JPH09282506A - 分散系の機能の遂行を保証する方法および装置 - Google Patents

分散系の機能の遂行を保証する方法および装置

Info

Publication number
JPH09282506A
JPH09282506A JP8349675A JP34967596A JPH09282506A JP H09282506 A JPH09282506 A JP H09282506A JP 8349675 A JP8349675 A JP 8349675A JP 34967596 A JP34967596 A JP 34967596A JP H09282506 A JPH09282506 A JP H09282506A
Authority
JP
Japan
Prior art keywords
subsystems
microprocessor
subsystem
session key
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8349675A
Other languages
English (en)
Inventor
Donald T Dolan
ティー ドーラン ドナルド
Dale A French
エイ フレンチ デイル
Kathryn V Lawton
ヴィー ロートン カサリン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of JPH09282506A publication Critical patent/JPH09282506A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00322Communication between components/modules/parts, e.g. printer, printhead, keyboard, conveyor or central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00508Printing or attaching on mailpieces
    • G07B2017/00572Details of printed item
    • G07B2017/0058Printing of code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • G07B2017/00879Key distribution using session key

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】 分散系の機能の遂行を安全に保証する方法お
よび装置を提供する。 【解決手段】 本発明は、互いに連通する第1および第
2サブシステムを備える分散系の機能の遂行を保証する
方法であって、第1および第2サブシステム内に相互セ
ション鍵を別個に生成し、第1および第2サブシステム
の各々で生成された相互セション鍵を用いて、第1サブ
システムを認証し、第1サブシステムの認証が完了した
ときのみ、機能の遂行を保証するステップを有する方法
を提供する。また、本発明の装置が、以上の方法を実現
する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、分散系の機能の遂
行を安全に保証する方法および装置に関し、特に郵便料
金計器による郵便料金証印の印字を安全に保証する方法
および装置に関する。
【0002】
【従来の技術】伝統的な郵便料金計器は、郵便料金が支
払われたことの証拠として、郵便物に証印を押す。これ
らの伝統的な郵便料金計器は、郵便物に接触して動かさ
れるプラテンまたは回転ドラムを用いて、郵便物上に証
印を押す。伝統的な郵便料金計器は、長時間にわたって
見事なほど作動するが、証印の像が大きく変わる場合に
は、新しいプラテンまたは回転ドラムが計器の各々にお
いて作られ配置されなければならない、という事実によ
って制約をうける。従って、最近の郵便料金計器は、現
代のディジタル印刷技術を利用して、伝統的な計器の欠
点を解消する。ディジタル印刷技術の利点は、ディジタ
ル印字ヘッドがソフトウェアで駆動されるために、証印
の像を変更するために必要とされるものが、新しいソフ
トウェアだけであることである。従って、証印の像を変
更する、又は特別注文した広告宣伝文句を加える際の柔
軟性が、非常に大きくなる。
【0003】現代のディジタル印刷技術には、熱インク
ジェット(バブルジェット)、圧電インクジェット、感
熱式印刷技術、およびドットマトリックス印刷により像
を形成するように作動するLED及びレーザ静電写真印
刷がある。ドットマトリックスインクジェット印刷にお
いては、印字ヘッドにおける個々の印刷エレメント(レ
ジスタ又は圧電素子など)が、電気的に励起されてリザ
ーバから用紙上にインク滴を発射したり、又は電気的に
励起されずにインク滴を発射しなかったりする。従っ
て、印字ヘッドと郵便物の間の相対的な動きに関連し
て、個々の印刷エレメントを励起するタイミングを制御
することによって、ドットマトリックスパターンによる
望ましい証印が、目に見える形態で形成される。ディジ
タル印刷技術は上述した利点を有するものであるが、デ
ィジタル印字ヘッドが非常に小さいものであるため、計
器の大きさおよび重さを、非常に低減するものでもあ
る。また、エレクトロニクスアーキテクチャの観点から
は、計器全体は、今日では、料金収納サブシステム及び
プリンタサブシステムのような数多くのサブシステムに
分割された様々な機能を有する分散系である。サブシス
テムの各々は、互いに連通するが、情報の並行処理およ
び動作効率の向上を可能とする独立した処理能力を有す
ることもできる。しかしながら、上述した分散系の下流
側は、物理的に安全でないデータライン上をデータが送
信されるとき、例えば盗聴されたり、論理解析器を利用
して解析されたりする可能性がある。このような盗聴お
よび解析が行われると、このデータ信号は再生されかね
ない。郵便料金計器の場合、典型的に料金収納部は、プ
リンタによる証印の印字を開始する前に、郵便料金取引
の会計を行う。従って、料金収納印刷コマンド信号が再
生された場合には、関係のない会計を含んだ証印を生成
することができ、そのために郵便機関の収入が減るとい
う事態が生じるであろう。
【0004】
【発明の概要】本発明の目的は、分散系における機能の
遂行を安全に保証する方法および装置を提供することで
ある。互いに連通している第1および第2サブシステム
を備えた分散系の機能の遂行を保証する方法が、 A)第1および第2サブシステム内の相互セション鍵を
別個に生成し、 B)第1および第2サブシステムの各々で生成された相
互セション鍵を用いて、第1サブシステムを認証し、 C)ステップB)の認証が完了したときのみ、機能の遂
行を保証する、ステップを有する。 上述した保証を遂行する装置が、相互セション鍵を確立
する手段を備えた第1サブシステムと、第1サブシステ
ムとは別に相互セション鍵を確立する手段を備えた第2
サブシステムとを有し、第1および第2サブシステム
は、互いに連通し、第1および第2サブシステムの各々
で確立された相互セション鍵を利用して、相互に認証し
あい、相互の認証が完了したときにのみ、機能の遂行を
可能にする。
【0005】
【発明の実施の形態】図1は、本発明のプロセスを実現
する郵便料金計器1を図式的に示す。郵便料金計器1
は、ベース3と印字ヘッドモジュール5を備える。ベー
ス3は、料金収納マイクロプロセッサ7である第1の機
能的サブシステムと、ベースマイクロプロセッサ9であ
る第2の機能的サブシステムを含む。料金収納マイクロ
プロセッサ7は、ソフトウェアおよび関連するメモリを
有し、郵便料金計器1の会計機能を実現する。すなわ
ち、料金収納マイクロプロセッサ7は、従来の方法で所
定の郵便料金額を内部にダウンロードさせる能力を有し
ている。各郵便料金の取引の間は、料金収納マイクロプ
ロセッサ7が、十分な資金が利用可能であるかどうかを
見てチェックする。十分な資金が利用可能である場合に
は、料金収納マイクロプロセッサ7が、降順レジスタか
らその額を借方に記入し、その額を昇順レジスタに加
え、その郵便料金の額をベースマイクロプロセッサ9を
介して印字ヘッドモジュール5に送る。ベースマイクロ
プロセッサ9は、ライン6を介して印字ヘッドモジュー
ル5にデータの付託日付も送り、完全な証印の像を印字
することができる。
【0006】料金収納マイクロプロセッサ7は、生涯支
払われた郵便料金の額を表す昇順レジスタと、現在利用
可能な資金額を表す降順レジスタと、料金収納マイクロ
プロセッサ7に支払われた継続総資金額を示す制御和レ
ジスタで、郵便料金資金を管理する。備えることのでき
る料金収納マイクロプロセッサ7の別の特徴は、郵便物
カウンタレジスタ、売主および郵便トークンを生成する
暗号化アルゴリズム、および料金収納取引を保証する前
に、料金収納マイクロプロセッサ7により検証されなけ
ればならない個人識別番号の入力をユーザに要求するソ
フトウェアである。代わりに、個人識別番号の検証が、
(以下に説明されるように)ベースマイクロプロセッサ
9又はプリントモジュールマイクロプロセッサ41のい
ずれかにより行われることもできる。
【0007】ベースマイクロプロセッサ9は、料金収納
マイクロプロセッサ7と印字ヘッドモジュール5の間の
データライン10に沿った情報の伝送を調整して補助す
る際、また計測機能を完成するのに必要な様々な支持機
能を調整する際に、交通巡査のような働きをする。ベー
スマイクロプロセッサ9は、キーボード11と相互に作
用し、キーボードキー11aによるユーザ情報入力(例
えば、郵便料金の額、付託日付)を、料金収納マイクロ
プロセッサ7に送る。また、ベースマイクロプロセッサ
9は、ユーザ入力を表示するために、又はユーザに次の
入力を促すために、ドライバ/コントローラ15を介し
て液晶ディスプレイにデータを送る。また、ベースマイ
クロプロセッサ9は、電力およびリセット信号を、それ
ぞれのライン17、19を介して料金収納マイクロプロ
セッサ7に与える。クロック20は、ベースマイクロプ
ロセッサ9に日付と時間の情報を与える。代わりに、ク
ロック20が取り除かれて、クロック機能がベースマイ
クロプロセッサ9によって実現されることもできる。ベ
ースマイクロプロセッサ9は、クロック信号を料金収納
マイクロプロセッサ7に送る。
【0008】郵便料金計器1は、壁に取り付けられた変
成器23から生のA.C.電圧を調整する従来の電源21を
含み、郵便料金計器1に、所望の調節された及び調節さ
れてないD.C.電圧を供給する。電圧は、ライン25、2
7及び29を介して、印字ヘッドモータ31、印字ヘッ
ド33及び全ての論理回路に出力される。モータ31
は、証印の像が印刷されるべき郵便物に相関して、印字
ヘッド33の動きを制御するために用いられる。ベース
マイクロプロセッサ9は、モータ31への電力の供給を
制御し、料金収納マイクロプロセッサ7が郵便料金取引
を保証した後に、印字ヘッド33の適切な始動および停
止を確実にする。ベース3は、印字ヘッドモータ31の
動きを検知する作動エンコーダ35を備え、それによっ
て印字ヘッド33の正確な位置を決定することができ
る。作動エンコーダ35からの信号は、印字ヘッドモジ
ュール5に送られ、印字ヘッド33中の個々の印字ヘッ
ドエレメント33aを励起することと、印字ヘッド33
の位置とを調整する。代わりに、作動エンコーダが取り
除かれ、ステップモータ31に印加されるパルスがカウ
ントされて、印字ヘッド33の位置を定め、印字ヘッド
33aの励起を調整することも可能である。1つのモー
タ31のみが示されているが、第2の方向に印字ヘッド
33を動かすモータや、郵便物クランプ機構(図示せ
ず)を動かすモータのように、ベースマイクロプロセッ
サ9によって制御される別のモータが存在してもよい。
【0009】印字ヘッドモジュール5は、印字ヘッド3
3、印字ヘッドドライバ37、描写エンジン39(これ
は、マイクロプロセッサであったり、Application Spec
ificIntegrated Circuit(ASIC) であったりする)、マ
イクロプロセッサ41および不揮発性メモリ43を備え
る。不揮発性メモリ43は、その中に、郵便物に印刷さ
れる証印の像データを記憶している。マイクロプロセッ
サ41は、ベースマイクロプロセッサ9を介して、印刷
コマンド、郵便料金額および付託の日付を受け取る。郵
便料金額および付託日付は、マイクロプロセッサ41か
ら描写エンジン39に送られ、描写エンジン39はそれ
から不揮発性メモリ43にアクセスし、そこからレジス
タ44〜44nに記憶される所望の証印像データを得
る。記憶された像は、個々の印字ヘッドエレメント33
aを励起するために、カラムバッファ45、47を介し
て、描写エンジン39によりカラムからカラムへ印字ヘ
ッドドライバ37にダウンロードされ、郵便物上に証印
の像を印刷する。証印像をカラムからカラムに個々に生
成することは、完全な証印が形成されるまで印字ヘッド
33の動きに同調される。証印像の生成の詳細は、1995
年11月6日に米国で出願された継続中の出願08/554,179
号(特許出願第8-293563号)に説明されている。
【0010】図2は、米国で使用するために郵便料金計
器1で印刷される典型的な郵便料金の証印の拡大例であ
る。郵便料金の証印51は、左上方の角に3つの星と、
言い回しである"UNITED STATES POSTAGE" と、ワシの像
を含んだ図形データ53、証印識別番号55、付託日付
57、始めのジップコード59、簡略化のために"SPECI
MEN SPECIMEN" とのみ示されている語"mailed from zip
code"61、郵便料金額63、郵便物数65、検証数値
番号67、売主I.D.番号69、売主トークン71、郵便
トークン73、及びマルチパス数値検証75を含む。証
印像51のほとんどが自明の部分であり、いくつかは簡
単な説明を必要とする。売主I.D.番号は、計器の製造者
が誰であるかを特定し、売主トークンおよび郵便トーク
ン番号は、製造者および郵便局のそれぞれにより用いら
れる暗号化された番号であって、有効な証印が形成され
たかどうかを検証する。
【0011】図2の証印は、単なる例であって、それに
含まれる情報は、国ごとに異なるものである。本出願の
内容においては、用語「証印」および「証印像」は、全
ての国の特定の要求を満たすものであるとして用いられ
ている。上述した分散系郵便料金計器の利点は、機能的
に分割されているために、安価なマイクロプロセッサを
利用することができ、結果として郵便料金計器が低コス
トとなることである。さらに、この系のモジュール方式
は、これらのモジュールのいずれかが故障した場合に、
料金収納およびプリントモジュールを容易に交換するこ
とを可能にする。しかしながら、前述のように、データ
が物理的に安全でないデータライン(例えばデータライ
ン10、6)で送られるディジタル分散系を使用するこ
とは、そのデータを盗聴されて再生される可能性のある
系となる。このような盗聴と再生がなされた場合には、
プリントモジュール5が、必要な会計が生じていない状
態で、証印の像を印刷するために駆動される可能性が生
じる。
【0012】このセキュリティの問題を解決するため
に、安全な電子的リンクが、料金収納マイクロプロセッ
サ7とプリントモジュールマイクロプロセッサ41の間
に備えられる。安全な電子的リンクは、証印像の印刷を
保証して、郵便料金を借方に記入する前に、印字ヘッド
モジュール5と料金収納マイクロプロセッサ7の間で相
互認証を与え、PIN 位置および会計番号のような料金収
納データを更新する暗号化プロセスを通じて達成され
る。本発明の暗号化プロセスは、データの盗聴および再
生の危険性を大きく低減するものである。また、好適な
実施例においては、ベースマイクロプロセッサ9は、料
金収納マイクロプロセッサ7とプリントモジュールマイ
クロプロセッサ41の間で安全でない通信チャネルとし
て作用することもある。しかしながら、上述され、しか
も以下に詳細に説明される安全なリンクは、郵便料金計
器1のいかなるサブシステムの間にも適用されることも
できる。
【0013】本発明の方法が図3に説明されている。ス
テップS1において、オペレータが、キーボード11を
介して郵便料金取引に対する所望の郵便料金額を入力す
る。郵便物を郵便料金計器1に入れ、プラテン(図示せ
ず)により定位に固定する際に、ベースマイクロプロセ
ッサ9が、料金収納マイクロプロセッサ7とプリントモ
ジュールマイクロプロセッサ41に信号を送り、セショ
ン鍵(SK)がステップS2に示されるように確立されるこ
とを要求する。セション鍵を確立するために、料金収納
マイクロプロセッサ7及び印字ヘッドモジュールマイク
ロプロセッサ41の各々が、メモリに記憶される同一の
“M”個の認証鍵(AK)の集合を有し、各認証鍵は、それ
らに関連する特定のインデックス(1からM)を有す
る。また、プリントモジュールマイクロプロセッサ41
は、その内部に記憶された“0からN”の数の1組をも
ち、それらは、認証鍵の特定の1つを選択するために用
いられる。すなわち、プリントモジュールマイクロプロ
セッサ41は、各郵便取引に対して、順次的に又はラン
ダムに“0からN”の1組の数のうち1つを選択するよ
うにプログラムされる。例えば、数“N”が選択された
と仮定すると、プリントモジュールマイクロプロセッサ
41は、1からMの範囲のインデックスを作る従来の翻
訳機能を利用して、特定の認証鍵インデックスAKI (ス
テップS4)を決定する。認証鍵AK1 からAKM が、料金
収納マイクロプロセッサ7及びプリントモジュールマイ
クロプロセッサ41内のルックアップテーブルに記憶さ
れているため、インデックスAKI は例えば特定の鍵AK1
に関係づけられることが可能である(ステップS5)。
0からNの1組の数が、1からMの鍵の数よりも、かな
り多いことは重要である。そのため、インデックスAKI
を形成するために、0からNの数の大きい集合を、これ
らの数の1つをランダムに選択したものと組み合わせる
ことは、結果として非常に安全なプロセスを形成する。
【0014】プリントモジュールマイクロプロセッサ4
1が、0からNの数の1つを選択した後、その数は、各
郵便取引によって変動し且つプリントモジュールマイク
ロプロセッサ41のレジスタカウンタ77に記憶される
データVD1 の第1部分とともに、料金収納マイクロプロ
セッサ7に送られる(ステップS6)。受け取りの際、
その内部に同一の認証鍵ルックアップテーブルと、プリ
ントモジュールマイクロプロセッサ41により用いられ
るAKI 翻訳機能を記憶した料金収納マイクロプロセッサ
7が、0からNの選択された数を独立して使用して、AK
I を生成し、プリントモジュールマイクロプロセッサ4
1により用いられる同一の認証鍵AKを確認する(ステッ
プS7)。料金収納マイクロプロセッサ7は、レジスタ
79を有し、その内容VD2 は、各郵便取引に対して可変
であり、認証鍵AKとともに用いられて、セション鍵SKを
形成する(ステップS8)。すなわち、従来の暗号化ア
ルゴリズムが、VD2 及び認証鍵に適用されて、セション
鍵を形成する。 SK=ENCRYPT(VD2,AK) 一旦、料金収納マイクロプロセッサ7がセション鍵を定
めると、それは以下のような第1認証証明(AUC1)を作成
する(ステップS9)。 AUC1=ENCRYPT(VD1,SK) 第1認証証明の作成に続いて、料金収納マイクロプロセ
ッサ7が、VD2 及び第1認証証明の全部または一部をプ
リントモジュールマイクロプロセッサ41に送る(ステ
ップS10)。すなわち、AUCIが例えば8バイトのデー
タである場合には、それは全体として送られることがで
き、又は切捨てアルゴリズムがそれに適用されて、AUC1
の所定のバイト数のみが送られることができる。プリン
トモジュールマイクロプロセッサ41が、その内部にDE
S アルゴリズムを記憶し、生成されたAKを有し、そして
料金収納マイクロプロセッサ7からVD2 を受け取ったた
めに、プリントモジュールマイクロプロセッサ41は、
AUC1の受け取りの際、料金収納マイクロプロセッサ7と
同じ方法でSKを独立に定める(ステップS11)。SKの
生成に続いて、プリントモジュールマイクロプロセッサ
41が、第2認証証明を形成する。 AUC2=ENCRYPT(VD1,SK) これはAUC1と同じであるべきである(ステップ12)。
プリントモジュールマイクロプロセッサがAUC1とAUC2を
比較し(ステップ13)、それらが同一でない場合に
は、プリントモジュールマイクロプロセッサ41が、郵
便取引のキャンセルを行う(ステップS14)。一方
で、AUC1とAUC2が同一である場合には、プリントモジュ
ールマイクロプロセッサ41は、料金収納マイクロプロ
セッサ7が有効な料金収納であることを認証する。AUC1
の切り捨てられた部分が料金収納マイクロプロセッサ7
からプリントモジュールマイクロプロセッサ41に送ら
れる場合には、プリントモジュールマイクロプロセッサ
41は、比較ステップの前に、同一の切捨てアルゴリズ
ムをAUC2に適用しなければならない。
【0015】料金収納マイクロプロセッサ7の認証に続
いて、プリントモジュールマイクロプロセッサ41が、
第1の暗号化されたデータ証明"CD1" を形成し、ここで CD1 =ENCRYPT(VD3,SK) であって、VD3 は、郵便物数ま
たは付託日付のような、計器1内の可変データ部を示
し、データは、料金収納マイクロプロセッサ7及びプリ
ントモジュールマイクロプロセッサ41の両方に利用可
能とされる(ステップS15)。CD1 の形成の際、(AU
C1,AUC2 に関連して説明されたように)それは全体また
は部分的に、料金収納マイクロプロセッサ7に送られる
(ステップS16)。それから料金収納マイクロプロセ
ッサ7は、暗号化アルゴリズムをVD3 と、料金収納マイ
クロプロセッサ7により形成されるセション鍵SKに適用
して、独自の暗号化証明データ"CD2" を生成する(ステ
ップS17)。それから料金収納マイクロプロセッサ7
は、CD1 とCD2 を比較し(ステップS18)、それらが
一致しない場合には、料金収納マイクロプロセッサ7
が、郵便取引のキャンセルを行う(ステップS19)。
CD1 及びCD2 が同一である場合には、料金収納マイクロ
プロセッサ7が、プリントモジュールマイクロプロセッ
サ41を認証し、料金収納マイクロプロセッサ7とプリ
ントモジュールマイクロプロセッサ41の間の相互認証
が完了する。次に、料金収納マイクロプロセッサ7が、
会計モジュールに、要求された郵便料金の額を借方に記
入する用意をする。借方に記入し終わると、プリントコ
マンドが、印字ヘッドモジュール5に送られ、証印の像
の印刷を開始する(ステップS20)。
【0016】サブシステム間で送信される全てのデータ
が各郵便取引において変更可能であるため、上述のプロ
セスは、サブシステム間で非常に安全な電子的リンクを
提供する。必ずしもそうである必要はないが、送信され
るデータの予測可能性を低減することによって、セキュ
リティが向上される。可変データ(VD1, VD2, VD3) を用
いることは、各郵便取引に対して暗号値(SK, AUC1, AUC
2, CD1, CD2)の独自性を保証する。また、全体の相互認
証手続を開始し、AUC1, AUC2, CD1 及びCD2 を生成する
のに必要とされるセション鍵は、各サブシステム間では
決して送信されず、それによってサブシステムの中でセ
ション鍵の安全な知識を保証する。最後に、切捨てアル
ゴリズムが、生成された証明のいくつか又は全てに関連
して用いられる場合、郵便料金取引を完成するためには
切捨てアルゴリズムを知らなければならないために、セ
キュリティが更に向上される。
【図面の簡単な説明】
【図1】本発明を組み込んだ郵便料金計器を図式的に示
す。
【図2】本発明の装置により作成された証印を示す。
【図3】本発明の相互認証方法のフローチャートであ
る。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ドナルド ティー ドーラン アメリカ合衆国 コネチカット州 06877 リッジフィールド ミモザ サークル 97 (72)発明者 デイル エイ フレンチ アメリカ合衆国 コネチカット州 06413 クリントン シダー アイランド アベ ニュー 15 (72)発明者 カサリン ヴィー ロートン アメリカ合衆国 コネチカット州 06405 ブランフォード ロック パスチュア ロード 42

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 互いに連通している第1および第2サブ
    システムを備えた分散系の機能の遂行を保証する方法で
    あって、 A)第1および第2サブシステム内に相互セション鍵を
    別個に生成し、 B)第1および第2サブシステムの各々で生成された相
    互セション鍵を用いて、第1サブシステムを認証し、 C)ステップB)の認証が完了したときのみ、機能の遂
    行を保証する、ステップを有する方法。
  2. 【請求項2】 第1および第2サブシステムの各々で生
    成された相互セション鍵を用いて、第2サブシステムを
    認証し、第1および第2サブシステムの認証が完了した
    ときのみ、機能の遂行を保証するステップを有する請求
    項1に記載の方法。
  3. 【請求項3】 第1および第2サブシステム間で相互セ
    ション鍵を送信しない状態で、第1および第2サブシス
    テムを認証するステップを有する請求項2に記載の方
    法。
  4. 【請求項4】 ステップC)の間に、分散系による印刷
    が保証される請求項3に記載の方法。
  5. 【請求項5】 第1および第2サブシステム内の複数の
    認証鍵のうち共通の1つを別個に選択し、第1および第
    2サブシステムの各々で選択された複数の認証鍵のうち
    の共通の1つをそれぞれ用いて、第1および第2サブシ
    ステム内に相互セション鍵を生成する請求項4に記載の
    方法。
  6. 【請求項6】 第1および第2サブシステム内で相互セ
    ション鍵の生成が、第1および第2サブシステム間の複
    数の認証鍵のうちの共通の1つを送信しない状態で、達
    成される請求項5に記載の方法。
  7. 【請求項7】 暗号化アルゴリズムを、複数の認証鍵の
    うちの共通の1つ、及び各印刷の遂行によって変化する
    第1データエレメントに適用することによって、相互セ
    ション鍵が、第1および第2サブシステム内で生成され
    る請求項5に記載の方法。
  8. 【請求項8】 第1および第2サブシステムが、相互セ
    ション鍵に少なくとも部分的に基づいた第1および第2
    認証証明のそれぞれを生成し、第1および第2認証証明
    が比較されて、先在する関係を互いに有することを決定
    されたときに、印刷が保証される請求項5に記載の方
    法。
  9. 【請求項9】 第1および第2認証証明が、暗号化アル
    ゴリズムを、相互セション鍵および各印刷の遂行によっ
    て変化する第2データエレメントに適用することによっ
    て生成される請求項8に記載の方法。
  10. 【請求項10】 機能を遂行する装置であって、 相互セション鍵を確立する手段を備えた第1サブシステ
    ムと、 第1サブシステムとは別に相互セション鍵を確立する手
    段を備えた第2サブシステムとを有し、 第1および第2サブシステムは、互いに連通し、第1お
    よび第2サブシステムの各々で確立された相互セション
    鍵を利用して、相互に認証しあい、相互の認証が完了し
    たときにのみ、機能の遂行を可能にする装置。
  11. 【請求項11】 該装置が郵便料金計器であって、第1
    および第2サブシステムが、それぞれ料金収納部および
    プリンタであって、該機能が、プリンタにより遂行され
    る証印の印刷である請求項10に記載の装置。
JP8349675A 1995-12-27 1996-12-27 分散系の機能の遂行を保証する方法および装置 Pending JPH09282506A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/579507 1995-12-27
US08/579,507 US5799290A (en) 1995-12-27 1995-12-27 Method and apparatus for securely authorizing performance of a function in a distributed system such as a postage meter

Publications (1)

Publication Number Publication Date
JPH09282506A true JPH09282506A (ja) 1997-10-31

Family

ID=24317174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8349675A Pending JPH09282506A (ja) 1995-12-27 1996-12-27 分散系の機能の遂行を保証する方法および装置

Country Status (4)

Country Link
US (1) US5799290A (ja)
EP (1) EP0782111A3 (ja)
JP (1) JPH09282506A (ja)
CA (1) CA2193028C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941832B2 (en) 2006-05-19 2011-05-10 Hitachi-Omron Terminal Solutions, Corp. Authentication device, authentication system, and verification method for authentication device

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671813B2 (en) * 1995-06-07 2003-12-30 Stamps.Com, Inc. Secure on-line PC postage metering system
US7343357B1 (en) 1995-10-11 2008-03-11 Stamps.Com Inc. System and method for printing multiple postage indicia
US5923762A (en) * 1995-12-27 1999-07-13 Pitney Bowes Inc. Method and apparatus for ensuring debiting in a postage meter prior to its printing a postal indicia
US6050486A (en) * 1996-08-23 2000-04-18 Pitney Bowes Inc. Electronic postage meter system separable printer and accounting arrangement incorporating partition of indicia and accounting information
US8225089B2 (en) * 1996-12-04 2012-07-17 Otomaku Properties Ltd., L.L.C. Electronic transaction systems utilizing a PEAD and a private key
GB9704159D0 (en) * 1997-02-28 1997-04-16 Neopost Ltd Security and authentication of postage indicia
US6064989A (en) 1997-05-29 2000-05-16 Pitney Bowes Inc. Synchronization of cryptographic keys between two modules of a distributed system
US5988057A (en) * 1997-10-03 1999-11-23 Pitney Bowes Inc. Postal cancellation machine
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
US6144950A (en) 1998-02-27 2000-11-07 Pitney Bowes Inc. Postage printing system including prevention of tampering with print data sent from a postage meter to a printer
EP1118064A1 (en) 1998-09-29 2001-07-25 Stamps.Com, inc. On-line postage system
US6188997B1 (en) * 1999-04-19 2001-02-13 Pitney Bowes Inc. Postage metering system having currency synchronization
US6154734A (en) * 1999-04-19 2000-11-28 Pitney Bowes Inc. Postage metering system having currency compatibility security feature
US6178412B1 (en) * 1999-04-19 2001-01-23 Pitney Bowes Inc. Postage metering system having separable modules with multiple currency capability and synchronization
US7499551B1 (en) * 1999-05-14 2009-03-03 Dell Products L.P. Public key infrastructure utilizing master key encryption
US20020038167A1 (en) * 1999-08-07 2002-03-28 Munroe Chirnomas Method and apparatus for vending goods
US6917853B2 (en) 2000-05-23 2005-07-12 Munroe Chirnomas Method and apparatus for controlling rented or leased or loaned equipment
US7299243B2 (en) 2001-09-19 2007-11-20 Bmc Software, Inc. System and method for controlling free space distribution by key range within a database
US20040177049A1 (en) * 2003-03-04 2004-09-09 Pitney Bowes Incorporated Method and system for protection against parallel printing of an indicium message in a closed system meter
US7319989B2 (en) * 2003-03-04 2008-01-15 Pitney Bowes Inc. Method and system for protection against replay of an indicium message in a closed system meter
DE10309817A1 (de) 2003-03-05 2004-09-23 Francotyp-Postalia Ag & Co. Kg Verfahren zum sicheren Datenaustausch
EP1463003A1 (fr) * 2003-03-25 2004-09-29 Secap Machine à affranchir sécurisée
US11037151B1 (en) 2003-08-19 2021-06-15 Stamps.Com Inc. System and method for dynamically partitioning a postage evidencing system
US8775331B1 (en) 2006-12-27 2014-07-08 Stamps.Com Inc Postage metering with accumulated postage
US10373398B1 (en) 2008-02-13 2019-08-06 Stamps.Com Inc. Systems and methods for distributed activation of postage
US9978185B1 (en) 2008-04-15 2018-05-22 Stamps.Com Inc. Systems and methods for activation of postage indicia at point of sale
US9911246B1 (en) 2008-12-24 2018-03-06 Stamps.Com Inc. Systems and methods utilizing gravity feed for postage metering
US10089797B1 (en) 2010-02-25 2018-10-02 Stamps.Com Inc. Systems and methods for providing localized functionality in browser based postage transactions
US9842308B1 (en) 2010-02-25 2017-12-12 Stamps.Com Inc. Systems and methods for rules based shipping
US10713634B1 (en) 2011-05-18 2020-07-14 Stamps.Com Inc. Systems and methods using mobile communication handsets for providing postage
US10846650B1 (en) 2011-11-01 2020-11-24 Stamps.Com Inc. Perpetual value bearing shipping labels
US10922641B1 (en) 2012-01-24 2021-02-16 Stamps.Com Inc. Systems and methods providing known shipper information for shipping indicia

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4168533A (en) * 1976-01-14 1979-09-18 Pitney-Bowes, Inc. Microcomputerized miniature postage meter
US4123747A (en) * 1977-05-20 1978-10-31 International Business Machines Corporation Identity verification method and apparatus
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4386234A (en) * 1977-12-05 1983-05-31 International Business Machines Corp. Cryptographic communication and file security using terminals
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
GB2093053B (en) * 1981-02-05 1984-08-22 Sumitomo Electric Industries Fluororubber-based heat-shrinkable tubes
SE426128B (sv) * 1981-04-08 1982-12-06 Philips Svenska Ab Metod vid overforing av datameddelanden mellan tva stationer, samt overforingsanleggning for utforande av metoden
US4500750A (en) * 1981-12-30 1985-02-19 International Business Machines Corporation Cryptographic application for interbank verification
GB2146814A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
JPS6198476A (ja) * 1984-10-19 1986-05-16 Casio Comput Co Ltd カードターミナル
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
US4831555A (en) * 1985-08-06 1989-05-16 Pitney Bowes Inc. Unsecured postage applying system
US4775246A (en) * 1985-04-17 1988-10-04 Pitney Bowes Inc. System for detecting unaccounted for printing in a value printing system
FR2584516B1 (fr) * 1985-07-02 1988-05-13 Smh Alcatel Procede et systeme de controle pour machines a affranchir
US4858138A (en) * 1986-09-02 1989-08-15 Pitney Bowes, Inc. Secure vault having electronic indicia for a value printing system
US4813912A (en) * 1986-09-02 1989-03-21 Pitney Bowes Inc. Secured printer for a value printing system
NL8602245A (nl) * 1986-09-05 1988-04-05 Philips Nv Stelsel voor het verschaffen van een telecommunicatieverbinding met een computer.
ES2041712T3 (es) * 1987-03-04 1993-12-01 Siemens Nixdorf Informationssysteme Ag Sistema de intercambio de datos.
US5200903A (en) * 1987-07-09 1993-04-06 Alcatel Business Systems Ltd. Franking machine
CA1301334C (en) * 1988-02-08 1992-05-19 Pitney Bowes Inc. Postal charge accounting system
CA1321649C (en) * 1988-05-19 1993-08-24 Jeffrey R. Austin Method and system for authentication
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
FR2651347A1 (fr) * 1989-08-22 1991-03-01 Trt Telecom Radio Electr Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote.
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5048085A (en) * 1989-10-06 1991-09-10 International Business Machines Corporation Transaction system security method and apparatus
EP0440158B1 (en) * 1990-01-30 1997-09-10 Kabushiki Kaisha Toshiba Mutual authentication system
JPH06501324A (ja) * 1990-04-27 1994-02-10 スキャンディック・インターナショナル・プロプライエタリー・リミテッド スマートカード妥当性検証装置および方法
GB2246098B (en) * 1990-07-04 1994-05-25 Alcatel Business Systems Franking machine
US5224163A (en) * 1990-09-28 1993-06-29 Digital Equipment Corporation Method for delegating authorization from one entity to another through the use of session encryption keys
US5142577A (en) * 1990-12-17 1992-08-25 Jose Pastor Method and apparatus for authenticating messages
US5274368A (en) * 1991-02-15 1993-12-28 Motorola, Inc. Method and apparatus for controlling access to a communication system
US5237614A (en) * 1991-06-07 1993-08-17 Security Dynamics Technologies, Inc. Integrated network security system
SE470001B (sv) * 1991-09-12 1993-10-18 Televerket Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik
WO1993010509A1 (en) * 1991-11-12 1993-05-27 Security Domain Pty. Ltd. Method and system for secure, decentralised personalisation of smart cards
US5157726A (en) * 1991-12-19 1992-10-20 Xerox Corporation Document copy authentication
ES2084846T3 (es) * 1992-01-22 1996-05-16 Siemens Nixdorf Inf Syst Procedimiento para la autentificacion mutua de una tarjeta de chip y un terminal.
JP2883243B2 (ja) * 1992-06-11 1999-04-19 ケイディディ株式会社 相手認証/暗号鍵配送方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
US5448641A (en) * 1993-10-08 1995-09-05 Pitney Bowes Inc. Postal rating system with verifiable integrity
US5454038A (en) * 1993-12-06 1995-09-26 Pitney Bowes Inc. Electronic data interchange postage evidencing system
US5613215A (en) * 1994-04-21 1997-03-18 Motorola, Inc. Method of transmitting security codes to communication units
US5606613A (en) * 1994-12-22 1997-02-25 Pitney Bowes Inc. Method for identifying a metering accounting vault to digital printer
US5583779A (en) * 1994-12-22 1996-12-10 Pitney Bowes Inc. Method for preventing monitoring of data remotely sent from a metering accounting vault to digital printer
US5592034A (en) * 1995-12-29 1997-01-07 Pitney Bowes Inc. Power shut down delay circuit for a postage meter mailing machine having an ink jet printer system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941832B2 (en) 2006-05-19 2011-05-10 Hitachi-Omron Terminal Solutions, Corp. Authentication device, authentication system, and verification method for authentication device

Also Published As

Publication number Publication date
CA2193028A1 (en) 1997-06-28
EP0782111A2 (en) 1997-07-02
US5799290A (en) 1998-08-25
CA2193028C (en) 2000-03-14
EP0782111A3 (en) 2000-07-05

Similar Documents

Publication Publication Date Title
JPH09282506A (ja) 分散系の機能の遂行を保証する方法および装置
US5696829A (en) Digital postage meter system
US4757537A (en) System for detecting unaccounted for printing in a value printing system
US5375172A (en) Postage payment system employing encryption techniques and accounting for postage payment at a time subsequent to the printing of postage
EP1001381B1 (en) Method and apparatus for dynamically determining a printing location in a document for a postage indicia
AU756905B2 (en) Closed system virtual postage meter
CA2224672C (en) System and method for providing an additional cryptography layer for postage meter refills
US6308165B1 (en) Method of and apparatus for generating and authenticating postal indicia
EP0825562A2 (en) Method and apparatus for remotely changing security features of a postage meter
CA2256671C (en) Postage metering system and method for a single vault dispensing postage to a plurality of printers
CA2222662A1 (en) System and method of verifying cryptographic postage evidencing using a fixed key set
CA2193022C (en) Method and apparatus for ensuring debiting in a postage meter prior to its printing a postal indicia
CA2190541C (en) Digital postage meter system having a replaceable printing unit with system software upgrade
US6188997B1 (en) Postage metering system having currency synchronization
US6427139B1 (en) Method for requesting and refunding postage utilizing an indicium printed on a mailpiece
CA2212853C (en) Process and apparatus for remote system inspection of a value dispensing mechanism such as a postage meter
US7233930B1 (en) Postage metering system including a printer having dual print heads
US5684949A (en) Method and system for securing operation of a printing module
US5898785A (en) Modular mailing system
EP1001382B1 (en) Method and apparatus for dynamically locating and printing a plurality of postage payment indicia on a mailpiece
US6811335B1 (en) Method and system for secure printing of image
WO2001054071A2 (en) Proof of postage digital franking

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070226

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070723