That can for example as well as that already in the German Laid-open patent P 42 24 955 A1 explained in more detail becomes.
  • variable pixel image data during printing embedded in the remaining pixel image data.
  • the compressed data from the main memory 5 read and with the help of the character memory 9 in a converted to binary pixel data containing print image, which also in such a decompressed form in volatile memory 7 is stored.
  • details Designs are the European applications EP 576 113 A2 and EP 578 042 A2 can be removed.
  • the pixel memory area in the pixel memory 7c is thus for the selected decompressed data of the fixed Parts of the franking image and for the selected decompressed ones Data of the variable parts of the franking picture intended.
  • the actual takes place Print routine (in step 406).
  • the memory 7b and the pixel memory 7c with the printer module 1 via a a print register (DR) 15 and an output logic having printer controller 14 in conjunction.
  • the Pixel memory 7c is the output side to a first Input of the printer controller 14 connected to the further control inputs output signals of the microprocessor control device 6 abut. Are all columns a printed image has been printed, is back to System routine 200 branches back.
  • a new predetermined number of pieces S ' is then transmitted and decremented as a quantity S while the franking is running.
  • the comparison piece number S ref is internally calculated from the new predetermined number of pieces S '(step 213).
  • a warning "CALL FP" can be issued before reaching the number zero. The user of the franking machine is thus requested to carry out communication with the data center in order to carry out at least one ZERO remote value specification for the subsequent accreditation of at least the number of pieces S.
  • the first transaction of communication with the Data Center DZ includes the message of a predetermined default wish.
  • To the consistency of Register statuses between the data center DZ and the Making a franking machine FM is a NULL default request suitable. Such leads during a second transaction to a NULL default value of the Descending register value can be added without the Value of the remaining balance to change.
  • the system routine 200 shown in FIG queried whether the user has a correct page entry was carried out. If that is not the case becomes Point e of the system routine 200 branches. On the The display will show a message about the opening of the Communication, if an input of the PIN and pressing the teleset key (T key) takes place. In addition will the previous default value indicated by the new default request NULL can be overridden. After the zero entry, the T key is pressed again. Now there is a transaction request and the Communication can be done.
  • the first step during a first transaction includes after entering the communication mode (positive remote value default or Teleset mode) one Sub-step 301 for checking for a posed Transaction request and further sub-steps 302 to 308 for entering the identification and other Data to establish the communication link and to communicate with unencrypted data to at least identification and transaction type data to transfer to the data center.
  • the communication mode positive remote value default or Teleset mode
  • a first step of the first Transaction sub-steps 301 to 308 of the franking machine includes to establish the connection for communication with unencrypted data and at least Identification, transaction type and other data to transfer to the data center.
  • the transaction type data (1 byte), includes the message to the data center DZ below the Teleset mode for a desired positive remote value specification with the identified To perform franking machine.
  • a second step of the first transaction comprises Sub-steps 501 to 506 in the data center, for Receiving the data and checking the identification the franking machine and for the transmission of a unencrypted o.K. Message to postage meter.
  • the second step of the first transaction also includes Sub-steps to erroneous unencrypted messages 505 via a sub-step 513 to Error message on a resting state point q in the sub-step Branch 501 in the data center until the Communication on the part of a franking machine again is recorded.
  • a third step of the first transaction involves Sub-steps 309 to 314 of the franking machine, for Formation of a first encrypted message crypto cv by means of a stored in the postage meter first key Kn and for transmission of encrypted Data center data, including at least the default, identification and postregister data.
  • this encrypted message too Data in the form of CRC data (cyclic redundancy check data).
  • CRC data cyclic redundancy check data
  • the default request, the identification, Postal register and other data, such as a Checksum (CRC data) will be in one with the DES algorithm encrypted message transmitted;
  • a fourth step of the first transaction the sub-steps 507 to 511 in the data center is to receive and decrypt the first encrypted Communication.
  • An examination on Decryptivity is by means of a in the Data center stored key performed. If successful, a calculation is made in the data center to make a second key Kn + 1, corresponding to that used by the postage meter Key. Subsequently, a second encrypted Message crypto Cv + 1 made which at least the aforementioned second key Kn + 1, the Contains identification and transaction data, where for encryption again the DES algorithm is being used. Finally, a transfer of the second encrypted message crypto Cv + 1 to Franking machine provided.
  • Sub-steps are used to determine irrecoverably incorrect encrypted messages in sub-step 509 via a sub-step 513 to Error message on a hibernation 501 in the Data center branch until the communication is resumed by a franking machine.
  • Substeps are still provided to be included in the Sub-step 509 detected erroneous encrypted Messages but with recoverable errors, up a sub-step 510 to cancel the previous one Transaction and then to the sub-step 511 in the Branch data center.
  • This sub-step is used for forming a second key Kn + 1 which belongs to Franking machine should be transmitted encrypted, for forming a second encrypted message crypto Cv + 1 and to transfer the encrypted Message about postage meter.
  • the closes fourth step of the first transaction a sub-step 512 of the data center for storing the default request from which the first sub-step 701 of the second Step of the second transaction is branched to the first key Kn as the predecessor key and the second key Kn + 1 as successor key too to save.
  • a fifth step of the first transaction is for receiving and decrypting the second encrypted message, extracting at least the identification data and the transmitted second key Kn + 1 Cv + 1 , and verifying the received encrypted ones Message based on the extracted identification data. Upon verification, the transmitted second key Kn + 1 Cv + 1 and the default request are stored in the postage meter machine. Otherwise, if not verified, the first step of the first transaction is branched back.
  • a second transaction which preferably by an additional manual Input in step 602 is triggered.
  • This time-limited entry is triggered the second transaction or leaving the second transaction in communication mode when the Input time is exceeded.
  • the T key must be pressed within 30 sec or the Entry time is exceeded and it becomes the first Step of the first transaction branched back. The Communication can now refrain as needed or be repeated.
  • a first step of the second transaction comprises sub-steps 602 to 608 of the franking machine for communication with unencrypted data to the connection build up and at least identify and Transmit transaction type data to the data center.
  • a second step of the second transaction, the sub-steps 701 to 706 of the data center is to Receiving the data and checking the identification the franking machine and for the transmission of a unencrypted o.K. Message to postage meter intended. It is further envisaged that the second Step of the second transaction sub-steps to for faulty unencrypted messages 705 via a sub-step 513 to the error message to a Hibernate state 501 in the data center until the communication from a franking machine again is recorded.
  • a third step of the second transaction comprises sub-steps 609-614 of the franking machine for formation a third encrypted message crypto cv + 2 by means of the aforementioned in the franking machine stored second key Kn + 1 and to Transmission of the third encrypted message crypto cv + 2 to the data center, comprising at least Identification and post register data, but without Data for a default value.
  • a fourth step of the second transaction the sub-steps 707 to 711 the data center for reception and for decryptification of the third encrypted Message contains crypto Cv + 2, performs their check on Decryptivity by means of one in the data center stored key through. Then there is a Forming a third key Kn + 2, which to Franking machine should be transmitted encrypted, forming a fourth encrypted message crypto Cv + 3, which at least the aforementioned third Key Kn + 2, the identification and the Contains transaction data and transferring the fourth encrypted message crypto Cv + 3 to Franking machine.
  • the fourth step of the second transaction closes Sub-steps to in case of irrecoverably faulty ones encrypted messages (sub-step 709) a sub-step 513 for the error message to a Hibernate state 501 in the data center until the communication from a franking machine again is recorded. Detected in step 709 with incorrect encrypted messages A recoverable error is made to a step 710 Cancellation of the previous transaction branches. This is then done in the data center in sub-step 711 forming a third key Kn + 2 which belongs to Postage meter machine should be transmitted encrypted. To make a fourth encrypted message crypto Cv + 3 again uses the DES algorithm. Subsequently, a transfer of the encrypted Message about postage meter.
  • the fourth step of the second transaction to store the default value a sub-step 712 of the data center, the on the first sub-step 501 of the second step of first transaction branches to the second key Kn + 1 as predecessor key Kn-1 and the third Key Kn + 2 as successor key Kn for more store first and second transactions.
  • a fifth step of the second transaction is for receiving and decrypting the fourth encrypted message, extracting at least the identification data and the transmitted third key Kn + 2 Cv + 3, and the transaction data, as well as for verification the received encrypted message based on the extracted identification data.
  • the transmitted second key Kn + 2 Cv + 3 and the default value in the meter are added in accordance with the descending register value R1 and the resulting balance stored or otherwise, if not verified, is branched back to the first step of the first transaction.
  • NULL distance preset in communication mode differs a negative distance value default in Special mode especially by special tamper-proof Flags and a time monitoring.
  • tamper-proof Flags are in particular a MAC-secured Security Flag X and a MAC-secured Special flag N.
  • the flow is two transactions for reloading with a negative credit value, i. a negative fair value default for fund redemption presented to the data center.
  • a negative Remote value specification comprises at least two transactions.
  • the first transaction of communication with the Data Center DZ includes the message of a predetermined default wish, preferably one Null-Vorgabe-Wunsches, to the consistency of the Register statuses between the data center DZ and the Franking machine FM produce.
  • the first step during a first transaction includes after a defined page entry into the Special mode negative remote value preset compared to one normal entry into the communication mode (Teleset mode) after the start of the franking machine a Sub-step 301 for checking for a posed Transaction request and further sub-steps 302 to 308 for entering the identification and other Data to establish the communication link and for communication with an unencrypted message, at least identification and transaction type data to transfer to the data center.
  • a Securing individual data in the message can again by a MAC or CRC data in the be achieved above.
  • the defined page entry is achieved by pressing a secret predetermined key combination while turning on the postage meter.
  • the control unit of the franking machine in conjunction with the data previously transmitted by the data center, and an input procedure between authorized action (service technician) and unauthorized action (intent to manipulate) may differ.
  • a special flag N is set in step 220, because if the franking machine FM is switched off, the continuation of the transactions must be ensured after the franking machine has been switched on again.
  • the special flag N is also stored non-volatile MAC-secured.
  • step 209 is initiated to prevent further franking. It is envisaged that a predetermined combination of keys for each franking machine will be stored in the data center and communicated only to the authorized person (service technician) in order to achieve a specific operation in the postage meter machine. The correct page entry causes a message on the display about opening the communication.
  • the specific criterion for the special mode negative remote value default at least the Use of the predetermined key combination for Side entry into special mode during power up the franking machine comprises.
  • Communication with the data center includes at least two transactions, which in case of error be repeated, and after interruption the communication automatically resumes and / or as long as the aforesaid Special flag N is set for the special mode, by that made an automatic transaction request is to complete the retransfer of the credit.
  • a first step of the first Transaction sub-steps 301 to 308 of the franking machine includes to establish the connection for communication with unencrypted data and at least Identification, transaction type and other data to transfer to the data center.
  • the transaction type data (1 byte), includes the message to the data center DZ below the special mode of a desired negative remote value specification with the identified To perform franking machine.
  • a second step of the first transaction comprises Sub-steps 501 to 506 in the data center, for Receiving the data and checking the identification the franking machine and for the transmission of a unencrypted o.K. message to the franking machine.
  • the second step of the first transaction also includes Sub-steps to erroneous unencrypted messages 505 via a sub-step 513 to Error message on a hibernation 501 in the Data center branch until the communication is resumed by a franking machine.
  • a third step of the first transaction involves Sub-steps 309 to 314 of the franking machine, for Formation of a first encrypted message crypto cv by means of a stored in the postage meter first key Kn and for transmission of encrypted Data center data, including at least the default, identification and postregister data.
  • this encrypted message in Form of CRC (Cyclic Redundancyy Check Data) data Communication to the data center DZ following the Special mode of a desired negative distance value specification perform.
  • Cyclic Redundancey Check is a checksum the one manipulation to the individual to the checksum processed data. This checksum can individual data or the components of all messages (Transaction type) on the part of the franking machine.
  • the default request, the identification, Postregister and the CRC data are in one with the DES algorithm encrypted message transfer. Thus, it is not necessary to data in the first Step MAC-secured or encrypted to the data center transferred to.
  • a fourth step of the first transaction, the sub-steps 507 to 511 in the data center is to receive and decrypt the first encrypted Notification or examination for decryptivity by means of one in the data center stored key, to form a second Key Kn + 1 corresponding to that of the franking machine used keys, to make a second one crypto Cv + 1 encrypted message which at least the aforementioned second key Kn + 1, the Identification and the transaction data contains and for transmitting the second encrypted message crypto Cv + 1 provided for franking machine.
  • the fourth step of the first Transaction also includes sub-steps to be irrecoverable erroneous encrypted messages 509 via a sub-step 513 for the error message to a Hibernate state 501 in the data center until the communication from a franking machine again is recorded. They are still sub-steps provided to encrypted in case of faulty Messages 509 with recoverable errors, to one Step 510 to cancel the previous transaction and then to the sub-step 511 in the Branch data center.
  • This sub-step is used for forming a second or third key Kn + 1, which transmits encrypted to the franking machine should be, to form a second encrypted Message crypto Cv + 1 and to transfer the encrypted message to postage meter.
  • a fifth step of the first transaction is for receiving and decrypting the second encrypted message, extracting at least the identification data and the transmitted second key Kn + 1 Cv + 1 , and verifying the received encrypted ones Message based on the extracted identification data. Upon verification, the transmitted second key Kn + 1 Cv + 1 and the default request are stored in the postage meter machine. Otherwise, if not verified, the first step of the first transaction is branched back.
  • a first step of the second transaction comprises Sub-steps 602 to 608 of the franking machine for Communication with unencrypted data to the Establish connection and at least identification and transaction type data to the data center transferred to.
  • a second step of the second transaction, the sub-steps 701 to 706 of the data center is to Receiving the data and checking the identification the franking machine and for the transmission of a unencrypted o.K. message to the franking machine intended. It is further envisaged that the second Step of the second transaction sub-steps to for faulty unencrypted messages 705 via a sub-step 513 to the error message to a Hibernate state 501 in the data center until the communication from a franking machine again is recorded.
  • a third step of the second transaction comprises sub-steps 609-614 of the franking machine for formation a third encrypted message crypto cv + 2 by means of the aforementioned in the franking machine stored second key Kn + 1 and to Transmission of the third encrypted message crypto cv + 2 to the data center, comprising at least Identification and post register data, but without Data for a default value.
  • a fourth step of the second transaction the sub-steps 707 to 711 the data center for reception and for decryptification of the third encrypted Message contains crypto Cv + 2, performs their check on Decryptivity by means of one in the data center stored key through. Then there is a Forming a third key Kn + 2, which to the franking machine encrypted is to be transmitted Making a fourth encrypted message crypto Cv + 3, the at least the aforementioned third key Kn + 2, the identification and the transaction data contains and transmitting the fourth encrypted Message crypto Cv + 3 to the postage meter.
  • the fourth step of the second transaction closes Sub-steps to in case of irrecoverably faulty ones encrypted messages 709 via a sub-step 513 to the error message on a sleep state 501 in the Data center branch until the communication is resumed by a franking machine.
  • Encrypted messages with recoverable errors to a step 710 to cancel the previous one Transaction branches.
  • forming a third one Key Kn + 2 which encrypts the postage meter should be transmitted.
  • a fourth encrypted Message crypto Cv + 3 will be back DES algorithm used. Subsequently, a Transferring the encrypted message to Franking machine.
  • the fourth step of the second transaction to store the default value a sub-step 712 of the data center, the on the first sub-step 501 of the second step of first transaction branches to the second key Kn + 1 as predecessor key Kn-1 and the third Key Kn + 2 as successor key Kn for more store first and second transactions.
  • a fifth step of the second transaction comprising sub-steps 615-618 of the postage meter, is for receiving and decrypting the fourth encrypted message, extracting at least the identification data and the transmitted third key Kn + 2 Cv + 3, and the transaction data, as well as for verification the received encrypted message based on the extracted identification data.
  • the aforementioned step has to identify the completed implementation in contrast to the positive remote value default on another query criterion.
  • the fourth crypto message is to be received by the franking machine FM. If the connection was uninterrupted, the reception would take place in the predetermined time t1.
  • This is to be transmitted during the penultimate Message, from the sending of the third crypto message in the processor (control unit 6) of the franking machine started a time counting.
  • the corresponding program section a Routine activated, which sets a counter, the in turn by the system clock or its multiple is decremented.
  • the fourth Crypto message from the data center the franking machine the counter is deactivated.
  • Another variant of the invention results when an incremental instead of a decremental counter is used. It must after each count clock the Comparison can be done with the number given to the monitored period corresponds.
  • Exceeding the time t1 is a sure indication for a failed transfer and causes the call a special subprogram, which is a renewed Execution of the special mode negative remote value default prepared and automatically triggered.
  • the first and second transaction will be automatic in this case repeated with key Kn + 2.
  • the transmitted second key Kn + 2 Cv + 3 and the default value in the postage meter are added according to Descendingregisterwert R1 and the resulting balance stored or otherwise in the case of non-verification or timeout is the first step of branched back to the first transaction.
  • the fifth step of the second transaction closes a sub-step (620) of the postage meter for Resetting the aforementioned special flag N or Return to the normal mode of the franking machine, whereby the aforementioned automatic transaction request is canceled again when carrying out the second transaction has been completed.
  • the present service technician secures the further one disturbance-free process until the completion of the negative Telesetting.
  • At each remote value default can be at least R1 query and statistically evaluate.
  • the data center is at the end of the day on the Validity of fund redemption as a result of Special mode negative remote value setting decided. If no incident is reported by the service technician that, for example, the negative Fernwertvorgabe not was feasible, or if by the same franking machine no request to reload a positive one Credit, the validity is assumed.
  • the negative remote value default when entering the special mode set special flag N was successful at Transaction reset.
  • the franking machine prevents all frankings with values greater than zero, because no more credit is loaded.
  • the franking machine is still zero for frankings with values and other modes are operational as long as they are do not require credit or as long as there is no postage franked and the quantity limit is not reached.
  • a trigger the Transactions in special mode causes or it is in another variant at least one manual step 302 in special mode negative remote value preset after one Page entry to enter an identification number (PIN) and to enter the predetermined default as provided for the positive distance value specification, which is queried in step 303.
  • PIN identification number
  • step 603 takes place a triggering of the second transaction and a Exit or repeat the first transaction in communication mode or in special mode, if the Input time is exceeded.
  • the T key must be pressed within 30 sec or the Entry time is exceeded.
  • a NULL default request is agreed.
  • a NULL default request is agreed.
  • a corresponding query step 219 according to such a further specific criterion for the franking machine has been dashed in FIG shown. From this is the step 220 for Setting the special flag N branched.
  • a third variant safety is increased by a combination of different measures.
  • a first communication connection between the authorized user and the data center for storing a code for registering an authorized action on the postage meter machine is established by a later-transmitted default request.
  • a turning on the postage meter for making an authorized predetermined operation can be done to enter via a page entry into a special mode negative Fernwertvorgabe.
  • a second communication connection between postage meter and the data center and input of a default request is made.
  • a distinctive log on to the data center occurs when the submitted default request matches a corresponding code.
  • the first transaction for example, a new code word or security flag and / or operating sequence is transmitted to the franking machine.
  • the security-relevant data are transmitted and their storage in the postage meter machine is completed.
  • the default value in the corresponding memory of the franking machine and for the purpose of checking the transaction is also added to the remaining balance in a corresponding memory of the data center.
  • the postage meter machine is placed in a first mode to effectively disable it for franking (franking mode 400) (step 409) as opposed to the authorized action.
  • a transmission of a valid operating procedure from the data center to the franking machine becomes superfluous if the operating sequence is changed over time.
  • the same calculation algorithm is used to determine a current operating procedure.
  • Another variant is based on the storage of the current operating procedure in the franking machine by means of a special reset E 2 PROM by the service technician.
  • the safety of an authorized person by means of an additional Input security increases, which with the Franking machine is brought into contact with a Transfer remaining credit back to the data center.
  • the data center becomes up to date produced by the register states by means of a Zero-distance value preset to be reported. Subsequently, will as input security by the service technician Reset read only memory device in a predetermined Base of the at least partially open franking machine used. After switching on or one Page entry into the program of the franking machine a check is made as to whether a read-only memory is reset (Refunds EPROM) was used. That can be beneficial in - shown in Figure 2 - step 219 to verification of another criterion.
  • step 209 may be for deletion of a flag X, which in step 409 of FIG Franking mode ( Figure 4) would be noticed and the statistics and error evaluation or registration in step 213 leads. Otherwise, the correct page entry and when Refunds EPROM is inserted, a special flag N set what happens automatically in communication mode Return the remaining balance to the data center triggers.
  • steps 218 and 219 according to Figure 2 run in their order reversed, so that only with regard to the inserted Refunds EPROM and only then after the right side entry is asked.
  • Such a sub-variant has the advantage that information about the correct page entry can also be stored in the Refunds EPROM, instead of in the franking machine. This will be the Security against tampering with manipulation further increased.
  • chip card read / write unit can the input security
  • chip card read / write unit can the input security
  • chip card can the input security
  • chip card also be realized as a chip card.

Abstract

Die Erfindung betrifft ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung, mit mindestens zwei Modi. Im Ergebnis des Überwachens einer autorisierten Handlung an der Frankiermaschine, wird in einem Schritt (209) der Systemroutine (200) ein. Sicherheits-Flag X gelöscht und bei seinem Fehlen die Frankiermaschine in einen ersten Modus überführt (Schritt 409), um sie damit wirksam außer Betrieb zu setzen. Anderenfalls wird in einem Sondermodus negative Fernwertvorgabe durch Setzen eines Sonder-Flags N eingetreten, wenn die vorbestimmte Bedienhandlung zum Seiteneinstieg in den Sondermodus beim Einschalten vorgenommen wird. Die Kommunikation (300) mit der Datenzentrale läuft unter zeitlicher und zustandsmäßiger (Flags) Überwachung durch die Steuereinheit der Frankiermaschine bis zur Vollendung der Transaktion ab. Von der Datenzentrale wird das Verhalten des Frankiermaschinenbenutzers auf der Basis von während der Kommunikation übermittelten Daten überwacht.

Description

Die Erfindung betrifft ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung, speziell bei der Fondsrückübertragung zur Datenzentrale, gemäß der im Oberbegriff des Anspruchs 1 bzw. 3 angegebenen Art.
Eine Frankiermaschine erzeugt in der Regel einen Aufdruck in einer mit der Post vereinbarten Form rechtsbündig, parallel zur oberen Kante des Postgutes beginnend mit dem Inhalt Postwert im Poststempel, Datum im Tagesstempel und Stempelabdrucke für Werbeklischee und ggf. Sendungsart im Wahldruckstempel. Der Postwert, das Datum und die Sendungsart bilden hierbei die entsprechend dem Poststück einzugebenden variablen Informationen.
Beim Postwert handelt es sich meist um die vom Absender vorausbezahlte Beförderungsgebühr (Franko), die einen wiederauffüllbaren Guthabenregister entnommen und zum Freimachen der Postsendung verwendet wird. Im Gegensatz dazu wird beim Kontokorrentverfahren ein Register in Abhängigkeit von den mit dem Postwert vorgenommenen Frankierungen lediglich hochgezählt und in regelmäßigen Abständen, von einem Postinspektor abgelesen.
Grundsätzlich ist jede vorgenommene Frankierung abzurechnen und jede Manipulation, welche zu einer nichtabgerechneten Frankierung führt, muß verhindert werden.
Eine bekannte Frankiermaschine ist mit mindestens einem Eingabemittel, einem Ausgabemittel, einem Ein/Ausgabe-Steuermodul, einer Programm-, Daten- und insbesondere die Abrechnungsregister tragenden Speichereinrichtung, einer Steuereinrichtung und einem Druckermodul ausgerüstet. Bei einem Druckermodul mit Druckmechanik müssen auch Maßnahmen ergriffen werden, damit im ausgeschalteten Zustand die Druckmechanik nicht für unabgerechnete Abdrucke mißbraucht werden kann.
Die Erfindung betrifft ein Verfahren für Frankiermaschinen, die einen vollelektronischen erzeugten Abdruck zum Frankieren von Postgut einschließlich Abdruck eines Werbeklischees liefern. Das hat zur Folge, daß nur noch im eingeschalteten Zustand ein nicht abgerechnetes gültiges Frankieren verhindert werden muß.
Bei einer aus der US 4 746 234 bekannten Frankiermaschine werden feste und variable Informationen in Speichermitteln (ROM, RAM) gespeichert, um diese dann, wenn ein Brief auf dem Transportpfad vor der Druckposition einen Mikroschalter betätigt, mittels eines Mikroprozessors auszulesen und um ein Drucksteuersignal zu bilden. Beide sind danach elektronisch zu einem Druckbild zusammengesetzt und können durch Thermotransferdruckmittel auf einen zu frankierenden Briefumschlag ausgedruckt werden.
Es wurde auch bereits ein Verfahren zum Steuern des spaltenweisen Druckens eines Postwertzeichenbildes in einer Frankiermaschine vorgeschlagen EP 578 042 A2, welches getrennt voneinander in graphische Pixelbilddaten umgesetzte feste und variable Daten während des spaltenweisen Druckens zusammensetzt. Es wäre daher schwierig, ohne großen und teuren Aufwand eine Manipulation am Drucksteuersignal vorzunehmen, wenn das Drucken mit einer hohen Geschwindigkeit erfolgt.
Andererseits umfaßt die Speichereinrichtung mindestens einen nichtflüchtigen Speicherbaustein, der das aktuell verbliebene Restguthaben enthält, welches daraus resultiert, daß von einem früher in die Frankiermaschine geladenen Guthaben der jeweilige zu druckenden Portowert abgezogen wird. Die Frankiermaschine blockiert, wenn das Restguthaben Null ist.
Bekannte Frankiermaschinen enthalten in mindestens einem Speicher drei relevante Postregister für verbrauchten Summenwert (steigendes Register), noch verfügbares Restguthaben (fallendes Register) und Register für eine Kontrollsumme. Die Kontrollsumme wird mit der Summe aus verbrauchten Summenwert und aus verfügbaren Guthaben verglichen. Bereits damit ist eine Überprüfung auf richtige Abrechnung möglich.
Weiterhin ist es auch möglich von einer Datenzentrale über eine Fernwertvorgabe eine Wiederaufladeinformation zur die Frankiermaschine zu übertragen, um in das Register für das Restguthaben (Restwert) ein Guthaben nachzuladen. Es versteht sich von selbst, daß hierfür geeignete Sicherheitsmaßnahmen getroffen werden müssen, damit das in der Frankiermaschine gespeicherte Guthaben nicht in unbefugter Art und Weise aufgestockt werden kann. Die vorgenannten Lösungen gegen Mißbrauch und Fälschungsversuche zu schützen, erfordert einen zusätzlichen materiellen und zeitlichen Aufwand.
Aus der US 48 64 506 ist bekannt, daß wenn der Wert des Guthabens im fallenden Register unter einem Schwellwert liegt und eine vorbestimmte Zeit erreicht ist, eine Kommunikation zur entfernten Datenzentrale von der Frankiermaschine aufgenommen wird.
Aus o.g. Patent ist weiterhin bekannt, daß die Datenzentrale zum Empfang von Registerdaten und zur Kontrolle, ob die Frankiermaschine noch an eine bestimmte Telefonnummer angeschlossen ist - die Verbindung mit der Frankiermaschine nach einer definierten Zeitdauer aufnimmt und die Frankiermaschine nur zu vorbestimmten Zeiten antwortet.
Es ist nach o.g. Patent außerdem vorgesehen, vor einer Guthabennachladung in die Frankiermaschine, zur Autorisierung durch die Datenzentrale die Identitätsnummer der Frankiermaschine und die Werte im fallenden und steigenden Register abzufragen.
Weiterhin ist aus o.g. Patent bekannt, daß die Kommunikation der Datenzentrale mit der Frankiermaschine nicht auf bloße Guthabenübertragung in die Frankiermaschine beschränkt bleiben braucht. Vielmehr wird im Falle einer Abmeldung der Frankiermaschine die Kommunikation der Datenzentrale mit der Frankiermaschine zur Übertragung des Restguthabens der Frankiermaschine in die Datenzentrale genutzt. Der Wert im fallenden Postregister der Frankiermaschine ist dann Null, was die Frankiermaschine wirksam außer Betrieb setzt.
Ein Sicherheitsgehäuse für Frankiermaschinen, welches innere Sensoren aufweist, ist aus der DE 41 29 302 A1 bekannt. Die Sensoren sind insbesondere mit einer Batterie verbundene Schalter, welche beim Öffnen des Sicherheitsgehäuses aktiv werden, um einen das Restwertguthaben speichernden Speicher (fallendes Postregister) durch Unterbrechen der Energiezufuhr zu löschen. Es ist bekanntlich aber nicht vorhersagbar, welchen Zustand ein spannungsloser Speicherbaustein beim Wiederkehr der Spannung einnimmt. Somit könnte auch ein nicht bezahltes höheres Restguthaben entstehen. Andererseits kann nicht ausgeschlossen werden, daß sich auf oben genannte Weise, das Restwertguthaben zumindest teilweise entlädt. Das wäre aber bei einer Inspektion nachteilig, da das Restwertguthaben, welches vom Frankiermaschinennutzer bezahlt worden war, auch wieder geladen werden muß, die Höhe dieses Restguthabens jedoch durch o.g. Einflüsse verfälscht sein kann. Schließlich ist der Beschreibung nicht entnehmbar, wie verhindert werden kann, daß ein Manipulator ein nicht bezahltes Restguthaben wieder herstellt.
Bei bekannten Frankiermaschinen FM sind bereits weitere Sicherheitsmaßnahmen wie Wegbrechschrauben und gekapseltes abgeschirmtes Sicherheitsgehäuse bekannt. Üblich sind auch Schlüssel und ein Zahlenschloß um den Zugriff auf die Frankiermaschine zu erschweren.
In der US 4 812 994 soll ein unautorisierter Zugriff einer Benutzung der Frankiermaschine darüber hinaus durch Sperrung der Frankiermaschine bei Falscheingabe eines vorbestimmten Paßwortes verhindert werden. Außerdem kann die Frankiermaschine mittels Paßwort und entsprechender Eingabe über Tastatur so eingestellt werden, daß ein Frankieren nur während eines vorbestimmten Zeitintervalls bzw. Tageszeiten möglich ist.
Das Paßwort kann durch einen Personalcomputer über MODEM, durch eine Chipkarte oder manuell in die Frankiermaschine eingegeben werden. Nach positiven Vergleich mit einem in der Frankiermaschine gespeicherten Paßwort wird die Frankiermaschine freigegeben. Im Steuermodul der Abrechnungseinheit ist ein Sicherheitsmodul (EPROM) integriert. Als weitere Sicherheitsmaßnahme ist ein Verschlüsselungsmodul (separater Mikroprozessor oder Programm für FM-CPU basierend auf DES-oder RSA-Code) vorgesehen, der eine den Portowert, die Teilnehmernummer, eine Transaktionsnummer und ähnliches umfassende Erkennungsnummer im Frankierstempel erzeugt. Bei genügend krimineller Energie könnte aber auch ein Paßwort ausgeforscht und samt Frankiermaschine in den Besitz eines Manipulators gebracht werden.
Es ist bereits in der US 4,812,965 ein Ferninspektionssystem für Frankiermaschinen vorgeschlagen worden, welches auf speziellen Mitteilungen im Abdruck von Poststücken, die der Zentrale zugesandt werden müssen, oder auf einer Fernabfrage über MODEM basiert. Sensoren innerhalb der Frankiermaschine sollen jede vorgenommene Verfälschungshandlung detektieren, damit in zugehörigen Speichern ein Flag gesetzt werden kann, falls in die Frankiermaschine zu Manipulationszwecken eingegriffen wurde. Ein solcher Eingriff könnte erfolgen, um ein nicht bezahltes Guthaben in die Register zu laden.
Bei Feststellung einer Manipulation wird die Frankiermaschine während der Ferninspektion über Modem durch ein von der Datenzentrale ausgehendes Signal gesperrt. Eine geschickte Manipulation könnte aber andererseits darin bestehen, nach der Herstellung von nicht abgerechneten Frankieraufdrucken, das Flag und die Register in den ursprünglichen Zustand zurückzuversetzen. Eine solche Manipulation wäre über Ferninspektion durch die Datenzentrale nicht erkennbar, wenn diese rückgängig gemachte Manipulation vor der Ferninspektion lag. Auch der Empfang der Postkarte von der Datenzentrale, auf welche eine zu Inspektionszwecken vorzunehmende Frankierung erfolgen soll, gestattet dem Manipulator die Frankiermaschine in ausreichender Zeit in den ursprünglichen Zustand zurückzuversetzen. Damit ist also noch keine höhere Sicherheit erreichbar.
Der Nachteil eines solchen Systems besteht darin, daß nicht verhindert werden kann, daß ein genügend qualifizierter Manipulator, welcher in die Frankiermaschine einbricht, seine hinterlassenen Spuren nachträglich beseitigt, indem die Flags gelöscht werden. Auch kann damit nicht verhindert werden, daß der Abdruck selbst manipuliert wird, welcher von einer ordnungsgemäß betriebenen Maschine hergestellt wird. Bei bekannten Maschinen besteht die Möglichkeit, einer Herstellung von Abdrucken mit dem Portowert Null. Derartige Nullfrankierungen werden zu Testzwecken benötigt, und könnten auch nachträglich gefälscht werden, indem ein Portowert größer Null vorgetäuscht wird.
Ein Sicherheitsabdruck gemäß der FP-eigenen europäische Patentanmeldung EP 576 113 A2 sieht Symbole in einem Markierungsfeld im Frankierstempel vor, die eine kryptifizierte Information enthalten. Dies gestattet der Postbehörde, welche mit der Datenzentrale zusammenwirkt, aus dem jeweiligem Sicherheitsabdruck eine Erkennung einer Manipulation an der Frankiermaschine zu beliebigen Zeitpunkten. Zwar ist eine laufende Kontrolle solcher mit einem Sicherheitsabdruck versehenen Poststncke nber entsprechende Sicherheitsmarkierungen im Stempelbild technisch möglich, jedoch bedeutet das einen zusätzlichen Aufwand im Postamt. Bei einer auf Stichproben beruhenden Kontrolle, wird aber eine Manipulation in der Regel erst spät festgestellt.
Andererseits kann im Datenzentrum eine zusätzliche Auswertung hinsichtlich eines Nutzers einer Frankiermaschine, die vom Nutzer über das Inspektionsdatum hinaus weiterbetrieben wurde, erfolgen. Jedoch kann bisher aus diesen Informationen noch nicht eine in Fälschungsabsicht vorgenommene Manipulation geschlußfolgert werden.
In der US 4 251 874 wird ein mechanisches Druckwerk, das zum Drucken voreingestellt werden muß, mit einer Detektoreinrichtung verwendet, um die Voreinstellung zu überwachen. Ferner sind im elektronischen Abrechnungssystem Mittel zum Feststellen von Fehlern in Daten- und Steuersignalen vorgesehen. Erreicht diese Fehlerzahl einen vorgegebenen Wert, wird der weitere Betrieb der Frankiermaschine unterbrochen. Der plötzliche Ausfall der Frankiermaschine ist aber für den Frankiermaschinenbenutzer nachteilig. Bei einem nichtmechanischen Druckprinzip sind andererseits kaum solche internen Fehler zu erwarten und bei einem schweren Fehler ist die Frankiermaschine ohnehin sowieso sofort abzuschalten. Außerdem wird die Sicherheit gegenüber einer Manipulation der Frankiermaschine dadurch kaum größer, indem die Frankiermaschine nach einer vorbestimmten Fehleranzahl abgeschaltet wird.
Aus der US 4 785 417 ist eine Frankiermaschine mit einer Programmsequenzüberwachung bekannt. Der korrekte Ablauf eines größeren Programmstücks wird mittels eines jedem Programmteil zugeordneten speziellen Codes kontrolliert, der bei Aufruf des Programmstücks in einer bestimmten Speicherzelle im RAM abgelegt wird. Es wird nun überprüft, ob der in der vorgenannten Speicherzelle abgelegte Code im gerade ablaufenden Programmteil immer noch vorhanden ist. Würde bei einer Manipulation der Lauf eines Programmteils unterbrochen und ein anderer Programmteil läuft ab, kann durch eine solche Kontrollfrage ein Fehler festgestellt werden. Der Vergleich kann aber nur im Hauptablauf durchgeführt werden. Nebenabläufe, beispielsweise sicherheitsrelevante Berechnungen, welche von mehreren Hauptabläufen benutzt werden, können durch eine solche Überwachung auf Ausführung des Programmteils jedoch nicht kontrolliert werden, weil die Programmkontrolle unabhängig vom Programmablauf erfolgt. Wird auf der Basis von erlaubten Programmteilen und Nebenabläufen so manipuliert, daß Nebenabläufe zusätzlich in Hauptabläufe eingebunden oder aus lezteren weggelassen werden oder auf Nebenabläufe verzweigt wird, dann würde kein Fehler festgestellt werden, da weder die Länge des Programmteils festgestellt, noch festgestellt werden kann, welcher Programmzweig wie oft durchlaufen wurde.
Eine andere Art einer erwarteten Manipulation ist das Nachladen der Frankiermaschinenregister mit einem nicht abgerechneten Guthabenwert. Damit ergibt sich das Erfordernis einer gesicherten Nachladung. Eine zusätzliche Sicherheitsmaßnahme ist nach US 4 549 281 der Vergleich einer internen in einem nichtflüchtigen Register gespeicherten festen Kombination mit einer eingegebenen externen Kombination, wobei nach einer Anzahl an Fehlversuchen, d.h. Nichtidentität der Kombinationen, die Frankiermaschine mittels einer Hemmungselektronik gesperrt wird. Nach US 4 835 697 kann zur Verhinderung eines unautorisierten Zugriffs auf die Frankiermaschine die Kombination grundsätzlich gewechselt werden.
Aus der US 5,077,660 ist außerdem eine Methode zum Wechsel der Konfiguration der Frankiermaschine bekannt, wobei die Frankiermaschine mittels geeigneter Eingabe über eine Tastatur vom Betriebsmode in einen Konfigurationsmode umgeschaltet und eine neue Metertypnummer eingegeben werden kann, welche der gewünschten Anzahl an Merkmalen entspricht. Die Frankiermaschine generiert einen Code für die Kommunikation mit dem Computer der Datenzentrale und die Eingabe der Identifikationsdaten und der neuen Metertypnummer in vorgenannten Computer, der ebenfalls einen entsprechenden Code zur Übermittlung und Eingabe in die Frankiermaschine generiert, in der beide Code verglichen werden. Bei Übereinstimmung beider Code wird die Frankiermaschine konfiguriert und in den Betriebsmode umgeschaltet. Die Datenzentrale hat dadurch vom jeweils eingestellten Metertyp für die entsprechende Frankiermaschine immer genaue Aufzeichnungen. Jedoch ist die Sicherheit allein von der Verschlüsselung der übertragenen Code abhängig.
Darüber hinaus ist aus der EP 388 840 A2 eine vergleichbare Sicherheitstechnik für ein Setzen einer Frankiermaschine bekannt, um diese von Daten zu säubern, ohne daß die Frankiermaschine zur Herstellerfirma transportiert werden muß. Auch hier ist die Sicherheit allein von der Verschlüsselung der übertragenen Code abhängig.
Die gesicherte Nachladung einer Frankiermaschine mit einem Guthaben wurde in US 3 255 439 einerseits bereits mit einer automatischen Signalübertragung von der Frankiermaschine zur Datenzentrale verbunden, wenn immer eine vorbestimmte Geldmittelsumme, welche frankiert wurde, oder Stückzahl an bearbeiteten Poststücken oder eine vorbestimmte Zeitperiode erreicht wurde. Alternativ kann ein der Geldmittelsumme, Stückzahl oder Zeitperiode entsprechendes Signal übermittelt werden. Dabei erfolgt die Kommunikation mittels binärer Signale über miteinander über eine Telefonleitung verbundene Konverter. Die Maschine erhält eine ebenso gesicherte Nachladung entsprechend der Kreditbalance und blockiert in dem Fall, wenn kein Kredit nachgeliefert wird.
Aus der US 4 811 234 ist bekannt, die Transaktionen verschlüsselt durchzuführen und dabei die Register der Frankiermaschine abzufragen und die Registerdaten der Datenzentrale zu übermitteln, um einen zeitlichen Bezug der Verringerung des im Register gespeicherten verfügungsberechtigten Betrages anzuzeigen. Einerseits identifiziert sich die Frankiermaschine bei der Datenzentrale, wenn ein voreinstellbarer Schwellwert erreicht ist, mittels ihres verschlüsselten Registerinhaltes. Andererseits modifiziert die Datenzentale durch entsprechende Berechtigungssignale den gewünschten Frankierbetrag, bis zu dem frankiert werden darf. Die Verschlüsselung ist somit die einzige Sicherheit gegen eine Manipulation der Registerstände. Wenn also ein Manipulator zwar ordnungsgemäß immer den gleichen Betrag in gleichen zeitlichen Intervallen lädt, aber zwischenzeitlich mit der manipulierten Frankiermaschine einen viel höheren Betrag frankiert, als er bezahlt hat, kann die Datenzentrale keine Manipulation feststellen.
Aus der EP 516 403 A2 ist bekannt, die in der Vergangenheit protokollierten und in einem Speicher gespeicherten Fehler der Frankiermaschine regelmäßig zu einem entfernten Fehleranalysecomputer zur Auswertung zu übertragen. Eine solche Ferninspektion erlaubt eine frühe Warnung vor einem auftretenden Fehler und ermöglicht weitere Maßnahmen (Service) zu ergreifen. Allein dies bietet noch kein ausreichendes Kriterium für eine Manipulation.
Gemäß der GB 22 33 937 A und US 5 181 245 kommuniziert die Frankiermaschine periodisch mit der Datenzentrale. Ein Blockiermittel gestattet die Frankiermaschine nach Ablauf einer vorbestimmten Zeit bzw. nach einer vorbestimmten Anzahl an Operationszyklen, zu blockieren und liefert eine Warnung an den Benutzer. Zum Freischalten muß von außen ein verschlüsselter Code eingegeben werden, welcher mit einem intern erzeugten verschlüsselten Code verglichen wird. Um zu verhindern, daß falsche Abrechnungsdaten an die Datenzentrale geliefert werden, werden in die Verschüsselung des vorgenannten Codes die Abrechnungsdaten mit einbezogen. Nachteilig ist, daß die Warnung zugleich mit dem Blockieren der Frankiermaschine erfolgt, ohne daß der Benutzer eine Möglichkeit hat, sein Verhalten rechtzeitig entsprechend zu ändern.
Aus der US 5 243 654 ist eine Frankiermaschine bekannt, wo die laufenden von Uhr/Datumsbaustein gelieferten Zeitdaten mit gespeicherten Stillegungszeitdaten verglichen werden. Ist die gespeicherte Stillegungszeit durch die laufende Zeit erreicht, wird die Frankiermaschine deaktiviert, das heißt ein Drucken verhindert. Bei Verbindungsaufnahme mit einer Datenzentrale, welche die Abrechnungsdaten aus dem steigenden Register ausliest, wird der Frankiermaschine ein verschlüsselter Kombinationswert übermittelt und eine neue Frist gesetzt, wodurch die Frankiermaschine wieder betriebsfähig gemacht wird. Dabei ist der Verbrauchssummenbetrag, der das verbrauchte Porto summiert enthält und von der Datenzentrale gelesen wird, ebenfalls Bestandteil des verschlüsselt übermittelten Kombinationswertes. Nach der Entschlüsselung des Kombinationswertes wird der Verbrauchssummenbetrag abgetrennt und mit dem in der Frankiermaschine gespeicherten Verbrauchssummenbetrag verglichen. Ist der Vergleich positiv, wird die Sperre der Frankiermaschine automatisch aufgehoben. Durch diese Lösung wird erreicht, daß sich die Frankiermaschine bei der Datenzentrale periodisch meldet, um Abrechnungsdaten zu übermitteln. Es sind jedoch Benutzungsfälle durchaus denkbar, wo das zu frankierende Postaufkommen schwankt (Saisonbetrieb). In diesen Fällen würde in nachteiliger Weise die Frankiermaschine unnötig oft blockiert werden.
Aus der US 4.760.532 ist ein Postbehandlungssystem mit Postwertübertragungs- und Abrechnungsfähigkeit bekannt. Dabei werden Informationen an das Datenzentrum via Telefon mittels des in den USA verbreiteten touch-tone Verfahrens übermittelt. Durch Drücken einer entsprechenden Taste des Telefons kann der Bediener eine Ziffer übertragen. Informationen vom Datenzentrum werden mittels Computerstimme an den Bediener übertragen, welcher die übertragenen Werte in die Frankiermaschine eingeben muß. Zur Fondsrückübertragung ist das Transferieren eines negativen postalischen Funds zu einem Postgerät in einem ersten Schritt zur Errichtung einer Kommunikation mit einer Zentralstation vorgesehen. Die Zentralstation überwacht die Gesamtsumme an Post (Restwertguthaben), die in dem Postgerät gespeichert ist. In einem zweiten Schritt erfolgt die Versorgung der vorgenannten Zentralstation mit einer auf einen gewünschten Wechsel bezogene Information, um die Gesamtsumme an Postwerten zu reduzieren, die in vorgenannten Postgerät verfügbar ist, und mit einer eindeutigen Identifikation betreff des vorgenannten Postgerätes. Ein dritter Schritt beinhaltet ein, Empfangen von der Zentralstation und Eingabe eines ersten eindeutigen Codes in das vorgenannte Postgerät, wobei das Eingeben betrieben wird, um die Gesammtsumme an Postwerten, die in dem Postgerät gespeichert sind, in Übereinstimmung mit vorgenanntem Wunsch zu reduzieren. Und im vierten Schritt ist ein Generieren eines zweiten eindeutigen Codes in dem Postgerät vorgesehen, wenn der erste eindeutige Code in das Postgerät eingegeben wurde, wobei der zweite eindeutige Code eine Indikation derart liefert, daß der vorgenannte Postwert, der zum Bedrucken der Post zur Verfügung steht, in vorgenannten Postgerät reduziert worden ist. Ist jedoch die Übertragung gestört bzw. unterbrochen, dann wird von der Datenzentrale kein erster Code empfangen und der Fonds in der Frankiermaschine bliebe unverändert, während in der Datenzentrale bereits eine Rückbuchung vorgenommen worden ist. Zur Überprüfung könnten natürlich die Registerstände der Frankiermaschine abgefragt werden, um diese mit den in der Datenzentrale gespeicherten zu vergleichen. Es ist zu befürchten, daß ein potentieller Manipulator letzteres unterlassen würde. In US 4,760,532 ist als abschliessender Verfahrensschritt das Übertragen des vorgenannten zweiten eindeutigen Codes zu der Zentralstation vorgesehen. Unter den Bedingungen des touch-tone Verfahrens ist wieder das Betätigen von Zifferntasten erforderlich, was bei mehrstelligen Code umständlich und in der Regel nicht frei von Eingabefehlern abläuft. Außerdem ist vorgesehen, seitens der Datenzentrale einen dritten eindeutigen Code zu generieren, um das rückübertragene Guthaben an eine andere Frankiermaschine zu übertragen. Somit kann die verantwortliche Behörde durch Fehler während der Übertragung geschädigt werden. Damit tritt bei der positiven wie negativen Fernwertvorgabe die selbe Frage auf, nämlich danach, wie auf einfache Art und Weise eine Synchronität der Daten in der Zentrale und Frankiermaschine erreicht werden kann.
Es war die Aufgabe zu lösen, ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen zu schaffen und einen signifikanten Zuwachs an Sicherheit bei der Guthabenübertragung zu gewährleisten.
Dabei soll zwischen autorisiertem Handeln (Service-Techniker) und unautorisiertem Handeln (Manipulationsabsicht) unterschieden und die Manipulationssicherheit erhöht werden. Eine weitere Aufgabe ist es, die Sicherheit bei einer Kommunikation mit dem Datenzentrum zu verbessern, wenn Daten in beiden Richtungen übermittelt werden.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 bzw. 3 gelöst.
Die erfindungsgemäße Lösung beruht einerseits auf der Erkenntnis, daß nur zentral in einer Datenzentrale gespeicherte Daten vor einer Manipulation hinreichend geschützt werden können. Ein signifikanter Zuwachs an Sicherheit und Synchronität in den gespeicherten Daten wird durch ein Daten-Melden vor jeder vorbestimmten Handlung an der Frankiermaschine erreicht. Ebenfalls erhöht das in mehr oder weniger großen Zeitabständen erfolgende Melden, insbesondere zum Nachladen eines Guthabens in Verbindung mit der o.g. Protokollierung die Sicherheit gegen eine eventuelle Manipulation. Die zentral zu speichernden Daten umfassen mindestens Datum, Uhrzeit, Identifikationsnummer der Frankiermaschine (ID-Nr. bzw. PIN) und die Art der Daten (z.B. Registerwerte, Parameter), wenn die Frankiermaschine eine Kommunikation mit der Datenzentrale aufnimmt. Zwecks Vorsynchronisation der Daten der Frankiermaschine mit den Daten der Datenzentrale kann ein bestimmter Vorgabewunsch für eine erste Transaktion verwendet werden.
Andererseits erfolgt zur Erhöhung der Sicherheit ein Unterscheiden zwischen autorisiertem Handeln (Service-Techniker) und unautorisiertem Handeln (Manipulationsabsicht) mittels der Steuereinheit der Frankiermaschine in Verbindung mit Schritten für die Ausführung einer negativen Fernwertvorgabe zur Rückübertragung eines Guthabenwerts in die Datenzentrale, wobei seitens der Frankiermaschine ein Vorgabewunsch an die Datenzentrale übermittelt und dort und in der Frankiermaschine gespeichert wird.
Dabei wird von der Steuereinheit der Frankiermaschine geprüft, ob mit vorbestimmten Betätigungsmitteln ein definierter Ablauf zum Seiteneinstieg in den Sondermodus zur negativen Fernwertvorgabe vorgenommen und ein vorbestimmter Zeitablauf während der negativen Fernwertvorgabe eingehalten wurde, und ob gegebenenfalls weitere Schritte zur automatischen Durchführung der Kommunikation ausgeführt werden müssen, um die Rückübertragung zu vollenden, wenn die vorausgegangenen Schritte zur Ausführung einer negativen Fernwertvorgabe unterbrochen oder an die Frankiermaschine fehlerhafte verschlüsselte Daten übermittelt wurden.
Erfindungsgemäß erfolgt eine Kommunikation zwischen Frankiermaschine und Datenzentrale mindestens mit verschlüsselten Meldungen, wobei vorzugsweise der DES-Algorithmus verwendet wird.
Zur Lösung der Aufgabe weist damit die Frankiermaschine mindestens zwei spezielle Modi auf. Ein erster Mode ist vorgesehen, um bei betrügerischen Handlungen bzw. bei Manipulationsabsicht die Frankiermaschine am Frankieren mit Portowerten zu hindern (Kill-Mode). Diese Hemmung kann anläßlich der nächsten Inspektion vor Ort von einer dazu berechtigten Person aufgehoben werden. Die Frankiermaschine weist einen weiteren Mode auf, um bei Erfüllung ausgewählter Kriterien die Frankiermaschine gegebenenfalls zur automatischen Kommunikation mit der Datenzentrale zu veranlassen. Bei einem solchen weiteren Mode handelt es sich erfindungsgemäß um den Sondermodus negative Fernwertübertragung bzw. um einen zweiten (Sleeping) Mode. Nach Vollendung des Sondermodus ist zwecks Überprüfung der Frankiermaschine nur noch eine beschränkte Anzahl an NULL-Frankierungen möglich. Ist die vorgesehene Stückzahl verbraucht, wird zwangsweise eine automatische Kommunikation mit der Datenzentrale ausgelöst, welche somit informiert wird und relevante Registerdaten erfährt. Die Frankiermaschine ist solange im Sleeping Mode gehemmt. Durch das Zusammenwirken mindestens zweier vorgenannter Modi wird die Sicherheit bei der Handhabung von Guthaben, welche in die Frankiermaschine geladen oder daraus zur Datenzentrale rückübertragen werden sollen, gegenüber einer betrügerischen Manipulation erhöht.
Wird jedoch ein anderer als der vorbestimmte Bedienablauf während des Einschaltens der Frankiermaschine für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gewählt, welcher verboten ist, schaltet die Frankiermaschine in den vorgenannten ersten Mode, um die Frankiermaschine für ein Frankieren mit einem Portowert zu sperren (Kill-Mode).
Gegebenenfalls wird zwecks Erhöhung der Manipulationssicherheit ein bereits früher dem autorisierten Bediener (Service-Techniker) von der Datenzentrale mitgeteilter Seiteneinstieg in den Sondermodus negative Fernwertvorgabe geändert. Der zukünftig gültige Bedienablauf kann in Verbindung mit mindestens einer Transaktion während einer positiven oder negativen Fernwertvorgabe wenigsten teilweise übermittelt werden.
Ein authorisierter Bediener der Frankiermaschine, vorzugsweise der Service-Techniker, führt zum Seiteneinstieg in den Sondermodus negative Fernwertvorgabe eine vorbestimmte Bedienhandlung aus, welche außer dem Service-Techniker nur noch der Datenzentrale bekannt ist. Dabei wird ein Sonder-Flag gesetzt, welches als spezielles Transaktionsersuchen gewertet wird.
Eine Überwachung durch die Steuereinheit der Frankiermaschine während der Ausführung einer Transaktion im Sondermodus sichert, daß bei unvollendet gebliebener Transaktion die Transaktionen im Sondermodus negative Fernwertvorgabe bis zum Ende durchgeführt werden. Bei vollendeter Transaktion im Sondermodus wird das Sonder-Flag zurückgesetzt.
Hinzu tritt eine Zeitüberwachung durch die Steuereinheit der Frankiermaschine während der Ausführung einer Transaktion im Sondermodus, welche bei Zeitüberschreitung bzw. bei unvollendet gebliebener Transaktion wirksam werden, um die Transaktion zuende durchzuführen.
Eine Zeitüberwachung erfolgt ebenfalls seitens der Datenzentrale, wenn eine Transaktion im Sondermodus negative Fernwertvorgabe vorgenommen wird. Die Registerdaten der Frankiermaschine sind zentral überprüfbar, wenn wieder eine Verbindungsaufnahme zur Durchführung einer Fernwertvorgabe erfolgt, um beispielsweise ein Guthaben nachzuladen. Entweder nimmt bei unvollendet gebliebener Transaktion die Frankiermaschine automatisch wieder die Verbindung auf, um die Transaktion zuende durchzuführen oder der autorisierte Service-Techniker übergibt der Datenzentrale bis zum Tagesende eine Mitteilung über den aktuellen Zustand der Frankiermaschine zwecks Annullierung der im Sondermodus negative Fernwertmodus übertragenen Daten. Andernfalls ergibt die Zeitüberwachung seitens der Datenzentrale nach Ablauf des vorbestimmten Zeitabschnittes, eine Anerkennung der im Sondermodus negative Fernwertvorgabe übertragenen Daten.
In einer bevorzugten Variante wird die Sicherheit durch eine Prüfung des Bedienablaufes auf Übereinstimmung mit einem vorgegebenen Bedienablauf in der Frankiermaschine und durch eine Prüfung des Vorgabewunsches in der Datenzentrale auf Übereinstimmung mit einem dort gespeicherten Code für einen vorbestimmten Vorgabewunsch erhöht. Es ist möglich, den Bedienablauf zeitabhängig zu ändern, wobei in der Datenzentrale und in der Frankiermaschine der gleiche Berechnungsalgorithmus verwendet wird, um einen aktuellen Bedienablauf zu ermitteln. Eine Übertragung eines gültigen Bedienablaufes von der Datenzentrale zur Frankiermaschine wird damit überflüssig.
In einer weiteren Variante wird die Sicherheit durch eine Kombination einer Reihe von Maßnahmen erhöht. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale. Diese übermittelt in Reaktion darauf ein neues Sicherheits-Flag X und/oder einen vorbestimmten Bedienablauf für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe zur Frankiermaschine, wenn die Frankiermaschine normal eingeschaltet wurde und die Kommunikationsverbindung aufnimmt, wobei in einer ersten Transaktion ein vorbestimmter Vorgabe-Wunsch in der Datenzentrale und in der Frankiermaschine gespeichert wurde. In der Datenzentrale wird geprüft, ob der übermittelte Vorgabe-Wunsch einem vorbestimmten Vorgabe-Wunsch entspricht. In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt und in einer zweiten Transaktion wird die angemeldete Transaktion durchgeführt und entsprechend des Vorgabewunsches ein Vorgabewert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale addiert.
Für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe muß vom Service-Techniker der Bedienablauf während des Einschaltens der Frankiermaschine so, wie er von der Datenzentrale übermittelt wurde, durchgeführt werden,d.h. gleichzeitig mit dem Einschalten ist eine bestimmte Tastenkombination zu drücken.
In der zweiten Transaktion erfolgt das Nachladen der Frankiermaschine - gemäß dem entsprechenden Vorgabe-Wert - mit einem negativen Guthaben, so daß sich im Ergebnis ein Restwertguthaben von NULL ergibt.
Die erfindungsgemäße Lösung geht weiterhin davon aus, daß die in der Frankiermaschine gespeicherten Geldmittel vor unautorisiertem Zugriff geschützt werden müssen. Die Verfälschung von in der Frankiermaschine gespeicherten Daten wird so weit erschwert, daß sich der Aufwand für einen Manipulator nicht mehr lohnt.
Handelsübliche OTP-Prozessoren (ONE TIME PROGRAMMABLE) können alle sicherheiterelevanten Programmteile im Inneren des Prozessorgehäuses enthalten, außerdem den Code zur Bildung des Message Authentification Code (MAC). Letzterer ist eine verschlüsselte Checksumme, die an eine Information angehängt wird. Als Kryptoalgorithmus ist beispielsweise Data Encryption Standard (DES) geeignet. Damit lassen sich MAC- Informationen an die relevanten Sicherheits- und Sonder-Flags bzw. an die Registerdaten anhängen und somit die Schwierigkeit der Manipulation an den vorgenannten Flags bzw. Postregistern maximal erhöhen.
Das Verfahren zur Verbesserung der Sicherheit einer Frankiermaschine, welche zur Kommunikation mit einer entfernten Datenzentrale fähig ist und einen Mikroprozessor in einer Steuereinrichtung der Frankiermaschine aufweist, umfaßt außerdem ein Bilden einer Checksumme im OTP-Prozessor über den Inhalt des externen Programmspeichers und Vergleich des Ergebnisses mit einem im OTP-Prozessor gespeicherten vorbestimmten Wert vor und/oder nach Ablauf des Frankiermodus bzw. Betriebsmodus, insbesondere während der Initialisierung (d.h. wenn die Frankiermaschine gestartet wird), oder in Zeiten, in welchen nicht gedruckt wird (d.h. wenn die Frankiermaschine im Standby-Modus betrieben wird). Im Fehlerfall erfolgt dann eine Protokollierung und anschließende Blockierung der Frankiermaschine.
Zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation erfolgt ein Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung, indem während eines Betriebsmodus eine Überwachung der Zeitdauer des Ablaufes von Programmen, Programmteilen bzw. sicherheitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Vergleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit. Auch während einer Kommunikation soll damit eine Manipulation in Betrugsabsicht vereitelt werden, insbesondere durch eine im Kommunikationsmodus vorgenommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe. Es wird die Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine gesendeten vierten verschlüsselten Mitteilung in der Frankiermaschine, welche bei Verifizierung ein Null-Setzen des Guthabenwerts auslöst, überwacht. Es ist vorgesehen, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogrammm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.
In einer optionalen Variante wird die Sicherheit durch ein zusätzliches Eingabesicherheitsmittel erhöht, welches mit der Frankiermaschine in Kontakt gebracht wird, um ein Restguthaben von einer autorisierten Person zurück zur Datenzentrale zu übertragen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
Figur 1,
Blockschaltbild einer Frankiermaschine,
Figur 2,
Ablaufplan nach der erfindungsgemäßen Lösung,
Figur 3a und 3b,
Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und Datenzentrum,
Figur 4,
Ablaufplan für den Frankiermodus nach einer bevorzugten Variante,
Figur 5,
allgemene Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem Null-Guthabenwert,
Figur 6,
Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem negativen-Guthabenwert,
Figur 7,
Ablaufplan zur Einspeicherung eines Sicherheits-Flags bzw. Codewortes nach der erfindungsgemäßen Lösung
Die Figur 1 zeigt je ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Druckermodul 1 für ein vollelektronisch erzeugtes Frankierbild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, und einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, welche über einen Ein/Ausgabe-Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit einem nichtflüchtigen Speicher 5 bzw. 11 für die variablen bzw. die konstanten Teile des Frankierbildes.
Ein Charakterspeicher 9 liefert die nötigen Druckdaten für einen flüchtigen Arbeitsspeicher 7. Die Steuereinrichtung 6 weist einen Mikroprozessor µP auf, der mit dem Ein/Ausgabe-Steuermodul 4, mit dem Charakterspeicher 9, mit dem flüchtigen Arbeitsspeicher 7 und mit dem nichtflüchtigen Arbeitspeicher 5, mit einem Kostenstellenspeicher 10, mit einem Programmspeicher 11, mit dem Motor einer Transport- bzw. Vorschubvorrichtung ggf. mit Streifenauslösung 12, einem Encoder (Codierscheibe) 13 sowie mit einem Uhren/Datums-Baustein 8 in Verbindung steht. Die einzelnen Speicher können in mehreren physikalisch getrennten oder in nicht gezeigter Weise in wenigen Bausteinen zusammengefaßt verwirklicht sein, welche durch mindestens eine zusätzliche Maßnahme, beispielsweise Aufkleben auf der Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz, gegen Entnahme gesichert sind.
In der Figur 2 ist ein Ablaufplan für eine Frankiermaschine mit einem Sicherheitssystem nach einer bevorzugten Variante der erfindungsgemäßen Lösung dargestellt.
Nach dem Einschalten der Frankiermaschine im Schritt Start 100 wird anschließend innerhalb einer Startroutine 101 eine Funktionsprüfung mit anschließender Initialisierung vorgenommen.
Dieser Schritt umfaßt auch mehrere - in der Figur 7 näher dargestellte - Subschritte 102 bis 105 zur Einspeicherung eines Sicherheits-Flags bzw. Codewortes. Mit einem Schritt 103 wird, wenn gemäß Schritt 102 ein neues Sicherheits-Flag X'in einem anderen vorbestimmten Speicherplatz E des nichtflüchtigen Speichers 5 existiert, dieses neue Sicherheits-Flag X' in den Speicherplatz des alten Sicherheits-Flags X kopiert, falls dort kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt. Letzteres betrifft gleichermaßen den Fall eines autorisierten als auch unautorisierten Eingriffs, weil bei jedem Eingriff das alte Sicherheits-Flag X gelöscht wird. Ebenso kann bei einer anderen unautorisierten Handlung das Sicherheits-Flag X gelöscht werden (Kill-Mode). Falls kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt, kann im Frankiermodus 400 kein Portowert mehr gedruckt werden. Bei Nichteingriff ist kein neues Codewort übermittelt worden. In diesen Fall wird nicht kopiert und nach Schritt 104 bleibt das alte Sicherheits-Flag X im Speicher erhalten. Abschließend wird mit Punkt s die Systemroutine 200 erreicht.
Die Systemroutine 200 umfaßt mehrere Schritte 201 bis 220 des Sicherheitssystems. Im Schritt 201 erfolgt der Aufruf aktueller Daten, was weiter unten in Verbindung mit der Erfindung für einen zweiten Mode, nämlich für den Sleeping-Mode ausgeführt wird. Wie in der Figur 2 dargestellt wird im Schritt 202 überprüft, ob die Kriterien für den Eintritt in den Sleeping-Mode erfüllt sind. Ist das der Fall wird zum Schritt 203 verzweigt, um mindestens eine Warnung mittels der Anzeigeeinheit 3 anzuzeigen. Nach den o.g. Schritten wird im jeden Fall der Punkt t erreicht.
Bei Feststellung eines verbotenen Seiteneinstieges (Schritt 217), wird das vorgenannte Sicherheits-Flag X gelöscht. Dabei kann es sich beim Sicherheits-Flag X ebenso um ein MAC-gesichertes SicherheitsFlag handeln, wie auch um einen verschlüsselten Code. Die Überprüfung auf Gültigkeit des Sicherheits-Flags X wird beispielsweise im Schritt 409 eines Frankiermodus 400 mittels einem ausgewählten Prüfsummenverfahren innerhalb eines OTP-Prozessors (ONE TIME PROGRAMMABLE) durchgeführt, der intern die entsprechenden Programmteile und außerdem den Code zur Bildung eines MAC (MESSAGE AUTHENTIFICATION CODE) gespeichert enthält, weshalb der Manipulator die Art des Prüfsummenverfahrens nicht nachvollziehen kann. Auch weitere sicherheitsrelevante Schlüsseldaten und Abläufe sind ausschließlich im Inneren des OTP-Prozessors gespeichert, beispielsweise um Schlüsseldaten mit dem von der Datenzentrale zur Frankiermaschine übertragenen neuen Schlüssel zu ergänzen, damit mit den so ergänzten Schlüsseldaten eine Verschüsselung von Meldungen vorgenommen werden kann, welche zur Datenzentrale übermittelt werden. Andererseits erlauben die gleichen sicherheitsrelevanten Schlüsseldaten bzw. Abläufe eine Absicherung über die Postregister zu legen.
Eine weitere Sicherungsvariante, welche ohne OTP-Prozessor auskommt, besteht im Erschweren des Auffindens der Schlüssel durch dessen Kodierung und partielle Ablage in unterschiedlichen Speicherbereichen. Wieder werden MAC an jede Information in den sicherheitsrelevanten Registern angehängt. Eine Manipulation der Registerdaten kann durch Kontrolle über den MAC erkannt werden. Diese Routine erfolgt im Schritt 406 im Frankiermodus, der in der Figur 4 dargestellt ist. Damit läßt sich die Schwierigkeit der Manipulation an den Postregistern maximal erhöhen.
Bei erfolgter Prüfung im Schritt 217, wobei ein relevanter Mangel festgestellt und das Sicherheits-Flag X im Schritt 209 gelöscht wurde, wird der Punkt e, d.h. der Beginn eines Kommunikationsmodus 300 erreicht und in einem - in den Figuren 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d.h. der Betriebsmodus 290 erreicht. Wurden relevante Daten im Kommunikationsmodus übermittelt, dann ist zur Datenauswertung auf den Schritt 213 zu verzweigen. Oder anderenfalls, wenn im Schritt 211 die Nichtübermittlung festgestellt wird, ist auf den Schritt 212 zu verzweigen. Nun wird überprüft, ob entsprechende Eingaben getätigt worden sind, um bei Testanforderung 212 in den Testmodus 216, anderenfalls um bei beabsichtigter Registerstandüberprüfung 214 in einen Anzeigemodus 215 zu gelangen. Ist das nicht der Fall, wird automatisch der Punkt d, d.h. der Frankiermodus 400 erreicht.
Im Falle einer Manipulation wird der Schritt 213 zur Statistik- und Fehlerauswertung erreicht. Über den Schritt 213 wird der Anzeigemodus 215 erreicht und dann zur Systemroutine zurückverzweigt. Das Sperren kann also vorteilhaft dadurch erfolgen, indem die Verzweigung auf den Frankiermodus 400 nicht mehr ausgeführt wird. Erfindungsgemäß ist weiterhin vorgesehen, daß im Schritt 213 eine Statistik- und Fehlerauswertung durchgeführt wird, um weitere aktuelle Daten zu gewinnen, welche nach Verzweigung zur Systemroutine 200 in Schritt 201 ebenfalls aufrufbar sind, beispielsweise für einen vorgenannten zweiten Mode oder einen anderen Sondermode.
Zwischen den Punkten s und t der Systemroutine 200 können eine Vielzahl von weiteren Abfragen nach Erfüllung weiterer Kriterien für weitere Modi liegen. Nähere Ausführungen bezüglich einer Abfrage nach einem ersten Mode, welcher zum Verhindern des Drucken bzw. zum Sperren der Frankiermaschine dient, sind der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen. Im Falle einer Öffnung des Frankiermaschinengehäuses durch dazu befugte Personen ist eine schriftliche ggf. fernmündliche Anmeldung im Datenzentrum zur autorisierte Öffnung vorgeschlagen worden, welche das Öffnungsdatum und die Uhrzeit für den ungefähren Öffnungsbeginn mitteilt. Bevor dann die Frankiermaschine tatsächlich geöffnet werden kann, muß über MODEM eine Kommunikation mit dem Datenzentrum aufgenommen werden, um die Öffnungsbefugnis zu ersuchen und einen neuen zukünftigen Code Y' zu laden, der den alten ersetzen kann.
Im Unterschied dazu wird jedoch das Vorhandensein des Sicherheits-Flags X nicht zwischen den Punkten s und t sondern ausschließlich im Schritt 409 im Frankiermodus abgefragt. Dadurch kann der Service-Techniker durch Laden des neuen Sicherheits-Flags X' dennoch auch nach einer Löschung des vorgenannten Flags anschließend die volle Funktionsfähigkeit der Frankiermaschine wiederherstellen. Das erlaubt nun beispielsweise auch eine Überprüfung durchzuführen, ob eine unautorisierte Handlung tatsächlich zur Löschung des Sicherheits-Flags bzw. Codewortes führt, oder ob das Löschen durch Manipulation verhindert worden ist.
Bei autorisierter Bedienungshandlung wird in dem - in der Figur 2 gezeigten - Schritt 217 erkannt, daß kein verbotener Seiteneinstieg durchgeführt wurde. Ein erlaubter Seiteneinstieg, der für eine andere Eingabe durchgeführt wurde, ist in der Figur 2 nicht näher dargestellt worden. Jedoch ist ein solches Abtragekriterium ebenfalls vorgesehen, um beispielsweise im Schritt 212 zu erkennen, ob eine Bedienhandlung vorgenommen wurde, um in einen Testmode zu gelangen. Beim erlaubten Seiteneinstieg, der nicht der richtige Seiteneinstieg für den Sondermodus einer negativen Fernwertvorgabe zwecks Fondsrückübertragung von der Frankiermaschine zur Datenzentrale ist, wird zum Punkt e der System-routine 200 verzweigt. Anderenfalls wird beim richtigen Seiteneinstieg zum Schritt 220 verzweigt, um ein Sonder-Flag für den Eintritt in den Sondermodus zu setzen. Es ist in weiterer Ausgestaltung eventuell ein weiterer Abfrageschritt 219 vor dem Schritt 220 vorgesehen, um mit einem weiteren Kriterium die Sicherheit gegen unautorisierten Aufruf des Sondermodus weiter zu erhöhen, wobei bei Nichterfüllung des Kriteriums auf den Punkt e der Systemroutine 200 verzweigt wird. Beispielsweise kann der im Figur 2 gezeigte Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob die Identifikationsnummer (ID-Nr. bzw. PIN) eingegeben wurde. Durch den Seiteneinstieg ist die Sicherheit bereits ausreichend hoch, so daß im Interesse einer einfacheren Bedienung auf solche zusätzlichen weiteren Kriterinabfragen auch verzichtet werden kann. Eine andere Möglichkeit in dem in der Figur 2 gezeigten Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob mindestens n-mal der gleiche vorbestimmte Vorgabewunsch gestellt und ein entsprechender Vorgabewert zum Guthabenrestwert addiert wurde, ist ebenfalls nur optional und deshalb gestrichelt in der Figur 2 gezeichnet. Hierbei kann es sich um einen NULL-Vorgabewunsch handeln, der zur Übertragung eines NULL-Vorgabewertes führt und zum Restwert addiert werden kann, ohne daß dadurch die Höhe des gespeicherten Guthabens verändert wird.
Um die Sicherheit gegen Manipulation weiter zu erhöhen, ist vorgesehen, daß das im Schritt 220 gesetzte Sonder-Flag N für den Sondermodus ebenfalls ein MAC-gesichertes Flag N ist.
Die Sicherheit wird zusätzlich durch eine Überprüfung in der Datenzentrale erhöht, ob ein vorbestimmter Vorgabewunsch von der Frankiermaschine übermittelt worden ist. Es ist vorgesehen, daß der übermittelte Vorgabewunsch in der Datenzentrale als Code gewertet wird, eine ganz bestimmte Transaktion durchzuführen. Der übermittelte Vorgabewunsch kann in der Datenzentrale als Code gewertet werden, um eine Fondsrückübertragung zu erlauben. Andernfalls kann der übermittelte Vorgabewunsch in der Datenzentrale als Code gewertet werden, eine Übertragung für ein Sicherheits-Flag X bzw. für ein X-Codewort zu erlauben.
In den Figuren 3a und 3b erfolgt eine Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine einerseits und der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Datenzentrale andererseits.
Wird der Punkt e, d.h. der Beginn des nachfolgend erläuterten Kommunikationsmodus 300 erreicht, wird in einem - in den Figuren 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ein solches kann beispielsweise zur Guthabennachladung, Telefonnummernänderung u.a. gestellt werden.
Der Benutzer wählt den Kommunikations- bzw. Fernwertvorgabemodus der Frankiermaschine über die Eingabe der Identifikationsnummer (achtstelligen Portoabrufnummer) an. Es wird nun beispielsweise angenommen, es soll die Fondsrückübertragung in Höhe des in der Frankiermaschine verbliebenen Restwertes erfolgen. Hierbei erfolgt zuerst eine Registerabfrage des Descending-registers R1, welches den Restwert gespeichert enthält. Nach einem Ausschalten der Frankiermaschine wird beim Wiedereinschalten ein Seiteneinstieg in den Sondermodus vorgenommen. Nach der Eingabe der Identifikationsnummer wird die Eingabe mit der Teleset-Taste bestätigt und der Vorgabewunsch in Höhe des vorher abgefragten Restwertes eingegeben. Durch den Seiteneinstieg wird der Vorgabewunsch automatisch als zu subtrahierender Vorgabewert gewertet. Der Vorgabewunsch wird durch Betätigung der Teleset-Taste (T-Taste) bestätigt. Da bei jeder Kommunikation von der Datenzentrale auch der Restwert abgefragt wird, kann damit ein Vergleich in der Datenzentrale beider, d.h. von Restwert und Vorgabe-Wunsch erfolgen. Anderenfalls können im Sondermodus die vorgenannten Eingaben für eine bevorzugte Variante auch automatisch von der Frankiermaschine ausgeführt werden, um die Bedienung zu vereinfachen.
Anderenfalls soll beispielsweise eine Kommunikation erfolgen, um ein neues Sicherheits-Flag X' zu laden, der das alte Sicherheits-Flag X ersetzen kann. Wird nur ein solches Transaktionsersuchen gestellt, muß der Vorgabebetrag geändert werden, denn in diesem Fall muß das Guthaben in der Frankiermaschine natürlich nicht aufgestockt werden. Andererseits kann auch ein anderer Wert außer Null vereinbart werden, insbesondere ein Wert, dem nur ein minimaler Betrag entspricht, um den der Descending-Registerwert aufgestockt werden müßte.
In der Figur 3a wird derjenige Teil der Kommunikation einer Transaktion dargestellt, der mit unverschlüsselten Meldungen vorgenommen wird. Dennoch können diese Meldungen Daten enthalten, welche MAC-abgesichert sind, beispielsweise die Identifikationsnummer der Frankiermaschine.
Im Schritt 302 kann eine Eingabe der Identifikations-Nummer (ID-Nr.) und der beabsichtigten Eingabeparameter auf folgende Weise erfolgen. Bei der ID-Nr. kann es sich um die Serien-Nummer der Frankiermaschine, um eine PIN bzw. PAN (Portoabrufnummer) handeln, die durch Betätigung mittels vorbestimmter T-Taste des Eingabemittels 2 quittiert wird. In der Anzeigeeinheit 3 erscheint der bei der letzten Fernwertvorgabe(Nachladung) benutzte Eingabeparameter(Vorgabewert), der nun durch die Eingabe des gewünschten Eingabeparameters überschrieben oder beibehalten wird. Beim Eingabeparameter handelt es sich um eine Zahlenkombination, welche in der Datenzentrale als Aufforderung verstanden wird, beispielsweise ein neues Sicherheits-Flag bzw. Codewort X' zu übermitteln, wenn zuvor eine Eingriffsbefugnis eingeholt worden ist. Bei Falscheingabe des vorgenannten Eingabeparameters kann die Anzeige durch Drücken einer C-Taste gelöscht werden.
Beispielsweise wird eine Änderung eingegeben, um bei einer Transaktion ein Guthaben mit dem Wert Null zu laden, aber es wird keine Eingriffsbefugnis zuvor eingeholt. Somit dient der Eingabeparameter nur als neuer Vorgabewert. Dabei wird aber weder das Guthaben für Frankierungen wertmäßig erhöht, wenn der Eingabeparameter den Wert Null hat, noch ein neues Sicherheitsflag geladen. Jedoch kann bei jeder Kommunikation eine Stückzahl S' übermittelt werden, wie ebenfalls der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen ist.
Nur durch das vorhergehende Mitteilen, beispielsweise mittels eines separaten Anrufes bei der Datenzentrale oder einer anderen Kommunikationsform, wird der Datenzentrale mitgeteilt, daß ein neues Sicherheits-Flag X' zur Frankiermaschine übermittelt werden soll, wenn anschließend innerhalb einer vorbestimmten Zeitdauer seitens der Frankiermaschine eine Transaktion für den Wert Null gestartet wird. Das Eingriffsgesuch gilt nur dann als gestellt, wenn nach dem Anmelden eines autorisierten Eingriffs die Frankiermaschine in den so vereinbarten Kommunikationsmodus eintritt.
Wird aber zuvor ein beliebig anderer Eingabeparameter mit der Datenzentrale vereinbart, erfolgt bei Eingabe dieses Eingabeparameters außer der Übermittlung eines neuen Sicherheitsflags X' entsprechend des vorvereinbarten Codes der durch den vorbestimmten Vorgabewunsch gebildet wird auch noch eine Nachladung des Guthabens entsprechend des eingegebenen Vorgabewertes im Ergebnis einer zweiten Transaktion bewirkt.
Wird ein anderer Eingabeparameter als der vereinbarte eingegeben, führt dies im Ergebnis lediglich zur Nachladung in Höhe des gewählten neuen Vorgabebetrages, wo bei im Unterschied zu den anderen Transaktionsdaten jedoch der Vorgabebetrag nicht zur Frankiermaschine übermittelt werden braucht. Vielmehr ist die Tatsache, daß eine gültige Transaktion verifiziert wurde für die Frankiermaschine ausreichend, eine Aufstockung bzw. Minderung des Descendingregisterinhaltes um den Vorgabebetrag entsprechend dem gespeicherten Vorgabewunsch vorzunehmen.
Ist der gewünschte Eingabeparameter richtig angezeigt, wird dies durch erneutes Betätigen der vorbestimmten T-Taste des Eingabemittels 2 bestätigt. In der Anzeigeeinheit 3 erscheint dann eine Darstellung entsprechend einer Eingabeparameteränderung oder entsprechend der Nichtänderung (alter Vorgabewert).
Durch Betätigung der vorbestimmten T-Taste wird die Veränderung des Eingabeparameters über MODEM-Verbindung gestartet. Die Eingabe überprüft (Schritt 303) und der weitere Vorgang läuft automatisch ab, wobei der Ablauf durch eine entsprechende Anzeige begleitet wird.
Dazu prüft die Frankiermaschine, ob ein MODEM angeschlossen und betriebsbereit ist. Ist das nicht der Fall, wird auf den Schritt 310 verzweigt, um anzuzeigen, daß das Transaktionsersuchen wiederholt werden muß. Anderenfalls liest die Frankiermaschine die Wahlparameter, bestehend aus den Herauswahlparametern (Haupt-/Nebenstelle, usw.) und der Telefonnummer aus dem NVRAM-Speicherbereich F und sendet diese mit einem Wahlaufforderungskommando an das Modem 23. Anschließend erfolgt der für die Kommunikation erforderliche Verbindungsaufbau über das MODEM 23 mit der Datenzentrale in einem Schritt 304.
In der Figur 3a ist auf der linken Hälfte ebenfalls der parallel erfolgende Ablauf in der Datenzentrale dargestellt, welcher für die Kommunikation notwendig ist. Im Schritt 501 wird ständig geprüft, ob ein Anruf in der Datenzentrale erfolgt ist. Ist das der Fall, und das MODEM 23 hat die Gegenseite angewählt, erfolgt im Schritt 502 parallel der Verbindungsaufbau auch in der Datenzentrale. Und im Schritt 503 wird ständig überwacht, ob die Verbindung zur Datenzentrale gelöst wurde. Ist das der Fall, erfolgt nach einer Fehlermeldung im Schritt 513 eine Rückverzweigung zum Schritt 501.
Parallel dazu wird in der Frankiermaschine im Schritt 305 überwacht, ob Kommunikationsfehler aufgetreten sind und gegebenenfalls zum Schritt 304 zurückverzweigt, um seitens der Frankiermaschine die Verbindung erneut aufzubauen. Nach einer vorbestimmten Anzahl n ergebnisloser Wahlwiederholungen zwecks Verbindungsaufbau wird über einen Anzeigeschritt 310 auf den Punkt e zurückverzweigt. Lag kein im Schritt 305 ermittelbarer Fehler vor, wird im Schritt 306 seitens der Frankiermaschine festgestellt, daß die Verbindung aufgebaut ist und eine Transaktion erst noch erfolgen soll, wird auf den Schritt 307 verzweigt, um eine Eröffnungsnachricht bzw. um Identifikations-, Vorspann- bzw. Registerdaten zu senden. Im nachfolgenden Schritt 308 wird die gleiche Überprüfung, wie im Schritt 305 durchgeführt, d.h. bei einem aufgetretenen Kommunikationsfehler wird zum Schritt 304 zurückverzweigt. Anderenfalls wurde eine Eröffnungsnachricht von der Frankiermaschine an die Datenzentrale geschickt. Darin ist u.a. die Portoabrufnummer zur Bekanntmachung des Anrufenden, d.h. der Frankiermaschine, bei der Datenzentrale enthalten.
Diese Eröffnungsnachricht wird in der Datenzentrale im Schritt 504 auf Plausibilität überprüft und weiter ausgewertet, indem anschließend im Schritt 505 wieder überprüft wird, ob die Daten fehlerfrei übermittelt worden sind. Ist dies nicht der Fall, erfolgt eine Rückverzweigung zur Fehlermeldung auf den Schritt 513. Sind andererseits die Daten fehlerfrei und in der Datenzentrale wird erkannt, daß die Frankiermaschine ein Nachladeersuchen gestellt hat, so wird im Schritt 506 eine Erwiderungsnachricht zur Frankiermaschine als Vorspann gesendet. Im Schritt 507 wird überprüft, ob im Schritt 506 die Vorspannmeldung einschließlich Vorspann-Ende gesendet worden ist. Ist das aber nicht der Fall, dann wird auf den Schritt 513 zurückverzweigt.
In der Frankiermaschine wird im Schritt 309 geprüft, ob von der Datenzentrale inzwischen ein Vorspann als Erwiderungsnachricht gesendet bzw. empfangen wurde. Ist das nicht der Fall, wird zur Anzeige auf den Schritt 310 zurückverzweigt und danach erneut ein Transaktionsersuchen im Schritt 301 abgefragt. Wurde ein Vorspann empfangen und die Frankiermaschine hat eine OK-Meldung erhalten, erfolgt im Schritt 311 eine Überprüfung der Vorspannparameter hinsichtlich einer Telefonnummernänderung. Wenn ein verschlüsselter Parameter übermittelt wurde, liegt keine Telefonnummernänderung vor und es wird auf den Schritt 313 in der Figur 3b verzweigt.
In der Figur 3b erfolgt eine Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und parallel dazu derjenigen in der Datenzentrale.
Im Schritt 313 wird von der Frankiermaschine an die Datenzentrale eine Beginnmeldung verschlüsselt gesendet. Im Schritt 314 wird die Meldung auf Kommunikationsfehler überprüft. Liegt ein Kommunikationsfehler vor, wird zum Schritt 304 zurückverzweigt und es erfolgt erneut ein Versuch, die Verbindung zur Datenzentrale aufzubauen, um die Beginn-Meldung verschlüsselt zu senden.
Von der Datenzentrale wird diese verschlüsselte Beginn-Meldung empfangen, wenn im Schritt 506 die Vorspann-Meldung vollständig gesendet worden war und im Schritt 507 das Vorspann-Ende übermittelt worden ist. Im Schritt 508 wird in der Datenzentrale überprüft, ob diese die Beginn-Meldung erhalten hat und die Daten in Ordnung sind. Ist das nicht der Fall, wird im Schritt 509 überprüft, ob der Fehler behebbar ist. Ist der Fehler nicht behebbar, wird auf den Schritt 513 verzweigt nachdem eine Fehlermeldung von der Datenzentrale DZ an die Frankiermaschine FM im Schritt 511 übermittelt wurde. Anderenfalls wird im Schritt 510 eine Fehlerbehandlung durchgeführt und auf den Schritt 507 verzweigt. Wird im Schritt 508 der Empfang ordnungsgemäßer Daten festgestellt, beginnt die Datenzentrale im Schritt 511 eine Transaktion durchzuführen. Im vorgenannten Beispiel wird mindestens die Identifikationsnummer mittels einer verschlüsselten Meldung zur Frankiermaschine übertragen, welche im Schritt 315 die Transaktionsdaten empfängt.
Im nachfolgenden Schritt 316 werden die Daten geprüft. Liegt ein Fehler vor, wird auf den Schritt 310 zurückverzweigt. Anderenfalls erfolgt in der Datenzentrale im Schritt 512 eine Speicherung der gleiche vorgenannten Daten, wie in der Frankiermaschine. Im Schritt 318 wird also in der Frankiermaschine die Transaktion mit der Datenspeicherung abgeschlossen. Anschließend wird zum Schritt 305 zurückverzweigt. Soll keine weitere Transaktion erfolgen, wird zur Anzeige der Schritt 310 und danach Schritt 301 erreicht.
Wenn nun kein Transaktionsersuchen gestellt wird, wird im Schritt 211 gemäß Figur 2 überprüft, ob Daten übermittelt worden sind. Wurden Daten übermittelt, wird der Schritt 213 erreicht. Entsprechend des Eingabewunsches plaziert die Frankiermaschine den aktuellen Vorgabewunsch oder das neue Codewort Y' bzw. andere Transaktionsdaten beispielsweise im Speicherbereich E des nichtflüchtigen Speichers 5.
Wird als Eingabeparameter im Schritt 302 aber eine andere Zahlenkombination als Null eingegeben und die Eingabe war in Ordnung (Schritt 303), erfolgt ein Verbindungsaufbau (Schritt 304). Und wenn ohne Fehler (Schritt 305) eine Verbindung aufgebaut vorliegt (Schritt 306), wird eine Identifizierungs- und Vorspann-Meldung an die Datenzentrale gesendet. In dieser Eröffnungsnachricht ist wieder u.a. auch die Portoabrufnummer PAN zur Identifizierung der Frankiermaschine bei der Datenzentrale enthalten. Die Datenzentrale erkennt aus der eingegebenen Zahlenkombination, falls die Daten fehlerfrei sind (Schritt 505), daß in der Frankiermaschine beispielsweise ein Guthaben mit einem Vorgabewert aufgestockt werden soll.
Hat sich inzwischen die aktuelle Telefonnummer der Datenzentrale geändert, müssen Maßnahmen ergriffen werden, daß diese in der Frankiermaschine gespeichert wird. Im Schritt 506 wird dann von der Datenzentrale eine Erwiderungsnachricht mit den Elementen Änderung der Telefonnummer und aktuelle Telefonnummer unverschlüsselt gesendet. Die Frankiermaschine, die diese Meldung erhält, erkennt im Schritt 311, daß die Telefonnummer geändert werden soll. Nun wird zum Schritt 312 verzweigt, um die aktuelle Telefonnummer zu speichern. Anschließend wird auf den Schritt 304 zurückverzweigt. Ist die Verbindung noch aufgebaut und ein Kommunikationsfehler liegt nicht vor (305), wird im Schritt 306 anschließend geprüft, ob eine weitere Transaktion erfolgen soll. Wenn das nicht der Fall ist, wird über den Schritt 310 zum Schritt 301 verzweigt. Die Übermittlung der Telefonnummer kann ebenfalls MAC-abgesichert erfolgen.
Nach erfolgter Abspeicherung der aktuellen Telefonnummer baut die Frankiermaschine automatisch eine neue Verbindung zur Datenzentrale unter Zuhilfenahme der neuen Telefonnummer auf. Die eigentliche, vom Benutzer beabsichtigte Transaktion, eine Fernwertvorgabe des neuen Sicherheits-Flag X' oder eine Übermittlung einer zur Verifizierung geeigneten verschlüsselten Meldung zur Nachladung des Restwertguthabens entsprechend einem Vorgabe-wunsch wird somit automatisch, d.h. ohne einen weiteren Eingriff durch den Benutzer der Frankiermaschine, durchgeführt. In der Anzeige erscheint eine entsprechende Mitteilung, daß aufgrund der Telefonnummernänderung die Verbindung automatisch neu aufgebaut wird.
Es ist vorgesehen, daß nach einem Eingriff, die Frankiermaschine in den Kommunikationsmodus 300 gesteuert wird. Der Berechtigte kann auch der Datenzentrale die beendete Überprüfung noch anschließend mitteilen. Eine Kommunikation kann eine Telefonnummernspeicherung, als auch eine Guthabennachladung bzw. Fondsrückübertragung umfassen. Ohne Unterbrechung der Kommunikation können so mehrere Transaktionen durchgeführt werden.
Soll die Höhe des nachzuladenden Guthabens in der gleichen Höhe verbleiben, wie bei der letzten Guthabennachladung, ist nur eine Transaktion notwendig.
Soll die Höhe des nachzuladenden Guthabens aber geändert werden, sind zwei Transaktionen erforderlich. Beide Transaktionen erfolgen auf vergleichbare Weise.
Eine gelungene Transaktion läuft dabei wie folgt ab: Die Frankiermaschine schickt ihre ID-Nummer und einen Vorgabewert für die Höhe des gewünschten Nachladeguthabens ggf. zusammen mit einem MAC an die Datenzentrale. Diese prüft eine derartige übermittelte Nachricht gegen den MAC, um dann eine ebenfalls MAC-gesicherte OK-Meldung an die Frankier-maschine zu senden. Die OK-Meldung enthält den Vorgabewert nicht mehr.
Es ist vorgesehen, daß die Übermittlung eines neuen Sicherheitsflags X' bzw. von relevanten Daten für eine Änderung der Guthabenhöhe in der Frankiermaschine in verschlüsselter Form, aber die Übermittlung von Telefonnummer in unverschlüsselter Form erfolgt. Jedoch ist eine MAC-Absicherung zusätzlich möglich. Wird in der Datenzentrale festgestellt, daß die Verbindung zur Frankiermaschine gelöst wurde (Schritt 503) oder fehlerhafte Daten (505) bzw. nicht behebbare Fehler (509) vorliegen oder kein Vorspannende gesendet wurde (507), ist die Kommunikation beendet. Nach einer Fehlermeldung erfolgt das Lösen der Kommunikationsverbindung, das Speichern der übermittelten Daten und deren Auswertung im Schritt 513 seitens der Datenzentrale.
Während einer ersten Transaktion wird mindestens eine verschlüsselte Nachricht zur Datenzentrale als auch zur Frankiermaschine übermittelt. Der Vorgabewunsch ist nur in der verschlüsselten Nachricht der ersten Transaktion enthalten. Jede übermittelte Nachricht, welche sicherheitsrelevante Transaktionsdaten enthält, ist verschlüsselt. Als Verschlüsselungsalgorithmus für die verschlüsselten Meldungen ist beispielsweise der DES-Algorithmus vorgesehen.
Ein Transaktionsersuchen führt in der Frankiermaschine zu einer speziell gesicherten Guthabennachladung. Vorzugsweise erfolgt ein Absichern der außerhalb des Prozessors im Kostenstellenspeicher 10 vorliegenden Postregister außerdem während der Guthabennachladung mittels einer Zeitsteuerung. Wird die Frankiermaschine beispielsweise mit einem Emulator/Debugger observiert, dann ist es wahrscheinlich, daß die Kommunikations- und Abrechnungsroutinen nicht innerhalb einer vorbestimmten Zeit ablaufen. Ist das der Fall, d.h. die Routinen benötigen erheblich mehr Zeit, wird ein Teil des DES-Schlüssels geändert. Das Datenzentrum, kann diesen modifizierten Schlüssel während einer Kommunkikationsroutine mit Registerabfrage feststellen und daraufhin die Frankiermaschine als suspekt melden, sobald gemäß Schritt 313 eine Beginn-Meldung verschlüsselt gesendet wird.
In der Datenzentrale wird im Schritt 509 festgestellt, daß der Fehler nicht behebbar ist. Die Datenzentrale kann dann keine Transaktion (Schritt 511) durchführen, weil zum Schritt 513 zurückverzweigt wurde. Da in der Frankiermaschine im Schritt 315 keine Daten empfangen wurden, war die Transaktion nicht fehlerfrei erfolgt (Schritt 316). Dann wird also über den Schritt 310 auf den Schritt 301 zurückverzweigt, um nach einer Anzeige erneut zu prüfen, ob ein Transaktionsersuchen weiterhin gestellt wird.
Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d.h. der Betriebsmodus 290 erreicht. Somit konnten im oben erörterten Fall, mit modifizierten DES-Schlüssel, keine Daten übermittelt werden (Schritt 211). Ebenfalls wird davon ausgegangen, daß weder eine Testanforderung (Schritt 212) noch ein Registerabruf (Schritt 214) veranlaßt wurde, um das Restguthaben zu prüfen. Dann aber wird der Frankiermodus 400 erreicht.
Die Sicherheit setzt bei einem autorisierten Eingriff voraus, die Zuverlässigkeit der berechtigten Person (Service, Inspektor) und die Möglichkeit deren Anwesenheit zu überprüfen. Die Kontrolle des Siegels und die Kontrolle der Registerstände bei einer Inspektion der Frankiermaschine und unabhängig davon der Daten in der Datenzentrale ergibt dann die Überprüfungssicherheit. Die Kontrolle der frankierten Postgüter unter Einbeziehung eines Sicherheitsabdruckes liefert eine zusätzliche Überprüfungssicherheit.
Die Frankiermaschine führt regelmäßig und/oder beim Einschalten den Registercheck durch und kann somit die fehlende Information erkennen, falls in die Maschine unautorisiert eingegriffen bzw. falls diese unautorisiert bedient worden war. Die Frankiermaschine wird dann blockiert. Ohne die Erfindung in Verbindung mit einem Sicherheits-Flag X würde der Manipulator die Blockierung leicht überwinden. So geht aber das Sicherheits-Flag X verloren und es würde dem Manipulator zuviel Zeit und Aufwand kosten, das gültige MAC-gesicherte Sicherheits-Flag X bzw. Codewort durch Versuche zu ermitteln. In der Zwischenzeit wäre die Frankiermaschine längst in der Datenzentrale als suspekt registriert.
Andere Varianten bzw. eine Kombination mit anderen Varianten, wie beispielsweise das Löschen eines Teils des DES-Schlüssel oder der redundanten Registerstände bzw. Löschen anderer Daten oder Schlüssel, welche für die Datenzentrale bei einer Transaktion Bedeutung haben, sind durch den Erfindungsgedanken eingeschlossen. Dabei ist wesentlich, daß kritische Programmteile im OTP gespeichert vorliegen und die Programmlaufzeitüberwachungsmittel software- und/oder hardwaremäßige Bestandteile des OTP sind. Damit können mit diesen Programmteilen die extern vom OTP im Programmspeicher PSP 11 gespeicherten kritischen Programme überwacht werden. Der Vorteil besteht darin, daß das Überwachungsprogramm selbst nicht observiert oder manipuiert werden kann, da es ständig im OTP verbleibt und auch nicht ausgelesen werden kann.
Ein geeigneter Prozessortyp ist beispielsweise der TMS 370 C010 von Texas Instruments, welcher einen 256 Bytes E2PROM aufweist. Damit können im Prozessor sicherheitsrelevante Daten (Schlüssel, Flags, u.a.) manipulationssicher gespeichert werden.
Nimmt ein Manipulator einen unautorisierten Eingriff vor, wird die Frankiermaschine durch das Überführen in den ersten Modus wirksam am Frankieren mit einem Portowert gehindert.
Der potentielle Manipulator einer Frankiermaschine muß mehrere Schwellen überwinden, was natürlich einen gewissen Zeitaufwand bedarf. Erfolgt in gewissen Zeitabständen keine Verbindungsaufnahme von der Frankiermaschine zur Datenzentrale, wird die Frankiermaschine bereits suspekt. Es ist dabei davon auszugehen, daß derjenige, der eine Manipulation an der Frankiermaschine begeht, sich kaum wieder bei der Datenzentrale melden wird.
Bei einer Inspektion werden zunächst das Siegel der Frankiermaschine auf Unversehrtheit und dann die Registerstände überprüft. Bei Bedarf kann ein Probeabdruck mit dem Wert 0 gemacht werden. Bei einer Reparatur durch den Service vor Ort muß eventuell in die Frankiermaschine eingegriffen werden. Die Fehlerregister sind beispielsweise mit Hilfe eines speziellen Service-EPROM auslesbar, welches an die Stelle des Advert-EPROM gesteckt wird. Wenn auf diesen EPROM-Steckplatz vom Prozessor nicht zugegriffen wird, wird gewöhnlich ein Zugriff auf die Datenleitungen durch spezielle - in der Figur 1 nicht dargestellte - Treiberschaltkreise verhindert. Die Datenleitungen, welche hier durch eine versiegelte Gehäusetür erreichbar sind, können somit nicht unbefugt kontaktiert werden. Eine andere Variante ist das Auslesen von Fehlerregisterdaten durch einen über eine Schnittstelle angeschlossenen Service-Computer. Zur Vorbereitung des Eingriffs werden die Register der Frankiermaschine abgefragt, um die Art des erforderlichen Eingriffs zu ermitteln. Bevor in die Frankiermaschine eingegriffen und das Gehäuse geöffnet wird, erfolgt ein separater Anruf bei der Datenzentrale. Wird dannach innerhalb einer vorbestimmten Zeitdauer der Vorgabewert auf Null geändert und zur Datenzentrale im Rahmen einer Transaktion übermittelt, d.h. die Art des Eingriffs und die Registerdaten wurden der Datenzentrale mitgeteilt, erfolgt ein Übermitteln von Daten von einer Datenzentrale zur Frankiermaschine entsprechend einem beantragten äutorisierten Eingriff in die Frankiermaschine, welcher als erlaubter Eingriff protokolliert wird.
Wird innerhalb einer vorbestimmten Zeitdauer aber der Vorgabewert auf einen Wert verschieden von Null geändert und zur Datenzentrale im Rahmen einer Transaktion übermittelt, bleibt ein zuvor erfolgter separater Anruf zur Datenzentrale folgenlos, d.h. ein Eingriffsgesuch gilt als nicht gestellt und eine Befugnis zum autorisierten Eingriff in die Frankiermaschine wird nicht erteilt und folglich kein neues Sicherheits-Flag bzw. Codewort X'übermittelt.
Die Frankiermaschine ist fähig, zu unterscheiden zwischen beantragten autorisierten und unautorisierten Eingriff in die Frankiermaschine mittels der Steuereinheit der Frankiermaschine in Verbindung mit den von der Datenzentrale übermittelten Daten,wobei bei unautorisierten Eingriff in die Frankiermaschine dieser Eingriff als Fehlerfall protokolliert wird, aber nach erfolgten autorisierten Eingriff in die Frankiermaschine der ursprüngliche Betriebszustand mittels den vorgenannten übermittelten Daten wiederhergestellt wird.
Die Erläuterung der Abläufe nach dem - in der Figur 4 gezeigten - Frankiermodus erfolgt in Verbindung mit dem - in der Figur 2 dargestellten - Ablaufplan. Es ist außerdem auch in Zeiten in welchen nicht gedruckt wird (Standby Modus) vorgesehen, daß eine Abfrage hinsichtlich Manipulationsversuchen erfolgt und/ oder die Checksumme der Registerstände und/oder über den Inhalt des Programmspeichers PSP 11 gebildet wird. Die vorgenannte Checksumme wird vom Frankiermaschinen-Hersteller MAC-gesichert im nichtflüchtigen Speicher 5 (Speicherbereich E des NV-RAMs) abgelegt. Zur Überprüfung des Inhaltes des Programmspeichers PSP 11 wird die Checksumme erneut ermittelt und unter Verwendung eines gespeicherten unverändert gebliebenen Schlüssels ein MAC gebildet. Beim vorgenannten Schlüssel handelt es sich um einen manipulationsgesicherten (nichtauslesbaren) Teilschlüssel. Nun wird die alte MAC-gesicherte aus dem NV-RAM 5 geladen und mit der neu ermittelten MAC-gesicherten Checksumme im OTP verglichen. Zur Verbesserung der Manipulationssicherheit wird in einer anderen Variante für einen Kill-Mode 2 die Checksumme im Prozessor über den Inhalt des externen Programmspeichers PSP 11 gebildet und das Ergebnis mit einem im Prozessor gespeicherten vorbestimmten Wert verglichen. Dies erfolgt vorzugsweise im Schritt 101, wenn die Frankiermaschine gestartet wird, oder im Schritt 213, wenn die Frankiermaschine im Standby-Modus betrieben wird. Der Standby-Modus wird erreicht, wenn eine vorbestimmte Zeit keine Eingabe- bzw. Druckanforderung erfolgt. Letzteres ist der Fall, wenn ein ansich bekannter - nicht näher dargestellter - Briefsensor keinen nächsten Briefumschlag ermittelt, welcher frankiert werden soll. Der - in der Figur 4 gezeigte - Schritt 405 im Frankiermodus 400 umfaßt daher noch eine weitere Abfrage nach einem Zeitablauf oder nach der Anzahl an Durchläufen durch die Programmschleife, welche letztendlich wieder auf die Eingaberoutine gemäß Schritt 401 führt. Wird das Abfragekriterium erfüllt, wird im Schritt 408 ein Standby-Flag gesetzt und direkt auf den Punkt s zur Systemroutine 200 zurückverzweigt, ohne daß die Abrechnungs- und Druckroutine im Schritt 406 durchlaufen wird. Das Standby-Flag wird später im Schritt 211 abgefragt und nach der Checksummenprüfung im Schritt 213 zurückgesetzt, falls kein Manipulationsversuch erkannt wird.
Das Abfragekriterium in Schritt 211 wird dazu um die Frage erweitert, ob das Standby-Flag gesetzt ist, d.h. ob der Standby Modus erreicht ist. In diesem Fall wird ebenfalls auf den Schritt 213 verzweigt. Eine bevorzugte Variante besteht darin, in bereits beschriebenen Weise das Sicherheitsflag X zu löschen, wenn ein Manipulationsversuch im Standby Modus auf vorgenannte Weise im Schritt 213 festgestellt worden ist. Das besonders gesicherte Sonder-Flag N kann ebenfalls im Schritt 213 überprüft werden, insbesondere wenn es MAC-gesichert ist, indem der Flaginhalt mit dem MAC-Inhalt verglichen wird. Das Fehlen des Sicherheitsflags X wird im Abfrageschritt 409 erkannt und dann auf den Schritt 213 verzweigt. Der Vorteil dieses Verfahrens in Verbindung mit dem ersten Modus besteht darin, daß der Manipulationsversuch statistisch im Schritt 213 erfaßt wird.
Die Figur 4 zeigt den Ablaufplan für den Frankiermodus nach einer bevorzugten Variante. Die Erfindung geht davon aus, daß nach dem Einschalten automatisch der Postwert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben werden, daß für den Abdruck die variablen Daten in die festen Daten für den Rahmen und für alle unverändert bleibenden zugehörigen Daten elektronisch eingebettet werden.
Die Zahlenketten (sTrings), die für die Erzeugung der Eingabedaten mit einer Tastatur 2 oder aber über eine an die Ein/Ausgabeeinrichtung 4 angeschlossene, den Portowert errechnende, elektronische Waage 22 eingegeben werden, werden automatisch im Speicherbereich D des nichtflüchtigen Arbeitsspeichers 5 gespeichert. Außerdem bleiben auch Datensätze der Subspeicherbereiche, zum Beispiel Bj, C usw., erhalten. Damit ist gesichert, daß die letzten Eingabegrößen auch beim Ausschalten der Frankiermaschine erhalten bleiben, so daß nach dem Einschalten automatisch der Portowert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben wird. Ist eine Waage 22 angeschlossen, wird der Portowert aus dem Speicherbereich D entnommen. Im Schritt 404 wird gewartet, bis ein solcher aktuell gespeichert vorliegt. Bei einer erneuten Eingabeanforderung im Schritt 404 wird wieder auf den Schritt 401 zurückverzweigt. Anderenfalls wird auf den Schritt 405 verzweigt, um die Druckausgabeanforderung abzuwarten. Durch einen Briefsensor wird der zu frankierende Brief detektiert und damit eine Druckanforderung ausgelöst. Somit kann auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt werden. Liegt keine Druckausgabeanforderung (Schritt 405) vor, wird zum Schritt 301 (Punkt e) zurückverzweigt.
Da nach der - in der Figur 4 dargestellten - Variante zum Punkt e zurückverzweigt und der Schritt 301 erreicht wird, kann jederzeit ein Kommunikationsersuchen gestellt oder eine andere Eingabe gemäß den Schritten Testanforderung 212, Registercheck 214, Eingaberoutine 401 getätigt werden.
Ein weiteres Abfragekriterium kann im Schritt 405 abgefragt werden, um im Schritt 408 ein Standby-Flag zu setzen, wenn nach einer vorbestimmten Zeit noch keine Druckausgabeanforderung vorliegt. Wie bereits oben erläutert, kann das Standby-Flag im auf den Kommunikationsmodus 300 folgenden Schritt 211 abgefragt werden. Damit wird nicht auf den Frankiermodus 400 verzweigt, bevor nicht die Checksummenprüfung die Vollzähligkeit aller oder mindestens ausgewählter Programme ergeben hat.
Falls eine Druckausgabeanforderung im Schritt 405 erkannt wird, werden weitere Abfragen in den nachfolgenden Schritten 409 und 410 sowie im Schritt 406 getätigt. Beispielsweise werden im Schritt 409 das Vorhandensein eines gültigen Sicherheitsflags X bzw. eines entsprechenden MAC-abgesicherten Flags X, das Erreichen eines weiteren Stückzahlkriterium und/oder im Schritt 406 die in bekannten Weise zur Abrechnung eingezogenen Registerdaten abgefragt. War die zum Frankieren vorbestimmte Stückzahl bei der vorhergehenden Frankierung verbraucht, d.h. Stückzahl gleich Null, wird automatisch zum Punkt e verzweigt, um in den Kommunikationsmodus 300 einzutreten, damit von der Datenzentrale eine neue vorbestimmte Stückzahl S wieder kreditiert wird. War jedoch die vorbestimmte Stückzahl noch nicht verbraucht, wird vom Schritt 410 auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt.
Die Anzahl von gedruckten Briefen, und die aktuellen Werte in den Postregistern werden entsprechend der eingegebenen Kostenstelle im nichtflüchtigen Speicher 10 der Frankiermaschine in einer Abrechnungsroutine 406 registriert und stehen für eine spätere Auswertung zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird während der unmittelbar vor dem Druck erfolgenden Abrechnungsroutine veranlaßt, einen Zählschritt weiterzuzählen.
Die Registerwerte können bei Bedarf im Anzeigemodus 215 abgefragt werden. Es ist ebenfalls vorgesehen, die Registerwerte mit dem Druckkopf der Frankiermaschine zu Abrechnungszwecken auszudrucken. Das kann beispielsweise ebenso erfolgen, wie das bereits in der deutschen Offenlegungsschrift P 42 24 955 A1 näher ausgeführt wird.
Es ist bei einer anderen Variante weiterhin vorgesehen, daß auch variable Pixelbilddaten während des Druckens in die übrigen Pixelbilddaten eingebettet werden. Entsprechend der vom Encoder 13 gelieferten Positionsmeldung über den Vorschub der Postgutes bzw. Papierstreifens in Relation zum Druckermodul 1 werden die komprimierten Daten aus dem Arbeitsspeicher 5 gelesen und mit Hilfe des Charakterspeichers 9 in ein binäre Pixeldaten aufweisendes Druckbild umgewandelt, welches ebenfalls in solcher dekomprimierten Form im flüchtigen Arbeitsspeicher 7 gespeichert wird. Nähere Ausführungen sind den europäischen Anmeldungen EP 576 113 A2 und EP 578 042 A2 entnehmbar.
Der Pixelspeicherbereich im Pixel-Speicher 7c ist also für die ausgewählten dekomprimierten Daten der festen Teile des Frankierbildes und für die ausgewählten dekomprimierten Daten der variablen Teile des Frankierbildes vorgesehen. Nach der Abrechnung erfolgt die eigentliche Druckroutine (im Schritt 406). Wie aus der Figur 1 hervorgeht, stehen der Arbeitsspeicher 7b und der Pixelspeicher 7c mit dem Druckermodul 1 über eine ein Druckregister (DR) 15 und eine Ausgabelogik aufweisende Druckersteuerung 14 in Verbindung. Der Pixelspeicher 7c ist ausgangsseitig an einen ersten Eingang der Druckersteuerung 14 geschaltet, an deren weiteren Steuereingängen Ausgangssignale der Mikroprozessorsteuereinrichtung 6 anliegen. Sind alle Spalten eines Druckbildes gedruckt worden, wird wieder zur Systemroutine 200 zurückverzweigt.
Die Übermittlung einer neuen Stückzahl S' kann dann auf die gleiche Art und Weise erfolgen, wie das im Zusammenhang mit der Übermittlung des neuen Sicherheits-Flags X' bereits erläutert wurde. Bei einer Kommunikation gemäß Figuren 3a und 3b wird dann eine neue vorbestimmte Stückzahl S' übermittelt und als Stückzahl S bei laufender Frankierung dekrementiert. Aus der neuen vorbestimmten Stückzahl S' wird intern die Vergleichsstückzahl Sref errechnet (Schritt 213). Damit kann im Schritt 203 eine Warnung "CALL FP" vor Erreichen der Stückzahl Null abgegeben werden. Der Benutzer der Frankiermaschine wird damit aufgefordert in Kommunikation mit der Datenzentrale durchzuführen, um mindestens eine NULL-Fernwertvorgabe zur Nachkreditierung wenigstens der Stückzahl S vorzunehmen.
In der Figur 5 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Guthabenwert, vorzugsweise mit einem Null-Guthabenwert vereinfacht dargestellt. Eine solche NULL-Fernwertvorgabe umfaßt immer zwei Transaktionen.
Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches. Um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen, ist ein NULL-Vorgabe-Wunsch geeignet. Ein solcher führt während einer zweiten Transaktion zu einem NULL-Vorgabe-Wert der zum Descending-Register-Wert addiert werden kann, ohne den Wert der Restguthabens zu ändern.
Bei einem normalen Einstieg in den Kommunikationsmodus wird nach dem Start der Frankiermaschine im Schritt 218 der - in Figur 2 dargestellten - Systemroutine 200 abgefragt, ob vom Benutzer ein richtiger Seiteneinstieg durchgeführt wurde. Ist das nicht der Fall wird zum Punkt e der Systemroutine 200 verzweigt. Auf dem Display erscheint eine Meldung über eine Eröffnung der Kommunikation, wenn eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste) erfolgt. Zusätzlich wird der bisherige Vorgabewert angezeigt, der durch den neuen Vorgabe-Wunsch NULL überschrieben werden kann. Nach der Null-Eingabe wird wieder die T-Taste betätigt. Nun besteht ein Transaktionsersuchen und die Kommunikation kann durchgeführt werden.
Der erste Schritt während einer ersten Transaktion umfaßt nach dem Einstieg in den Kommunikationsmodus (positive Fernwertvorgabe bzw. Teleset-Modus) einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit unverschlüsselten Daten, um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschine umfaßt, um die Verbindung aufzubauen, zur Kommunikation mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp-Daten (1 byte), umfaßt die Mitteilung an die Datenzentrale DZ nachfolgend den Teleset-Modus für eine gewünschte positive Fernwertvorgabe mit der identifizierten Frankiermaschine durchzuführen.
Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K. -Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mitteilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand Punkt q im Subschritt 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüsselten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister-Daten. In weiterer Ausgestaltung der Sicherheitsmaßnahmen umfaßt diese verschlüsselte Mitteilung auch Daten in Form von CRC-Daten (Cyclic Redundancey Check-Daten). Der Vorgabewunsch, die Identifizierungs-, Postregister- und andere Daten, wie beispielsweise eine Prüfsumme (CRC-Daten) werden in einer mit dem DES-Algorithmus verschlüsselten Mitteilung übertragen;
Ein vierter Schritt der ersten Transaktion, der Subschritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten verschlüsselten Mitteilung vorgesehen. Eine Prüfung auf Decryptifizierbarkeit wird mittels eines in der Datenzentrale gespeicherten Schlüssels durchgeführt. Bei Erfolg wird in der datenzentrale eine Berechnung zum Bilden eines zweiten Schlüssels Kn+1 vorgenommen, entsprechend dem von der Frankiermaschine benutzten Schlüssel. Anschließend wird eine zweite verschlüsselten Mitteilung crypto Cv+1 gebildet, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält, wobei zur Verschlüsselung wieder der DES-Algorithmus genutzt wird. Abschließend ist ein Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.
Weitere Subschritte dienen dazu, um bei Feststellung von unbehebbar fehlerhaften verschlüsselten Mitteilungen im Subschritt 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Es sind weiterhin Subschritte vorgesehen, um bei im Subschritt 509 festgestellten fehlerhaften verschlüsselten Mitteilungen aber mit behebbaren Fehler, auf einen Subschritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außerdem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem auf den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.
Ein fünfter Schritt der ersten Transaktion, der Subschritte 315 bis 318 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der zweiten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1Cv+1, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+1Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert. Andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine beginnt eine zweite Transaktion, welche vorzugsweise durch eine zusätzliche manuelle Eingabe im Schritt 602 ausgelöst wird. Im Ergebnis dieser zeitlich befristeten Eingabe erfolgt eine Auslösung der zweiten Transaktion oder ein Verlassen der zweiten Transaktion im Kommunikationsmodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T-Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten und es wird zum ersten Schritt der ersten Transaktion zurückverzweigt. Die Kommunikation kann nun je nach Bedarf unterlassen oder wiederholt werden.
Ein erster Schritt der zweiten Transaktion umfaßt Subschritte 602 bis 608 der Frankiermaschine zur Kommunikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Ein zweiter Schritt der zweiten Transaktion, der Subschritte 701 bis 706 der Datenzentrale umfaßt, ist zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K. -Mitteilung zur Frankiermaschine vorgesehen. Es ist weiterhin vorgesehen, daß der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mitteilungen 705 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der zweiten Transaktion umfaßt Subschritte 609 bis 614 der Frankiermaschine zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, jedoch ohne Daten für einen Vorgabewert.
Ein vierter Schritt der zweiten Transaktion, der Subschritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, welche mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.
Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen (Subschritt 709) über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festgestellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Datenzentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.
Es ist außerdem vorgesehen, daß der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt 712 der Datenzentrale umfaßt, der auf den ersten Subschritt 501 des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgängerschlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern.
Ein fünfter Schritt der zweiten Transaktion, der Subschritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+2Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descendingregisterwert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Entweder wird wieder zum ersten Schritt zurückgekehrt, um eine weitere Auslösung der Transaktionen zu bewirken, oder im fünften Schritt der zweiten Transaktion wird das vorgenannte Transaktionsersuchen wieder aufgehoben.
Von dieser NULL-Fernwertvorgabe im Kommunikationsmodus unterscheidet sich eine negative Fernwertvorgabe im Sondermodus vor allem durch spezielle manipulationssichere Flags und eine Zeitüberwachung. Solche manipulationssichere Flags sind insbesondere ein MAC-gesichertes Sicherheits-Flag X und ein MAC-gesichertes Sonder-Flag N.
In der Figur 6 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Negativ-Guthabenwert, d.h. eine negative Fernwertvorgabe zur Fondsrückübertragung an die Datenzentrale dargestellt. Eine solche negative Fernwertvorgabe umfaßt mindestens zwei Transaktionen.
Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches, vorzugsweise eines NULL-Vorgabe-Wunsches, um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen.
Der erste Schritt während einer ersten Transaktion umfaßt nach einen definierten Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gegenüber einem normalen Einstieg in den Kommunikationsmodus (Teleset-Modus) nach dem Start der Frankiermaschine einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit einer unverschlüsselten Mitteilung, um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen. Eine Absicherung einzelner Daten in der Mitteilung kann wieder durch einen MAC bzw. mittels CRC-Daten in der vorgenannten Weise erreicht werden.
Der definierte Seiteneinstieg wird durch Drücken einer geheimen vorbestimmten Tastenkombination während des Einschaltens der Frankiermaschine erreicht. Die Steuereinheit der Frankiermaschine kann erfindungsgemäß in Verbindung mit den von der Datenzentrale bereits früher übermittelten Daten und einem Eingabe-Vorgang zwischen autorisierten Handeln (Service-Techniker) und unautorisierten Handeln (Manipulationsabsicht) unterscheiden.
Beim autorisierten Handeln wird ein Sonder-Flag N im Schritt 220 gesetzt, denn falls die Frankiermaschine FM ausgeschaltet wird, muß die Weiterführung der Transaktionen nach dem Wiedereinschalten der Frankiermaschine gesichert sein. Als Schutz gegen eine eventuelle Manipulation wird das Sonder-Flag N ebenfalls MAC-gesichert nichtflüchtig gespeichert.
Erfolgt ein Fehlversuch oder wird eine andere Tastenkombination für den Seiteneinstieg eingegeben, wird dies als unautorisiertes Handeln bzw. als Manipulationsabsicht gewertet (Fehlermeldung) und gespeichert sowie ein Schritt 209 zur Verhinderung einer weiteren Frankierung ausgelöst.
Es ist vorgesehen, daß eine vorbestimmte Tastenkombination für jede Frankiermaschine in der Datenzentrale gespeichert wird und nur der autorisierten Person (Service-Techniker) mitgeteilt wird, um einen yorbestimmten Bedienablauf bei der Frankiermaschine zu erzielen. Der richtige Seiteneinstieg bewirkt eine Meldung auf dem Display über eine Eröffnung der Kommunikation.
Zur Überführung der Frankiermaschine in einen Sondermodus wird ein gegen Manipulation gesichertes Flag N im Schritt 220 gesetzt, wenn ein spezifisches Kriterium erfüllt vorliegt, wobei das spezifische Kriterium für den Sondermodus negative Fernwertvorgabe mindestens die Verwendung der vorbestimmten Tastenkombination zum Seiteneinstieg in den Sondermodus während des Einschaltens der Frankiermaschine umfaßt.
In einer Variante erfolgt, wie bei der positiven Fernwertvorgabe eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste), dann Null-Eingabe und Drücken der T-Taste, bevor die Kommunikation durchgeführt wird.
Die Kommunikation mit der Datenzentrale umfaßt mindestens zwei Transaktionen, welche im Fehlerfall wiederholt durchlaufen werden, wobei nach Unterbrechung die Kommunikation automatisch erneut wieder aufgenommen und/oder solange durchgeführt wird, wie das vorgenannte Sonder-Flag N für den Sondermodus gesetzt ist, durch das ein automatisches Transaktionsersuchen gestellt ist, um die Rückübertragung des Guthabens zu vollenden.
Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschine umfaßt, um die Verbindung aufzubauen, zur Kommunikation mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp-Daten (1 byte), umfaßt die Mitteilung an die Datenzentrale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe mit der identifizierten Frankiermaschine durchzuführen.
Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mitteilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüsselten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister-Daten. In weiterer Ausgestaltung der Sicherheitsmaßnahmen umfaßt diese verschlüsselte Mitteilung in Form von CRC-Daten (Cyclic Redundancey Check-Daten) die Mitteilung an die Datenzentrale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe durchzuführen. Bei dem zwei Byte umfassenden Cyclic Redundancey Check handelt es sich um eine Prüfsumme, die eine Manipulation an einzelnen der zur Prüfsumme verarbeiteten Daten erkennen läßt. Diese Prüfsumme kann einzelne Daten bzw. die Bestandteile aller Mitteilungen (Transaktionstyp) seitens der Frankiermaschine einschließen. Der Vorgabewunsch, die Identifizierungs-, Postregister- und die CRC-Daten werden in einer mit dem DES-Algorithmus verschlüsselten Mitteilung übertragen. Somit ist es nicht erforderlich, Daten im ersten Schritt MAC-gesichert bzw. verschlüsselt an die Datenzentrale zu übertragen.
Ein vierter Schritt der ersten Transaktion, der Subschritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten verschlüsselten Mitteilung bzw. deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels, zum Bilden eines zweiten Schlüssels Kn+1 entsprechend dem von der Frankiermaschine benutzten Schlüssel, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält und zum Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.
Es ist vorgesehen, daß der vierte Schritt der ersten Transaktion auch Subschritte umfaßt, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Es sind weiterhin Subschritte vorgesehen, um bei fehlerhaften verschlüsselten Mitteilungen 509 mit behebbaren Fehler, auf einen Schritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten bzw. dritten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außerdem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.
Ein fünfter Schritt der ersten Transaktion, der Subschritte 315 bis 318 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der zweiten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1Cv+1, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+1Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert. Andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine erfolgt eine zweite Transaktion. Ein erster Schritt der zweiten Transaktion umfaßt Subschritte 602 bis 608 der Frankiermaschine zur Kommunikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.
Ein zweiter Schritt der zweiten Transaktion, der Subschritte 701 bis 706 der Datenzentrale umfaßt, ist zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine vorgesehen. Es ist weiterhin vorgesehen, daß der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mitteilungen 705 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.
Ein dritter Schritt der zweiten Transaktion umfaßt Subschritte 609 bis 614 der Frankiermaschine zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, jedoch ohne Daten für einen Vorgabewert.
Ein vierter Schritt der zweiten Transaktion, der Subschritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, die mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.
Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 709 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festgestellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Datenzentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.
Es ist außerdem vorgesehen, daß der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt 712 der Datenzentrale umfaßt, der auf den ersten Subschritt 501 des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgängerschlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern.
Ein fünfter Schritt der zweiten Transaktion, der Subschritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Der vorgenannte Schritt weist zur Identifikation der vollendeten Durchführung im Unterschied zur positiven Fernwertvorgabe ein weiteres Abfragekriterium auf. Innerhalb einer vorbestimmten Zeit, ab der Absendung der dritten Crypto-Mitteilung soll von der Frankiermaschine FM die vierte Crypto-Mitteilung empfangen werden. Bei Unterbrechungsfreiheit der Verbindung würde der Empfang in der vorbestimmten Zeit t1 erfolgen.
In der bevorzugten Ausführungsform wird also der letzte und besonders kritische Abschnitt der zweiten Transaktion auf Überschreiten der Zeit t1 überwacht. Damit ist die mögliche Manipulationszeit stark eingeschränkt. Hierzu wird während der vorletzten zu übertragenen Nachricht, ab Absendung der dritten Crypto-Mitteilung im Prozessor (Steuereinheit 6) der Frankiermaschine eine Zeitzählung gestartet. Dies wird vorzugsweise so gelöst, daß der entsprechende Programmabschnitt eine Routine aktiviert, welche einen Zähler setzt, der seinerseits durch den Systemtakt oder dessen Vielfaches decrementiert wird. Um einen größeren Zeitabschnitt, beispielsweise in der Größenordnung von 10 sec, zu überwachen werden mehrere Zähler kaskadiert. Erreicht nun innerhalb des kritischen Zeitabschnittes die vierte Crypto-Mitteilung von der Datenzentrale die Frankiermaschine, wird der Zähler deaktiviert. Bleibt diese letzte Crypto-Mitteilung hingegen aus wird der gesetzte Zähler weiter decrementiert. Beim Nulldurchgang des Zählers wird ein Programmunterbrechungssignal (Interrupt) ausgelöst. Dieses Signal veranlaßt den Aufruf eines speziellen Unterprogrammes, welches eine erneute Transaktion vorbereitet und auslöst. Bestandteil dieser erneuten Transaktion ist wieder die Übermittlung der Postregisterinhalte. Eine in der Datenzentrale stattfindende Konsistenzprüfung führt dann zum Ergebnis, daß eine unvollendete Transaktion im Sondermodus negative Fernwertvorgabe vorausging. Die inkonsistenten Datensätze werden korrigiert und die negative Fernwertvorgabe wird vollendet.
Eine weitere Variante der Erfindung ergibt sich, wenn statt eines decrementalen Zählers ein incrementaler verwandt wird. Dabei muß nach jedem Zähltakt der Vergleich mit der Zahl durchgeführt werden, die dem überwachten Zeitabschnitt entspricht.
Ein Überschreiten der Zeit t1 ist ein sicheres Indiz für eine mißglückte Übertragung und bewirkt den Aufruf eines speziellen Unterprogrammms, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst. Die erste und zweite Transaktion werden in diesem Fall automatisch mit Schlüssel Kn+2 wiederholt.
Nach erfolgreicher Abfrage bzw. Verifizierung im fünften Schritt der zweiten Transaktion wird der übertragene zweite Schlüssel Kn+2Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descendingregisterwert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung oder Zeitüberschreitung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.
Der fünfte Schritt der zweiten Transaktion schließt einen Subschritt (620) der Frankiermaschine zum Rücksetzen des vorgenannten Sonder-Flags N bzw. zur Rückkehr in den Normalmodus der Frankiermaschine ein, wodurch das vorgenannte automatische Transaktionsersuchen wieder aufgehoben wird, wenn die Durchführung der zweiten Transaktion vollendet worden ist.
Der anwesende Service-Techniker sichert den weiteren störungefreien Ablauf bis zur Vollendung der negativen Fernwertvorgabe.
Ist die Vollendung aufgrund einer längeren bzw. ständigen Unterbrechung der Verbindung zwischen Frankiermaschine und Datenzentrale nicht möglich, muß der Service-Techniker die Frankiermaschine in das Dealer-Büro mitnehmen und von dort die Vollendung weiterbetreiben. Anderenfalls würde sich ein Guthaben in der Frankiermaschine ergeben, welches nach Information in der Datenzentrale bereits als rückübertragen gilt. Die erfolgreiche Vollendung der negativen Fernwertvorgabe, d.h. der Fonds-Rückübertragung, ist durch eine Abfrage der Registerstände R1 = 0 bzw. R2 = R3 und R3 = R2 + R1 überprüfbar.
Die Frankiermaschine kann der Datenzentrale Registerwerte beispielsweise vor einer Nachladung mit einem NULL-Vorgabewert übermitteln. Dabei sind:
  • R1 (descending register) vorrätige Restbetrag in der Frankiermaschine,
  • R2 (ascending register) Verbrauchssummenbetrag in der Frankiermaschine,
  • R3 (total resetting) die bisherige Gesamtvorgabesumme aller Fernwertvorgaben,
  • R4 (piece count õprinting with value Ï O) Anzahl gültiger Drucke,
  • R8 (R4 + piece count õprinting with value = O) Anzahl aller Drucke
    • Bei jeder Fernwertvorgabe läßt sich mindestens R1 abfragen und statistisch auswerten.
    Seitens der Datenzentrale wird am Tages-Ende über die Gültigkeit der Fondsrückübertragung im Ergebnis des Sondermodus negative Fernwertvorgabe entschieden. Wenn vom Service-Techniker kein Vorkommnis gemeldet wird, daß beispielsweise die negative Fernwertvorgabe nicht durchführbar war, bzw. wenn von derselben Frankiermaschine keine Anforderung zum Nachladen eines positiven Guthabens erfolgt, wird die Gültigkeit vorausgesetzt.
    Das bei Eintritt in den Sondermodus negative Fernwertvorgabe gesetzte Sonder-Flag N wurde bei erfolgreicher Transaktion zurückgesetzt. Die Frankiermaschine verhindert alle Frankierungen mit Werten größer Null, weil kein mehr Guthaben geladen ist. Die Frankiermaschine ist weiterhin für Frankierungen mit Werten gleich Null und andere Betriebsarten betriebsbereit, solange diese kein Guthaben erfordern bzw. solange damit kein Porto frankiert und die Stückzahlgrenze nicht erreicht wird.
    Entweder wird, wie bei der einen Variante, durch den vorbestimmten Seiteneinstieg eine Auslösung der Transaktionen im Sondermodus bewirkt oder es ist in einer anderen Variante mindestens ein manueller Schritt 302 im Sondermodus negative Fernwertvorgabe nach einem Seiteneinstieg zur Eingabe einer Identifizierungsnummer (PIN) und zur Eingabe des vorbestimmten Vorgabewunsches wie bei der positiven Fernwertvorgabe vorgesehen, welche im Schritt 303 abgefragt wird. Durch einen zusätzlichen manuellen Schritt zur zeitlich befristeten Eingabe, welche im Schritt 603 abgefragt wird, erfolgt eine Auslösung der zweiten Transaktion und ein Verlassen bzw. die Wiederholung der ersten Transaktion im Kommunikationsmodus bzw. im Sondermodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T-Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten.
    Es ist weiterhin eine Anzahl an Varianten mit unterschiedlichen Sicherheitsniveau realisierbar. So kann in der Datenzentrale eine Prüfung auf Übermittlung eines vorbestimmten Vorgabewunsches durchgeführt werden. Im einfachsten Fall muß der Vorgabewunsch - analog dem im Anzeigemodus 215 abfragbaren im Descendingregister noch vorrätigen Restbetrag R1 - eingegeben und zur Datenzentrale übermittelt werden. Da zur Datenzentrale automatisch bei jeder Transaktion die Postregisterinhalte, mindestens aber R1 übermittelt werden, wird eine negative Fernwertvorgabe zur Fondsrückübertragung bei Übereinstimmung des Vorgabebetrages mit dem Restbetrag erzielt.
    In einer zweiten Variante wird mit der Datenzentrale ein beliebiger Vorgabewunsch als Code vereinbart. Vorzugsweise wird ein NULL-Vorgabewunsch vereinbart. Wird nun innerhalb einer bestimmten Zeit nach der Vereinbarung der Sondermodus negative Fernwertvorgabe aufgerufen und der NULL-Vorgabewunsch eingegeben bzw. als Vorgabewunsch bestätigt, wird in der Frankiermaschine automatisch der Restbetrag R1 auf NULL zurückgesetzt. Eine entsprechender Abfrageschritt 219 nach einem solchen weiteren spezifischen Kriterium für die Frankiermaschine wurde in der Figur 2 gestrichelt dargestellt. Von diesem wird auf den Schritt 220 zum Setzen des Sonder-Flags N verzweigt. In weiterer Ausgestaltung kann die Bedienung vereinfacht werden, wenn eine NULL-Fernwertvorgabe als letzte Transaktion bereits erfolgte. Dann ist lediglich noch die Bedienungshandlung für den Seiteneinstieg vorzunehmen, um die negative Fernwertvorgabe vollautomatisch durchzuführen bzw. um einen NULL-Restwert R1 = 0 zu erreichen.
    Durch ein Starten einer Zeitüberwachung ab dem Subschritt 613 der Absendung der dritten Crypto-Mitteilung an die Datenzentrale bis zum Empfang der vierten Crypto-Mitteilung seitens der Frankiermaschine wird eine Manipulation zeitlich beschränkt. Wenn die vierte Crypto-Mitteilung nicht innerhalb einer vorbestimmten Zeit t1 empfangen werden konnte, wird ein spezielles Unterprogrammm aufgerufen, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst. Durch weitere Subschritte 615, 616, 301 zur automatischen Wiederaufnahme der Kommunikation nach Unterbrechung der Kommunikationsverbindung zwischen Datenzentrale und Frankiermaschine oder nach dem Aus- und Wiedereinschalten der Frankiermaschine wird solange, wie das vorgenannte Sonder-Flag N gesetzt ist, die Kommunikation weiter durchgeführt. Das als Transaktionsersuchen gewertete Sonder-Flag N ist nichtflüchtig und gegen Manipulation MAC-gesichert gespeichert. Erst nach Vollendung der Rückübertragung des Guthabens wird das Sonder-Flag N im Schritt 620 zurückgesetzt.
    In einer dritten Variante wird die Sicherheit durch eine Kombination verschiedener Maßnahmen erhöht. Unabhängig von der Frankiermaschine wird eine erste Kommunikationsverbindung zwischen authorisierten Benutzer und der Datenzentrale zur Speicherung eines Codes für ein Anmelden einer autorisierten Handlung an der Frankiermaschine durch ein später übermittelten Vorgabewunsch hergestellt. Nun kann ein Einschalten der Frankiermaschine zur Vornahme eines autorisierten vorbestimmten Bedienablaufes erfolgen, um über einen Seiteneinstieg in einen Sondermodus negative Fernwertvorgabe einzutreten. Daraufhin wird eine zweite Kommunikationsverbindung zwischen Frankiermaschine und der Datenzentrale sowie Eingabe eines Vorgabewunsches hergestellt. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale, wenn der übermittelte Vorgabewunsch mit einem entsprechenden Code übereinstimmt. In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt. Durch das Durchführen mindestens einer weiteren Transaktion und der automatischen Durchführung der vorgenannten Kommunikation werden die sicherheitsrelevanten Daten übertragen und deren Speicherung in der Frankiermaschine vollendet. Entsprechend des Vorgabewunsches wird der Vorgabewert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale zum Restguthaben addiert.
    Anderenfalls ist eine Ausführung eines Schrittes 209 zur Löschung eines manipulationssicher gespeicherten Sicherheitsflags X im Ergebnis mindestens einer unerlaubten Abweichung vom vorbestimmten Bedienablauf bzw. weil in die Frankiermaschine eingegriffen wurde, vorgesehen. Damit wird die Frankiermaschine in einen ersten Modus überführt, um sie damit für ein Frankieren (Frankiermodus 400) wirksam außer Betrieb zu setzen (Schritt 409), im Gegensatz zur authorisierten Handlung bzw. Eingriff.
    Eine Übertragung eines gültigen Bedienablaufes von der Datenzentrale zur Frankiermaschine wird überflüssig, wenn der Bedienablauf zeitabhängig geändert wird. In der Datenzentrale und in der Frankiermaschine wird der gleiche Berechnungsalgorithmus verwendet, um einen aktuellen Bedienablauf zu ermitteln. Eine andere Variante geht von der Einspeicherung des aktuellen Bedienablaufes in die Frankiermaschine mittels eines speziellen Reset-E2PROMs durch den Service-Techniker aus.
    In einer weiteren Variante wird die Sicherheit von einer autorisierten Person mittels einem zusätzlichen Eingabesicherheitsmittel erhöht, welches mit der Frankiermaschine in Kontakt gebracht wird, um ein Restguthaben zurück zur Datenzentrale zu übertragen. Zunächst wird bei der Datenzentrale die Aktualität hergestellt, indem die Registerstände mittels einer Null-Fernwertvorgabe gemeldet werden. Anschließend wird als Eingabesicherheitsmittel vom Service-Techniker ein Rücksetz-Nurlese-Speicherbaustein in einen vorbestimmten Sockel der mindestens teilweise geöffneten Frankiermaschine eingesetzt. Nachdem Einschalten bzw. einem Seiteneinstieg in das Programm der Frankiermaschine wird geprüft, ob ein Rücksetz-Nurlese-Speicherbaustein (Refunds-EPROM) eingesetzt wurde. Die kann vorteilhaft im - in der Figur 2 gezeigten - Schritt 219 zur überprüfung eines weiteren Kriteriums erfolgen. Ein richtiger Seiteneinstieg bei nicht vorhandenen Refunds-EPROM führt zum Punkt e oder in einer nicht gezeigten Variante einen Schritt zum Abbruch der Routine. Beispielsweise kann auf einen Schritt 209 zum Löschen eines Flags X verzweigt werden, was im Schritt 409 des Frankiermodus (Figur 4) bemerkt würde und zur Statistik und Fehlerauswertung bzw. Registrierung im Schritt 213 führt. Anderenfalls, beim richtigen Seiteneinstieg und bei gestecktem Refunds-EPROM wird ein Sonder-Flag N gesetzt, was im Kommunikationsmodus automatisch das Rückübertragen des Restguthabens zur Datenzentrale auslöst.
    In einer Subvariante können die Schritte 218 und 219 gemäß Figur 2 in ihrer Reihenfolge vertauscht ablaufen, so daß erst hinsichtlich des gesteckten Refunds-EPROM und erst danach nach dem richtigen Seiteneinstieg gefragt wird. Eine solche Subvariante hat den Vorteil, daß die Information über den richtigen Seiteneinstieg ebenfalls im Refunds-EPROM gespeichert werden kann, anstatt in der Frankiermaschine. Damit wird die Sicherheit vor einer Manipulation in Fälschungsabsicht weiter erhöht.
    In der Datenzentrale wird der Zustand der Frankiermaschine (out of Service) gespeichert. Die autorisierte Person entfernt das Eingabesicherheitsmittel aus dem Sockel und schließt das Gehäuse der Frankiermaschine. In der Datenzentrale werden wie in der Frankiermaschine die Guthaben registrierenden Postregister für verfügbares Restguthaben R1, Verbrauchssummenbetrag R2 und Gesammtbetrag R3 auf Null gesetzt (R1 = 0; R2 = 0; R3 = R1 + R2 = 0).
    Bei einer in der Frankiermaschine vorhandenen Chipkarten-Schreib/Leseeinheit kann das Eingabesicherheitsmittel natürlich auch als Chipkarte realisiert werden.
    Die Erfindung ist nicht auf die vorliegenden Ausführungsformen beschränkt. Vielmehr ist eine Anzahl von Varianten im Rahmen der Ansprüche denkbar.

    Claims (2)

    1. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs-und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet, durch Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung (6), indem während eines Betriebsmodus (290) eine Überwachung der Zeitdauer des Ablaufes von Programmen, Programmteilen bzw. sicherheitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Vergleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit und/oder durch während einer Kommunikation im Kommunikationsmodus (300) vorgenommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe, insbesondere der Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine gesendeten vierten verschlüsselten Mitteilung in der Frankiermaschine, welche bei Verifizierung ein Null-Setzen des Guthabenwerts auslöst.
    2. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogrammm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.
    EP00250033A 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung Expired - Lifetime EP0996097B1 (de)

    Applications Claiming Priority (3)

    Application Number Priority Date Filing Date Title
    DE4446667A DE4446667C2 (de) 1994-12-15 1994-12-15 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    DE4446667 1994-12-15
    EP95250286A EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Related Parent Applications (2)

    Application Number Title Priority Date Filing Date
    EP95250286.2 Division 1995-11-21
    EP95250286A Division EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Publications (4)

    Publication Number Publication Date
    EP0996097A2 EP0996097A2 (de) 2000-04-26
    EP0996097A3 EP0996097A3 (de) 2004-06-16
    EP0996097A9 true EP0996097A9 (de) 2005-06-22
    EP0996097B1 EP0996097B1 (de) 2006-05-03

    Family

    ID=6537174

    Family Applications (3)

    Application Number Title Priority Date Filing Date
    EP95250286A Expired - Lifetime EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung
    EP00250033A Expired - Lifetime EP0996097B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    EP00250032A Expired - Lifetime EP0996096B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung und Anordnung zur Durchführung des Verfahrens

    Family Applications Before (1)

    Application Number Title Priority Date Filing Date
    EP95250286A Expired - Lifetime EP0717379B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung

    Family Applications After (1)

    Application Number Title Priority Date Filing Date
    EP00250032A Expired - Lifetime EP0996096B1 (de) 1994-12-15 1995-11-21 Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung und Anordnung zur Durchführung des Verfahrens

    Country Status (2)

    Country Link
    EP (3) EP0717379B1 (de)
    DE (4) DE4446667C2 (de)

    Families Citing this family (3)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE19731304B4 (de) * 1997-07-14 2005-02-24 Francotyp-Postalia Ag & Co. Kg Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    US6058384A (en) * 1997-12-23 2000-05-02 Pitney Bowes Inc. Method for removing funds from a postal security device
    DE19818708A1 (de) * 1998-04-21 1999-11-04 Francotyp Postalia Gmbh Verfahren zum Nachladen eines Portoguthabens in eine elektronische Frankiereinrichtung

    Family Cites Families (25)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US3255439A (en) 1961-07-13 1966-06-07 Gen Res Inc Postage metering system
    US4251874A (en) 1978-10-16 1981-02-17 Pitney Bowes Inc. Electronic postal meter system
    GB2144081B (en) 1983-07-23 1987-10-28 Pa Consulting Services Postal franking machines
    US4835697A (en) 1984-04-02 1989-05-30 Pitney Bowes Inc. Combination generator for an electronic postage meter
    US4549281A (en) 1985-02-21 1985-10-22 Pitney Bowes, Inc. Electronic postage meter having keyboard entered combination for recharging
    CH675497A5 (de) * 1985-08-06 1990-09-28 Pitney Bowes Inc
    US4812994A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Postage meter locking system
    US4812965A (en) 1985-08-06 1989-03-14 Pitney Bowes Inc. Remote postage meter insepction system
    US4760532A (en) 1985-12-26 1988-07-26 Pitney Bowes Inc. Mailing system with postage value transfer and accounting capability
    US4864506A (en) * 1986-04-10 1989-09-05 Pitney Bowes Inc. Postage meter recharging system
    US4811234A (en) * 1986-04-10 1989-03-07 Pitney Bowes Inc. Postage meter recharging system
    US4785417A (en) * 1986-04-28 1988-11-15 Pitney Bowes Inc. Electronic postage meter having an out of sequence checking arrangement
    US4846506A (en) 1987-09-04 1989-07-11 U.S. Plastics Corporation Quick connect coupling
    US5077660A (en) 1989-03-23 1991-12-31 F.M.E. Corporation Remote meter configuration
    DE69014361T2 (de) 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
    CH678368A5 (de) * 1989-03-29 1991-08-30 Frama Ag
    GB2233937B (en) 1989-07-13 1993-10-06 Pitney Bowes Plc A machine incorporating an accounts verification system
    US5237506A (en) * 1990-02-16 1993-08-17 Ascom Autelca Ag Remote resetting postage meter
    US5243654A (en) * 1991-03-18 1993-09-07 Pitney Bowes Inc. Metering system with remotely resettable time lockout
    GB2256396B (en) 1991-05-29 1995-03-29 Alcatel Business Systems Method of remote diagnostics for franking machines
    DE4129302A1 (de) 1991-09-03 1993-03-04 Helmut Lembens Frankiermaschine
    GB2261748B (en) * 1991-11-22 1995-07-19 Pitney Bowes Inc Method of diagnosis in an electrically controlled mechanical device
    US5309363A (en) * 1992-03-05 1994-05-03 Frank M. Graves Remotely rechargeable postage meter
    DE4221270A1 (de) 1992-06-26 1994-01-05 Francotyp Postalia Gmbh Anordnung und Verfahren zur Klischeetextteiländerung für Frankiermaschinen
    DE4224955C2 (de) 1992-07-24 1998-11-26 Francotyp Postalia Gmbh Anordnung und Verfahren für einen internen Kostenstellendruck

    Similar Documents

    Publication Publication Date Title
    EP0969422B1 (de) Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen
    EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
    EP0892368B1 (de) Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    US6587843B1 (en) Method for improving the security of postage meter machines in the transfer of credit
    DE19534528A1 (de) Verfahren zur Veränderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine
    EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
    EP1103924B1 (de) Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens
    EP1035517A2 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
    EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
    DE69221538T2 (de) Ferndiagnoseverfahren für Frankiermaschine
    DE19534530A1 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
    EP1063619B1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
    EP0969420B1 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
    DE10305730B4 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
    EP0717379B1 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermachinen bei der Guthabenübertragung
    EP1619630A2 (de) Verfahren und Anordnung zum Erstatten von Porto
    EP0996097A9 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung
    DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
    EP1061479A2 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
    DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
    DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
    DE69534129T2 (de) Frankiermaschine und Frankiermaschinensystem
    DE29522056U1 (de) Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
    DE69926222T2 (de) Betrugssichere frankiermaschinenvorrichtung mit langer nutzungsdauer der batterie
    DE102006022315A1 (de) Anordnung und Verfahren zum Erstellen eines Frankierabdrucks

    Legal Events

    Date Code Title Description
    AC Divisional application (art. 76) of:

    Ref document number: 717379

    Country of ref document: EP

    Format of ref document f/p: P

    AK Designated contracting states:

    Kind code of ref document: A2

    Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

    AX Extension of the european patent to

    Free format text: LT;LV;SI

    RAP1 Transfer of rights of an ep application

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    AK Designated contracting states:

    Kind code of ref document: A3

    Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

    AX Extension of the european patent to

    Countries concerned: LTLVSI

    17P Request for examination filed

    Effective date: 20040630

    AKX Payment of designation fees

    Designated state(s): CH DE FR GB IT LI

    17Q First examination report

    Effective date: 20050222

    RAP1 Transfer of rights of an ep application

    Owner name: FRANCOTYP-POSTALIA GMBH

    AC Divisional application (art. 76) of:

    Ref document number: 0717379

    Country of ref document: EP

    Kind code of ref document: P

    AK Designated contracting states:

    Kind code of ref document: B1

    Designated state(s): CH DE FR GB IT LI

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20060503

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: NV

    Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG

    REF Corresponds to:

    Ref document number: 59511045

    Country of ref document: DE

    Date of ref document: 20060608

    Kind code of ref document: P

    PGFP Postgrant: annual fees paid to national office

    Ref country code: DE

    Payment date: 20060912

    Year of fee payment: 12

    GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

    Effective date: 20060817

    PGFP Postgrant: annual fees paid to national office

    Ref country code: FR

    Payment date: 20060913

    Year of fee payment: 12

    PGFP Postgrant: annual fees paid to national office

    Ref country code: CH

    Payment date: 20061031

    Year of fee payment: 12

    PGFP Postgrant: annual fees paid to national office

    Ref country code: GB

    Payment date: 20061109

    Year of fee payment: 12

    ET Fr: translation filed
    PGFP Postgrant: annual fees paid to national office

    Ref country code: IT

    Payment date: 20061130

    Year of fee payment: 12

    26N No opposition filed

    Effective date: 20070206

    PGFP Postgrant: annual fees paid to national office

    Ref country code: DE

    Payment date: 20070920

    Year of fee payment: 13

    PGFP Postgrant: annual fees paid to national office

    Ref country code: CH

    Payment date: 20071115

    Year of fee payment: 13

    Ref country code: IT

    Payment date: 20071126

    Year of fee payment: 13

    PGFP Postgrant: annual fees paid to national office

    Ref country code: FR

    Payment date: 20071122

    Year of fee payment: 13

    Ref country code: GB

    Payment date: 20071120

    Year of fee payment: 13

    PGFP Postgrant: annual fees paid to national office

    Ref country code: CH

    Payment date: 20081114

    Year of fee payment: 14

    Ref country code: DE

    Payment date: 20081007

    Year of fee payment: 14

    PGFP Postgrant: annual fees paid to national office

    Ref country code: IT

    Payment date: 20081125

    Year of fee payment: 14

    PGFP Postgrant: annual fees paid to national office

    Ref country code: FR

    Payment date: 20081113

    Year of fee payment: 14

    PGFP Postgrant: annual fees paid to national office

    Ref country code: GB

    Payment date: 20081117

    Year of fee payment: 14

    PGFP Postgrant: annual fees paid to national office

    Ref country code: CH

    Payment date: 20091124

    Year of fee payment: 15

    Ref country code: DE

    Payment date: 20090916

    Year of fee payment: 15

    PGFP Postgrant: annual fees paid to national office

    Ref country code: FR

    Payment date: 20091201

    Year of fee payment: 15

    Ref country code: GB

    Payment date: 20091119

    Year of fee payment: 15

    Ref country code: IT

    Payment date: 20091121

    Year of fee payment: 15

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    GBPC Gb: european patent ceased through non-payment of renewal fee

    Effective date: 20101121

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101130

    Ref country code: LI

    Effective date: 20101130

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    REG Reference to a national code

    Effective date: 20110801

    Ref country code: FR

    Ref legal event code: ST

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Effective date: 20110531

    Ref country code: DE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Effective date: 20101130

    Ref country code: FR

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Ref country code: GB

    Effective date: 20101121

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    PG25 Lapsed in a contracting state announced via postgrant inform. from nat. office to epo

    Effective date: 20101121

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Ref country code: IT