EP1061479A2 - Arrangement and method for generating a security imprint - Google Patents
Arrangement and method for generating a security imprint Download PDFInfo
- Publication number
- EP1061479A2 EP1061479A2 EP00250186A EP00250186A EP1061479A2 EP 1061479 A2 EP1061479 A2 EP 1061479A2 EP 00250186 A EP00250186 A EP 00250186A EP 00250186 A EP00250186 A EP 00250186A EP 1061479 A2 EP1061479 A2 EP 1061479A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- data
- security
- processing unit
- dac
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00322—Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00362—Calculation or computing within apparatus, e.g. calculation of postage value
- G07B2017/0037—Calculation of postage value
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
Definitions
- the invention relates to an arrangement for generating a security imprint with a security module, according to the in the preamble of Claim 1 specified type and for a method for generation a security imprint according to the preamble of claim 9 specified type.
- a postal security module is part of a Arrangement that is particularly suitable for use in a Franking machine or mail processing machine or computer with Mail processing function is suitable. The procedure serves as a backup manipulation with unpaid frankings on postal items.
- a security imprint has a machine-readable marker with variable data and a crypto or authentication code.
- a crypto or authentication code formed from the variable data is compared with the printed crypto or authentication code.
- the franking machine has a single microprocessor that calculates both a cryptocode or a DAC (DATA AUTHENTIFICATION CODE) to secure the print data, as well as the print image itself.
- the latter consists of fixed frame pixel data and the window pixel data.
- Window pixel data is variable and semi-variable print data.
- the print data must be embedded in advance. If the changes extend over several printing columns, with more than half of the printing columns of the entire printed image having to be changed, this results in a corresponding increase in the computing time. Then, before each franking image printout, a recalculation of the print image with other variable window data and with new DAC print data is necessary. The throughput during franking is significantly reduced in the case of such print images for a security imprint.
- the invention is based, a method and a task Arrangement to develop the throughput of mail when franking with to increase a security footprint.
- One technique is used for franking machines with high throughput (system cycle) to develop the franking imprint after each successful settlement is signed by a security code.
- the Signature can be calculated quickly enough to make it dependent on the system clock the franking machine quickly enough for the print image calculation To make available. Even if the changes in the print data from The throughput is not intended to be a maximum of print to print reduced that a security print is printed.
- the object is with the features of claim 1 for an arrangement and solved with the features of claim 9 for a method.
- the security code is calculated by a Separate security module made while the print image data preparation is carried out by the franking machine processor.
- a recalculation of the security code SC or DAC using a module processor is triggered if the new system data from the module processor of the security module are recognized as valid, the recalculation of the security code is based on preset values.
- the serial number and the key indicator KI are the fixed system data.
- the print date, postage value and ascending register value are the variable System data. The print date remains constant for bulk frankings. It is envisaged the first to generate the data authorization code (DAC) require eight bytes according to an algorithm in one to calculate the first round for each day. At a stack equivalent post, the postage remains unchanged. Of the Data for a security imprint changes at least the increasing Value tab.
- DAC data authorization code
- the Security footprint meets particularly strict security requirements, because the printed data is verifiable and therefore unmanipulable.
- a data processing time period T alt is required per franking with a security imprint.
- the time / control diagram according to the invention - shown in FIG. 1b - for a franking machine requires a data processing time period T new per franking with a security imprint that is shorter than the old data processing time period T alt per franking. This is only possible because in the invention there is a division of tasks for two data processing units, a microprocessor in the meter being provided for the printing tasks and a security module for the security tasks.
- the printing tasks include an input routine 401 for the postage value a sensor routine 402 to determine the letter system, a prompt routine 403 for billing, a calculation routine 404 for the print image and a print routine 405.
- the security tasks include a subroutine 406-411 for DAC calculation, a subroutine 412, 413 for accounting and one Deploy subroutine to DAC.
- the calculation routine 404 for the print image is particularly complex for a security imprint, therefore the print image build-up begins before the end of the billing.
- the microprocessor in the meter executes the print routine 405, while the security module is already calculating the security code for the next print image as soon as the creation of a further letter at the entrance of the transport route is detected by a letter sensor. This is particularly useful for mass frankings of mail items, especially letters, with the same postage value.
- the creation of another letter which is detected by a letter sensor at the entrance of the transport route, triggers an interrupt for the microprocessor in the meter, which forwards the letter system to the security module and then continues the calculations that have started for the print image construction.
- the patent US 5,710,721 under the title: INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT, describes in principle how an interrupt for the microprocessor is triggered when a sensor signal is triggered and how the pressure control works.
- the microprocessor is still working on the print image construction (step 404) or is busy carrying out the print routine (step 405) while the forwarding 412 of another letter system to the security module SM, whereupon the latter already carries out further calculations 316-321 for a next mail piece ( Letter).
- the security module is prompted to carry out an accounting.
- the security module SM now carries out the billing (steps 322, 323) and sends (step 324) the security code DAC to the microprocessor 91 of the meter, which is now able to complete the print image construction for the further print image (step 414).
- FIG. 2 shows a block diagram of a franking machine.
- the Control device 1 has a microprocessor 91 associated memories 92, 93, 94, 95 equipped motherboard 9.
- the program memory 92 contains an operating program for printing at least and at least security-relevant components of the program for a predetermined change in format of part of the useful data.
- the RAM 93 is used for the temporary storage of intermediate results.
- the non-volatile memory NVM 94 is used for the non-volatile temporary storage of data, for example statistical data, which are arranged according to cost centers.
- the calendar / clock module 95 likewise contains addressable but non-volatile memory areas for the non-volatile intermediate storage of intermediate results or also known program parts.
- control device 1 is connected to a chip card read / write unit 70, the microprocessor 91 of the control device 1 being programmed, for example, to load the useful data N from the memory area of a chip card 49 for use in corresponding memory areas of the franking machine .
- a first chip card 49 inserted into an insertion slot 72 of the chip card read / write unit 70 allows a data record to be reloaded into the franking machine for at least one application.
- the chip card 49 contains, for example, the postage fees for all the usual postal carrier services in accordance with the tariff of the postal authority and a postal carrier identifier in order to generate a stamp image with the franking machine and to stamp the postal items in accordance with the tariff of the postal authority.
- the control device 1 forms the actual meter with the means 91 to 95 of the aforementioned main board 9 and also includes a keyboard 88, a display unit 89 and an application-specific circuit ASIC 90 and interface 8 for the postal security module PSM 100.
- the safety module PSM 100 is connected to the aforementioned ASIC 90 and the microprocessor 91 and via the parallel ⁇ C bus with at least the means 91 to 95 of the main board 9 and connected to display unit 89.
- the control bus carries cables for the signals CE, RD and WR between the safety module PSM 100 and the aforementioned ASIC 90.
- the microprocessor 91 points preferably a pin for one from the PSM 100 security module issued interrupt signal i, further connections for the keyboard 88, a serial interface SI-1 for the connection of the chip card read / write unit 70 and a serial interface SI-2 for the optional connection of a MODEM.
- Using the MODEM can for example in the non-volatile memory of the postal Security funds PSM 100 stored credit can be increased.
- the postal security device PSM 100 is enclosed in a secure housing. Hardware-based billing is carried out in the PSM 100 postal security module before each franking imprint. Billing takes place independently of cost centers.
- the ASIC 90 has a serial interface circuit 98 to a device upstream in the mail stream, a serial interface circuit 96 to the sensors and actuators of the printing device 2, a serial interface circuit 97 to the pressure control electronics 16 for the print head 4 and a serial interface circuit 99 to one the printing device 20 in the mail stream downstream device.
- DE 197 11 997 shows an embodiment variant for the peripheral interface, which is suitable for several peripheral devices (stations). It has the title: Arrangement for communication between a base station and other stations of a mail processing machine and for their emergency shutdown.
- Interface circuit 96 coupled to that in the machine base located interface circuit 14 provides at least one connection to the sensors 6, 7, 17 and to the actuators, for example to Drive motor 15 for the roller 11 and a cleaning and Sealing station RDS 40 for the inkjet print head 4, as well as for Labeler 50 in the machine base.
- the basic arrangement and the interaction between inkjet printhead 4 and the RDS 40 can be found in DE 197 26 642 C2, with the title: arrangement for Positioning an inkjet printhead and cleaning and Sealing device.
- the transport device consists of a conveyor belt 10 and two rollers 11, 11 '.
- One of the reels is that equipped with a motor 15 drive roller 11, another is idler roller 11 '.
- the drive roller 11 is as Toothed roller executed
- the conveyor belt 10 is accordingly as Toothed belt executed, which ensures the clear power transmission.
- Encoder 5 6 is coupled to one of the rollers 11, 11 '.
- the drive roller 11 with an incremental encoder 5 sits firmly on one Axis.
- the incremental encoder 5 is, for example, a slotted disc executed, which interacts with a light barrier 6, and passes line 19 sends an encoder signal to motherboard 9.
- the individual print elements of the print head are connected to printhead electronics within its housing and that the print head can be controlled for purely electronic printing is.
- the pressure control is based on the path control, the selected stamp offset is taken into account, which is by keyboard 88 or if necessary, entered via chip card and stored in NVM 94 memory is stored non-volatile.
- a planned imprint therefore results from Stamp offset (without printing), the franking print image and if necessary additional print images for advertising slogan, shipping information (election prints) and additional editable messages.
- the non-volatile Memory NVM 94 has a large number of memory areas. Underneath are those that the loaded postage fee tables are non-volatile to save.
- the chip card read / write unit 70 consists of an associated one mechanical support for the microprocessor card and contact unit 74. The latter allows a secure mechanical mounting of the chip card in reading position and clear signaling of reaching the Reading position of the chip card in the contacting unit.
- the microprocessor card with the microprocessor 75 has a programmed Readability for all types of memory cards or chip cards.
- the interface to the franking machine is a serial interface according to RS232 standard.
- the data transfer rate is min. 1.2 K baud.
- the power supply is switched on using a on the main circuit board connected switch 71. After switching on the power supply there is a self-test function with readiness message.
- FIG. 3 is a perspective view of the franking machine from FIG shown at the back.
- the franking machine consists of a meter 1 and a base 2.
- the latter is with a chip card read / write unit 70 equipped, which is arranged behind the guide plate 20 and from the Upper housing edge 22 is accessible.
- a chip card 49 is turned upwards inserted into the slot 72 below.
- the guide plate is in contact with the input data printed a security imprint 31.
- the letter feed opening is through a transparent plate 21 and the guide plate 20 laterally limited.
- the Status display of the plugged onto the main board 9 of the meter 1 Security module 100 is visible from the outside through an opening 109.
- FIG. 4 shows a representation of a security imprint as it is from the American USPS is required.
- the security imprint is arranged to the right of the advertising cliché and shows in the upper half Carrier logo and postage value and the date in the lower half, the postage value, a key indicator and a data authentication code DAC in a first line and a manufacturer ID, a machine ID, one Model ID and the ascending register value in a second line, where both lines are machine readable. Both machine readable lines are laterally delimited by marking bars, which the detection and improve the evaluation of the characters using the OCR method. On appropriate evaluation procedure for the aforementioned data, which the Play characters, was already in the European application EP 862 143 A2 proposed for checking a security imprint.
- the calculation of the DAC for the security imprint performed in the security module.
- Another acceleration The calculation of the security code is done by choosing one Assembler algorithm chosen and certified for the DES calculation educates.
- a left out value is defined for these special date values. This is used instead of the date entry. For example, the value 0 is used if the corresponding date parts are not available.
- Table 1 shows another example of the data resulting from a security imprint.
- # information Value range Left out Leading zeroes 1.
- Key indicator 0 9 7.
- Vendor ID FP 9. Machine ID 0000001 9999999 YES 10th Model ID JMB01 JMB99 11. Ascending register 00000000 FFFFFF YES
- Table 2 shows the length of the required bytes of individual and all system data that are included in the calculation of the security code.
- element Byte length Range of values (decimal) 1.
- 3rd Post date Total 3
- Table 3 shows an example of system data for a security code.
- FIG. 5 shows a block diagram of the postal security module PSM 100 in a preferred variant.
- the negative pole of the battery 134 is grounded and a pin P23 of the contact group 102.
- the positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180.
- the SL-389 / P is suitable as a battery 134 for a lifespan of up to 3.5 years or the SL-386 / P for a lifespan of up to 6 years with a maximum power consumption by the PSM 100 commercially available circuit type ADM 8693ARN can be used.
- the output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136.
- the battery monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor 120 via the lines 135, 164 and 137, 139.
- the output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM 116, which becomes a non-volatile memory NVRAM of a first technology due to the existing battery 134.
- the security module is connected to the franking machine via the system bus 115, 117, 118.
- Processor 120 can communicate with a remote data center through the system bus and modem 83.
- the ASIC 150 does the billing.
- the postal accounting data are stored in non-volatile memories of different technologies.
- System voltage is present at the supply input of a second memory NV-RAM 114.
- This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure.
- the NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112, 113.
- the ASIC 150 contains at least one hardware accounting unit for the Calculation of the postal data to be saved.
- PAL 160 is access logic to the ASIC 150 housed.
- the ASIC 150 is controlled by the PAL 160 logic.
- An address and control bus 117, 115 from the main board 9 is on corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one Control signal 119 for the program memory FLASH 128.
- the processor 120 executes a program that is stored in the FLASH 128.
- the Processor 120, FLASH 28, ASIC 150 and PAL 160 are one internal system bus interconnected, the lines 110, 111, 126, 119 for data, address and control signals.
- the RESET unit 130 is connected via line 131 to pin 3 of the Processor 120 and connected to a pin of the ASIC's 150.
- the Processor 120 and the ASIC 150 are when the Supply voltage through a reset generation in the RESET unit 130 reset.
- Lines are connected to pins 6 and 7 of processor 120, which only applies to a PSM 100 plugged into the main board 9 Form conductor loop 18.
- the processor 120 internally has a processing unit CPU 121, one Real time clock RTC 122, a RAM unit 124 and an input / output unit 125 on. I / O ports of the input / output unit are located at pins 8 and 9 125, to which module-internal signaling means are connected, for example colored light emitting diodes LED's 107, 108, which the Signal the status of the safety module 100.
- the security modules can assume various states in their life cycle. So e.g. be detected whether the module is valid cryptographic Contains key. It is also important to differentiate whether that Module works or is defective. The exact type and number of Module states depend on the functions implemented in the module and on the Implementation dependent.
- the processor 120 of the security module 100 is via an internal module Data bus 126 with a FLASH 128 and with the ASIC 150 connected.
- the FLASH 128 serves as program memory and is included System voltage Us + supplied. For example, it is a 128 Kbyte FLASH memory type AM29F010-45EC.
- the ASIC 150 of the postal security module 100 delivers via an internal module Address bus 110 addresses 0 through 7 to the corresponding address inputs of the FLASH 128.
- the processor 120 of the security module 100 delivers the addresses 8 to 15 to the via an internal address bus 111 corresponding address inputs of the FLASH 128.
- the ASIC 150 of the Security module 100 is located above contact group 101 of interface 8 with data bus 118, with address bus 117 and control bus 115 the motherboard 9 in communication connection.
- the real-time clock RTC 122 and the memory RAM 124 are from one Operating voltage supplied via line 138. This tension will generated by the voltage monitoring unit (Battery Observer) 12. The latter also provides a status signal 164 and responds to one Control signal 135.
- the voltage switch 180 outputs the output voltage on line 136 for voltage monitoring unit 12 and memory 116 further that of its input voltages that is bigger than the other.
- the battery of the postage meter machine feeds the real-time clock 122 with date and / or time registers and / or the static RAM (SRAM) 124, which holds security-relevant data, in the aforementioned manner in the aforementioned manner. If the voltage of the battery falls below a certain limit during battery operation, the circuit described in the exemplary embodiment connects the feed point for RTC and SRAM to ground. Ie the voltage at the RTC and the SRAM is then 0V. The result of this is that the SRAM 124, which contains important cryptographic keys, for example, is deleted very quickly. At the same time, the registers of the RTC 122 are also deleted and the current time and date are lost.
- SRAM static RAM
- This action prevents a possible attacker from manipulating the battery voltage to stop the postage meter machine internal clock 122 without losing security-relevant data. This prevents him from bypassing security measures such as long time watchdogs.
- the circuit described changes to a self-holding state, in which it remains even when the voltage is subsequently increased.
- the processor can query the status of the circuit (status signal) and thus and / or, by evaluating the contents of the deleted memory, conclude that the battery voltage has in the meantime fallen below a certain value.
- the processor can reset the monitoring circuit, ie make it "armed".
- the first data processing unit 120 is programmed by a program stored in the program memory 128 of the security module to precalculate the data authorization code DAC and to transmit it to the separate data processing unit ⁇ P, 91, which is parallel to and approximately simultaneously with the operation of the pre-calculation by a program in its program memory 92 Print data preparation and programmed to calculate a print image. It is provided that the first data processing unit 120 of the security module 100 has an internal non-volatile memory 124, in which at least one key for the calculation of the data authorization code (DAC) is stored in a manner protected against access.
- DAC data authorization code
- a second data processing unit 150 is provided in the security module 100 for billing the postal registers, so that the data processing unit separate from the security module 100 forms a third data processing unit ⁇ P, 91 in particular for processing the printing tasks.
- the second data processing unit ASIC 150 contains a hardware accounting unit for carrying out the accounting, which stores the new postal register record with the accounting data in the non-volatile memory 114, 116.
- the first data processing unit is a module processor 120 of the Security module, which is preferably programmed, the first 8 Bytes of the data authorization code (DAC) according to an algorithm in to calculate a first round for every day.
- the algorithm for the data authorization code (DAC) includes a DES algorithm, in particular a triple DES algorithm (3DES).
- the module processor 120 of the security module is programmed at Single mail processing after entering a postage value the data authorization code (DAC) in advance or in bulk mail processing after settlement of the previous postage value predict the next data authorization code (DAC), if the postage value is not changed and after advance calculation the Data authorization code (DAC) to the third data processing unit ⁇ P, 91 to be transmitted immediately.
- DAC data authorization code
- DAC Data authorization code
- the internal non-volatile memory 124 is a battery 134 supported SRAM memory of the module processor 120 and is with Areas for protected storage of at least part of the Data of a postal register record formed, which in a pre-billing arises. In one of the memory areas is that for Calculation of a data authorization code (DAC) required at least one key is saved protected.
- DAC data authorization code
- the module processor 120 of the security module 100 is programmed with the postage value the increasing register value R2 (ascending register) in To be determined in advance and taking into account the determined value Data authorization code (DAC) for the data of the security imprint to calculate in advance.
- Data authorization code (DAC) for the data of the security imprint to calculate in advance.
- the data authorization code (DAC) can be calculated in advance of the security imprint are: machine identification, OCR key indicator, Date, post value and register value R2 for the rising register, the was determined in advance billing.
- the microprocessor CPU 121 is programmed by a corresponding program stored in the flash 128 to carry out the aforementioned self-tests, a power-on self-test being carried out in a first step 300 after the start 299 and then a question being asked in step 301 as to whether the power on Self-test has given an OK. If this is the case, in step 302 the green LED 107 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up. Otherwise, in step 303, the red LED 108 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up.
- Step 302 branches to query 304, in which it is checked whether a further static check is required. If this is the case, the method branches back to step 300. Otherwise, a branch is made to query 305, in which it is checked whether a letter system is detected by a letter sensor or whether an input of a new postage value is recognized by module processor 120. If neither of these is the case, a branch is made back to step 302 and a queue is thus continued until a letter system / new entry has been determined. In the latter case, a branch is made to step 306 in order to finish entering the data. Beginning simultaneously or shortly after time t 0 , a step 307 for MAC calculation is started on the basis of the postal register data P ' to available at time t 0 .
- a MAC (P to ) formed earlier by the module processor 120 is valid at time t 0 .
- the MAC calculation is completed at time t 1 .
- the calculated MAC (P ' to ) is compared in step 308 with the old MAC (P to ) valid at time t 0 (already formed earlier by module processor 120) at time t 1 . If they do not match, a branch is made to step 315 in order to control the LEDs 107, 108 with an orange light. Otherwise the program branches to step 309. There, at time t 2 in module processor 120, the ascending register value R2 t2 is calculated in advance and a new DAC calculation is carried out.
- step 310 the postal register set P t2 is precalculated, a MAC is newly formed , possibly with storage in NVRAM_P 124.
- the precalculation of the data authorization code (DAC) includes the ascending register value R2 and further data from a point in time t i + 1 , which after the end of data entry and / or in the case of mass frankings from the creation of a further item of mail and before the actual settlement (312).
- the other data which includes at least the postage value p and the date, at least the machine ID and, if applicable, the date can be included in the DAC forecast after the creation of another mail item (time t 0 ), if it is for the respective franking stack of letters remains unchanged.
- the generation in the security module is completed by time t 5 .
- time t 3 when in step 311 the storage of the MAC (P t2 ) in NVRAM_P has been completed by one data processing unit 120, the other data processing unit, namely the hardware accounting unit - shown in FIG. 5 - in ASIC 150 a calculation of the new postal register record was carried out in step 312.
- the results P ' t3 and MAC (P t2 ) are stored in the NVRAM_A.
- a number of further steps can then be carried out serially or parallel to the aforementioned steps, which include at least one sub-step for generating a security code DAC and which conclude with a step 314 for providing print data for franking the letter.
- the latter at least includes sending the security code DAC to the microprocessor 91 of the meter.
- the method then branches back to step 302.
- a basically the same MAC formation procedure is also used, but the DAC is composed of the ascending register value R2 and other data (machine ID, OCR key indicator, date, postage value p) and the generation takes place at a different time t i + 1, for example from the end of data input.
- system data such as the OCR key indicator, the machine ID and the date
- DAC data authorization code
- at least the machine ID and optionally the date from the end of the data input are included in a pre-calculation of n bytes of the data authorization code (DAC).
- changeable system data such as the postage value and the ascending register value can also be included later at the time of billing.
- the module processor 120 works together with the control processor ⁇ P 91 of the meter shown in FIG. 5, the latter receiving at least the security code DAC (R2 t (i + 1) , further data), compiling the print data and transmitting it to the print head.
- the security module is for use in postal Devices determined, especially for use in a franking machine.
- the security module can also have a different design, which allows it to work with a personal computer can, which acts as a third data processing unit. It can for example connected to the main board of a personal computer who controls a commercially available printer as a PC franking device.
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Description
Die Erfindung betrifft eine Anordnung zur Generierung eines Sicherheitsabdruckes
mit einem Sicherheitsmodul, gemäß der im Oberbegriff des
Anspruchs 1 angegebenen Art und für ein Verfahren zur Generierung
eines Sicherheitsabdruckes, gemäß der im Oberbegriff des Anspruchs 9
angegebenen Art. Ein postalischer Sicherheitsmodul ist ein Teil einer
Anordnung, die sich insbesondere für den Einsatz in einer
Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit
Postbearbeitungsfunktion eignet. Das Verfahren dient der Sicherung vor
einer Manipulation mit nichtbezahlten Frankierungen auf Postgütern.The invention relates to an arrangement for generating a security imprint
with a security module, according to the in the preamble of
In EP 862 143 A2 wurde eine Frankiermaschine für die Erzeugung und Überprüfung eines Sicherheitsabdruckes vorgeschlagen. Ein Sicherheitsabdruck weist eine maschinenlesbare Markierung mit variablen Daten und einen Krypto- bzw. Authentisierungscode auf.In EP 862 143 A2 a franking machine for the generation and Security imprint verification suggested. A security imprint has a machine-readable marker with variable data and a crypto or authentication code.
Zur Überprüfung des Sicherheitsabdruckes wird ein aus den variablen
Daten gebildeter Kryto- bzw. Authentisierungscode mit dem aufgedruckten
Kryto- bzw. Authentisierungscode verglichen. Die Frankiermaschine
hat einen einzigen Mikroprozessor, der sowohl einen Krytocode bzw.
einen DAC (DATA AUTHENTIFICATION CODE) zur Absicherung der
Druckdaten, als auch das Druckbild selbst berechnet. Letzteres besteht
aus festen Rahmenpixeldaten und den Fensterpixeldaten. Fensterpixeldaten
sind variable und semivariable Druckdaten.
Dabei wurde vorgeschlagen, um die Rechenzeit optimal auszunutzen, die
Druckdaten für den Krytocode bzw. einen DAC und diejenigen variablen
Daten, die sich relativ häufig ändern, erst kurz vor dem Drucken in das
berechnete Druckbild einzufügen. Bei Frankiermaschinen mit spaltenweisen
Druck auf ein bewegtes Postgut, wobei die Druckzeile im Druckkopf
orthogonal zur Transportrichtung des Briefes angeordnet ist, kann
sich eine Möglichkeit ergeben, die vorgenannten variablen Daten direkt in
das Druckregister der Drucksteuerung für den Druckkopf zu übertragen,
wobei die Übertragung sequentiell mit den Rahmenpixeldaten erfolgt.
Damit wird eine Möglichkeit geschaffen, erst spät fertigberechnete DAC-Druckdaten
auch noch nachträglich während des Druckens einzubetten.
Beispielsweise bei der Frankiermaschine T1000 der Anmelderin, welche
nach einem Thermo-transferdruckverfahren arbeitet, ergibt sich bei
Lauflängencodierung der Druckdaten, eine solche Möglichkeit unter der
Voraussetzung, daß bereits einige der festen Rahmenpixeldaten und der
zuvor eingebetteten Fensterpixeldaten bereits gedruckt werden, so daß
die DAC-Druckdaten erst spät eingebettet können, weil das entsprechende
Fenster erst später gedruckt werden muß. Wenn jedoch seitens eines
Postbeförderers die Forderung besteht, das betreffende Fenster zuerst zu
drucken, muß die Einbettung der Druckdaten im Vorab erfolgen. Wenn die
Änderungen sich über mehrere Druckspalten erstrecken, wobei mehr als
die Hälfte der Druckspalten des gesamten Druckbildes verändert werden
müssen, resultiert daraus eine entsprechende Verlängerung der
Rechenzeit. Dann ist aber vor jedem Frankierbildausdrucken eine Neuberechnung
des Druckbildes mit anderen variablen Fensterdaten und mit
neuen DAC-Druckdaten nötig. Der Durchsatz beim Frankieren wird bei
solchen Druckbildern für einen Sicherheitsabdruck deutlich verringert.To check the security imprint, a crypto or authentication code formed from the variable data is compared with the printed crypto or authentication code. The franking machine has a single microprocessor that calculates both a cryptocode or a DAC (DATA AUTHENTIFICATION CODE) to secure the print data, as well as the print image itself. The latter consists of fixed frame pixel data and the window pixel data. Window pixel data is variable and semi-variable print data.
In order to make optimum use of the computing time, it was proposed to insert the print data for the cryptocode or a DAC and those variable data which change relatively frequently into the calculated print image shortly before printing. In franking machines with column-wise printing on moving mail, the print line in the print head being arranged orthogonally to the transport direction of the letter, there may be a possibility of transferring the aforementioned variable data directly into the print register of the print control for the print head, the transfer being carried out sequentially the frame pixel data. This creates the possibility of embedding DAC print data that has only been calculated late, even afterwards during printing. For example, in the applicant's franking machine T1000, which works according to a thermal transfer printing method, there is such a possibility with run length coding of the print data, provided that some of the fixed frame pixel data and the previously embedded window pixel data are already printed, so that the DAC Print data can only be embedded late because the corresponding window has to be printed later. If, however, a mail carrier requests that the window in question be printed first, the print data must be embedded in advance. If the changes extend over several printing columns, with more than half of the printing columns of the entire printed image having to be changed, this results in a corresponding increase in the computing time. Then, before each franking image printout, a recalculation of the print image with other variable window data and with new DAC print data is necessary. The throughput during franking is significantly reduced in the case of such print images for a security imprint.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung zu entwickeln, um den Durchsatz an Post beim Frankieren mit einem Sicherheitsabdruck zu erhöhen.The invention is based, a method and a task Arrangement to develop the throughput of mail when franking with to increase a security footprint.
Bei Frankiermaschinen mit hohem Durchsatz (Systemtakt) ist eine Technik zu entwickeln, bei der nach jeder erfolgreichen Abrechnung der Frankierabdruck durch einen Sicherheitscode signiert wird. Hierbei muß die Signatur schnell genug errechnet werden, um sie abhängig vom Systemtakt der Frankiermaschine schnell genug für die Druckbildberechnung zur Verfügung zu stellen. Auch wenn die Änderungen in den Druckdaten von Abdruck zu Abdruck maximal sind, soll dadurch der Durchsatz nicht verringert werden, daß ein Sicherheitsabdruck gedruckt wird.One technique is used for franking machines with high throughput (system cycle) to develop the franking imprint after each successful settlement is signed by a security code. Here, the Signature can be calculated quickly enough to make it dependent on the system clock the franking machine quickly enough for the print image calculation To make available. Even if the changes in the print data from The throughput is not intended to be a maximum of print to print reduced that a security print is printed.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für eine Anordnung
und mit den Merkmalen des Anspruchs 9 für ein Verfahren gelöst.The object is with the features of
Eine Lösung des Problems wurde in der Durchführung von zwei zeitlich versetzten Berechnungen durch unterschiedliche Rechner gefunden. Die Berechnung des Sicherheitscodes wird erfindungsgemäß von einem seperaten Sicherheitsmodul vorgenommen, während die Druckbilddatenaufbereitung vom Frankiermaschinen-Prozessor vorgenommen wird. Durch geschicktes Verschachteln der beiden Aufgaben und spezielle Auswahl von Algorithmen und Datenstrukturen wird eine hohe Systemtaktleistung erzielt, insbesondere wenn ein Stapel an gleichwertiger Post oder Mischpost bearbeitet werden soll.A solution to the problem was in the execution of two times offset calculations found by different computers. The According to the invention, the security code is calculated by a Separate security module made while the print image data preparation is carried out by the franking machine processor. By cleverly nesting the two tasks and special Choosing algorithms and data structures will result in high system clock performance achieved, especially when a stack of equivalent mail or mixed mail to be processed.
Das Sicherheitsmodul wird so implementiert, daß alle für den
Sicherheitscode benötigten Systemdaten über Nachrichten von der
Frankiermaschine voreingestellt werden. Jede Nachricht, die solche
Systemdaten verändert, startet sofort, sofern die neuen Systemdaten
vom Sicherheitsmodul als gültig erkannt werden, eine Neuberechnung des
Sicherheitscodes. Eine über eine separate Nachricht an das
Sicherheitsmodul gemeldete Aufforderung zur Abrechnung startet die
Abrechnung. Das Sicherheitsmodul sendet den Sicherheitscode an die
Frankiermaschine, wobei letztere die Druckdatenaufbereitung und
Berechnung des Druckbildet vornimmt. Für Massenfrankierungen mit
hohem Systemtakt ergibt sich eine zeitliche Verschachtelung der
Operationen beider Datenverarbeitungseinheiten, d.h. des Sicherheitsmoduls
und der Frankiermaschine, was zu einer hohen Systemleistung
führt. Die zeitliche Verschachtelung läßt sich nur durch folgende zwei
Maßnahmen ermöglichen:
Eine Neuberechnung des Sicherheitscodes SC oder DAC mittels Modulprozessor wird ausgelöst, sofern die neuen Systemdaten vom Modulprozessor des Sicherheitsmoduls als gültig erkannt werden, wobei die Neuberechnung des Sicherheitscodes aufgrund voreingestellter Werte erfolgt. Die Seriennummer und der Key-Indicator KI sind die festen Systemdaten. Das Druckdatum, Portowert und Ascending Register Wert sind die variablen Systemdaten. Das Druckdatum bleibt bei Massenfrankierungen konstant. Es ist vorgesehen, die ersten zur Erzeugung des Datenautorisierungscodes (DAC) nötigen acht Bytes nach einem Algorithmus in einer ersten Runde für jeden Tag vorauszuberechnen. Bei einem Stapel an gleichwertiger Post bleibt der Portowert unverändert gleich. Von den Daten für einen Sicherheitsabdruck ändert sich mindestens der steigende Register Wert. Er kann für mindestens eine Frankierung im Voraus berechnet werden, was bei Massenfrankierungen berücksichtigt wird, wo der Portowert unverändert gleichbleibt. Es ist vorgesehen, unter Einbeziehung des ermittelten steigenden Registerwertes den Datenautori-sierungscode (DAC) für mindestens ein Poststück fertig zu berechnen. Während das Abrechnen des Portowertes im Sicherheitsmodul durch eine Hardware-einheit vorgenommen wird, erfolgt die Druckbilddatenaufbereitung extern vom Sicherheitsmodul durch einen Frankiermaschinen-Prozessor. Der Sicherheitsabdruck genügt besonders strengen Sicherheitsforderungen, weil die aufgedruckten Daten verifizierbar und somit unmanipulierbar sind.A recalculation of the security code SC or DAC using a module processor is triggered if the new system data from the module processor of the security module are recognized as valid, the recalculation of the security code is based on preset values. The serial number and the key indicator KI are the fixed system data. The print date, postage value and ascending register value are the variable System data. The print date remains constant for bulk frankings. It is envisaged the first to generate the data authorization code (DAC) require eight bytes according to an algorithm in one to calculate the first round for each day. At a stack equivalent post, the postage remains unchanged. Of the Data for a security imprint changes at least the increasing Value tab. He can be pre-charged for at least one franking what is taken into account in the case of bulk frankings, where the Postage remains unchanged. It is intended to involve of the determined increasing register value the data authorization code (DAC) for at least one piece of mail. During that Accounting of the postage in the security module by a hardware unit the image data is prepared externally from the security module through a franking machine processor. The Security footprint meets particularly strict security requirements, because the printed data is verifiable and therefore unmanipulable.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
- Figur 1a,
- Zeit/Steuerungsdiagramm für eine Frankiermaschine bekannter Art mit einem Mikroprozessor,
- Figur 1b,
- Zeit/Steuerungsdiagramm für eine Frankiermaschine nach der Erfindung mit einem Mikroprozessor im Meter für die Druckaufgaben und einem Sicherheitsmodul für die Sicherheitsaufgaben,
Figur 2,- Blockschaltbild einer Frankiermaschine mit Sicherheitsmodul,
Figur 3,- Perspektivische Ansicht der Frankiermaschine von hinten,
Figur 4,- Darstellung eines Sicherheitsabdrucks,
Figur 5,- Blockschaltbild des Sicherheitsmoduls,
Figur 6,- Flußdiagramm für das Erzeugen von Sicherheitsabdrucken beim Frankieren.
- Figure 1a,
- Time / control diagram for a franking machine of known type with a microprocessor,
- Figure 1b,
- Time / control diagram for a franking machine according to the invention with a microprocessor in the meter for the printing tasks and a security module for the security tasks,
- Figure 2,
- Block diagram of a franking machine with security module,
- Figure 3,
- Perspective view of the franking machine from behind,
- Figure 4,
- Representation of a security imprint,
- Figure 5,
- Block diagram of the safety module,
- Figure 6,
- Flow diagram for the generation of security imprints when franking.
In der Figur 1a ist ein Zeit/Steuerungsdiagramm für eine Frankiermaschine dargestellt, die in bekannter Art mit einem Mikroprozessor ausgestattet ist, der für das Erzeugen von Sicherheitsabdrucken beim Frankieren folgende Schritte ausführt:
Eingaberoutine 401, um den Portowert einzustellen,Sensorroutine 402, um die Briefanlage festzustellen, mit- Subroutine 406-411 zur DAC-Berechnung,
Aufforderungsroutine 403 zum Abrechnen, mit 412, 413 zum Abrechnen und mitSubroutine - Subroutine zum DAC bereitstellen,
Berechnungsroutine 404 für das Druckbild sowieDruckroutine 405.
-
Input routine 401 to set the postage value, -
Sensor routine 402 to determine the letter system with - Subroutine 406-411 for DAC calculation,
-
Prompt routine 403 for billing, with -
412, 413 for accounting and withSubroutine - Provide subroutine to DAC,
-
Calculation routine 404 for the printed image as well -
Print routine 405.
Aufgrund der sequentiellen Verarbeitung der Daten bei der Durchführung der einzelnen Routinen und Subroutinen wird eine Datenverarbeitungszeitdauer Talt je Frankierung mit einem Sicherheitsabdruck benötigt.Due to the sequential processing of the data when the individual routines and subroutines are carried out, a data processing time period T alt is required per franking with a security imprint.
Das erfindungsgemäße ― in der Figur 1b gezeigte - Zeit/Steuerungsdiagramm für eine Frankiermaschine benötigt eine Datenverarbeitungszeitdauer Tneu je Frankierung mit einem Sicherheitsabdruck, welche kürzer ist, als die alte Datenverarbeitungszeitdauer Talt je Frankierung. Das ist nur möglich, weil bei der Erfindung eine Aufgabenteilung für zwei Datenverabeitungseinheiten stattfindet, wobei ein Mikroprozessor im Meter für die Druckaufgaben und ein Sicherheitsmodul für die Sicherheitsaufgaben vorgesehen ist. The time / control diagram according to the invention - shown in FIG. 1b - for a franking machine requires a data processing time period T new per franking with a security imprint that is shorter than the old data processing time period T alt per franking. This is only possible because in the invention there is a division of tasks for two data processing units, a microprocessor in the meter being provided for the printing tasks and a security module for the security tasks.
Die Druckaufgaben umfassen eine Eingaberoutine 401, um den Portowert
einzustellen, eine Sensorroutine 402, um die Briefanlage festzustellen,
eine Aufforderungsroutine 403 zum Abrechnen, eine Berechnungsroutine
404 für das Druckbild sowie eine Druckroutine 405.The printing tasks include an
Die Sicherheitsaufgaben umfassen eine Subroutine 406-411 zur DAC-Berechnung,
eine Subroutine 412, 413 zum Abrechnen und eine
Subroutine zum DAC bereitstellen.The security tasks include a subroutine 406-411 for DAC calculation,
a
Die Berechnungsroutine 404 für das Druckbild ist besonders aufwendig
für einen Sicherheitsabdruck, deshalb wird mit dem Druckbildaufbau
schon vor dem Ende der Abrechnung begonnen. Außerdem führt der
Mikroprozessor im Meter die Druckroutine 405 durch, während der
Sicherheitsmodul bereits den Sicherheitscode für das nächste Druckbild
berechnet, sobald das Anlegen eines weiteren Briefes am Eingang des
Transportweges von einem Briefsensor erfaßt wird.
Das ist besonders bei Massenfrankierungen von Poststücken, insbesondere
von Briefen, mit dem gleichen Portowert sinnvoll. Das Anlegen
eines weiteren Briefes, welches am Eingang des Transportweges von
einem Briefsensor erfaßt wird, löst einen Interrupt für den Mikroprozessor
im Meter aus, welcher die Briefanlage an das Sicherheitsmodul
weitermeldet und dann die begonnenen Berechnungen zum Druckbildaufbau
fortsetzt. In dem Patent US 5,710,721 wurde unter dem Titel:
INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT
prinzipiell beschrieben, wie bei einem Sensorsignal ein Interrupt für den
Mikroprozessor ausgelöst wird und wie die Drucksteuerung arbeitet.
Erfindungsgemäß arbeitet der Mikroprozessor noch am Druckbildaufbau
(Schritt 404) oder ist mit der Durchführung der Druckroutine (Schritt 405)
beschäftigt, während die Weitermeldung 412 einer weiteren Briefanlage
an das Sicherheitsmodul SM erfolgt, woraufhin letzteres bereits weiterer
Berechnungen 316-321 für ein nächstes Poststück (Brief) durchführt.
Sobald der Mikroprozessor mit der Durchführung der Druckroutine (Schritt
405) fertig ist, ergeht eine Aufforderung an das Sicherheitsmodul, eine
Abrechnung durchzuführen. Das Sicherheitsmodul SM führt nun die
Abrechnung (Schritte 322, 323) durch und sendet (Schritt 324) den
Sicherheitscode DAC an den Mikroprozessor 91 des Meters, welches nun
in der Lage ist den Druckbildaufbau für das weitere Druckbild zuende zu
führen (Schritt 414). The
This is particularly useful for mass frankings of mail items, especially letters, with the same postage value. The creation of another letter, which is detected by a letter sensor at the entrance of the transport route, triggers an interrupt for the microprocessor in the meter, which forwards the letter system to the security module and then continues the calculations that have started for the print image construction. The patent US 5,710,721, under the title: INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT, describes in principle how an interrupt for the microprocessor is triggered when a sensor signal is triggered and how the pressure control works.
According to the invention, the microprocessor is still working on the print image construction (step 404) or is busy carrying out the print routine (step 405) while the forwarding 412 of another letter system to the security module SM, whereupon the latter already carries out further calculations 316-321 for a next mail piece ( Letter).
As soon as the microprocessor has finished executing the printing routine (step 405), the security module is prompted to carry out an accounting. The security module SM now carries out the billing (steps 322, 323) and sends (step 324) the security code DAC to the
Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine. Die
Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit
zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf.FIG. 2 shows a block diagram of a franking machine. The
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum
Drucken und wenigstens sicherheitsrelevante Bestandteile des Programms
für eine vorbestimmte Format-Änderung eines Teils der
Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung
von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur
nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von
statistischen Daten, die nach Kostenstellen geordnet sind. Der
Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nichtflüchtige
Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von
Zwischenergebnissen oder auch bekannten Programmteilen. Es ist
vorgesehen, daß die Steuereinrichtung 1 mit einer Chipkarten-Schreib/Leseeinheit
70 verbunden ist, wobei der Mikroprozessor 91 der
Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten
N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in
entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in
einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70
eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines
Datensatzes in die Frankiermaschine für mindestens eine Anwendung.
Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle
üblichen Postbefördererleistungen entsprechend des Tarifs der
Postbehörde und ein Postbefördererkennzeichen, um mit der
Frankiermaschine ein Stempelbild zugenerieren und entsprechend des
Tarifs der Postbehörde die Poststücke freizustempeln.The
The
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis
95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88,
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis
ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM
100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den
parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9
und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen
für die Signale CE, RD und WR zwischen dem Sicherheitsmodul PSM 100
und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist
vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100
abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88,
eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten-Schreib/Lese-Einheit
70 und eine serielle Schnittstelle SI-2 für den
optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann
beispielsweise das im nichtflüchtigen Speicher des postalischen
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.The
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten
Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen
Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchgeführt.
Die Abrechnung erfolgt unabhängig von Kostenstellen.
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung
98 zu einem im Poststrom vorschalteten Gerät, eine serielle
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur
Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle
Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom
nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine
Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche
für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel:
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.The postal
It is provided that the
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum
Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und
Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und
Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der
Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brieftransport.
Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslösung
beim Brieftransport. Die Transporteinrichtung besteht aus
einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als
Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als
Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe
ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über
die Leitung 19 ein Encodersignal an das Motherboard 9 ab.One of the
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes
innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind
und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der
gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder
bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94
nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls
weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahldrucke)
und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter
sind solche, welche die geladenen Portogebührentabellen nichtflüchtig
speichern.It is contemplated that the individual print elements of the print head
are connected to printhead electronics within its housing
and that the print head can be controlled for purely electronic printing
is. The pressure control is based on the path control, the
selected stamp offset is taken into account, which is by
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen
mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte
in Lese-Position und eindeutige Signalisierung des Erreichens der
Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikroprozessorkarte
mit dem Mikroprozessor 75 besitzt eine einprogrammierte
Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das
Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß
RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud.
Das Einschalten der Stromversorgung erfolgt mittels einem an der Hauptplatine
angeschlossenen Schalter 71. Nach Einschalten der Stromversorgung
erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. The chip card read /
In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70
ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der
Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine
mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach
unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante
stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der
Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit
einem Sicherheitabdruck 31 bedruckt. Die Briefzuführöffnung wird durch
eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten
Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.FIG. 3 is a perspective view of the franking machine from FIG
shown at the back. The franking machine consists of a
Die Figur 4 zeigt eine Darstellung eines Sicherheitsabdrucks, wie er von der amerikanischen USPS gefordert wird. Der Sicherheitsabdruck ist rechts vom Werbeklischee angeordnet und weist in der oberen Hälfte ein Beförderer-Logo und den Portowert und in der unteren Hälfte das Datum, den Portowert, einen Key-Indicator und einen Datenauthentisierungscode DAC in einer ersten Zeile und eine Hersteller-ID, eine Maschinen-ID, eine Modell-ID und den Ascendungregisterwert in einer zweiten Zeile auf, wobei beide Zeilen maschinenlesbar sind. Beide maschinenlesbare Zeilen sind durch Markierungsbalken seitlich begrenzt, welche die Erkennung und Auswertung der Zeichen nach dem OCR-Verfahren verbessern. Ein entsprechendes Auswerteverfahren für die vorgenannten Daten, die die Zeichen wiedergeben, wurde bereits in der europäischen Anmeldung EP 862 143 A2 zur Überprüfung eines Sicherheitsabdruckes vorgeschlagen.FIG. 4 shows a representation of a security imprint as it is from the American USPS is required. The security imprint is arranged to the right of the advertising cliché and shows in the upper half Carrier logo and postage value and the date in the lower half, the postage value, a key indicator and a data authentication code DAC in a first line and a manufacturer ID, a machine ID, one Model ID and the ascending register value in a second line, where both lines are machine readable. Both machine readable lines are laterally delimited by marking bars, which the detection and improve the evaluation of the characters using the OCR method. On appropriate evaluation procedure for the aforementioned data, which the Play characters, was already in the European application EP 862 143 A2 proposed for checking a security imprint.
Erfindungsgemäß wird die Berechnung des DAC für den Sicherheitsabdruck im Sicherheitsmodul durchgeführt. Eine weitere Beschleunigung der Berechnung des Sicherheitscodes wird durch die Wahl eines eigens für die DES-Berechnung gewählten und zertifizierten Assembler-Algorithmus erziehlt.According to the invention, the calculation of the DAC for the security imprint performed in the security module. Another acceleration The calculation of the security code is done by choosing one Assembler algorithm chosen and certified for the DES calculation educates.
Um auch Druckdaten, die lediglich Teile eines Datums angeben, durch
eine OCR-Lesestation authentifizieren zu können, wird für diese
speziellen Datums-Werte ein Left out-Wert definiert. Dieser wird anstelle
des Datumeintrages verwendet. Beispielsweise wird der Wert 0
verwendet, wenn die entsprechende Datumsteile nicht vorliegen. In order to also be able to authenticate print data that only indicate parts of a date using an OCR reading station, a left out value is defined for these special date values. This is used instead of the date entry. For example, the
Um das Druckdatum auf Gültigkeit zu prüfen, ist die Speicherung des aktuellen Datums in zwei unterschiedlichen Formaten und Speicherplätzen notwendig, da das Format der SM-internen Echtzeituhr RTC sich vom Format des im Druckbild verwendeten Datums unterscheidet und ein Vergleich zum Zeitpunkt der Abrechnung entsprechend Zeit benötigt.To check the validity of the print date, save the current date in two different formats and Storage space necessary because of the format of the SM internal real-time clock RTC differs from the format of the date used in the printed image differs and a comparison at the time of billing accordingly needed time.
Der Aufbau und die Interpretation der Systemdaten, die in den Sicherheitscode eingehen, sowie die Systemdaten, die von der FM für den Druck genutzt werden ermöglicht eine weitere Beschleunigung. Da bei Massenfrankierungen das Druckdatum in der Regel konstant bleibt, lassen sich die ersten 8 Bytes des Sicherheitscodes in einer ersten 3DES-Runde für jeden Tag vorabrechnen.The structure and interpretation of the system data contained in the Security code received, as well as the system data that the FM for the Using pressure allows further acceleration. Since the date of printing is generally constant for bulk frankings remains, the first 8 bytes of the security code can be in a first Prepare 3DES round for every day.
In der Tafel 1 wird ein weiteres Beispiel für die Daten gezeigt, die aus
einem Sicherheitsabdruck hervorgehen.
Die Tafel 2 verdeutlicht die Länge der benötigten Bytes einzelner und aller
Systemdaten, die in die Berechnung des Sicherheitscodes eingehen.
Die Tafel 3 zeigt ein Beispiel an Systemdaten für ein Sicherheitscode. Table 3 shows an example of system data for a security code.
Die Figur 5 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen
Eingang des Spannungsumschalters 180 und die Systemspannung
führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters
180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P
für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch
durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher
Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der
Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an
der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die
Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit
den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164
und 137, 139 in Kommunikationsverbindung. Der Ausgang des
Spannungsumschalters 180 liegt über die Leitung 136 außerdem am
Versorgungseingang eines ersten Speichers SRAM 116 an, der durch die
vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer
ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den
Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über
den Systembus und ein Modem 83 in Kommunikationsverbindung mit
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC
150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen
Speichern unterschiedlicher Technologie gespeichert.
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt
Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen
Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese
zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM,
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch
übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den
entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen
internen Adreß- und Datenbus 112, 113 verbunden.FIG. 5 shows a block diagram of the postal
The security module is connected to the franking machine via the
System voltage is present at the supply input of a second memory NV-
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die
Berechnung der zu speichernden postalischen Daten. In der
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert.
Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an
entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160
erzeugt mindestens ein Steuersignal für das ASIC 150 und ein
Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen
modulinternen Systembus miteinander verbunden, der Leitungen
110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.The
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der
Prozessor 120 und das ASIC 150 werden bei Absinken der
Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit
130 zurückgesetzt.The
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen,
welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine
Leiterschleife 18 bilden.Lines are connected to
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit
125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit
125, an welchen modulinterne Signalmittel angeschlossen sind,
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den
Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule
können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So
muß z.B. detektiert werden, ob das Modul gültige kryptografische
Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das
Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der
Modulzustände ist von den realisierten Funktionen im Modul und von der
Implementierung abhängig. The
Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul-internen
Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150
verbunden. Der FLASH 128 dient als Programmspeicher und wird mit
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher
vom Typ AM29F010-45EC. Der ASIC 150 des
postalischen Sicherheitsmoduls 100 liefert über einen modulinternen
Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge
des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100
liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des
Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8
mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115
der Hauptplatine 9 in Kommunikationsverbindung.The
Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer
Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird
von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt.
Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung
auf der Leitung 136 für die Spannungsüberwachungseinheit 12
und Speicher 116 diejenige seiner Eingangsspannungen weiter, die
größer als die andere ist. Durch die Möglichkeit, die beschriebene
Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+
automatisch mit der größeren von beiden zu speisen, kann während des
Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.The real-
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb
des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM)
124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie
während des Batteriebetriebs unter eine bestimmte Grenze, so wird von
der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für
RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC
und am SRAM liegt dann bei 0V. Das führt dazu, daß der SRAM 124, der
z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird.
Gleichzeitig werden auch die Register der RTC 122 gelöscht und die
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese
Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der
Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß
sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er
Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs
umgeht.
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt
die bechriebene Schaltung in einen Selbsthaltezustand, in dem sie auch
bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung
abfragen (Statussignal) und damit und/oder über die Auswertung der
Inhalte des gelöschten Speichers darauf schließen, daß die
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten
hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d.h.
"scharf" machen.The battery of the postage meter machine feeds the real-
Simultaneously with the indication of the undervoltage of the battery, the circuit described changes to a self-holding state, in which it remains even when the voltage is subsequently increased. The next time the module is switched on, the processor can query the status of the circuit (status signal) and thus and / or, by evaluating the contents of the deleted memory, conclude that the battery voltage has in the meantime fallen below a certain value. The processor can reset the monitoring circuit, ie make it "armed".
Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff
auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten
deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: Anordnung
für ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anordnung
für den Zugriffsschutz für Sicherheitsmodule, sowie 199 12 780. 8
mit dem Titel: Anordnung für ein Sicherheitsmodul, 199 12 781.6 mit dem
Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur
Durchführung des Verfahrens und die deutsche Gebrauchsmusteranmeldung
299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisierung
vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem
Lebenszyklus verschiedene Zustände einnehmen. Es kann nun unterschieden
werden, ob das Sicherheitsmodul funktioniert oder defekt ist.
Dabei wird auf die Nichtmanipulierbarkeit der hardwaremäßigen Abrechnung
vertraut, ohne dies noch einmal zu kontrollieren. Jede andere softwaregesteuerte
Arbeitsweise gilt nur mit den Orginalprogrammen als fehlerfrei,
welche deshalb vor einer Manipulation geschützt werden müssen.Further measures to protect a security module from an attack
on the data stored in it were also in the unpublished
German applications 198 16 572.2 8 entitled: Arrangement
for a security module and 198 16 571.4 with the title: arrangement
for access protection for security modules, as well as 199 12 780. 8
entitled: Arrangement for a security module, 199 12 781.6 with the
Title: Procedure for protecting a security module and arrangement for
Implementation of the procedure and the German
Die erste Datenverarbeitungseinheit 120 ist erfindungsgemäß durch ein im
Programmspeicher 128 des Sicherheitsmoduls gespeichertes Programm
programmiert, den Datenautorisierungscode DAC vorauszuberechnen und
an die separate Datenverarbeitungseinheit µP, 91 zu übermitteln, die
parallel und annähernd zeitgleich zur Operation der Vorausberechnung
durch ein Programm in ihrem Programmspeicher 92 zu einer Druckdatenaufbereitung
und zur Berechnung eines Druckbildes programmiert ist. Es
ist vorgesehen, daß die erste Datenverarbeitungseinheit 120 des Sicherheitsmoduls
100 einen internen nichtflüchtigen Speicher 124 aufweist, in
welchem mindestens ein Schlüssel für die Berechnung des Datenautorisierungscodes
(DAC) vor einem Zugriff geschützt gespeichert ist. Im
Sicherheitsmodul 100 ist eine zweite Datenverarbeitungseinheit 150 für
eine Abrechnung der Postregister vorgesehen, so daß die vom Sicherheitsmodul
100 separate Datenverarbeitungseinheit im Meter eine dritte
Datenverarbeitungseinheit µP, 91 insbesondere für die Bearbeitung der
Druckaufgaben bildet.
In der zweiten Datenverarbeitungseinheit ASIC 150 ist eine Hardware-abrechnungseinheit
zur Durchführung der Abrechnung enthalten, welche
den neuen Postregistersatz mit den Abrechnungsdaten in den
nichtflüchtigen Speicher 114, 116 einspeichert.According to the invention, the first
The second data
Die erste Datenverarbeitungseinheit ist ein Modulprozessor 120 des
Sicherheitsmoduls, welcher vorzugsweise programmiert ist, die ersten 8
Bytes des Datenautorisierungscode (DAC) nach einem Algorithmus in
einer ersten Runde für jeden Tag vorauszuberechnen. Der Algorithmus für
den Datenautorisierungscode (DAC) schließt einen DES-Algorithmus,
insbesondere einen Tripel-DES-Algorithmus (3DES) ein.The first data processing unit is a
Der Modulprozessor 120 des Sicherheitsmoduls ist programmiert, bei
Einzelpostverarbeitung nach Eingabe eines Portowertes den Datenautorisierungscode
(DAC) vorauszuberechnen bzw. bei Massenpostverarbeitung
nach Abrechnung des vorhergehenden Portowertes den
nächstfolgenden Datenautorisierungscode (DAC) vorauszuberechnen,
wenn der Portowert nicht geändert wird und nach Vorausberechnung den
Datenautorisierungscode (DAC) an die dritte Datenverarbeitungseinheit
µP, 91 sofort zu übermitteln.The
Der interne nichtflüchtigen Speicher 124 ist ein durch eine Batterie 134
gestützter SRAM-Speicher des Modulprozessors 120 und ist mit
Bereichen zur geschützten Speicherung von mindestens einen Teil der
Daten eines Postregistersatzes ausgebildet, welcher bei einer Vorausabrechnung
entsteht. In einem der Speicherbereiche ist der für die
Berechnung eines Datenautorisierungscodes (DAC) erforderliche
mindestens eine Schlüssel geschützt gespeichert.The internal
Der Modulprozessor 120 des Sicherheitsmoduls 100 ist programmiert, mit
dem Portowert den steigenden Registerwert R2 (ascending register) im
Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den
Datenautorisierungscode (DAC) für die Daten des Sicherheitsabdruckes
vorauszuberechnen. Beispielsweise unter Einbeziehung folgender Daten
des Sicherheitsabdruckes kann der Datenautorisierungscode (DAC) vorausberechnet
werden: Maschinen-Identifikation, OCR-Key-Indikator,
Datum, Postwert und Registerwertes R2 für das steigende Register, der
bei der Vorausabrechnung ermittelt wurde.The
Das Verfahren zur Generierung eines Sicherheitsabdruckes besteht im Wesentlichen in den Schritten:
- Vorausberechnung des aufsteigenden Registerwertes R2,
- Vorausberechnung des Datenautorisierungscodes,
- Übermittlung des Datenautorisierungscodes an eine separate
Datenverarbeitungseinheit µP, 91, welche ausgebildet ist, die
Druckdaten extern des
Sicherheitsmoduls 100 aufzubereiten, daß Druckbild zu berechnen und auszudrucken.
- Advance calculation of the ascending register value R2,
- Advance calculation of the data authorization code,
- Transmission of the data authorization code to a separate data processing unit µP, 91, which is designed to prepare the print data externally from the
security module 100, to calculate the print image and to print it out.
Anhand des - in der Figur 6 dargestellten - Flußdiagramms werden nun
die Routinen näher erläutert, welche im System vor dem Frankieren
ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im
Flash 128 gespeichertes Programm programmiert, solche vorgenannten
Selbsttests auszuführen, wobei nach dem Start 299, in einem ersten
Schritt 300 ein Power on-Selbsttest durchgeführt und dann im Schritt 301
gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der
Fall, so wird im Schritt 302 die grüne LED 107 vom Mikroprozessor CPU
121 über ein I/O-Port 125 leuchtend gesteuert. Anderenfalls wird im
Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 über ein I/O-Port
125 leuchtend gesteuert.
Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprüft
wird, ob eine weitere statische Prüfung verlangt wird. Ist das der Fall, so
wird zum Schritt 300 zurückverzweigt. Anderenfalls wird auf die Abfrage
305 verzweigt, in welcher geprüft wird, ob durch einen Briefsensor eine
Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen
neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird
auf den Schritt 302 zurückverzweigt und somit eine Warteschleife solange
durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im
letzteren Fall wird auf den Schritt 306 verzweigt, um das Eingeben der
Daten zu beenden. Gleichzeitig oder kurz nach dem Zeitpunkt t0 beginnend,
wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der
zum Zeitpunkt t0 verfügbaren Postregisterdaten P'to gestartet. Ein vom
Modulprozessor 120 bereits früher gebildeter MAC(Pto) ist zum Zeitpunkt
t0 gültig. Die MAC-Berechnung ist zum Zeitpunkt t1 abgeschlossen. Der
berechnete MAC(P'to) wird mit dem alten zum Zeitpunkt t0 gültigen (vom
Modulprozessor 120 bereits früher gebildeten) MAC(Pto) zum Zeitpunkt t1
im Schritt 308 verglichen. Bei Nichtübereinstimmung wird zum Schritt 315
verzweigt, um die LED's 107, 108 orange leuchtend zu steuern.
Anderenfalls wird zum Schritt 309 verzweigt. Dort erfolgt zum Zeitpunkt t2
im Modulprozessor 120 eine Vorausberechnung des aufsteigenden
Registerwertes R2t2 und eine DACneu-Berechnung. Anschließend erfolgt
im Schritt 310 eine Vorausberechnung des Postregistersatzes Pt2 eine
MACneu-Bildung, ggf. mit Speicherung im NVRAM_P 124. Die Vorausberechnung
des Datenautorisierungscodes (DAC) bezieht den aufsteigenden
Registerwert R2 und weitere Daten ab einem Zeitpunkt ti+1
ein, der nach dem Dateneingabe-Ende und/oder bei Massenfrankierungen
ab Anlage eines weiteren Poststücks und vor der eigentlichen Abrechnung
(312) liegt. Von den weiteren Daten, die mindestens den Portowert p und
das Datum einschließen, kann mindestens die Maschinen-ID und ggf. das
Datum in die DAC-Vorausberechnung ab Anlage eines weiteren
Poststücks (Zeitpunkt t0) einbezogen werden, wenn es für den jeweiligen
zu frankierenden Briefstapel unverändert bleibt. Bis zum Zeitpunkt t5 ist
die Generierung im Sicherheitsmodul abgeschlossen.
Zum Zeitpunkt t3, wenn im Schritt 311 die Speicherung des MAC(Pt2) im
NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen
worden ist, wird von der anderen Datenverarbeitungseinheit, nämlich von
der ― in der Figur 5 gezeigten ― Hardware-Abrecheneinheit im ASIC 150
im Schritt 312 eine Berechnung des neuen Postregistersatzes
durchgeführt.
In einem abschließenden Schritt 313 erfolgt eine Abspeicherung der
Ergebnisse P't3 und MAC(Pt2) im NVRAM_A. In Vorbereitung eines
Frankierens können dann noch eine Anzahl von weiteren Schritten seriell
oder parallel zu den vorgenannten Schritten durchlaufen werden, die
mindestens einen Subschritt zum Generieren eines Sicherheitscodes DAC
einschließen und die mit einem Schritt 314 zur Druckdatenbereitstellung
zum Frankieren des Briefes abschließen. Letzterer beinhaltet mindestens
jedoch das Senden des Sicherheitscodes DAC an den Mikroprozessor 91
des Meters. Anschließend wird zum Schritt 302 zurückverzweigt.
Zum Generieren eines DAC-Sicherheitscodes wird zwar ebenfalls eine
prinzipiell gleiche MAC-Bildungsprozedure genutzt, der DAC setzt sich
aber aus dem Ascending-Registerwert R2 und aus weiteren Daten
zusammen (Maschinen-ID, OCR-Key-Indikator, Datum, Portowert p) und
das Generieren erfolgt zu einem anderem Zeitpunkt ti+1 zum Beispiel ab
Dateneingabe-Ende. Wenn Systemdaten, wie OCR-Key-Indikator, die
Maschinen-ID und das Datum, ab Dateneingabe-Ende für den jeweiligen
zu frankierenden Briefstapel unverändert bleiben, können diese ab
Dateneingabe-Ende in eine Vorausberechnung von 8 Bytes des Datenautorisierungscodes
(DAC) einbezogen werden. Es ist vorgesehen, dass
mindestens die Maschinen-ID und optional das Datum ab Dateneingabe-Ende
in eine Vorausberechnung von n Bytes des Datenautorisierungscodes
(DAC) einbezogen werden. Zur weiteren Berechnung des
Datenautorisierungscodes (DAC) können veränderliche Systemdaten wie
der Portowert und der Ascending Registerwert auch später zum Zeitpunkt
der Abrechnung einbezogen werden. Bei Massenfrankierungen ist im
Anschluß der Übermittlung des Datenautorisierungscodes an die separate
Datenverarbeitungseinheit µP 91 vorgesehen, daß vom Modulprozessor
120 der nächstfolgende Datenautorisierungscode (DAC) mindestens unter
Einbeziehung des vorausberechneten aufsteigenden Registerwertes R2
und der vorausberechneten n Bytes fertig berechnet wird.
Der Modulprozessor 120 arbeitet mit dem - in der Figur 5 gezeigten -
Steuerungsprozessor µP 91 des Meters zusammen, wobei letzterer
mindestens den Sicherheitscode DAC(R2t(i+1), weitere Daten) empfängt,
die Druckdaten zusammenstellt und zum Druckkopf übermittelt.Using the flowchart shown in FIG. 6, the routines which run in the system before franking are explained in more detail. The microprocessor CPU 121 is programmed by a corresponding program stored in the
Step 302 branches to query 304, in which it is checked whether a further static check is required. If this is the case, the method branches back to
At time t 3 , when in
In a
To generate a DAC security code, a basically the same MAC formation procedure is also used, but the DAC is composed of the ascending register value R2 and other data (machine ID, OCR key indicator, date, postage value p) and the generation takes place at a different time t i + 1, for example from the end of data input. If system data, such as the OCR key indicator, the machine ID and the date, remain unchanged from the end of data entry for the respective batch of letters to be franked, they can be included in a calculation of 8 bytes of the data authorization code (DAC) from the end of data entry . It is envisaged that at least the machine ID and optionally the date from the end of the data input are included in a pre-calculation of n bytes of the data authorization code (DAC). For further calculation of the data authorization code (DAC), changeable system data such as the postage value and the ascending register value can also be included later at the time of billing. In the case of bulk frankings, after the transmission of the data authorization code to the separate data
The
Erfindungsgemäß ist das Sicherheitsmodul zum Einsatz in postalischen Geräten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine. Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es mit einem Personalcomputer zusammenarbeiten kann, der als dritte Datenverarbeitungseinheit fungiert. Es kann beispiels-weise mit die Hauptplatine eines Personalcomputers verbunden werden, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.According to the invention, the security module is for use in postal Devices determined, especially for use in a franking machine. However, the security module can also have a different design, which allows it to work with a personal computer can, which acts as a third data processing unit. It can for example connected to the main board of a personal computer who controls a commercially available printer as a PC franking device.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.The invention is not limited to the present embodiment, since obviously other arrangements or designs of the Invention can be developed or used, the - of the same Basic ideas of the invention starting from the adjacent Protection claims are included.
Claims (12)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19928058A DE19928058B4 (en) | 1999-06-15 | 1999-06-15 | Arrangement and method for generating a security impression |
DE19928058 | 1999-06-15 |
Publications (2)
Publication Number | Publication Date |
---|---|
EP1061479A2 true EP1061479A2 (en) | 2000-12-20 |
EP1061479A3 EP1061479A3 (en) | 2001-02-07 |
Family
ID=7911799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP00250186A Withdrawn EP1061479A3 (en) | 1999-06-15 | 2000-06-09 | Arrangement and method for generating a security imprint |
Country Status (3)
Country | Link |
---|---|
US (1) | US6853986B1 (en) |
EP (1) | EP1061479A3 (en) |
DE (1) | DE19928058B4 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1454259A2 (en) * | 2001-05-03 | 2004-09-08 | Pitney Bowes Inc. | Method for calculating indicia for mailpieces |
EP1488361A1 (en) * | 2002-03-12 | 2004-12-22 | Pitney Bowes Inc. | Optimizing throughput of mailing machines |
US7613654B2 (en) | 2002-10-30 | 2009-11-03 | Neopost Technologies | Use of electronic devices for money transfer |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10051818A1 (en) * | 2000-10-18 | 2002-06-20 | Deutsche Post Ag | Procedure for checking franking marks applied to mail items |
DE102004027517B4 (en) * | 2004-06-03 | 2007-05-10 | Francotyp-Postalia Gmbh | Arrangement and method for controlling a thermal transfer print head |
US8902251B2 (en) | 2009-02-10 | 2014-12-02 | Certusview Technologies, Llc | Methods, apparatus and systems for generating limited access files for searchable electronic records of underground facility locate and/or marking operations |
CA2710189C (en) | 2009-08-20 | 2012-05-08 | Certusview Technologies, Llc | Methods and apparatus for assessing marking operations based on acceleration information |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5710721A (en) | 1994-12-07 | 1998-01-20 | Francotyp-Postalia Ag & Co. | Internal postage meter machine interface circuit |
EP0862143A2 (en) | 1997-02-11 | 1998-09-02 | Francotyp-Postalia Aktiengesellschaft & Co. | Method and arrangement for generating and checking a security imprint |
DE19726642C1 (en) | 1997-06-18 | 1998-09-03 | Francotyp Postalia Gmbh | Print-head positioning arrangement with cleaning and sealing arrangement |
DE19711997A1 (en) | 1997-03-13 | 1998-09-17 | Francotyp Postalia Gmbh | Arrangement for communication between a base station and other stations of a mail processing machine and for their emergency shutdown |
DE29905219U1 (en) | 1999-03-12 | 1999-06-17 | Francotyp Postalia Gmbh | Security module with status signaling |
DE19816572A1 (en) | 1998-04-07 | 1999-10-14 | Francotyp Postalia Gmbh | Security module to prevent manipulation of data |
DE19912780A1 (en) | 1999-03-12 | 2000-09-14 | Francotyp Postalia Gmbh | Arrangement for a security module |
DE19912781A1 (en) | 1999-03-12 | 2000-11-23 | Francotyp Postalia Gmbh | Method for protecting a security module and arrangement for carrying out the method |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4217484A (en) * | 1977-02-07 | 1980-08-12 | Gerst William J | Taximeter |
US4422148A (en) * | 1979-10-30 | 1983-12-20 | Pitney Bowes Inc. | Electronic postage meter having plural computing systems |
US4516209A (en) * | 1983-02-09 | 1985-05-07 | Pitney Bowes Inc. | Postage metering system having weight checking capability |
US4649266A (en) * | 1984-03-12 | 1987-03-10 | Pitney Bowes Inc. | Method and apparatus for verifying postage |
US4775246A (en) * | 1985-04-17 | 1988-10-04 | Pitney Bowes Inc. | System for detecting unaccounted for printing in a value printing system |
US4831555A (en) * | 1985-08-06 | 1989-05-16 | Pitney Bowes Inc. | Unsecured postage applying system |
US4725718A (en) * | 1985-08-06 | 1988-02-16 | Pitney Bowes Inc. | Postage and mailing information applying system |
US4858138A (en) * | 1986-09-02 | 1989-08-15 | Pitney Bowes, Inc. | Secure vault having electronic indicia for a value printing system |
US4809185A (en) * | 1986-09-02 | 1989-02-28 | Pitney Bowes Inc. | Secure metering device storage vault for a value printing system |
GB8804689D0 (en) * | 1988-02-29 | 1988-03-30 | Alcatel Business Systems | Franking system |
US5448641A (en) * | 1993-10-08 | 1995-09-05 | Pitney Bowes Inc. | Postal rating system with verifiable integrity |
US5548163A (en) * | 1993-12-13 | 1996-08-20 | Blade Technologies Inc. | Device for securing car audio equipment |
DE4344476A1 (en) * | 1993-12-21 | 1995-06-22 | Francotyp Postalia Gmbh | Process for improving the security of franking machines |
DE4344471A1 (en) * | 1993-12-21 | 1995-08-17 | Francotyp Postalia Gmbh | Method and device for generating and checking a security impression |
US5572429A (en) * | 1994-12-05 | 1996-11-05 | Hunter; Kevin D. | System for recording the initialization and re-initialization of an electronic postage meter |
US5801944A (en) * | 1995-10-11 | 1998-09-01 | E-Stamp Corporation | System and method for printing postage indicia directly on documents |
US5696829A (en) * | 1995-11-21 | 1997-12-09 | Pitney Bowes, Inc. | Digital postage meter system |
US5835689A (en) * | 1995-12-19 | 1998-11-10 | Pitney Bowes Inc. | Transaction evidencing system and method including post printing and batch processing |
US5970150A (en) * | 1996-12-19 | 1999-10-19 | Pitney Bowes Inc. | System for producing verifiable kiosk receipts and records |
US5982896A (en) * | 1996-12-23 | 1999-11-09 | Pitney Bowes Inc. | System and method of verifying cryptographic postage evidencing using a fixed key set |
US6125357A (en) * | 1997-10-03 | 2000-09-26 | Pitney Bowes Inc. | Digital postal indicia employing machine and human verification |
DE19748954A1 (en) * | 1997-10-29 | 1999-05-06 | Francotyp Postalia Gmbh | Producing security markings in franking machine |
DE19757652B4 (en) * | 1997-12-15 | 2005-03-17 | Francotyp-Postalia Ag & Co. Kg | Postage meter with a chip card read / write unit |
US6019281A (en) * | 1997-12-22 | 2000-02-01 | Micro General Corp. | Postal security device with display |
-
1999
- 1999-06-15 DE DE19928058A patent/DE19928058B4/en not_active Expired - Fee Related
-
2000
- 2000-06-09 EP EP00250186A patent/EP1061479A3/en not_active Withdrawn
- 2000-06-14 US US09/593,406 patent/US6853986B1/en not_active Expired - Lifetime
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5710721A (en) | 1994-12-07 | 1998-01-20 | Francotyp-Postalia Ag & Co. | Internal postage meter machine interface circuit |
EP0862143A2 (en) | 1997-02-11 | 1998-09-02 | Francotyp-Postalia Aktiengesellschaft & Co. | Method and arrangement for generating and checking a security imprint |
DE19711997A1 (en) | 1997-03-13 | 1998-09-17 | Francotyp Postalia Gmbh | Arrangement for communication between a base station and other stations of a mail processing machine and for their emergency shutdown |
DE19726642C1 (en) | 1997-06-18 | 1998-09-03 | Francotyp Postalia Gmbh | Print-head positioning arrangement with cleaning and sealing arrangement |
DE19816572A1 (en) | 1998-04-07 | 1999-10-14 | Francotyp Postalia Gmbh | Security module to prevent manipulation of data |
DE29905219U1 (en) | 1999-03-12 | 1999-06-17 | Francotyp Postalia Gmbh | Security module with status signaling |
DE19912780A1 (en) | 1999-03-12 | 2000-09-14 | Francotyp Postalia Gmbh | Arrangement for a security module |
DE19912781A1 (en) | 1999-03-12 | 2000-11-23 | Francotyp Postalia Gmbh | Method for protecting a security module and arrangement for carrying out the method |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1454259A2 (en) * | 2001-05-03 | 2004-09-08 | Pitney Bowes Inc. | Method for calculating indicia for mailpieces |
EP1454259A4 (en) * | 2001-05-03 | 2007-03-28 | Pitney Bowes Inc | Method for calculating indicia for mailpieces |
EP1488361A1 (en) * | 2002-03-12 | 2004-12-22 | Pitney Bowes Inc. | Optimizing throughput of mailing machines |
EP1488361A4 (en) * | 2002-03-12 | 2009-08-19 | Pitney Bowes Inc | Optimizing throughput of mailing machines |
US7613654B2 (en) | 2002-10-30 | 2009-11-03 | Neopost Technologies | Use of electronic devices for money transfer |
Also Published As
Publication number | Publication date |
---|---|
DE19928058B4 (en) | 2005-10-20 |
US6853986B1 (en) | 2005-02-08 |
DE19928058A1 (en) | 2000-12-28 |
EP1061479A3 (en) | 2001-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0660269B1 (en) | Method for enhancing franking machines security | |
EP0660270B1 (en) | Method and device for generating and checking security imprints | |
DE69737782T2 (en) | A printer separable from an electronic postage metering system and billing arrangement with separation of the information about characters and billing | |
EP0944027B1 (en) | Franking machine and a method for generating valid data for franking | |
DE69729409T2 (en) | Electronic postage meter system with internal accounting system and removable external accounting system | |
DE69724345T2 (en) | System for the controlled acceptance of mail pieces, which surely enables the reuse of a digital token originally created for a mail piece with another mail piece prepared later for the certification of the payment of the postage | |
DE69636617T2 (en) | Method and system for detecting transactions with subsequent printing and processing of the item | |
EP0762337A2 (en) | Method and device for enhancing manipulation-proof of critical data | |
CH674098A5 (en) | ||
EP1035516B1 (en) | Arrangement for a security module | |
CH675496A5 (en) | ||
DE69532947T2 (en) | Franking system with associated and unassigned postage printing facilities | |
EP1035517B1 (en) | Method for the protection of a security module and arrangement for implementing said method | |
DE3613025C2 (en) | Unsecured postage application system | |
EP2058769A1 (en) | Franking method and post sending system with central postage levying | |
EP0866427B1 (en) | Mail processing system with a machine base system controlled by a personal computer | |
EP1035518B1 (en) | Arrangement for the protection of a security module | |
DE19757653C2 (en) | Method and postal device with a chip card read / write unit for reloading change data by chip card | |
DE69932605T2 (en) | SYSTEM AND METHOD FOR MANAGING FRANKING MACHINERY LICENSES | |
DE19534530A1 (en) | Process for securing data and program code of an electronic franking machine | |
EP1063619B1 (en) | Security module and method for protecting the postal register against manipulation | |
EP1061479A2 (en) | Arrangement and method for generating a security imprint | |
DE60015907T2 (en) | A method and apparatus for generating messages containing a verifiable assertion that a variable is within certain limits | |
DE19534529C2 (en) | Process for increasing the security against manipulation of critical data | |
DE19534527C2 (en) | Process for increasing the security against manipulation of critical data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): CH DE FR GB IT LI |
|
AX | Request for extension of the european patent |
Free format text: AL;LT;LV;MK;RO;SI |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE |
|
AX | Request for extension of the european patent |
Free format text: AL;LT;LV;MK;RO;SI |
|
17P | Request for examination filed |
Effective date: 20010531 |
|
AKX | Designation fees paid |
Free format text: CH DE FR GB IT LI |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA AG & CO. KG |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA GMBH |
|
17Q | First examination report despatched |
Effective date: 20061221 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
18D | Application deemed to be withdrawn |
Effective date: 20131211 |