EP1577840A2 - Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem - Google Patents

Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem Download PDF

Info

Publication number
EP1577840A2
EP1577840A2 EP05003805A EP05003805A EP1577840A2 EP 1577840 A2 EP1577840 A2 EP 1577840A2 EP 05003805 A EP05003805 A EP 05003805A EP 05003805 A EP05003805 A EP 05003805A EP 1577840 A2 EP1577840 A2 EP 1577840A2
Authority
EP
European Patent Office
Prior art keywords
data
security
franking
server
data center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP05003805A
Other languages
English (en)
French (fr)
Other versions
EP1577840A3 (de
Inventor
Gerrit Dr. Bleumer
Clemens Heinrich
Dirk Rosenau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP1577840A2 publication Critical patent/EP1577840A2/de
Publication of EP1577840A3 publication Critical patent/EP1577840A3/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Definitions

  • the invention relates to a method for a server-controlled security management of deliverable services according to the generic term of claim 1 and an arrangement for providing data after a security management for a franking system according to the The preamble of claim 5.
  • the invention is for franking machines and for other mail processing devices and their peripherals used, which is a service of a remote Use data center.
  • the franking machine JetMail® of the Applicant is with a base and with equipped with a removable meter.
  • the latter is one in the base housing integrated static balance operatively connected and is u.a. also used for postage calculation.
  • In connection with a service of reloading a postage rate table will not taken special security measures, although on the aforementioned Table based on the accuracy of the postage calculation and although the Meter contains a security module, with the security module next to a canceling unit also equipped with a cryptographic unit is.
  • the latter only serves to secure the postage fee data to be printed.
  • the meter also includes a control for controlling printing and controlling peripheral components of the postage meter.
  • the base contains a mail transport device and a Inkjet printing device for printing the postage stamp on the Postal matter. Replacing the printhead is unnecessary as the ink tank is separated from the printhead and can be replaced. Also, no special security measures are required for the printhead or for protection of the control and data signals when inserted with a special piezo inkjet printhead Security imprint is printed with a mark, which is an inspection the authenticity of the security print (US 6,041,704) allowed.
  • a credit of which is deducted from the stamped postal value before printing can be another service in the base tracking exist.
  • the postal authority is about information interested in the location of the printing unit, if the base with one meter is operated again.
  • the base tracking is released only that printing unit, which by an identification code can be identified by the data center (EP 1154381 A1).
  • ink tank and bubble-jet printhead are integrated into a replaceable ink cartridge, as it is already known from the 1 ⁇ 2 inch ink cartridges from Hewlet Packard (HP).
  • HP Hewlet Packard
  • the contacting of the electrical contacts of the print head of the replaceable ink cartridge can be done via a connector of a commercial Pen Driver Board's company HP.
  • Pen Driver Board's company HP Both the postal authority and the customer have an increased interest in high evaluation security of the mark printed on the mail piece.
  • Another service of the data center can therefore consist of piracy protection.
  • additional pirate protection enabling data for example, a code of the printhead can be queried and sent via modem to the data center.
  • the data center then performs a code comparison with a reference code stored in a database and transmits a message to the postage meter machine about the result of the check (EP 1103924 A2).
  • the security module participates in such services in different ways, but at least when security-relevant data has to be exchanged with a remote data center via an unsecured data transmission path during the communication.
  • the meter housing or the housing of a franking machine offers a first protection against manipulation in the intention of forgery. Enclosing the safety module with a special housing provides additional mechanical protection.
  • Such an encapsulated security module corresponds to the current postal requirements and is also referred to below as a post-security device (PSD).
  • PSD post-security device
  • the credit recharge in some countries requires security measures that only one PSD can deliver.
  • the applicant's franking machines are connected to a teleportation data center in a manner known per se for telephone credit recharge and can be expanded with other devices to form a franking system.
  • the data set comprises at least temporarily and locally valid at the franking location data in the data center assigned to a number code in a database are stored.
  • the customer is a pre-initialized franking device purchased through a distributor of dealers, is thus able to do so be completely put into operation, without the franking device that a customer service or service technician must be called and without a visit to the post office.
  • the data stored in the data center Data are all subject to the same security measure. Independently of which, in the postage meter machine, the graphics data will be without further Safety measures in a memory of the motherboard's Postage meter saved.
  • the graphics data can be a stamp image, for example, concern the city stamp.
  • EP 780 803 A2 the possibility becomes after an initialization provided that from a data center news or carrier specific Advertising will be provided if this is an order in the Data center is present.
  • the customer must first have a contract with the Service provider or operator of the data center.
  • Another service of a mail carrier is associated with a statistical collection of franked mail by statistical class (EP 892368 A2).
  • For storing data about using a Terminal are also from EP 992947 A2 and EP 101383 A2 already Solutions known according to which the entries according to statistical classes (Class of Mail) are stored until the remote data center on it accesses to query or determine the user profile.
  • the invention is based on the object, an arrangement and a To develop a process that ensures that both the Franking system as well as the postal security device security data save and process.
  • the invention assumes that one is authorized by the manufacturer operated data center is safest against manipulation and thus also a security for remote services is given, which can use a franking system. For the future, it can not be ruled out that next to a franking machine also other or other Devices of a franking system also provide services of a remote Use data center. If now following safety information is spoken to save in the form of records and to be further processed, should be included and taken into account, that the security requirements for each remote services in the countries are very different or sometimes even missing.
  • the record may result in the request for a service be transmitted from the remote data center to the franking system and contains in its header the information about it Security policy.
  • a desired one with the respective safety category associated header equipped record can by means of Transmission means, for example wirelessly or via modem, from Data center transmitted by the franking system and stored internally in the PSD or stored externally by the PSD.
  • the logical channel is either an unsecured channel or a secured channel automatically formed to a selected one To transmit data record to the franking machine or system.
  • the relevant data record can also be used during operation of the franking system be called or read again.
  • a Safety category can be addressed, whether the desired Record from the franking system from inside or outside of the PSD's is read.
  • the arrangement for providing data for security management for a franking system assumes that a remote Data Center provides the data records requested by the franking system, which application data and security information contain.
  • the data center a server comprising at least one server communication means and with a database management system in operational Connection stands that the requested records data for a Safety category included, the latter at least information for the security measure for a data exchange between the Franking system and data center and / or location of storage in Franking system used by the database management system of the Data center recorded in accordance with a security policy, be processed, transmitted and provided that the Franking system has a microprocessor, the at least one postal security device, with a first non-volatile memory and with a communication means for receiving the requested Data sets is connected, wherein the microprocessor is programmed, the Evaluate data for a security category to a corresponding one logical channel to form and the place of storage of Determine application data in the franking system.
  • the microprocessor is programmed to store the application data and the first non-volatile memory or a second non-volatile memory for storing the application data is formed, wherein only the second non-volatile memory is part of the postal security device (PSD).
  • a third non-volatile memory may be located externally of the postage meter machine in another mailing machine connected to the postage meter, which is designed to store the application data.
  • FIG. 1 shows a block diagram with components of a known franking system 1, comprising a franking machine 2, to which a storage box 4 is connected downstream of the downstream post and an automatic supply station 7 is connected upstream.
  • a stack 6 is fed on edge-mounted mail items.
  • the storage box 4 is a stack 5 can be removed to lying mailpieces.
  • the automatic feed station 7 and a personal computer 9 are electrically connected via cables 71 and 91.
  • the franking machine 2 can be communicatively connected to a remote teleportation data center 8 for the purpose of credit recharging and to a remote service center 11.
  • the franking machine 2 has an internal static balance 22 and is equipped with means for postage calculation. From the remote service center 11, a current postage fee table can be transmitted to the franking machine 2 or to the franking system 1.
  • the franking system may optionally have a - not shown - dynamic balance, which can be arranged between the automatic feed station 7 and the franking machine 2.
  • Another known franking system of the type horril® corresponds in principle likewise to the block diagram shown in FIG. 1, with the difference that the stack 6 is fed to horizontal mail pieces of the automatic feed station 7 and no dynamic scale can be retrofitted.
  • FIG. 2 shows a block diagram of an arrangement for providing data in accordance with a security management for a franking system.
  • the assemblies of a franking system 1 are shown, which has at least one franking machine 2 and optionally a static balance 22.
  • further mail processing stations (not shown) can be connected, for which services via the franking machine 2 can also be provided.
  • the static balance 22 is preferably an optional component of the franking machine 2.
  • the franking machine 2 comprises a postal meter 20 which has at least one communication means 21, a mainboard 24 and a postal security device (PSD) 23.
  • PSD postal security device
  • the motherboard 24 is provided with a first nonvolatile memory 241 and a microprocessor 242 in operative communication with the PSD 23, the memory 241 and the communication means 21.
  • the communication means 21 is, for example, a modem which can be communicated via a telephone network 12 to a modem 31 of the data center 3 in terms of communication.
  • the PSD 23 is - not shown - connected via an interface on the motherboard 24 and includes, inter alia, a second non-volatile memory 232 for booking data and security-related data for secure communication with the remote data center. Further details on the PSD can be found in the publications EP 789333 B1, EP 1035513 A1, EP 1035516 A1, EP 1035517 A1, EP 1035518 A1, EP 1063619 A1, EP 1069492 A1 and EP 1278164 A1.
  • the data center 3 comprises a server 30 which is in operative connection with at least the one server communication means 31 and with a database management system (DBMS) 32.
  • the server communication means 31 is in a - not shown - variant part of a communication server that allows a variety of separate connections to the network 12.
  • the database management system 32 may be implemented in a separate server or within the existing server 30.
  • a control unit 34 of the server 30 is provided with a selector 341 and a microprocessor 342 in operative communication with the server security module (SSM) 33, the selector 341, and the at least one server communication means 31.
  • SSM server security module
  • the selector 341 is hardware and / or software implemented.
  • the plurality of separate connections of the communication server to the network 12 allows the connection of several franking machines 2 or franking systems 1 with the data center 3 to a security management system 10.
  • Data center 3 has a list of records containing security information and related security policy information. Both information is typically stored in a database of a database management system (DBMS) 32. Each record containing the security information is assigned a security category, for example a number on the scale 1 to 10. By specifying the security category, it can optionally be addressed whether the desired data set is exchanged with the franking system 1 from inside or outside the PSD 23, in which way the transmitted data is saved during the data exchange, or which elements of the franking system influence the transmitted data.
  • the security policy defines, for example, which elements of the franking imprint are influenced by the transmitted data.
  • the desired data record is stored in a non-volatile memory of a franking machine of the franking system arranged inside or outside the PSD.
  • a remote service it may be necessary for data to be read from the franking system 1 and remotely transmitted to the data center 3. So reads the data center 3, the security data from the franking system 1, it can also be addressed by specifying a security category, whether the desired record from the franking system 1 is read from within or outside of the PSD 23.
  • the control unit 34 of the data center 3 ensures that records are communicated, stored and processed according to their security category.
  • the control unit uses selector 341 for this purpose.
  • the latter offers the possibility of selecting one of two logical communication channels in order to address a memory of the franking system inside or outside the PSD.
  • Each logical communication channel is protected by individual security mechanisms and parameters applied by a component of the control unit 34.
  • This component of the control unit 34 is also referred to as server security module (SSM) 33.
  • SSM server security module
  • the security category of a data record is also taken into account for its control.
  • the record contains in its header at least the information on the associated security policy.
  • the control unit can also use this information for the associated security policy to select a suitable security mechanism for protection during the communication and / or during the subsequent storage. This will be shown below with some examples.
  • FIG. 3 shows a franking imprint according to the Frankit requirements the Deutsche Post AG.
  • the franking imprint shows a one-dimensional left Bar code (1 D barcode) 15 for an identcode, which will be explained below.
  • the Franking imprint in the value impression a two-dimensional bar code (2D barcode) 17 for verification of proper payment the mailpiece transport fee.
  • FIG. 4 shows a flowchart for a server-controlled security management.
  • the data center 3 waits in step A on the Receiving a service request.
  • For editing a Remote service selects the postage meter in Data Center and requests the desired remote service.
  • After this Receiving the service request determines the data center in Step B in the security policy of this remote service to choose the Security features.
  • step C a selection of the logical takes place Channel and a record submission from Data Center 3 to Franking machine 2 or the franking system 1. This is the logical Channel to the memory I of the mainboard or to the memory II of the PSD selected.
  • the record transmission takes place via the already established Modem connection from the data center 3 to the franking machine 2 or to the franking system 1.
  • step D the determination of the end of requested service.
  • step E becomes determined whether the communication link from the franking machine has been finished. If that is the case, then the point e reached. Otherwise it will point to a starting point a before the first one Step A branches back to receive another service request.
  • security categories are shown in the following table: safety category protection target Logical channel Memory place Components of the franking system Place in the impression identcodes Uniqueness / uniqueness Plain Session Motherboard NVM printer control 1D barcode outside value impression Price / Product Table (PPT) Data Integrity / Origin Authentication / Timeliness Plain Session Motherboard NVM Price calculation module --- User profile of origin authentication Data Integrity / Plain Session Motherboard NVM Recording in the NVM --- PVD Protection of Remuneration / Data Integrity / Source Authentication / Receiver Data Protection Secure Session PSD NVM printer control 2D barcode in the value impression withdraw Protection of the remaining balance Secure Session PSD NVM Postal registers, --- MAC key encryption Secure Session PSD NVM Keystore, and Klicheé exam and generation ---
  • the table columns protection target and logical channel describe for each the categories of security referred to in the first column, to which Way the transmitted data is backed up during data exchange.
  • the remaining table columns indicate the location that affected Components of the franking system and where in the impression the influence becomes visible.
  • IdentCodes are reference numbers that uniquely identify postal items, as long as they have not been successfully delivered. Based on his IdentCodes can be a mailpiece in a letter distribution center or at the Delivery be clearly recognized. The IdentCode can be used to provide tracking information about mail pieces and for to query the sender. Each IdentCode may be used during its validity only once (uniqueness) for a maximum of a mailpiece (uniqueness) will be awarded. As storage location is the non-volatile memory used on the motherboard of the franking machine.
  • the transferred data will be a price calculation module and the footprint affects.
  • a price / product table (or postage rate table) has a validity date from which it is valid.
  • the entries of a price product table should be protected against manipulation (data integrity).
  • the source of a price-product table should be authorized (Source Authentication), and a price-product table should be be provided at the latest on their validity date (timeliness).
  • the user profiles are passively recorded and logged on the machine transfer the data center.
  • the entries of a user profile should protected against manipulation (data integrity). Alternatively, it is enough also an integrity protection of the total volume of a user profile.
  • the origin should be authenticated (original authentication).
  • This particular booking value is one ordinary non-printable MAC-saved sum value of all summed Postal values that were franked during a billing period. If the above value is printed on a postcard, then speaks one also from a billing franking.
  • the aforementioned MAC Message Authorization Code
  • the storage location is the nonvolatile memory used the motherboard of the franking machine. After transferring the CoM data to the data center becomes the non-volatile memory cleared to create space for newly recorded data.
  • the data that is transferred during a postage value download is partially relevant to the fee. That means if, for example, an amount of 50 is requested and recorded and confirmed in the data center, then only 50 are allowed in the security module more credits are available. Would there be 100
  • the deliverer would be (ie, for example, a postal authority) to the difference of 50 cheated. Therefore, the messages transmitted in a postage value download must be protected against tampering and their respective data origin must be authenticated.
  • the privacy of the recipient can be a protection goal here. For example, outsiders should not be aware of the amount a customer is currently charging from the data center. To achieve this protection goal, certain messages between the data center and the security module are encrypted.
  • the storage location is the non-volatile memory of the PSD.
  • the affected components of the franking system are the PSD and its postal registers.
  • the repayment (withdraw) of the remaining credit balance of the customer is an essential protection goal when returning a machine.
  • Storage location is the non-volatile memory of the PSD.
  • the influenced Components of the franking system are the PSD and its postal Register.
  • the main protection goal when transferring the MACKeys is the Keys to outsiders (including the user of Franking machine). Therefore, this key is before the Transmission encrypted and decrypted only in the security module again.
  • the storage location is the non-volatile memory of the PSD. Due to the transmitted data, components of the franking system, like PSD, keystore, cliché checking and generation in the franking machine influenced.
  • a plain text session is a reliable data connection over a telephone network, in which the data is transmitted without cryptographic security. If necessary, error-correcting codes can be used to improve the reliability of the transmission link. Because of the general notoriety, it is not necessary to take a closer look at the characteristics of a plaintext channel.
  • a security text session is a reliable data connection over a telephone network where the data is transmitted cryptographically secured. If necessary, error-correcting codes can also be used here in order to improve the reliability of the transmission path.
  • the selector controls the selection of the channel (secure / unsecured), for example, based on a decision matrix that holds the appropriate treatment for, for example, the requested service or a pending message to be pending.
  • the decision matrix may be in the form of one or more database tables, so that channel assignment changes can be made dynamically during operation of the server.
  • FIG. 5 shows a detail of the block diagram of the control unit 34 of FIG Server.
  • the selector 341 is, for example, a hardware and / or Software component that is intended to create a record D1 ... Dn to Dx from a memory 321 of the database management system 32 and at least partially temporarily store, until the processing of the record by the operationally with the Selector 341 connected microprocessor 342 is completed.
  • the record D1 ... Dn to Dx comprises at least first data, i. an addressable one Data part of the assigned application data identifies and / or includes application data AD directly.
  • the record also includes associated safety data SD and an assignment rule, the further steps, data tables or a decision matrix points, which puts the micro-processor in the position, in the result one to generate selected logical channel.
  • This assignment rule is also referred to as security category SC of a security policy.
  • Microprocessor 342 accesses this in a program memory 343 stored program and works the program and the desired protocols.
  • the first data is application data AD of the addressed data record D1 and are via a bus to the micro-processor 342 or at the lowest level of security categories directly transmitted to input / output unit 344. To the latter, for example be connected to a modem.
  • the selector further safety data SD and data of the Security category SC caches a predetermined security policy is an interrupt I or a control signal for the Microprocessor generated 342, based on the selector of the micro-processor passed second data CD the type of further data processing finds.
  • the first data transmitted to the micro-processor 342 can be further processed while being encrypted, for example, i.e. be further treated according to the type which the passed second (control) data CD informs.
  • the in the figure 5 shown record D1 contains data AD, SD and SC, with their Order can be realized differently than was drawn.
  • a record Dn contains in its header at least the safety category SC, i. Information about associated security policy.
  • the selector is from the microprocessor to the Example via an address bus ADD-BUS 345 addressable and from the Selector passed second (control) data CD can thus be repeated be queried by the microprocessor.
  • the selector controls the logical channel by the use of cryptographic methods on messages or submessages (or their omission); ie to the methods of technical transport of the information, for example by a transmission via modem or via another suitable server communication means 31, mathematical methods of cryptography are used. Another possibility is to firmly link the allocation of the channel to the services or data fields at the time of development, that is, to firmly code which channel is to be used.
  • the selector is a logical component of the sequence program in the server.
  • secure channels are characterized by authentication of messages or partial messages by means of message authentication Codes (MAC) that are a typically encrypted (cryptographic) Contain checksum. Methods such as HMAC-SHA1 do this.
  • messages or sub messages with Help by encryption method (3DES, AES) be encrypted.
  • the used key material for authentication and encryption is chosen statically and for example during production imprinted on the service device or based on a key exchange procedure recreated for each session.
  • the identity of the two communication partners can e.g. through digital Signatures can be determined with certainty in the sense of a common Public key hierarchy are linked together. Both entities are in In this case, it has its own key identity.
  • the as part of a remote service from the data center provided security information can be both from the postage meter as well as used by other devices of a franking system become.
  • a franking system can also be a so-called PC meter be understood, which at least from a personal computer with PSD and a commercial office printer exists.
  • DBMS Database Management System

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Communication Control (AREA)

Abstract

Anordnung zur Bereitstellung von Daten entsprechend eines Sicherheitsmanagements für ein Frankiersystem (1) hat ein entferntes Datenzentrum (3), welches eine Liste von Datensätzen aufweist, die Sicherheitsinformationen sowie Informationen zur zugehörigen Sicherheitspolitik enthalten betreffend mindestens Sicherheitsmaßnahmen und den Ort der Speicherung im Frankiersystem. Das Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen umfaßt die Schritte: A) Empfangen der Anforderung einer gewünschten Dienstleistung, B) Ermitteln der zu wählenden Sicherheitsmerkmale und Generierung eines Datensatzes, C) Auswahl des logischen Kanals und Datensatzübermittlung, D) Feststellung des Dienstleistungsendes und E) Warten auf den Empfang einer weiteren Dienstleistungsanforderung oder auf die Beendigung der Kommunikationsverbindung.

Description

Die Erfindung betrifft ein Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen gemäß des Oberbegriffs des Anspruchs 1 und eine Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem gemäß des Oberbegriffs des Anspruchs 5. Die Erfindung kommt für Frankiermaschinen und für andere Postverarbeitungsgeräte und deren Peripheriegeräte zum Einsatz, welche eine Dienstleistung eines entfernten Datenzentrums nutzen.
Die Frankiermaschine JetMail® der Anmelderin ist mit einer Base und mit einem abnehmbaren Meter ausgestattet. Letzterer ist mit einer im Base-Gehäuse integrierten statischen Waage betriebsmäßig verbunden und wird u.a. auch zur Portoberechnung eingesetzt. Im Zusammenhang mit einer Dienstleistung des Nachladens einer Portotariftabelle werden keine besonderen Sicherheitsmaßnahmen ergriffen, obwohl auf der vorgenannten Tabelle die Richtigkeit der Portoberechnung beruht und obwohl das Meter ein Sicherheitsmodul enthält, wobei der Sicherheitsmodul neben einer Abrecheneinheit auch mit einer kryptografischen Einheit ausgestattet ist. Letztere dient aber nur zum Absichern der zu druckenden Postgebührendaten. Das Meter enthält außerdem eine Steuerung zum Steuern des Druckens und zum Steuern von peripheren Komponenten der Frankiermaschine. Die Base enthält eine Postguttransportvorrichtung und eine Tintenstrahl-Druckvorrichtung zum Drucken des Postwertstempels auf das Postgut. Ein Auswechseln des Druckkopfes ist unnötig, da der Tintentank vom Druckkopf getrennt angeordnet ist und ausgewechselt werden kann. Auch müssen keine besonderen Sicherheitsmaßnahmen für den Druckkopf oder für einen Schutz der Ansteuer- und Datensignale getroffen werden, wenn mit einem speziellen Piezo-Tintenstrahl-Druckkopf ein Sicherheitsabdruck mit einer Markierung gedruckt wird, die eine Nachprüfung der Echtheit des Sicherheitsabdruckes (US 6,041,704) gestattet. Neben der Dienstleistung des Nachladens einer Portotariftabelle und einer bekannten Dienstleistung eines Teleportodatenzentrums, wie die des Nachladens (US 5699415 bzw. EP 689170 A2) eines Guthabens, von welchem jeweils vor dem Ausdrucken der frankierte Postwert abgebucht wird, kann eine weitere Dienstleistung im Basetracking bestehen. Zur Vorbeugung vor einer eventuellen Fälschung durch Manipulation mittels der Druckeinheit, d.h. insbesondere dann, wenn die Base mit der Druckeinheit vom Meter abtrennbar ist, ist die Postbehörde über eine Information über den Standort der Druckeinheit interessiert, wenn die Base mit einem Meter wieder betrieben wird. Beim Basetracking erfolgt eine Freigabe nur derjenigen Druckeinheit, welche durch einen Identifikationscode von der Datenzentrale identifiziert werden kann (EP 1154381 A1).
In Frankiermaschinen der Anmelderin - beispielsweise in der mymail® und ultimail® - werden auch Bubble-jet-Druckköpfe im Druckmodul eingesetzt. Der Tintentank und Bubble-jet-Druckkopf sind in einer auswechselbaren Tintenkartusche integriert, wie es beispielsweise von den ½ Zoll Tintenkartuschen der Firma Hewlet Packard (HP) vorbekannt ist. Die Kontaktierung der elektrischen Kontakte des Druckkopfes der auswechselbaren Tintenkartusche kann über einen Connector eines handelsüblichen Pen-Driver-Board's der Firma HP erfolgen. Sowohl die Postbehörde als auch der Kunde haben ein verstärktes Interesse an einer hohen Auswertesicherheit der auf das Poststück aufgedruckten Markierung. Eine weitere Dienstleistung der Datenzentrale kann deshalb im Piraterieschutz bestehen. Über den Connector können zusätzliche den Piraterieschutz ermöglichende Daten, beispielsweise ein Code des Druckkopfes abgefragt und via Modem zur Datenzentrale gesendet werden. Die Datenzentrale nimmt dann einen Codevergleich mit einem in einer Datenbank gespeicherten Referenzcode vor und übermittelt eine Nachricht an die Frankiermaschine über das Ergebnis der Überprüfung (EP 1103924 A2).
An solchen Dienstleistungen ist das Sicherheitsmodul in unterschiedlicher Weise beteiligt, mindestens jedoch dann, wenn bei der Kommunikation sicherheitsrelevante Daten über einen ungesicherten Datenübertragungsweg mit einer entfernten Datenzentrale ausgetauscht werden müssen. Einerseits bietet das Metergehäuse bzw. das Gehäuse einer Frankiermaschine einen ersten Schutz vor Manipulationen in Fälschungsabsicht. Eine Kapselung des Sicherheitsmoduls mittels eines speziellen Gehäuses bietet einen zusätzlichen mechanischen Schutz. Ein solcher gekapselter Sicherheitsmodul entspricht den aktuellen postalischen Anforderungen und wird nachfolgend auch als postisches Sicherheitsgerät (PSD) bezeichnet. Die Guthabennachladung erfordert in einigen Ländern Sicherheitsmaßnahmen, die nur ein PSD liefern kann. Die Frankiermaschinen der Anmelderin werden zur telefonischen Guthabennachladung in an sich bekannter Weise mit einem Teleportodatenzentrum verbunden und lassen sich mit weiteren Geräten zu einem Frankiersystem erweitern.
Neben der positiven Fernwertvorgabe bei der oben genannte Guthabennachladung ist auch eine negative Fernwertvorgabe bei der Rückzahlung des verbliebene Restguthabens des Kunden bekannt (EP 717379 B1 bzw. US 6587843 B1).
Aus der US 5,233,657 ist bereits außerdem ein Laden von nicht einer Guthabennachladung dienenden Daten vor einer Inbetriebnahme einer Frankiermaschine bekannt.
Aus EP 1037172 A2 ist die Bereitstellung und Übermittlung eines maschinen- und kundenspeziellen Datensatzes von einer Datenzentrale an eine Frankiereinrichtung bekannt. Der Datensatz umfaßt mindestens temporär und lokal am Frankierort gültige Daten, die in der Datenzentrale zugeordnet zu einem Nummerncode in einer Datenbank abrufbar gespeichert sind. Der Kunde der eine vorinitialisierte Frankiereinrichtung über einen Händlervertrieb erstanden hat, soll damit in die Lage versetzt werden, die Frankiereinrichtung vollständig in Betrieb zu nehmen, ohne daß ein Kundendienst oder Servicetechniker gerufen werden muß und ohne einen Besuch des Postamtes. Die in der Datenzentrale gespeicherten Daten unterliegen alle der gleichen Sicherheitmaßnahme. Unabhängig davon werden in der Frankiermaschine die Graphikdaten ohne weitere Sicherheitmaßnahmen in einem Speicher des Mainboard's der Frankiermaschine gespeichert. Die Graphikdaten können ein Stempelbild, beispielsweise den Städtestempel betreffen.
Für das Wechseln von Werbeklischees wird bereits in der US 4,831,554 eine telefonische Kommunikation vorgeschlagen.
Im US 4,933,849 wird bereits ein datumsabhängiges Wechseln von Stempelbildern (mit Städtestempel und mit Wertstempel) mitgeteilt, welche zu einem früheren Zeitpunkt per Modem geladen wurden.
Gemäß der EP 780 803 A2 wird nach einer Initialisierung die Möglichkeit bereitgestellt, daß von einer Datenzentrale Neuigkeiten bzw. carrierspezifische Werbung bereitgestellt werden, wenn dazu ein Auftrag in der Datenzentrale vorliegt. Der Kunde muß dazu zuvor einen Vertrag mit dem Dienstleister bzw. Betreiber der Datenzentrale abgeschlossen haben.
Aus dem EP 1067482 ist es bereits bekannt, unterschiedliche Sicherheitsstufen den Elementen eines zu druckenden Druckbildes zuzuordnen. Diese unterschiedliche Sicherheitsstufen entsprechen der unterschiedlich vergebbaren Berechtigung, um einzelne der Elemente zu ändern. Zur Authorisierung und Nachladung der Elemente zur Änderung des Druckbildes werden Chipkarten eingesetzt, die die Elemente nach einer speziellen Hierarchie gültig machen.
Eine andere Dienstleistung eines Postbeförderers steht in Verbindung mit einer statistischen Erfassung der frankierten Post nach Statistikklassen (EP 892368 A2). Zur Speicherung von Daten über einen Benutzung eines Endgerätes sind auch aus EP 992947 A2 und EP 101383 A2 bereits Lösungen bekannt, nach welchen die Einträge nach Statistikklassen (Class of Mail) gespeichert werden, bis die entfernte Datenzentrale darauf zugreift, um das Benutzerprofil abzufragen bzw. zu ermitteln.
Es ist weiterhin bekannt, dass ein entferntes Datenzentrum via Modem Sicherheitsdaten mit einem Frankiersystem austauschen kann, das ein postisches Sicherheitsgerät (PSD) enthält. Solche Frankiersysteme der Anmelderin, sind beispielsweise unter den Marken-Namen jetmail® und ultimail® bekannt.
Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung und ein Verfahren zu entwickeln, welches es gewährleistet, dass sowohl das Frankiersystem als auch das postalische Sicherheitsgerät Sicherheitsdaten speichern und weiterverarbeiten können.
Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 und den Merkmalen der Anordnung nach Anspruch 5 gelöst.
Die Erfindung geht davon aus, dass eine vom Hersteller authorisiert betriebene Datenzentrale am sichersten gegenüber Manipulationen ist und somit auch eine Sicherheit für Ferndienstleistungen gegeben ist, welche ein Frankiersystem nutzen kann. Für die Zukunft ist nicht auszuschließen, dass neben einer Frankiermaschine auch weitere bzw. andere Geräte eines Frankiersystems ebenfalls Dienstleistungen einer entfernten Datenzentrale nutzen werden. Wenn nun nachfolgend von Sicherheitsinformationen gesprochen wird, die in Form von Datensätzen zu speichern und weiterzuverarbeiten sind, soll mit umfasst und berücksichtigt werden, dass die Sicherheitsanforderungen für die einzelnen Ferndienstleistungen in den Ländern sehr unterschiedlich sind oder zum Teil sogar fehlen.
Es wird vorgeschlagen, dass ein entferntes Datenzentrum eine Liste von Datensätzen aufweist, die Sicherheitsinformationen und eine zugeordnete Sicherheitskategorie enthalten. Letztere betrifft Informationen, die vom Sicherheitsmanagementsystem des Datenzentrum gemäß einer hinterlegten Sicherheitspolitik erfasst, verarbeitet, übertragen und bereitgestellt werden, mindestens zu Sicherheitsmaßnahmen und/oder zum Ort der Speicherung im Frankiersystem. Beide Informationen sind typischerweise in einer Datenbank eines Datenbankmanagementsystems (DBMS) abgelegt. Die Sicherheitspolitik definiert für jede Sicherheitskategorie:
  • a) daß ein Speicherort für einen gewünschten Datensatz innerhalb oder außerhalb des PSD's des Frankiersystems verwendet wird,
  • b) auf welche Weise die übertragenen Daten beim Datenaustausch gesichert werden, und/oder
  • c) welche Elemente des Frankiersystems durch die übertragenen Daten beeinflusst werden.
    • Der Datensatz kann im Ergebnis der Anforderung einer Dienstleistung vom entfernten Datenzentrum zum Frankiersystem übermittelt werden und enthält in seinem Kopfteil (header) die Informationen zur zugehörigen Sicherheitspolitik. Ein gewünschter mit einem zur jeweiligen Sicherheitskategorie zugehörigen Kopfteil ausgestatteter Datensatz kann mittels Übertragungsmittel, beispielsweise drahtlos oder via Modem, vom Datenzentrum vom Frankiersystem übermittelt und dort im PSD intern oder extern vom PSD gespeichert werden.
    Ein Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen ist durch folgende Schritte gekennzeichnet:
  • A) Rufannahme bei Kommunikationsverbindung zwischen Frankiermaschine bzw. -system und Datenzentrum mit automatischer Einwahl durch die Frankiermaschine bzw. -system in das Datenzentrum und Empfangen der Anforderung einer gewünschten Dienstleistung mittels eines Servers des Datenzentrums,
  • B) Ermitteln der dieser Dienstleistung zugeordneten Sicherheitsdaten und Sicherheitskategorie im Datenbankmanagementsystem des Datenzentrums, Steuerung eines Selectors des Servers entsprechend der jeweiligen Sicherheitskategorie und Generierung eines Datensatzes mit Dienstleistungsdaten und Sicherheitsdaten durch den Server,
  • C) Auswahl des betreffenden logischen Kanals gesteuert durch den Selector des Servers des Datenzentrums und Übermitteln des Datensatzes entsprechend der gewünschten Dienstleistung über die bereits aufgebaute Kommunikationsverbindung zwischen Frankiermaschine bzw. -system und Datenzentrum,
  • D) Abbau der logischen Verbindung zur Frankiermaschine durch den Server des Datenzentrums, sobald die Dienstleistung beendet ist und Empfang einer entsprechenden von der Frankiermaschine bzw. - system ausgegebenen Bestätigung und
  • E) Warten auf den Empfang einer weiteren Dienstleistungsan-forderung mittels des Servers oder auf die Beendigung der Kommunikationsverbindung, wobei die Beendigung durch die Frankiermaschine bzw. -system erfolgt.
    • Als logischen Kanal wird entweder ein ungesicherter Kanal oder ein gesicherter Kanal automatisch gebildet, um einen ausgewählten Datensatz an die Frankiermaschine bzw. -system zu übermitteln.
    Der betreffende Datensatz kann beim Betrieb des Frankiersystems auch wieder aufgerufen bzw. ausgelesen werden. Durch Angabe einer Sicherheitskategorie kann dabei adressiert werden, ob der gewünschte Datensatz aus dem Frankiersystem von innerhalb oder außerhalb des PSD's gelesen wird.
    Die Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem geht davon aus, dass ein entferntes Datenzentrum die vom Frankiersystem angeforderten Datensätze bereitstellt, welche Anwendungsdaten und Daten zu Sicherheitsinformationen enthalten. Erfindungsgemäß ist vorgesehen, dass das Datenzentrum einen Server umfaßt, der mindestens mit einem Server-Kommunikationsmittel und mit einem Datenbankmanagementsystem in betriebsmäßiger Verbindung steht, dass die angeforderten Datensätze Daten für eine Sicherheitskategorie enthalten, wobei letztere mindestens Informationen zur Sicherheitsmaßnahme für einen Datenaustausch zwischen dem Frankiersystem und Datenzentrum und/oder zum Ort der Speicherung im Frankiersystem umfaßt, die vom Datenbankmanagementsystem des Datenzentrums gemäß einer hinterlegten Sicherheitspolitik erfasst, verarbeitet, übertragen und bereitgestellt werden, dass das Frankiersystem einen Mikroprozessor aufweist, der mindestens mit einem postalischen Sicherheitsgerät, mit einem ersten nichtflüchtigen Speicher und mit einem Kommunikationsmittel zum Empfang der angeforderten Datensätze verbunden ist, wobei der Mikroprozessor programmiert ist, die Daten für eine Sicherheitskategorie auszuwerten, um einen entsprechenden logischen Kanal zu bilden und den Ort der Speicherung der Anwendungsdaten im Frankiersystem festzustellen.
    Es ist weiterhin vorgesehen, dass der der Mikroprozessor zur Speicherung der Anwendungsdaten programmiert ist und der erste nichtflüchtige Speicher oder ein zweiter nichtflüchtiger Speicher zur Speicherung der Anwendungsdaten ausgebildet ist, wobei nur der zweite nichtflüchtige Speicher Bestandteil des postalischen Sicherheitsgeräts (PSD) ist.
    Außerdem kann ein dritter nichtflüchtiger Speicher extern der Frankiermaschine in einem anderen mit der Frankiermaschine verbundenen Postgerät angeordnet sein, der zur Speicherung der Anwendungsdaten ausgebildet ist.
    Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
    Figur 1,
    Blockbild mit Baugruppen eines bekannten Frankiersystems,
    Figur 2,
    Blockschaltbild für eine Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem,
    Figur 3,
    Frankierabdruck nach DPAG-Anforderungen,
    Figur 4,
    Flußplan für ein servergesteuertes Sicherheitsmanagement,
    Figur 5,
    Detail des Blockschaltbildes der Steuereinheit des Servers.
    Die Figur 1 zeigt ein Blockbild mit Baugruppen eines bekannten Frankiersystems 1, bestehend aus einer Frankiermaschine 2, an welche poststromabwärts eine Ablagebox 4 und poststromaufwärts eine automatische Zuführstation 7 angeschlossen ist. Bei dem Frankiersystem vom Typ Jetmail® wird ein Stapel 6 an auf der Kante stehenden Poststücken der zugeführt. Der Ablagebox 4 ist ein Stapel 5 an liegenden Poststücken entnehmbar. An eine erste und zweite Schnittstelle der Frankiermaschine 2 sind über Kabel 71 und 91 die automatische Zuführstation 7 und ein Personalcomputer 9 elektrisch angeschlossen. Die Frankiermaschine 2 ist mit einem entfernten Teleportodatenzentrum 8 zwecks Guthabennachladung und mit einem entfernten Servicecenter 11 kommunikativ verbindbar. Die Frankiermaschine 2 weist eine interne statische Waage 22 auf und ist mit Mitteln zur Portogebührenberechnung ausgestattet. Von dem entfernten Servicecenter 11 kann eine aktuelle Portogebührentabelle zur Frankiermaschine 2 bzw. zum Frankiersystem 1 übermittelt werden. Das Frankiersystem kann optional eine - nicht gezeigte - dynamische Waage aufweisen, welche zwischen der automatischen Zuführstation 7 und der Frankiermaschine 2 anordenbar ist.
    Ein weiteres bekanntes Frankiersystems der Anmelderin vom Typ ultimail® entspricht prinzipiell ebenfalls dem in der Figur 1 gezeigten Blockbild mit dem Unterschied, dass der Stapel 6 an liegenden Poststücken der automatische Zuführstation 7 zugeführt wird und keine dynamische Waage nachrüstbar ist.
    Während nach der bekannten Lösung (Figur 1) die angewählte Datenzentrale nur eine Dienstleistung bzw. nur eine minimale Anzahl an Dienstleistung ohne Sicherheitsmerkmal erbringen kann, sind mit einer erfindungsgemäßen Datenzentrale eine Anzahl an Dienstleistung mit Sicherheitsmerkmal lieferbar. Ein weiterer Vorteil ist die Vermeidung von mehreren Anrufen bei unterschiedlichen Datenzentralen mit unterschiedlichen Telefonnummern.
    Die Figur 2 zeigt ein Blockschaltbild für eine Anordnung zur Bereitstellung von Daten entsprechend eines Sicherheitsmanagements für ein Frankiersystem. Neben den Baugruppen einer entfernten Datenzentrale 3 sind die Baugruppen eines Frankiersystems 1 dargestellt, das mindestens eine Frankiermaschine 2 und gegebenfalls eine statische Waage 22 aufweist. Auch sind ggf. weitere - nicht gezeigte - Postverarbeitungsstationen anschließbar, für die ebenfalls Dienstleistungen über die Frankiermaschine 2 bereitstellbar sind. Die statische Waage 22 ist vorzugsweise ein optionaler Bestandteil der Frankiermaschine 2. Die Frankiermaschine 2 umfaßt ein postalisches Meter 20, welches mindestens ein Kommunikationsmittel 21, ein Mainboard 24 und ein postalisches Sicherheitsgerät (PSD) 23 aufweist. Das Mainboard 24 ist mit einem ersten nichtflüchtigen Speicher 241 und mit einem Mikroprozessor 242 ausgestattet, der mit dem PSD 23, dem Speicher 241 und dem Kommunikationsmittel 21 in betriebsmäßiger Verbindung steht. Das Kommunikationsmittel 21 ist beispielsweise ein Modem, welches über ein Telefonnetz 12 mit einem Modem 31 des Datenzentrums 3 kommu-nikationsmäßig verbindbar ist. Damit sollen jedoch andere Kommunika-tionsmittel, wie beispielsweise drahtlose Sender-/Empfängergeräte, Mobilfunkgeräte, Bluetooth-, WAN-, LAN- u.a. Kommunikationsgeräte sowie andere Netze, wie Internet, Ethernet u.a. nicht ausgeschlossen werden. Vielmehr kommen eine Vielzahl an Kommunikationsmitteln und Netzen zur Datenübertragung in Betracht. Das PSD 23 ist - in nicht gezeigter Weise - über eine Schnittstelle am Mainboard 24 angeschlossen und enthält u.a. einen zweiten nichtflüchtigen Speicher 232 für Buchungsdaten und sicherheitsrelevante Daten für eine sichere Kommunikation mit der entfernten Datenzentrale. Weitere Einzelheiten zum PSD sind den Druckschriften EP 789333 B1, EP 1035513 A1, EP 1035516 A1, EP 1035517 A1, EP 1035518 A1, EP 1063619 A1, EP 1069492 A1 und EP 1278164 A1 entnehmbar.
    Das Datenzentrum 3 umfaßt einen Server 30, der mit mindestens dem einen Server-Kommunikationsmittel 31 und mit einem Datenbankmanagementsystem (DBMS) 32 in betriebsmäßiger Verbindung steht. Das Server-Kommunikationsmittel 31 ist in einer - nicht gezeigten - Variante Bestandteil eines Kommunikations-Servers, der eine Vielzahl an separaten Anschlüssen an das Netz 12 ermöglicht. Auch das Datenbankmanagementsystem 32 kann in einem separaten Server oder innerhalb des bestehenden Servers 30 realisiert sein. Eine Steuereinheit 34 des Servers 30 ist mit einem Selector 341 und mit einem Mikroprozessor 342 ausgestattet, der mit dem Serversicherheitsmodul (SSM) 33, dem Selector 341 und dem mindestens einen Server-Kommunikationsmittel 31 in betriebsmäßiger Verbindung steht. Der Selector 341 ist hardware- und/oder softwaremäßig realisiert.
    Die Vielzahl an separaten Anschlüssen des Kommunikations-Servers an das Netz 12 ermöglicht die Verbindung mehrerer Frankiermaschinen 2 bzw. Frankiersystemen 1 mit dem Datenzentrum 3 zu einem Sicherheitsmanagementsystem 10.
    Das Datenzentrum 3 hat eine Liste von Datensätzen, die Sicherheitsinformationen und Informationen zur zugehörigen Sicherheitspolitik enthalten. Beide Informationen sind typischerweise in einer Datenbank eines Datenbankmanagementsystems (DBMS) 32 gespeichert. Jedem Datensatz mit den die Sicherheitsinformationen ist eine Sicherheitskategorie zugeordnet, beispielsweise eine Zahl auf der Skala 1 bis 10.
    Durch Angabe der Sicherheitskategorie kann wahlweise adressiert werden, ob der gewünschte Datensatz mit dem Frankiersystem 1 von innerhalb oder außerhalb des PSD 23 ausgetauscht wird, auf welche Weise die übertragenen Daten beim Datenaustausch gesichert werden, oder welche Elemente des Frankiersystems die übertragenen Daten beeinflussen. Die Sicherheitspolitik definiert beispielsweise, welche Elemente des Frankierabdruckes durch die übertragenen Daten beeinflußt werden.
    Es ist vorgesehen, dass der gewünschte Datensatz in einem innerhalb oder außerhalb des PSD's angeordneten nichtflüchtigen Speicher einer Frankiermaschine des Frankiersystems gespeichert wird. In Verbindung mit einer Ferndienstleistung kann es erforderlich sein, dass Daten aus dem Frankiersystem 1 ausgelesen und zum Datenzentrum 3 fernübertragen werden. Liest also das Datenzentrum 3 die Sicherheitsdaten aus dem Frankiersystem 1, so kann ebenfalls durch Angabe einer Sicherheitskategorie adressiert werden, ob der gewünschte Datensatz aus dem Frankiersystem 1 von innerhalb oder außerhalb des PSD 23 gelesen wird. Die Steuereinheit 34 des Datenzentrums 3 sorgt dafür, dass Datensätze gemäss ihrer Sicherheitskategorie kommuniziert, gespeichert und verarbeitet werden. Dafür benutzt die Steuereinheit den Selector 341. Letzterer bietet die Möglichkeit, einen von zwei logischen Kommunikationskanälen zu wählen, um einen Speicher des Frankiersystems innerhalb oder außerhalb des PSD's zu adressieren. Jeder logische Kommunikationskanal wird durch individuelle Sicherheitsmechanismen und -parameter geschützt, die von einer Komponente der Steuereinheit 34 angewendet werden. Diese Komponente der Steuereinheit 34 wird auch als Serversicherheitsmodul (SSM) 33 bezeichnet. Für dessen Steuerung wird ebenfalls die Sicherheitskategorie eines Datensatzes berücksichtigt. Der Datensatz enthält in seinem Kopfteil (header) mindestens die Informationen zur zugehörigen Sicherheitspolitik.
    Außer der Adressierung im Frankiersystem kann die Steuereinheit diese Informationen zur zugehörigen Sicherheitspolitik auch dafür verwenden, einen geeigneten Sicherheitsmechanismus zum Schutz während der Kommunikation und/oder während der anschliessenden Speicherung auszuwählen. Dies wird unten anhand einiger Beispiele gezeigt.
    Die Figur 3 zeigt einen Frankierabdruck nach den Frankit-Anforderungen der Deutschen Post AG. Der Frankierabdruck weist links einen eindimensionalen Balkencode (1 D-Barcode) 15 für einen identcode auf, welcher weiter unten noch erläutert wird. Außerdem weist der Frankierabdruck im Wertabdruck einen zwei-dimensionalen Balkencode (2D-Barcode) 17 für die Verifizierung der ordnungsgemäßen Bezahlung der Poststückes-Beförderungsgebühr auf.
    Die Figur 4 zeigt einen Flußplan für ein servergesteuertes Sicherheitsmanagement. Das Datenzentrum 3 wartet im Schritt A auf den Empfang einer Dienstleistungsanforderung. Für die Bearbeitung eines Ferndienstes (Remote Service) wählt sich die Frankiermaschine in Datenzentrum ein und fordert den gewünschten Ferndienst an. Nach dem Empfang der Dienstleistungsanforderung ermittelt das Datenzentrum im Schritt B in der Sicherheitspolitik dieses Ferndienstes die zu wählenden Sicherheitsmerkmale. Im Schritt C erfolgt eine Auswahl des logischen Kanals und eine Datensatzübermittlung vom Datenzentrum 3 zur Frankiermaschine 2 bzw. zum Frankiersystem 1. Dabei wird der logischen Kanal zum Speicher I des Mainbords oder zum Speicher II des PSD's ausgewählt. Die Datensatzübermittlung erfolgt über die bereits aufgebaute Modemverbindung vom Datenzentrum 3 zur Frankiermaschine 2 bzw. zum Frankiersystem 1. Im Schritt D erfolgt die Feststellung des Endes der angeforderten Dienstleistung. Sobald der Ferndienst beendet ist, baut der Server die logische Verbindung zur Frankiermaschine wieder ab und gibt der Frankiermaschine eine entsprechende Bestätigung. Im Schritt E wird festgestellt, ob die Kommmunikationsverbindung von der Frankiermaschine beendet worden ist. Ist das der Fall, dann wird der Punkt e erreicht. Anderenfalls wird auf einen Anfangspunkt a vor dem ersten Schritt A zurückverzweigt, zum Empfangen einer weiteren Dienstleistungsanforderung.
    Beispiele für Sicherheitskategorien sind in der folgenden Tabelle aufgezeigt:
    Sicherheitskategorie Schutzziel Logischer Kanal Speicher Ort Komponenten des Frankiersystems Ort im Abdruck
    IdentCodes Einmaligkeit/Eindeutigkeit Plain Session Mainboard NVM Druckeransteuerung 1D-Barcode ausserhalb Wertabdruck
    Preis/Produkt Tabelle (PPT) Datenintegrität/ ursprungsauthentikation/ Timeliness Plain Session Mainboard NVM Preisberechnungsmodul ---
    Benutzerprofil Ursprungsauthentikation Datenintegrität/ Plain Session Mainboard NVM Aufzeichnung im NVM ---
    PVD Schutz des Entgelts/ Datenintegrität/ Ursprungsauthentikation/ Empfängerdatenschutz Secure Session PSD NVM Druckeransteuerung 2D-Barcode im Wertabdruck
    Withdraw Schutz des Restguthabens Secure Session PSD NVM Postalische Register, ---
    MAC Key Verschluesselung Secure Session PSD NVM Schlüsselspeicher, und Klicheé-Prüfung und Generierung ---
    Die Tabellenspalten Schutzziel und logischer Kanal beschreiben für jede der in der ersten Spalte genannten Sicherheitskategorien, auf welche Weise die übertragenen Daten beim Datenaustausch gesichert werden. Die übrigen Tabellenspalten kennzeichnen der Speicherort, die beeinflußten Komponenten des Frankiersystems und wo im Abdruck der Einfluß sichtbar wird.
    IdentCodes
    IdentCodes sind Referenznummern, die Poststücke eindeutig bezeichnen, solange sie nicht erfolgreich zugestellt worden sind. Anhand seines IdentCodes kann ein Poststück in einem Briefverteilzentrum oder bei der Zustellung eindeutig wiedererkannt werden. Der IdentCode kann genutzt werden, um Tracking-Information über Poststücke bereitzustellen und für den Absender abfragbar zu machen. Jeder IdentCode darf während seiner Gültigkeitsdauer nur höchstens einmal (Einmaligkeit) für höchstens ein Poststück (Eindeutigkeit) vergeben werden. Als Speicherort wird der nichtflüchtige Speicher auf dem Mainboard der Frankiermaschine benutzt.
    Preis-Produkt-Tabelle
    Durch die übertragenen Daten werden ein Preisberechnungsmodul und der Abdruck beeinflußt. Eine Preis-Produkt-Tabelle (bzw. Portotariftabelle) hat ein Gültigkeitsdatum, ab dem sie gültig ist. Die Einträge einer Preis-Produkt-Tabelle sollten gegen Manipulation geschützt sein (Datenintegrität). Die Quelle einer Preis-Produkt-Tabelle sollte authorisiert sein (Ursprungsauthentifikation), und eine Preis-Produkt-Tabelle sollte spätestens an ihrem Gültigkeitstag bereitgestellt sein (Timeliness). Als Speicherort wird der nichtflüchtige Speicher auf dem Mainboard der Frankiermaschine benutzt.
    Benutzerprofil
    Die Benutzerprofile werden in der Maschine passiv aufgezeichnet und an das Datenzentrum übertragen. Die Einträge eines Benutzerprofils sollten gegen Manipulation geschützt sein (Datenintegrität). Alternativ genügt auch ein Integritätsschutz des Gesamtvolumens eines Benutzerprofils. Ausserdem sollte der Ursprung authentisiert sein (Ursprungsauthentikation). Dabei handelt es sich um einen speziellen Buchungswert, der im Rahmen einer speziellen Dienstleistung (Class of Mail) zur Datenzentrale übermittelt werden kann. Dieser spezielle Buchungswert ist einen gewöhnlich nicht ausdruckbarer MAC-gesicherter Summenwert aller summierten Postwerte, welche während einer Abrechnungsperiode frankiert wurden. Wird der vorgenannte Wert auf eine Postkarte ausgedruckt, dann spricht man auch von einer Abrechnungsfrankierung. Der vorgenannte MAC (Message Authorization Code) wird vorzugsweise in Form eines CryptoTags realisiert. Als Speicherort wird der nichtflüchtige Speicher auf dem Mainboard der Frankiermaschine benutzt. Nach dem Übertragen der CoM-Daten an das Datenzentrum wird der nichtflüchtige Speicher gelöscht, um Speicherplatz für neu aufgezeichnete Daten zu schaffen.
    PVD
    Die Daten, die während einer Guthabennachladung (Postage Value Download) übertragen werden, sind teilweise entgeltrelevant. Das heisst, wenn zum Beispiel ein Betrag von 50
    Figure 00160001
    angefordert und im Datenzentrum verbucht und bestaetigt wird, so dürfen anschliessend im Sicherheitsmodul auch nur 50 mehr Guthaben stehen. Würden dort 100 zusätzlich ankommen, so wäre der Zusteller (also z.B. eine Postbehörde) um den Differenzbetrag von 50 betrogen. Daher müssen die Nachrichten, die bei einem postage value download übertragen werden, gegen Manipulation geschützt sein und ihr jeweiliger Datenursprung muss authentisiert sein.
    Zusätzlich kann hier auch der Datenschutz des Empfängers ein Schutzziel sein. Es soll für Aussenstehende z.B. nicht zu erkennen sein, welchen Betrag ein Kunde gerade vom Datenzentrum lädt. Um dieses Schutzziel zu erreichen, werden bestimmte Nachrichten zwischen Datenzentrum und Sicherheitsmodul verschlüsselt. Als Speicherort dient der nichtflüchtige Speicher des PSD's. Die beeinflussten Komponenten des Frankiersystems sind das PSD und dessen postalische Register.
    Withdraw
    Die Rückzahlung (Withdraw) des verbliebene Restguthabens des Kunden ist ein wesentliches Schutzziel beim Zurückgeben einer Maschine. Als Speicherort dient der nichtflüchtige Speicher des PSD's. Die beeinflussten Komponenten des Frankiersystems sind das PSD und dessen postalische Register.
    MACKey
    Wesentliches Schutzziel bei der Übertragung des MACKeys ist es, den Schlüssel gegenüber Aussenstehenden (einschliesslich dem Benutzer der Frankiermaschine) geheimzuhalten. Daher wird dieser Schlüssel vor der Übertragung verschlüsselt und erst im Sicherheitsmodul wieder entschlüsselt. Als Speicherort dient der nichtflüchtige Speicher des PSD's. Durch die übertragenen Daten werden Komponenten des Frankiersystems, wie PSD, Schlüsselspeicher, Cliché-Prüfung und -generierung in der Frankiermaschine beeinflusst.
    Als logischer Kanal wird beispielhaft nur eine Klartextsitzung (plain session) von einer Sicherheitstextsitzung (secure session) unterschieden. Vereinfacht ist eine Klartextsitzung eine zuverlässige Datenverbindung über eine Telefonnetz, bei der die Daten ohne kryptographische Absicherung übertragen werden. Wenn nötig können fehlerkorrigierende Codes eingesetzt werden, um die Zuverlässigkeit der Übertragungsstrecke zu verbessern. Wegen der allgemeinen Bekanntheit erübrigt sich ein näheres Eingehen auf die Ausprägung eines Klartextkanals ein.
    Eine Sicherheitstextsitzung ist eine zuverlässige Datenverbindung über ein Telefonnetz, bei der die Daten kryptographisch abgesichert übertragen werden. Wenn nötig, können auch hier fehlerkorrigierende Codes eingesetzt werden, um die Zuverlässigkeit der Übertragungsstrecke zu verbessern.
    Der Selector steuert die Auswahl des Kanals (gesichert / ungesichert) zum Beispiel anhand einer Entscheidungsmatrix, die die entsprechende Behandlungsweise zum Beispiel für den angeforderten Dienst oder eine zur Übertragung anstehende Nachrichtenkennung vorhält. Die Entscheidungsmatrix kann zum Beispiel in Form einer oder mehrerer Datenbanktabellen ausgeprägt sein, so dass Änderungen der Kanalzuordnung im Betrieb des Servers dynamisch vorgenommen werden können.
    Die Figur 5 zeigt ein Detail des Blockschaltbildes der Steuereinheit 34 des Servers. Der Selector 341 ist zum Beispiel eine Hardware- und/oder Software-Komponente, die dazu vorgesehen ist, einen Datensatz D1 ... Dn bis Dx aus einem Speicher 321 des Datenbankmanagementsystems 32 zu entnehmen und wenigstens teilweise solange zwischenzuspeichern, bis die Verarbeitung des Datensatzes durch den betriebsmäßig mit dem Selector 341 verbundenen Mikroprozessor 342 beendet ist. Der Datensatz D1 ... Dn bis Dx umfaßt mindestens erste Daten, d.h. einen adressierbaren Datenteil der zugeordnete Anwendungsdaten kennzeichnet und /oder umfaßt Anwendungsdaten AD direkt. Der Datensatz umfaßt weiterhin zugeordnete Sicherheitsdaten SD sowie eine Zuordnungsvorschrift, die auf weitere Schritte, Datentabellen bzw. auf eine Entscheidungsmatrix verweist, was den Mikroprozesser in die Lage versetzt, im Ergebnis einen ausgewählten logischen Kanal zu erzeugen. Diese Zuordnungsvorschrift wird auch als Sicherheitskategorie SC einer Sicherheitspolitik bezeichnet. Der Mikroprozesser 342 greift dazu auf ein in einem Programmspeicher 343 gespeichertes Programm zu und arbeitet das Programm und die gewünschten Protokolle ab. Die ersten Daten sind Anwendungsdaten AD des adressierten Datensatzes D1 und werden über einen Bus zum Mikroprozesser 342 oder beim kleinsten Level der Sicherheitskategorien direkt zur Ein/Ausgabe-Einheit 344 übermittelt. An letztere kann beispielsweise ein Modem angeschlossen sein. Bei einem höheren Level der Sicherheitskategorien, wenn der Selector weitere Sicherheitsdaten SD und Daten der Sicherheitskategorie SC zwischenspeichert, die eine vorbestimmte Sicherheitspolitik kennzeichnen, wird ein Interrupt I oder ein Steuersignal für den Mikroprozesser 342 erzeugt, der anhand der vom Selector dem Mikroprozesser übergebenen zweiten Daten CD die Art der weiteren Datenverarbeitung feststellt. Die zum Mikroprozesser 342 übermittelten ersten Daten können weiterbehandelt und dabei zum Beispiel verschlüsselt werden, d.h. entsprechend derjenigen Art weiterbehandelt werden, welche die übergebenen zweiten (Steuer)Daten CD mitteilt. Der in der Figur 5 gezeigte Datensatz D1 enthält Daten AD, SD und SC, wobei deren Reihenfolge anders realisiert werden kann, als gezeichnet wurde. Vorzugsweise enthält ein Datensatz Dn in seinem Kopfteil (header) mindestens die Sicherheitskategorie SC, d.h. Informationen zur zugehörigen Sicherheitspolitik. Der Selector ist vom Mikroprozessor zum Beispiel über einen Adressenbus ADD-BUS 345 adressierbar und die vom Selector übergebenen zweiten (Steuer)Daten CD können somit wiederholt vom Mikroprozessor abgefragt werden. Neben den angeforderten ersten Daten können vom Mikroprozessor auch die Daten zur Sicherheitskategorie SC via Ein/Ausgabe-Einheit 344 ausgegeben werden, um den Ort der Speicherung im Frankiersystem 1 zu kennzeichnen. Mit den Darlegungen zur Figur 5 soll nur eine Ausführungsvariante erläutert jedoch nicht ausgeschlossen werden, dass die Steuereinheit 34 des Servers teilweise auf andere Weise realisiert wird. Alternativ kann der Selector 341 als Bestandteil des Mikroprozessors 342 hardware- und/oder softwaremäßig ausgeführt werden.
    Der Selector steuert den logischen Kanal durch die Verwendung von kryptographischen Verfahren auf Nachrichten oder Teilnachrichten (oder deren Auslassung); d.h. zu den Verfahren des technischen Transports der Information zum Beispiel durch eine Übertragung per Modem oder via einem anderen geeigneten Server-Kommunikationsmittel 31, werden mathematische Verfahren der Kryptographie angewandt.
    Ein andere Möglichkeit besteht darin, die Zuordnung des Kanals fest zur Entwicklungszeit an die Dienste oder Datenfelder zu koppeln, d.h. fest zu kodieren, welcher Kanal zu verwenden ist. In diesem Fall ist der Selector eine logische Komponente des Ablaufprogramms im Server.
    Im Allgemeinen werden sichere Kanäle gekennzeichnet durch Autentisierung von Nachrichten oder Teilnachrichten mittels Message Authentication Codes (MAC), die eine typischerweise verschlüsselte (kryptographische) Prüfsumme enthalten. Verfahren wie zum Beispiel HMAC-SHA1 leisten dies. Weiterhin können Nachrichten oder Teilnachrichten mit Hilfe von Chiffrierverfahren (3DES, AES) verschlüssselt werden. Das verwendete Schlüsselmaterial für die Authentisierung und Verschlüsselung wird statisch gewählt und zum Beispiel während der Produktion dem Dienstgerät eingeprägt oder auf Basis eines Schlüsselaustauschverfahrens für jede Sitzung neu erzeugt.
    Die Identität der beiden Kommunikationspartner kann z.B. durch digitale Signaturen sicher bestimmt werden, die im Sinne einer gemeinsamen Public Key Hierarchie miteinander verknüpft sind. Beide Entitäten sind in diesem Falle mit einer eigenen Schlüsselidentität ausgestattet.
    Die kryptographischen Merkmale eines sicheren Kanals werden detalliert zum Beispiel in der nicht vorveröffentlichten Deutschen Patentanmeldung 10 2004 032 057.8 unter dem Titel: Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels, insbesondere anhand der Figuren 3 und 4, beschrieben.
    Die im Rahmen einer Ferndienstleistung von dem Datenzentrum gelieferten Sicherheitsinformationen können sowohl von der Frankiermaschine als auch von anderen Geräten eines Frankiersystems genutzt werden.
    Unter einem Frankiersystem kann auch ein sogenannter PC-Frankierer verstanden werden, welcher mindestens aus einem Personalcomputer mit PSD und einem handelsüblichen Bürodrucker besteht.
    In einer anderen - in der Figur 2 nicht gezeigten - Variante wird das Datenbankmanagementsystem (DBMS) 32 innerhalb des Servers 30 realisiert. Außerdem ist vorgesehen, dass der Selector 341 als Bestandteil des Mikroprozessors 342 hardware- und/oder softwaremäßig ausgeführt ist.
    Die Erfindung ist nicht auf die vorliegende Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.

    Claims (15)

    1. Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen, gekennzeichnet durch die Schritte:
      A) Rufannahme bei Kommunikationsverbindung zwischen Frankiermaschine (2) bzw. -system (1) und Datenzentrum (3) mit automatischer Einwahl durch die Frankiermaschine (2) bzw. -system (1) in das Datenzentrum (3) und Empfangen der Anforderung einer gewünschten Dienstleistung Dienstleistung mittels eines Servers (30) des Datenzentrums (3),
      B) Ermitteln der dieser Dienstleistung zugeordneten Sicherheitsdaten und Sicherheitskategorie im Datenbankmanagementsystem (32) des Datenzentrums (3), Steuerung eines Selectors (341) des Servers (30) entsprechend der jeweiligen Sicherheitskategorie und Generierung eines Datensatzes mit Dienstleistungsdaten und Sicherheitsdaten durch den Server (30),
      C) Auswahl des betreffenden logischen Kanals gesteuert durch den Selector (341) des Servers (30) des Datenzentrums und Übermitteln des Datensatzes entsprechend der gewünschten Dienstleistung über die bereits aufgebaute Kommunikationsverbindung zwischen Frankiermaschine (2) bzw. -system (1) und Datenzentrum (3),
      D) Abbau der logischen Verbindung zur Frankiermaschine durch einen Server (30) des Datenzentrums (3), sobald die Dienstleistung beendet ist und Empfang einer entsprechenden von der Frankiermaschine (2) bzw. -system (1) ausgegebenen Bestätigung und
      E) Warten auf den Empfang einer weiteren Dienstleistungsanforderung mittels des Servers (30) oder auf die Beendigung der Kommunikationsverbindung, wobei die Beendigung durch die Frankiermaschine (2) bzw. -system (1) erfolgt.
    2. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass in Verbindung mit einer Ferndienstleistung für ein Frankiersystem (1) Daten ausgetauscht und vom oder zum Datenzentrum (3) fernübertragen werden, wobei durch Angabe einer Sicherheitskategorie wahlweise adressiert werden kann, welcher Speicherort für einen gewünschten Datensatz innerhalb oder außerhalb des PSD's (23) des Frankiersystems (1) verwendet werden soll.
    3. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass in Verbindung mit einer Ferndienstleistung für ein Frankiersystem (1) Daten ausgetauscht und vom oder zum Datenzentrum (3) fernübertragen werden, wobei durch Angabe einer Sicherheitskategorie wahlweise adressiert werden kann, auf welche Weise die übertragenen Daten beim Datenaustausch gesichert werden.
    4. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass in Verbindung mit einer Ferndienstleistung für ein Frankiersystem (1) Daten ausgetauscht und vom oder zum Datenzentrum (3) fernübertragen werden, wobei durch Angabe einer Sicherheitskategorie wahlweise adressiert werden kann, welche Elemente des Frankiersystems durch die übertragenen Daten beeinflusst werden.
    5. Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem (1), wobei ein entferntes Datenzentrum (3) die vom Frankiersystem (1) angeforderten Datensätze bereitstellt, welche Anwendungsdaten (AD) und Daten (SD) zu Sicherheitsinformationen enthalten, dadurch gekennzeichnet, dass das Datenzentrum (3) einen Server (30) umfaßt, der mindestens mit einem Server-Kommunikationsmittel (31) und mit einem Datenbankmanagementsystem (32) in betriebsmäßiger Verbindung steht, dass die angeforderten Datensätze Daten (SC) für eine Sicherheitskategorie enthalten, wobei letztere mindestens Informationen zur Sicherheitsmaßnahme für einen Datenaustausch zwischen dem Frankiersystem und Datenzentrum (3) und/oder zum Ort der Speicherung im Frankiersystem (1) umfaßt, die vom Datenbankmanagementsystem (32) des Datenzentrums (3) gemäß einer hinterlegten Sicherheitspolitik erfasst, verarbeitet, übertragen und bereitgestellt werden, dass das Frankiersystem (1) einen Mikroprozessor (242) aufweist, der mindestens mit einem postalischen Sicherheitsgerät (23) einem ersten nichtflüchtigen Speicher (241) und einem Kommunikationsmittel (21) zum Empfang der angeforderten Datensätze verbunden ist, wobei der Mikroprozessor programmiert ist, die Daten (SC) für eine Sicherheitskategorie auszuwerten, um einen entsprechenden logischen Kanal zu bilden und den Ort der Speicherung der Anwendungsdaten (AD) im Frankiersystem (1) festzustellen.
    6. Anordnung, nach Anspruch 5, dadurch gekennzeichnet, dass der der Mikroprozessor zur Speicherung der Anwendungsdaten (AD) programmiert ist und der erste nichtflüchtige Speicher (241) oder ein zweiter nichtflüchtiger Speicher (232) zur Speicherung der Anwendungsdaten (AD) ausgebildet ist, wobei nur der zweite nichtflüchtige Speicher (232) Bestandteil des postalischen Sicherheitsgeräts (23) ist.
    7. Anordnung, nach den Ansprüchen 5 bis 7, dadurch gekennzeichnet, dass ein dritter nichtflüchtiger Speicher extern der Frankiermaschine in einem anderen mit der Frankiermaschine verbundenen Postgerät angeordnet und zur Speicherung der Anwendungsdaten (AD) ausgebildet ist.
    8. Anordnung, nach Anspruch 5, dadurch gekennzeichnet, dass eine Steuereinheit (34) des Servers (30) mit einem Selector (341) und mit einem Mikroprozessor (342) ausgestattet ist, der mit einem Serversicherheitsmodul (33), dem Selector (341) und dem Server-Kommunikationsmittel (31) in betriebsmäßiger Verbindung steht, wobei die Liste in einer Datenbank des Datenbankmanagementsystems (32) gespeichert in der Form vorliegt, dass jedem Datensatz eine Sicherheitskategorie zugeordnet ist, wobei die Sicherheitspolitik für jede Sicherheitskategorie definiert, ob der betreffende Datensatz zum Frankiersystems (1) übertragen und im postalischen Sicherheitsgerät (23) des Frankiersystems (1) gespeichert wird oder zum Frankiersystem (1) übertragen und dort aber außerhalb des postalischen Sicherheitsgeräts (23) gespeichert wird.
    9. Anordnung, nach Anspruch 8, dadurch gekennzeichnet, dass das Server-Kommunikationsmittel (31) Bestandteil eines Kommunikations-Servers ist, der eine Vielzahl an separaten Anschlüssen an ein Netz (12) ermöglicht und dass zwischen dem Datenzentrum (3) und dem Frankiersystem (1) das Server-Kommunikationsmittel (31) und ein weiteres Übertragungsmittel (21) angeordnet sind, über welche ein mit betreffender Sicherheitskategorie ausgestatteter Datensatz bei Bedarf übermittelbar ist.
    10. Anordnung, nach Anspruch 9, dadurch gekennzeichnet, dass das Server-Kommunikationsmittel (31) und das Übertragungsmittel (21) des Frankiersystems (1) ein drahtlos arbeitendes Übertragungsmittel ist.
    11. Anordnung, nach Anspruch 9, dadurch gekennzeichnet, dass das Server-Kommunikationsmittel (31) und das Übertragungsmittel (21) des Frankiersystems (1) ein Modem ist.
    12. Anordnung, nach Anspruch 8, dadurch gekennzeichnet, dass das Datenbankmanagementsystem (32) in einem separaten Server realisiert ist.
    13. Anordnung, nach Anspruch 8, dadurch gekennzeichnet, dass das Datenbankmanagementsystem (32) innerhalb des bestehenden Servers (30) realisiert ist.
    14. Anordnung, nach Anspruch 8, dadurch gekennzeichnet, dass der Selector (341) hardware- und/oder softwaremäßig realisiert ist.
    15. Anordnung, nach Anspruch 14, dadurch gekennzeichnet, dass der Selector (341) als Bestandteil des Mikroprozessors (342) ausgeführt ist.
    EP05003805A 2004-03-19 2005-02-23 Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem Ceased EP1577840A3 (de)

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    DE102004014427 2004-03-19
    DE102004014427A DE102004014427A1 (de) 2004-03-19 2004-03-19 Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem

    Publications (2)

    Publication Number Publication Date
    EP1577840A2 true EP1577840A2 (de) 2005-09-21
    EP1577840A3 EP1577840A3 (de) 2007-07-25

    Family

    ID=34833241

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP05003805A Ceased EP1577840A3 (de) 2004-03-19 2005-02-23 Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem

    Country Status (3)

    Country Link
    US (1) US7996884B2 (de)
    EP (1) EP1577840A3 (de)
    DE (1) DE102004014427A1 (de)

    Families Citing this family (6)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE102004001622A1 (de) * 2004-01-09 2005-08-04 Francotyp-Postalia Ag & Co. Kg Vorbereitung und Durchführung von Diensten für eine Datenverarbeitungseinheit
    US8161281B1 (en) * 2006-04-13 2012-04-17 Rockwell Collins, Inc. High assurance data tagger for I/O feeds
    DE102006022315A1 (de) * 2006-05-11 2007-11-15 Francotyp-Postalia Gmbh Anordnung und Verfahren zum Erstellen eines Frankierabdrucks
    DE102006060700A1 (de) 2006-12-18 2008-06-19 Francotyp-Postalia Gmbh Verfahren zur Datenverarbeitung mit Bereitstellung von Portogebührentabellen und zu deren Auswahl aus einer Datenbank eines Datenzentrums sowie Anordnung zur Durchführung des Verfahrens
    DE102007052458A1 (de) * 2007-11-02 2009-05-07 Francotyp-Postalia Gmbh Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
    KR101541911B1 (ko) * 2008-07-16 2015-08-06 삼성전자주식회사 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법

    Family Cites Families (31)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4831554A (en) * 1986-04-10 1989-05-16 Pitney Bowes Inc. Postage meter message printing system
    US4933849A (en) * 1987-07-16 1990-06-12 Pitney Bowes Security system for use with an indicia printing authorization device
    DE4034292A1 (de) * 1990-10-25 1992-04-30 Francotyp Postalia Gmbh Verfahren zum frankieren von postgut und anordnung zu dessen durchfuehrung
    US5414851A (en) * 1992-06-15 1995-05-09 International Business Machines Corporation Method and means for sharing I/O resources by a plurality of operating systems
    DE4422263A1 (de) * 1994-06-24 1996-01-04 Francotyp Postalia Gmbh Verfahren zum Abstimmen des Datenbestandes zwischen einer elektronischen Frankiermaschine und einem Datenzentrum
    US6587843B1 (en) * 1995-12-15 2003-07-01 Francotyp-Postalia Ag & Co. Method for improving the security of postage meter machines in the transfer of credit
    US5742683A (en) * 1995-12-19 1998-04-21 Pitney Bowes Inc. System and method for managing multiple users with different privileges in an open metering system
    DE19549305A1 (de) * 1995-12-22 1997-07-03 Francotyp Postalia Gmbh Verfahren und Anordnung zur Dateneingabe in eine Frankiermaschine
    US6009417A (en) * 1996-09-24 1999-12-28 Ascom Hasler Mailing Systems, Inc. Proof of postage digital franking
    DE19731304B4 (de) * 1997-07-14 2005-02-24 Francotyp-Postalia Ag & Co. Kg Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    DE19748954A1 (de) * 1997-10-29 1999-05-06 Francotyp Postalia Gmbh Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
    US6064993A (en) * 1997-12-18 2000-05-16 Pitney Bowes Inc. Closed system virtual postage meter
    US6820065B1 (en) * 1998-03-18 2004-11-16 Ascom Hasler Mailing Systems Inc. System and method for management of postage meter licenses
    ATE335258T1 (de) * 1998-03-18 2006-08-15 Ascom Hasler Mailing Sys Inc System und verfahren zur verwaltung von frankiermaschinenlizenzen
    DE19816344C2 (de) * 1998-04-01 2000-08-10 Francotyp Postalia Gmbh Verfahren zur sicheren Schlüsselverteilung
    DE19818708A1 (de) * 1998-04-21 1999-11-04 Francotyp Postalia Gmbh Verfahren zum Nachladen eines Portoguthabens in eine elektronische Frankiereinrichtung
    DE19830055B4 (de) * 1998-06-29 2005-10-13 Francotyp-Postalia Ag & Co. Kg Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
    DE19843249A1 (de) * 1998-09-11 2000-03-16 Francotyp Postalia Gmbh Verfahren zur Dateneingabe in ein Dienstgerät und Anordnung zur Durchführung des Verfahrens
    DE19847951A1 (de) 1998-10-09 2000-04-20 Francotyp Postalia Gmbh Anordnung und Verfahren zur Speicherung von Daten über eine Benutzung eines Endgerätes
    DE19847947A1 (de) * 1998-10-09 2000-04-20 Francotyp Postalia Gmbh Anordnung und Verfahren zur Speicherung von Daten über eine Benutzung eines Endgerätes
    DE19913067A1 (de) * 1999-03-17 2000-09-21 Francotyp Postalia Gmbh Verfahren zur automatischen Installation von Frankiereinrichtungen und Anordnung zur Durchführung des Verfahrens
    EP1067482B1 (de) * 1999-07-05 2012-11-14 Francotyp-Postalia GmbH Druckbild
    WO2001037224A1 (en) * 1999-11-16 2001-05-25 Neopost Inc. System and method for managing multiple postal functions in a single account
    DE19958941B4 (de) 1999-11-26 2006-11-09 Francotyp-Postalia Gmbh Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial
    DE10023145A1 (de) * 2000-05-12 2001-11-15 Francotyp Postalia Gmbh Frankiermaschine und Verfahren zur Freigabe einer Frankiermaschine
    US7000107B2 (en) * 2000-09-30 2006-02-14 Microsoft Corporation System and method for using dynamic web components to remotely control the security state of web pages
    US20020083020A1 (en) * 2000-11-07 2002-06-27 Neopost Inc. Method and apparatus for providing postage over a data communication network
    DE10114533A1 (de) * 2001-03-21 2002-10-02 Francotyp Postalia Ag Frankiermaschine mit einer Datenübertragungseinrichtung
    US20020169874A1 (en) * 2001-05-09 2002-11-14 Batson Elizabeth A. Tailorable access privileges for services based on session access characteristics
    US20030097337A1 (en) * 2001-11-16 2003-05-22 George Brookner Secure data capture apparatus and method
    US20040039715A1 (en) * 2002-06-24 2004-02-26 Gullo John F. Systems and methods for providing an express mail label

    Also Published As

    Publication number Publication date
    US20050209875A1 (en) 2005-09-22
    EP1577840A3 (de) 2007-07-25
    DE102004014427A1 (de) 2005-10-27
    US7996884B2 (en) 2011-08-09

    Similar Documents

    Publication Publication Date Title
    EP0779601B1 (de) Verfahren zur Bezahlung der Nachkreditierung einer elektronischen Frankiermaschine
    DE69636617T2 (de) Verfahren und System zum Nachweisen von Transaktionen mit hinterherigem Drucken und Verarbeiten des Postens
    DE3712138B4 (de) Verfahren zum Betrieb eines Frankiermaschinensystems
    DE19812903A1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
    DE3644231C2 (de) Verfahren zur Bearbeitung von Stapeln von Postgut
    DE19731304B4 (de) Verfahren zur Statistikmodusnachladung und zur statistischen Erfassung nach Statistikklassen bei der Speicherung eines Datensatzes
    EP2058769A1 (de) Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
    DE69729915T2 (de) Verfahren und Vorrichtung zur ferngesteuerten Änderung von Sicherheitsmerkmalen einer Frankiermaschine
    EP0930586B1 (de) Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten
    EP0866427B1 (de) Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation
    DE3613025C2 (de) Nichtgesichertes Portogebühren-Aufbringungssystem
    DE19757653C2 (de) Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
    EP0969420B1 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
    EP1337974B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
    EP1577840A2 (de) Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem
    DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
    DE10305730A1 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken und Vorrichtung zur Durchführung des Verfahrens
    EP1037172A2 (de) Verfahren zur automatischen Installation von Frankiereinrichtungen und Anordnung zur Durchführung des Verfahrens
    EP1279147B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
    DE69930202T2 (de) Verfahren zur Begrenzung der Schlüsselbenutzung in einem Frankiersystem welches kryptographisch gesicherte Briefmarken produziert
    EP1202223B1 (de) Postmachine und Verfahren zu deren Initialisierung
    DE69636360T3 (de) Auf Transaktionen mit geschlossener Schleife basierendes Rechnungs- und Bezahlungssystem für Postsendungen mit durch Freigabe der Postversandinformation ausgelöster Bezahlung des Beförderers durch eine dritte Partei
    DE102004033598A1 (de) Verfahren zur Speicherung und Verwaltung von Daten und Anordnung zur Durchführung des Verfahrens
    DE102004032323A1 (de) Verfahren und Anordnung zum Erstatten von Porto
    EP0952560A2 (de) Verfahren zum Nachladen eines Portoguthabens in eine elektronische Frankiermaschine

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

    AX Request for extension of the european patent

    Extension state: AL BA HR LV MK YU

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA GMBH

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

    AX Request for extension of the european patent

    Extension state: AL BA HR LV MK YU

    RIC1 Information provided on ipc code assigned before grant

    Ipc: G07B 17/04 20060101ALI20070619BHEP

    Ipc: G07B 17/00 20060101AFI20070619BHEP

    17P Request for examination filed

    Effective date: 20070905

    17Q First examination report despatched

    Effective date: 20071012

    AKX Designation fees paid

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

    18R Application refused

    Effective date: 20100511