WO2002039390A1 - Verfahren zum versehen von postsendungen mit frankierungsvermerken - Google Patents

Verfahren zum versehen von postsendungen mit frankierungsvermerken Download PDF

Info

Publication number
WO2002039390A1
WO2002039390A1 PCT/DE2001/004129 DE0104129W WO0239390A1 WO 2002039390 A1 WO2002039390 A1 WO 2002039390A1 DE 0104129 W DE0104129 W DE 0104129W WO 0239390 A1 WO0239390 A1 WO 0239390A1
Authority
WO
WIPO (PCT)
Prior art keywords
customer
franking
data
value transfer
customer system
Prior art date
Application number
PCT/DE2001/004129
Other languages
English (en)
French (fr)
Inventor
Jürgen Lang
Bernd Meyer
Original Assignee
Deutsche Post Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Post Ag filed Critical Deutsche Post Ag
Priority to AU2002220513A priority Critical patent/AU2002220513B2/en
Priority to AU2051302A priority patent/AU2051302A/xx
Priority to US10/416,052 priority patent/US20050278265A1/en
Priority to JP2002541634A priority patent/JP4057909B2/ja
Priority to NZ525504A priority patent/NZ525504A/en
Priority to CA002428298A priority patent/CA2428298A1/en
Priority to EP01993909.9A priority patent/EP1340197B1/de
Publication of WO2002039390A1 publication Critical patent/WO2002039390A1/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/00024Physical or organizational aspects of franking systems
    • G07B2017/00072Hybrid mail, i.e. mail delivered using different physical means along the mail delivery path, e.g. email and envelope
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00338Error detection or handling
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00427Special accounting procedures, e.g. storing special information
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00459Details relating to mailpieces in a franking system
    • G07B17/00508Printing or attaching on mailpieces
    • G07B2017/00516Details of printing apparatus
    • G07B2017/00556Ensuring quality of print

Definitions

  • the invention relates to a method for providing mailings with franking marks, a customer system controlling the printing of franking marks on mailings.
  • PC franking called.
  • PC franking is not to be understood in any way restrictive, however, since digital data can be generated on any computer and is not limited to personal computers.
  • computer is in no way to be understood as limiting. It is any unit suitable for carrying out calculations, for example a workstation, a personal computer, a microcomputer or a circuit suitable for carrying out calculations it is also a personal digital assistant (PDA).
  • PDA personal digital assistant
  • the PC franking presented contains several steps in to whom a customer loads a postage amount, generates postage indicia from the postage amount and prints it out on a printer.
  • the printout takes the form of a PC franking note, which contains a machine-readable, two-dimensional matrix code that can be used to check the validity of the franking note.
  • the shipment with the PC franking mark can be delivered to the postal service provider.
  • the postal service provider transports the shipment after checking the validity of the franking mark.
  • the postage available is reduced as soon as a corresponding print command has been triggered.
  • the problem here is that after the print command has been issued, but before the franking note has actually been printed, the print data could be lost. This can occur, for example, in the event of a system crash, a power failure, paper jams or when printing with an empty ink cartridge or empty toner cartridge.
  • the invention is based on the object of further developing a generic method in such a way that the user is prevented from being burdened with fee amounts for postage indicia not used for sending postal items.
  • this object is achieved in that a file is recorded for which postage indicia generated by a print command do not send a mail item he follows.
  • a particularly simple reimbursement of fee amounts is possible if the file is transferred to a fee reimbursement form.
  • the method is expediently carried out in such a way that the file and / or the fee reimbursement form are transmitted to a reimbursement agency.
  • the transmission is advantageous for the transmission to be carried out to a server and for the customer system to transmit identification data about the mail items which are not to be sent to the server, and for the server to forward the identification data to at least one checking point.
  • the server is preferably a logical node of a communication network, but another one equipped with interfaces can also be used
  • Computers, or another calculation unit, can be used as a server.
  • Checkpoints which are advantageously arranged in letter centers, but which are also grouped outside the letter centers, for example at one or more central points, can be a consignment that has been delivered, although the one used to generate it
  • the system can also allow manual entry of shipment data, since misuse of this manual input option can be avoided.
  • the user of the customer system can manually enter data about shipments that have not been sent. Such a manual entry can optionally be excluded or permitted, for example by introducing encryption. In the event that manual data entry is permitted, the user of the customer system can, for example, remove a letterhead marked with a franking note before sending it, for example if he subsequently decided not to send the letterhead marked with the franking note.
  • a further increase in data security is possible in that a fee is only reimbursed if the form for the franking notes to be reimbursed is accompanied by evidence of non-shipping or non-printing.
  • the dispatch is preferably carried out electronically, for example by a message in a communication system, an e-mail or by input into a web page.
  • FIG. 1 shows a customer system for generating postage indicia
  • Fig. 2 shows an overall system from a customer system and an external server and
  • FIG. 3 shows a screen mask which contains information about the shipment which has not been sent.
  • the customer system shown in FIG. 1 comprises, for example, a personal computer 1 with a screen 2, a keyboard 3, a mouse 4 and a connected printer 5.
  • the customer system is not dependent on the hardware shown, but can have a variety of material forms, for example, it can be in one Memory module, for example a chip card, can be stored.
  • the customer system is in contact with an external server.
  • the external server is advantageously formed by a loading center (value transfer center).
  • the server can be any computer.
  • the term server has no restrictiveity
  • One of the interfaces is preferably provided by the customer system.
  • This interface which is referred to below as the customer interface, allows data to be entered via electronically generated franking marks which are not used for sending postage stamps.
  • the customer system preferably contains a security module which enables counterfeit-proof generation of postage indicia.
  • the customer system is preferably part of an overall system which contains checking and security mechanisms in all its components.
  • Another component of the overall system is, for example, a value transfer center.
  • Value transfer centers that prevent unauthorized loading of settlement amounts are not shown, since the customer system is secured with any such Value transfer center can be connected.
  • a basic security architecture is provided for PC franking, which combines the advantages of different existing approaches and offers a higher level of security with simple means.
  • the security architecture preferably essentially comprises three units, which are shown in a preferred arrangement in FIG. 2:
  • a value transfer center in which the identity of the customer and his customer system is known.
  • a security module that ensures the security in the customer system as hardware / software that cannot be manipulated by the customer (e.g. dongle or chip card for offline solutions or equivalent servers for online solutions).
  • a letter center in which the validity of the
  • Postage indicia checked, or tampering with the value and postage indications are recognized.
  • a random number is generated and buffered within the security module, which the customer is not aware of.
  • the random number is combined and encrypted together with a unique identification number (security module ID) of the customer system, or of the security module, in such a way that only the value transfer center is able to perform decryption.
  • security module ID unique identification number
  • the random number is encrypted together with a session key previously issued by the value transfer center and the user data of the communication (requesting the establishment of a settlement amount) with the public key of the value transfer center and digitally signed with the private key of the security module. This avoids that the request has the same shape every time a billing amount is loaded and can be used to improperly load billing amounts (replay attack).
  • the cryptographically treated information from the customer system is transmitted to the value transfer center as part of loading a settlement amount. Neither the customer nor third parties can access this information decrypt.
  • the random number that can be assigned to the identification number of the security module (security module ID) is decrypted in the value transfer center.
  • the security module ID is assigned to a customer of Deutsche Post.
  • a charging process identification number is formed in the value transfer center, which contains parts of the security module ID, the amount of a settlement amount, etc.
  • the decrypted random number is encrypted together with the load identification number in such a way that only the BriefZentrum is able to decrypt it. However, the customer is unable to decrypt this information.
  • the loading process identification number is also encrypted in a form that can be decrypted by the customer system).
  • encryption is carried out with a symmetrical key according to TDES, the is only available in the value transfer center and in the letter centers. The use of symmetric encryption at this point is due to the requirement for fast decryption processes by the production.
  • the encrypted random number and the encrypted load identification number are transmitted to the customer system. Neither the customer nor third parties can decrypt this information.
  • the key can be exchanged at any time and key lengths can be changed if necessary. As a result, a high
  • the charging process identification number is also made available to the customer in non-encrypted form.
  • the customer records the shipment-specific information or shipment data (e.g. postage, shipment type, etc.) that are transferred to the security module.
  • shipment-specific information or shipment data e.g. postage, shipment type, etc.
  • a hash value is formed, among other things, from the following information within the security module
  • the cached random number (which was generated in the context of loading a settlement amount) • and, if applicable, the
  • the mailing data is first checked in the letter center. If the consignment data entered in the postage indicium does not match the consignment, then there is either incorrect postage, a phantasy mark or a smear mark. The consignment is to be paid for.
  • Settlement amount was transmitted. Accordingly, it is both a real, valid billing amount and shipment data that have been announced to the security module (validity check).
  • the decryption, the formation of a hash value and the comparison of two hash values theoretically correspond to that of a signature check. However, due to the • symmetrical decryption, there is a time advantage over the signature check.
  • the basic security architecture shown does not include the separately secured management of the settlement amounts (exchange function), the securing of the communication between the customer system and the
  • the length of the random number is therefore as large as possible and is preferably at least 12 bytes (96 bits).
  • the security architecture used is superior to the known methods due to the possibility of using customer-specific keys without it being necessary to have keys ready for decryption, in particular letter centers.
  • This advantageous embodiment is a significant difference from the known systems based on the Information-Based Indicia Program (IBIP).
  • IBIP Information-Based Indicia Program
  • the following features distinguish the described security architecture from the well-known IBIP model of the US Postal Services of the USA: • The actual security is in the systems of the Liebe Post (value transfer center, letter center, payment assurance system) guarantees and thus reads entirely within the sphere of influence of Irish Post.
  • the postage indicium does not use any signatures, but technically equivalent and equally secure (symmetrically) encrypted data and hash values are used. In the simplest case, only a symmetrical key is used for this, which alone lies within the sphere of influence of Deutsche Post and is therefore easily interchangeable. • There is a review of everyone in the mail center
  • the security concept is based on a simple, self-contained test cycle that is in line with a background system adapted to it.
  • Mailing service providers such as "letter national” (including additional services) and "direct marketing national” are cleared in accordance with a previous determination by the mailing service provider.
  • Value transfer center can be loaded is set to an appropriate amount.
  • the amount can vary depending on the customer's requirements and the security needs of the customer
  • Postal service providers While a fee amount of a maximum of several hundred DM is particularly expedient for use in the private customer area, much higher fee amounts are provided for use with large customers.
  • An amount of around DM 500 is suitable for demanding private households as well as for freelancers and smaller companies.
  • the value stored in the exchange should preferably not exceed twice the amount in terms of system technology.
  • the return to a central point of the shipping service provider for example the Deutsche Post, enables a high level of security against charges by comparing the data with billing amounts and knowing the most common reasons for sending. This may exist the possibility of readjustment by changing the implementation requirements with the aim of reducing the return rate.
  • the postage indicia can have any form in which the information they contain can be reproduced. However, it is advisable to design the postage indicia so that they at least
  • Delivery options also via mailbox, can be posted.
  • the compliance with the security measures shown is further increased.
  • IPMAR International Postage Meter Approval Reguirements
  • IPMAR International Postage Meter Approval Requirements
  • Digital Postage Marks Applications, Security & Design Basically, the regulations of the current version of the document Digital Postage Marks: Applications, Security & Design (UPU: Technical Standards Manual) apply as well as all norms and standards to which this document refers. Compliance with the "normative" content as well as the greatest possible attention to the "informative" content of this document makes sense for the customer system.
  • the system-technical interoperability refers to the functionality of the interfaces of the customer system, or to the compliance with the in the
  • Interface billing amount communication path protocols Communication via the interface billing amount is preferably carried out via the public Internet on the basis of the protocols TCP / IP and HTTP.
  • the data exchange can optionally be encrypted via HTTP over SSL (https). The target process of a required transfer is shown here.
  • the data exchange is preferably carried out, if possible, via HTML and XML encoded files.
  • the textual and graphic content of the HTML pages are to be displayed in the customer system.
  • the certificate of the security module and an action indicator A are transmitted unencrypted and unsigned.
  • the response from the value transfer center contains the value transfer center's own certificate, an encrypted session key and the digital signature of the encrypted session key.
  • the security module sends the newly encrypted session key, the encrypted random number and the encrypted data record with user data (amount of a preloaded billing amount, residual value of the current billing amount, ascending register of all billing amounts, the last one
  • Loading process identification number - (all encrypted asymmetrically with the public key of the value transfer center).
  • the security module sends the digital signature of this encrypted data.
  • the customer system can send further, non-encrypted and unsigned usage protocols or usage profiles to the value transfer center. It is expedient that the usage data are entered in a usage log and that the usage log and / or the entries noted therein are digitally signed.
  • the value transmission center transmits the symmetrically encrypted random number and the symmetrically encrypted one
  • the value transfer center also transmits the one created with the public key of the security module
  • the security module transmits the new session key, the new loading process identification number together with user data to confirm successful communication, all in encrypted and digitally signed form to the value transfer center.
  • the customer must be able to uninstall the customer system.
  • the detailed, technical description of the billing amount interface is based on the concept of the post office's own value transfer center.
  • Postage indicia to generate a log entry that must contain all the details of the respective postage indicia - provided with a digital signature of the security module. Furthermore, every error status of the security module must be recorded in the log in such a way that the manual deletion of this entry is noticed during the check.
  • the usage profile contains a prepared summary of the usage data since the last communication with the value transfer center.
  • a customer system is divided into a component located at the customer and a central component (e.g. on the Internet), the usage profile must be managed in the central component.
  • the customer system must be able to generate PC postage indicia that exactly meet the requirements of the
  • PC franking marks preferably consist of the following three elements:
  • the shipping service provider for example the
  • the postage indicium is advantageously left-justified in the address field above the address on the shipment.
  • the address field is specified in the currently valid version of the standards of the shipping service provider.
  • the following frankings are made possible in particular:
  • the barcode from the Type Data Matrix is used first, the individual pixels of which should have an edge length of at least 0.5 millimeters.
  • a 2D barcode in the form of the data matrix with a minimum pixel size of 0.5 mm should preferably be used.
  • a possibly appropriate option is to reduce the pixel size to 0.3 mm.
  • the edge length of the entire bar code is approximately 18 to 20 mm if all data is received as described. If it succeeds, barcodes with a pixel size of 0.3 mm in the
  • the edge length can be reduced to approx. 13 mm.
  • a subsequent extension of the specifications to use a different barcode (eg Aztec) with the same data content is possible.
  • Postage indicium is shown below in FIG. 5 as an example.
  • the "most critical" size is the height of the window of a window envelope with a size of 45 mm x 90 mm.
  • a DataMatrix code with an edge length of approx. 13 mm is shown, which when using the proposed data fields only with a pixel resolution of 0.3 mm is possible
  • a code with an edge length of 24 mm does not leave enough space for information about the address regarding the available height.
  • the manufacturer of the customer system as part of the approval process and the customer in later operation are responsible for the correct printing of the postage indicium.
  • the customer is to be advised by means of suitable information in a user manual and a help system.
  • the machine readability of postage indicia depends on the print resolution used and the contrast. Should other colors be used instead of black Are used, a lower reading rate can be expected. It can be assumed that the required read rate can be guaranteed with a resolution of 300 dpi ("dots per inch") used in the printer with a high print contrast; this corresponds to approximately 120 pixels per centimeter.
  • the customer system must be able to produce postage indicia that are valid in form and size
  • Postage indicia correspond, but are not intended for dispatch, but are used for control printouts and fine-tuning of the printer.
  • the customer system is preferably designed in such a way that the test prints differ from actual postage indicia in a manner recognizable to the mailing company.
  • the inscription "SAMPLE - do not send" is affixed in the middle of the postage indicium. At least two thirds of the barcode should be made unrecognizable by the inscription or otherwise.
  • no zero prints may be made apart from specially marked test prints.
  • the basic system serves as a link between the other components of PC franking, namely the value transfer center, the security module and the printer and the customer. It consists of one or more computer systems, for example PCs, which may also be connected to one another by a network.
  • the invention makes it possible to interrupt the further process of calculating a fee amount in various steps of generating postage indicia.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken, wobei ein Kundensystem ein Drucken von Frankiervermerken auf Postsendungen steuert. Erfindungsgemäss wird das Verfahren so durchgeführt, dass in einer Datei erfasst wird, für welche durch einen Druckbefehl erzeugte Frankiervermerke keine Versendung einer Postsendung erfolgt.

Description

Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken
Beschreibung:
Die Erfindung betrifft ein Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken, wobei ein Kundensystem ein Drucken von Frankierungsvermerken auf Postsendungen steuert.
Es ist bekannt, eine Frankierung durch Wiedergabe von digitalisierten Daten in verschlüsselter Form zu erzeugen. Dieses Verfahren wird wegen seiner bevorzugten Durchführung auf Personal Computer nachfolgend zusammenfassend kurz als
PC-Frankierung bezeichnet. Die Bezeichnung PC-Frankierung ist jedoch in keiner Weise einschränkend zu verstehen, da die Erzeugung von digitalen Daten an beliebigen Computern erfolgen kann und nicht auf Personal Computer beschränkt ist . Der Begriff „Computer" ist in keiner Weise einschränkend zu verstehen. Es handelt sich hierbei um eine beliebige, zur Durchführung von Berechnungen geeignete Einheit, beispielsweise eine Workstation, einen Personal Computer, einen Micro Computer oder eine zur Durchführung von Berechnungen geeignete Schaltung. Beispielsweise kann es sich auch um einen persönlichen digitalen Assistenten (PDA) handeln.
Eine Darstellung des von der Deutschen Post AG geplanten Frankierungsverfahrens wurde der Öffentlichkeit durch Veröffentlichung im Internet zugänglich gemacht.
Die vorgestellte PC-Frankierung enthält mehrere Schritte, in denen ein Kunde einen Portobetrag lädt, aus dem Portobetrag Frankiervermerke erzeugt und auf einem Drucker ausdruckt . Der Ausdruck erfolgt in Form eines PC-Frankiervermerks, der einen maschinenlesbaren, zweidimensionalen Matrixcode enthält, der zur Prüfung der Gültigkeit des Frankiervermerks herangezogen werden kann.
Die mit dem PC-Frankiervermerk versehene Sendung kann bei dem Postdienstleister eingeliefert werden. Der Postdienstleister befördert die Sendung nach Überprüfung der Gültigkeit des Frankiervermerks .
Um eine missbräuchliche Erzeugung von Frankiervermerken zu verhindern, erfolgt eine Verringerung des zur Verfügung stehenden Portobetrages, sobald ein entsprechender Druckbefehl ausgelöst wurde.
Es besteht hierbei das Problem, dass nach Ausgabe des Druckbefehls, jedoch vor dem tatsächlichen Ausdruck des Frankierungsvermerks die Druckdaten verloren gehen könnten. Dies kann beispielsweise bei einem Systemabsturz, einem Stromausfall, bei Papierstaus oder bei einem Ausdruck mit einer leeren Tintenpatrone oder leerer Tonerkassette erfolgen.
Der Erfindung liegt die Aufgabe zugrunde, ein gattungsgemäßes Verfahren so weiterzuentwickeln, dass eine Belastung des Benutzers mit Gebührenbeträgen über nicht zur Versendung von Postsendungen verwendete Frankiervermerke vermieden wird.
Erfindungsgemäß wird diese Aufgabe dadurch gelöst, dass in einer Datei erfasst wird, für welche durch einen Druckbefehl erzeugte Frankiervermerke keine Versendung einer Postsendung erfolgt.
Eine besonders einfache Erstattung von Gebührenbeträgen ist dadurch möglich, dass die Datei in ein Gebührenerstattungsformular übernommen wird.
Zweckmäßigerweise wird das Verfahren so durchgeführt, dass die Datei und/oder das Gebührenerstattungsformular an eine Erstattungsstelle übermittelt werden.
Zur Erhöhung der Datensicherheit ist es vorteilhaft, dass die Übermittlung an einen Server erfolgt, und dass das Kundensystem Identifikationsdaten über die nicht zu versendenden Sendungen an den Server übermittelt, und dass der Server die Identifikationsdaten an wenigstens eine Überprüfungsstelle weiterleitet.
Bei dem Server handelt es sich vorzugsweise um einen logischen Knoten eines Kommunikationsnetzwerkes, jedoch kann auch ein sonstiger mit Schnittstellen ausgestatteter
Computer, beziehungsweise eine sonstige Berechnungseinheit, als Server verwendet werden.
Durch die Übermittlung der Identifikationsdaten wird ein Missbrauch der automatisierten Erstattungsmöglichkeit vermieden. Überprüfungsstellen, die vorteilhafterweise in BriefZentren angeordnet sind, die jedoch auch außerhalb der BriefZentren, beispielsweise an einer oder mehreren zentralen Stellen, zusammengefasst sind, können eine Sendung, die eingeliefert wurde, obwohl der zu ihrer Erzeugung verwendete
Freimachungsvermerk von dem Kundensystem als nicht versandt markiert wurde, erkennen. Daher ist es möglich, dass die Datei, beziehungsweise das Gebührenerstattungsformular unverschlüsselt in dem Kundensystem gespeichert werden. Eine missbräuchliche Eingabe von Angaben über nicht zur Versendung von Postsendungen verwendete Frankierwerte kann durch Aussortierung solcher
Sendungen, zu denen die Briefzentren eine Nachricht erhalten haben, dass sie als Nichtversand gelten, entdeckt werden.
Auch eine manuelle Eingabe von Sendungsdaten kann von dem System zugelassen werden, da ein Missbrauch dieser manuellen Eingabemöglichkeit vermieden werden kann.
Beispielsweise kann der Benutzer des Kundensystems manuell Daten über nicht versandte Sendungen eingeben. Eine derartige manuelle Eingabe kann wahlweise - beispielsweise durch Einführung einer Verschlüsselung - ausgeschlossen oder zugelassen werden. In dem Fall, dass eine manuelle Dateneingabe zugelassen ist, kann der Benutzer des Kundensystems beispielsweise einen mit einem Frankiervermerk gekennzeichneten Briefbogen vor einer Versendung entnehmen, beispielsweise, wenn er nachträglich beschlossen hat, den mit dem Frankiervermerk gekennzeichneten Briefbogen nicht zu versenden.
Eine weitere Erhöhung der Datensicherheit ist dadurch möglich, dass eine Gebührenerstattung nur erfolgt, wenn dem Formular über die zu erstattenden Frankievermerke Belege über den Nichtversand oder den Nichtausdruck beigefügt werden.
Diese Belege werden beispielsweise von dem System automatisiert erstellt, beispielsweise durch ein Scannen der betreffenden Frankiervermerke oder durch Protokollierung von Systemdaten über das Nichtausdrucken des Frankiervermerks . Eine elektronische Speicherung dieser Angaben ist besonders vorteilhaft, weil so eine automatisierte Überprüfung ermöglicht wird.
Vorzugsweise erfolgt der Versand elektronisch, beispielsweise durch eine Nachricht in einem Kommunikationssystem, eine e-mail oder durch Eingabe in eine Web-Seite.
Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele anhand der Zeichnungen.
Von den Zeichnungen zeigt
Fig. 1 ein Kundensystem zur Erzeugung von Freimachungsvermerken;
Fig. 2 ein Gesamtsystem aus einem Kundensystem und einem externen Server und
Fig. 3 eine Bildschirmmaske, welche Informationen über die nicht versandte Sendung enthält.
Das in Fig. 1 dargestellte Kundensystem umfasst beispielsweise einen Personal Computer 1 mit einem Bildschirm 2 , einer Tastatur 3 , einer Maus 4 und einem angeschlossenen Drucker 5.
Das Kundensystem ist nicht von der dargestellten Hardware abhängig, sondern kann vielfältige materielle Formen aufweisen, beispielsweise kann es in einem einzelnen Speichermodul, beispielsweise einer Chip-Karte, gespeichert sein.
Bei dem in Fig. 2 dargestellten Gesamtsystem befindet sich das Kundensystem in Kontakt mit einem externen Server. Vorteilhafterweise wird der externe Server durch ein Ladezentrum (Wertübertragungszentrum) gebildet.
Bei dem Server kann es sich um einen beliebigen Computer handeln. Die Bezeichnung Server hat keine einschränkende
Bedeutung, sondern verweist auf die zusätzliche Möglichkeit, Daten gezielt über Schnittstellen auszutauschen.
Eine der Schnittstellen wird vorzugsweise durch das Kundensystem bereitgestellt. Diese Schnittstelle, die nachfolgend als Kundenschnittstelle bezeichnet wird, erlaubt eine Eingabe von Daten über elektronisch erzeugte, jedoch nicht zum Versand von Postwertzeichen benutzte, Frankiervermerke .
Vorzugsweise enthält das Kundensystem ein Sicherungsmodul, das eine fälschungssichere Erzeugung von Frankiervermerken ermöglicht .
Das Kundensystem ist vorzugsweise Teil eines Gesamtsystems, das in allen Bestandteilen Überprüfungs- und Sicherheitsmechanismen enthält.
Ein weiterer Bestandteil des Gesamtsystems ist beispielsweise ein Wertübertragungszentrum. Die Eigenschaften des
Wertübertragungszentrums, die ein unberechtigtes Laden von Abrechnungsbeträgen verhindern, sind nicht dargestellt, da das Kundensystem mit einem beliebigen derart gesicherten Wertübertragungszentrum verbunden werden kann.
Sicherheitsarchitektur
Für die PC-Frankierung ist eine grundsätzliche Sicherheitsarchitektur vorgesehen, die die Vorteile verschiedener, bestehender Ansätze verbindet und mit einfachen Mitteln ein höheres Maß an Sicherheit bietet.
Die Sicherheitsarchitektur umfasst vorzugsweise im Wesentlichen drei Einheiten, die in einer bevorzugten Anordnung in Fig. 2 dargestellt sind:
• Ein Wertübertragungszentrum, in dem die Identität des Kunden und seines Kundensystems bekannt ist. • Ein Sicherungsmodul, das die als nicht durch den Kunden manipulierbare Hard-/Software die Sicherheit im Kundensystem gewährleistet (z.B. Dongle oder Chipkarte bei Offline-Lösungen bzw. gleichwertige Server bei Online- Lösungen) . • Ein BriefZentrum, in dem die Gültigkeit der
Freimachungsvermerke geprüft, beziehungsweise Manipulationen am Wertbetrag sowie am Freimachungsvermerk erkannt werden.
Die einzelnen Prozessschritte, die im
Wertübertragungszentrum, Kundensystem und Briefzentrum erfolgen, sollen im Folgenden in Form einer Prinzipskizze dargestellt werden. Der genaue technische Kommunikationsprozess weicht hingegen von dieser prinzipiellen Darstellung ab (z.B. mehrere
Kommunikationsschritte zur Erlangung einer hier dargestellten Übertragung) . Insbesondere wird in dieser Darstellung eine vertrauliche und integere Kommunikation zwischen identifizierten und authentisierten Kommunikationspartnern vorausgesetzt .
Kundensystem
1. Innerhalb des Sicherungsmoduls wird eine Zufallszahl erzeugt und zwischengespeichert, die dem Kunden nicht zur Kenntnis gelangt.
2. Innerhalb des Sicherungsmoduls wird die Zufallszahl zusammen mit einer eindeutigen Identifikationsnummer (Sicherungsmodul-ID) des Kundensystems, beziehungsweise des Sicherungsmoduls, derart kombiniert und verschlüsselt, dass nur das WertübertragungsZentrum in der Lage ist, eine Entschlüsselung durchzuführen.
In einer besonders bevorzugten Ausführungsform wird die Zufallszahl zusammen mit einem zuvor vom Wertübertragungszentrum ausgegebenen Sitzungsschlüssel und den Nutzdaten der Kommunikation (Beantragung der Einrichtung eines Abrechnungsbetrages) mit dem öffentlichen Schlüssel des WertübertragungsZentrums verschlüsselt und mit dem privaten Schlüssel des Sicherungsmoduls digital signiert. Hierdurch wird vermieden, dass die Anfrage bei jedem Laden eines Abrechnungsbetrages dieselbe Gestalt hat und zum missbräuchlichen Laden von Abrechnungsbeträgen herangezogen werden kann (Replay-Attack) .
3. Die kryptographisch behandelten Informationen aus dem Kundensystem werden an das WertübertragungsZentrum im Rahmen des Ladens eines Abrechnungsbetrages übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln.
In der Praxis wird die asymmetrische Verschlüsselung mit dem öffentlichen Schlüssel des Kommunikationspartners (Wertübertragungszentrum, beziehungsweise Sicherungsmodul) angewandt .
Bei der Möglichkeit eines vorhergehenden Austausches von Schlüsseln kommt eine symmetrische Verschlüsselung gleichfalls in Betracht.
WertübertragungsZentrum
4. Im Wertübertragungszentrum wird unter anderem die Zufallszahl, die der Identifikationsnummer des Sicherungsmoduls (Sicherungsmodul-ID) zugeordnet werden kann, entschlüsselt.
5. Durch Anfrage in der Datenbank-Freimachung wird die Sicherungsmodul-ID einen Kunden der Deutschen Post zugeordnet .
6. Im Wertübertragungszentrum wird eine Ladevorgangsidentifikationsnummer gebildet, die Teile der Sicherungsmodul-ID, die Höhe eines Abrechnungsbetrages etc. beinhaltet. Die entschlüsselte Zufallszahl wird zusammen mit der Ladevorgangsidentifikationsnummer derart verschlüsselt, dass nur das BriefZentrum in der Lage ist, eine Entschlüsselung durchzuführen. Der Kunde ist hingegen nicht in der Lage, diese Informationen zu entschlüsseln. (Die Ladevorgangsidentifikationsnummer wird zusätzlich in einer vom Kundensystem entschlüsselbaren Form verschlüsselt) . In der Praxis erfolgt die Verschlüsselung mit einem symmetrischen Schlüssel nach TDES, der ausschließlich im Wertübertragungszentrum sowie in den BriefZentren vorhanden ist. Die Verwendung der symmetrischen Verschlüsselung an dieser Stelle ist begründet durch die Forderung nach schnellen Entschlüsselungsverfahren durch die Produktion.
7. Die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer werden an das Kundensystem übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln. Durch die alleinige Verwaltung des posteigenen, vorzugsweise symmetrischen Schlüssels im Wertübertragungszentrum und in den BriefZentren kann der Schlüssel jederzeit ausgetauscht und Schlüssellängen können bei Bedarf geändert werden. Hierdurch wird auf einfache Weise eine hohe
Manipulationssicherheit gewährleistet. In der Praxis wird die Ladevorgangsidentifikationsnummer dem Kunden zusätzlich in nicht verschlüsselter Form zur Verfügung gestellt.
Kundensystem
8. Der Kunde erfasst im Rahmen der Erstellung eines Freimachungsvermerks die sendungsspezifischen Informationen oder Sendungsdaten (z.B. Porto, Sendungsart etc.), die in das Sicherungsmodul übertragen werden.
9. Innerhalb des Sicherungsmoduls wird ein Hash-Wert unter anderem aus folgenden Informationen gebildet
• Auszügen aus den Sendungsdaten (z.B. Porto, Sendungsart, Datum, PLZ etc.),
• der zwischengespeicherten Zufallszahl (die im Rahmen des Ladens eines Abrechnungsbetrages erzeugt wurde) • und gegebenenfalls der
LadevorgangsIdentifikationsnummer.
10. In den Freimachungsvermerk werden unter anderem folgende Daten übernommen:
• Auszüge aus den Sendungsdaten im Klartext (z.B. Porto, Sendungsart, Datum, PLZ etc.),
• die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer aus dem Wertübertragungszentrum und
• der innerhalb des Sicherungsmoduls gebildete Hash-Wert aus Sendungsdaten, Zufallszahl und
Ladevorgangsidentifikationsnummer .
Briefzentrum
11. Im BriefZentrum werden zunächst die Sendungsdaten geprüft. Stimmen die in den Freimachungsvermerk übernommenen Sendungsdaten nicht mit der Sendung überein, so liegen entweder eine Falschfrankierung, eine Phantasie- oder eine Schmiermarke vor. Die Sendung ist der Entgeltsicherung zuzuführen.
12. Im BriefZentrum werden die Zufallszahl und die Ladevorgangsidentifikationsnummer, die im Rahmen des Abrechnungsbetrages an das Kundensystem übergeben wurden, entschlüsselt. Hierzu ist im BriefZentrum nur ein einziger (symmetrischer) Schlüssel erforderlich. Bei Verwendung von individuellen Schlüsseln wäre jedoch statt dessen eine Vielzahl von Schlüsseln einzusetzen.
13. Im BriefZentrum wird nach demselben Verfahren wie in dem Sicherungsmodul ein Hash-Wert aus folgenden Informationen gebildet :
• Auszügen aus den Sendungsdaten,
• der entschlüsselten Zufallszahl
• der entschlüsselten Ladevorgangsidentifikationsnummer.
14. Im BriefZentrum werden der selbstgebildete und der übertragene Hash-Wert verglichen. Stimmen beide überein, so wurde der übertragene Hash-Wert mit derselben Zufallszahl gebildet, die auch dem Wertübertragungszentrum im Rahmen des Ladens des
Abrechnungsbetrages übermittelt wurde. Demnach handelt es sich sowohl um einen echten, gültigen Abrechnungsbetrag als auch um Sendungsdaten, die dem Sicherungsmodul bekanntgegeben wurden (Gültigkeitsprüfung) . Vom Aufwand her entsprechen die Entschlüsselung, die Bildung eines Hash-Wertes und der Vergleich von zwei Hash-Werten theoretisch dem einer Signaturprüfung. Aufgrund der • symmetrischen Entschlüsselung entsteht jedoch gegenüber der Signaturprüfung ein zeitlicher Vorteil.
15. Über eine Gegenprüfung im Hintergrundsystem können im Nachhinein Abweichungen zwischen geladenen Abrechnungsbeträgen und Frankierbeträgen ermittelt werden
(Überprüfung hinsichtlich Sendungsdbletten, Saldenbildung im Hintergrundsystem) .
Die dargestellte grundsätzliche Sicherheitsarchitektur umfasst nicht die separat abgesicherte Verwaltung der Abrechnungsbeträge (Börsenfunktion) , die Absicherung der Kommunikation zwischen Kundensystem und dem
Wertübertragungszentrum, die gegenseitige Identifizierung von Kundensystem und Wertübertragungszentrum und die Initialisierung zur sicheren Betriebsaufnahme eines neuen Kundensystems .
Angriffe auf die Sicherheitsarchitektur Die beschriebene Sicherheitsarchitektur ist sicher gegenüber Angriffen durch Folgendes :
• Dritte können die im Internet mitgeschnittene (kopierte) erfolgreiche Kommunikation zwischen einem Kundensystem und dem Wertübertragungszentrum nicht zu betrügerischen Zwecken nutzen (Replay-Attacke) .
• Dritte oder Kunden können gegenüber dem WertübertragungsZentrum nicht die Verwendung eines ordnungsgemäßen Kundensystems durch ein manipuliertes Kundensystem vortäuschen. Spiegelt ein Dritter oder ein Kunde die Übertragung einer Zufallszahl und einer Safe- Box-ID vor, die nicht innerhalb eines Sicherungsmoduls erzeugt wurden, sondern ihm bekannt sind, so scheitert das Laden der Abrechnungsbeträge entweder an der separat durchgeführten Identifikation des rechtmäßigen Kunden durch Benutzername und Kennwort oder an der Kenntnis des privaten Schlüssels des Sicherungsmoduls, der dem Kunden unter keinen Umständen bekannt sein darf. (Deshalb ist der Initialisierungsprozess zur Schlüsselerzeugung in dem Sicherungsmodul und die Zertifizierung des öffentlichen Schlüssels durch den Kundensystemanbieter geeignet durchzuführe . )
• Dritte oder Kunden können nicht mit einem vorgetäuschten Wertübertragungszentrum gültige Abrechnungsbeträge in ein Kundensystem laden. Spiegelt ein Dritter oder ein Kunde die Funktionalität des Wertübertragungszentrums vor, so gelingt es diesem vorgespiegelten WertübertragungsZentrum nicht, eine verschlüsselte Ladevorgangsidentifikationsnummer zu erzeugen, die im BriefZentrum ordnungsgemäß entschlüsselt werden kann. Zudem kann das Zertifikat des öffentlichen Schlüssels des Wertübertragungszentrums nicht gefälscht werden. • Kunden können nicht unter Umgehung des
Wertübertragungszentrums einen Freimachungsvermerk erstellen, dessen Ladevorgangsidentifikationsnummer derart verschlüsselt ist, dass sie im BriefZentrum als gültig entschlüsselt werden könnte.
Zur Erhöhung der Datensicherheit, insbesondere beim Suchen, ist eine unbegrenzte Anzahl von Zufallszahlen zur Hash-Wert- Bildung heranzuziehen.
• Die Länge der Zufallszahl ist daher möglichst groß und beträgt vorzugsweise mindestens 12 byte (96 bit) .
Die eingesetzte Sicherheitsarchitektur ist durch die Möglichkeit, kundenspezifische Schlüssel einzusetzen, ohne dass es notwendig ist, in zur Entschlüsselung bestimmten Stellen, insbesondere BriefZentren, Schlüssel bereit zu halten, den bekannten Verfahren überlegen. Diese vorteilhafte Ausgestaltung ist ein wesentlicher Unterschied zu den bekannten Systemen nach dem Information-Based Indicia Program (IBIP) .
Vorteile der Sicherheitsarchitektur Folgende Merkmale zeichnen die beschriebene Sicherheitsarchitektur gegenüber dem bekannten IBIP-Modell des US Postal Services der USA aus : • Die eigentliche Sicherheit wird in den Systemen der Deutschen Post (Wertübertragungszentrum, BriefZentrum, Entgeltsicherungssystem) gewährleistet und liest damit vollständig im Einflussbereich der Deutschen Post.
• Es werden im Freimachungsvermerk keine Signaturen, sondern technisch gleichwertige und ebenso sichere (symmetrisch) verschlüsselte Daten und Hash-Werte angewandt. Hierzu wird im einfachsten Falle nur ein symmetrischer Schlüssel verwendet, der alleine im Einflussbereich der Deutschen Post liegt und somit leicht austauschbar ist. • Im Briefzentrum ist eine Überprüfung aller
Freimachungsmerkmale (nicht bloß stichprobenweise) möglich.
• Das Sicherheitskonzept basiert auf einem einfachen, in sich geschlossenen Prüfkreislauf, der in Einklang mit einem hierauf angepassten Hintergrundsystem steht .
• Das System macht selbst ansonsten kaum feststellbare Dubletten erkennbar.
• Ungültige Phantasiemarken sind mit diesem Verfahren mit hoher Genauigkeit erkennbar. • Neben der Plausibilitätsprüfung kann bei allen Freimachungsvermerken eine Überprüfung der Ladevorgangsidentifikationsnummer in Echtzeit erfolgen.
Sendungsarten Mit der PC-Frankierung können alle Produkte des
Versendungsdienstleisters wie beispielsweise „Brief national" (einschließlich Zusatzleistungen) und „Direkt Marketing national" gemäß einer vorhergehenden Festlegung durch den Versendungsdienstleister freigemacht werden.
Ein Einsatz für andere Versandformen wie Paket- und Expresssendungen ist gleichermaßen möglich. Der Gebührenbetrag, der maximal über das
Wertübertragungszentrum geladen werden kann, wird auf einen geeigneten Betrag festgelegt. Der Betrag kann je nach Anforderung des Kunden und dem Sicherheitsbedürfnis des
Postdienstleisters gewählt werden. Während für einen Einsatz im Privatkundenbereich ein Gebührenbetrag von maximal mehreren hundert DM besonders zweckmäßig ist, werden für Einsätze bei Großkunden wesentlich höhere Gebührenbeträge vorgesehen. Ein Betrag in der Größenordnung von etwa DM 500,- eignet sich sowohl für anspruchsvolle Privathaushalte als auch für Freiberufler und kleinere Unternehmen. Der in der Börse gespeicherte Wert sollte vorzugsweise den doppelten Wertbetrag systemtechnisch nicht überschreiten.
Falschfrankierte Sendungen
Falschfrankierte und nicht zur Beförderung geeignete, bereits bedruckte Schreiben, Umschläge etc. mit einem gültigen Freimachungsvermerk werden dem Kunden gutgeschrieben.
Durch geeignete Maßnahmen, beispielsweise durch eine Stempelung von in dem Briefzentrum eingehenden Sendungen, ist es möglich festzustellen, ob eine Sendung bereits befördert wurde. Hierdurch wird verhindert, dass Kunden bereits beförderte Sendungen vom Empfänger zurück erhalten und diese zur Gutschrift bei dem Postdientsbetreiber, beispielsweise der Deutschen Post AG, einreichen.
Die Rücksendung an eine zentrale Stelle des Versendungsdienstleisters, beispielsweise der Deutschen Post, ermöglicht ein hohes Maß an EntgeltSicherung durch Abgleich der Daten mit Abrechnungsbeträgen und die Kenntnis über die häufigsten Zusendungsgründe. Hierdurch besteht gegebenenfalls die Möglichkeit der Nachsteuerung durch Änderung der Einführungsvoraussetzungen mit dem Ziel der Reduzierung der Rücksendequote .
5 Gültigkeit von Freimachungswerten
Vom Kunden gekaufte Abrechnungswerte sind aus Gründen der Entgeltsicherung beispielsweise nur 3 Monate gültig. Ein entsprechender Hinweis ist in der Vereinbarung mit dem Kunden aufzunehmen. Können Frankierwerte nicht innerhalb von 3
1.0 Monaten aufgebraucht werden, muss vom Kundensystem die
Kontaktierung des Wertübertragungszentrums zu einer erneuten .Herstellung von Freimachungsvermerken aufgenommen werden. Bei dieser Kontaktierung wird, wie beim ordentlichen Laden von Abrechnungsbeträgen, der Restbetrag eines alten
15 Abrechnungsbetrages einem neu ausgegebenen Abrechnungsbetrag zugeschlagen und unter einer neuen
Ladevorgangsidentifikationsnummer dem Kunden zur Verfügung gestellt .
20 Besondere betriebliche Behandlung
Grundsätzlich können die Freimachungsvermerke eine beliebige Form aufweisen, in der die in ihnen enthaltenen Informationen wiedergegeben werden können. Es ist jedoch zweckmäßig, die Freimachungsvermerke so zu gestalten, dass sie wenigstens
25 bereichsweise die Form von Barcodes aufweisen. Bei der dargestellten Lösung des 2D-Barcodes und der daraus resultierenden Entgeltsicherung sind folgende Besonderheiten in der Produktion zu berücksichtigen:
30 PC-frankierte Sendungen können über alle
Einlieferungsmöglichkeiten, auch über Briefkasten, eingeliefert werden. Durch die Festlegung von Zulassungsvoraussetzungen für Hersteller von für die Schnittstellen relevanten Bestandteilen des Frankierungssystems, insbesondere für Hersteller und/oder Betreiber von Kundensystemen, wird die Einhaltung der dargestellten Sicherheitsmaßnahmen weiter erhöht .
Übergeordnete Normen, Standards und Vorgaben International Postage Meter Approval Reguirements (IPMAR)
Vorzugsweise finden die Vorschriften der aktuellen Fassung des Dokuments International Postage Meter Approval Requirements (IPMAR), UPU S-30, ebenso Anwendung wie alle Normen und Standards, auf die in diesem Dokument verwiesen wird. Die weitestmogliche Einhaltung aller dort genannten „Requirements" ist für das Kundensystem sinnvoll.
Digital Postage Marks: Applications, Security & Design Grundsätzlich finden die Vorschriften der aktuellen Fassung des Dokuments Digital Postage Marks: Applications, Security & Design (UPU: Technical Standards Manual) ebenso Anwendung wie alle Normen und Standards, auf die in diesem Dokument verwiesen wird. Die Einhaltung des „normativen" Inhalts sowie die weitestgehende Beachtung des „informativen" Inhalts dieses Dokuments ist für das Kundensystem sinnvoll.
Vorzugsweise finden über die übergeordneten Normen und Standards hinaus Regelungen und Bestimmungen des jeweiligen Versendungsdienstleistungsunternehmens gleichfalls Anwendung.
Durch eine Zulassung lediglich solcher Systeme, die alle gesetzlichen Bestimmungen ebenso erfüllen wie alle Normen und Standards des Versendungsdienstleisters, werden Datensicherheit und Zuverlässigkeit des Systems ebenso gewährleistet wie seine Benutzerfreundlichkeit.
Weitere Gesetze, Verordnungen, Richtlinien, Vorschriften Normen und Standards
Grundsätzlich finden alle Gesetze, Verordnungen, Richtlinien, Vorschriften, Normen und Standards der jeweils gültigen Fassung Anwendung, die zur Entwicklung und zum Betrieb eines technischen Kundensystems in der konkreten Ausprägung zu beachten sind.
Systemtechnische Interoperabilität
Die systemtechnische Interoperabilität bezieht sich auf die Funktionsfähigkeit der Schnittstellen des Kundensystems, beziehungsweise auf die Einhaltung der in den
Schnittstellenbeschreibungen spezifizierten Vorgaben.
Schnittstelle Abrechnungsbetrag Kommunikationsweg, Protokolle Die Kommunikation über die Schnittstelle Abrechnungsbetrag erfolgt vorzugsweise über das öffentliche Internet auf der Basis der Protokolle TCP/IP und HTTP. Der Datenaustausch kann optional per HTTP über SSL verschlüsselt werden (https) . Hier dargestellt ist der Soll-Prozess einer erforderlichen Übertragung.
Der Datenaustausch erfolgt vorzugsweise, sofern möglich, über HTML- und XML-kodierte Dateien. Die textlichen und graphischen Inhalte der HTML-Seiten sind im Kundensystem darzustellen.
Es erscheint empfehlenswert, bei den Kommunikationsseiten auf eine bewährte HTML-Version zurückzugreifen und auf die Verwendung von Frames, eingebetteten Objekten (Applets, ActiveX etc.) und ggf. animierten GIFs zu verzichten.
Anmeldung zum Laden eines Abrechnungsbetrages (erste Übertragung von dem Sicherungsmodul zum WertübertragungsZentrum)
Im Rahmen der ersten Übertragung von dem Sicherungsmodul zum WertübertragungsZentrum werden das Zertifikat des Sicherungsmoduls sowie ein Aktionsindikator A unverschlüsselt und unsigniert übertragen.
Rückmeldung zur Anmeldung (erste Antwort vom Wertübertragungszentrum zum Sicherungsmodul) Die Rückmeldung des WertübertragungsZentrums enthält das eigene Zertifikat des WertübertragungsZentrums, einen verschlüsselten Sitzungsschlüssel und die digitale Signatur des verschlüsselten Sitzungsschlüssels.
Zweite Übertragung von dem Sicherungsmodul zum WertübertragungsZentrum
Im Rahmen dieser Übertragung sendet das Sicherungsmodul den neu verschlüsselten Sitzungsschlüssel, die verschlüsselte Zufallszahl und den verschlüsselten Datensatz mit Nutzdaten (Höhe eines vorab geladenen Abrechnungsbetrages, Restwert des aktuellen Abrechnungsbetrages, aufsteigendes Register aller Abrechnungsbeträge, die letzte
Ladevorgangsidentifikationsnummer - (alles asymmetrisch mit dem öffentlichen Schlüssel des WertübertragungsZentrums verschlüsselt) . Gleichzeitig sendet das Sicherungsmodul die digitale Signatur dieser verschlüsselten Daten. Im gleichen Zeitraum kann das Kundensystem weitere, nicht verschlüsselte und nicht signierte Nutzungsprotokolle oder Nutzungsprofile an das Wertübertragungszentrum senden. Es ist zweckmässig, dass die Nutzungsdaten in ein Nutzungsprotokoll eingetragen werden und dass das Nutzungsprotokoll und/oder die darin vermerkten Einträge digital signiert werden.
Zweite Antwort vom WertübertragungsZentrum zu dem
Sicherungsmodul
Das Wertübertragungszentrum übermittelt die symmetrisch verschlüsselte Zufallszahl und die symmetrisch verschlüsselte
Ladevorgangsidentifikationsnummer an das Sicherungsmodul .
Außerdem übermittelt das Wertübertragungszentrum die mit dem öffentlichen Schlüssel des Sicherungsmoduls erstellte
Ladevorgangsidentifikationsnummer, Login-Informationen für das Sicherungsmodul sowie einen neuen Sitzungsschlüssel an das Sicherungsmodul. Die gesamten übertragenen Daten werden zudem digital signiert.
Dritte Übertragung von dem Sicherungsmodul zum WertübertragungsZentrum
Im Rahmen der dritten Übertragung werden von dem Sicherungsmodul der neue Sitzungsschlüssel, die neue Ladevorgangsidentifikationsnummer zusammen mit Nutzdaten zur Bestätigung der erfolgreichen Kommunikation allesamt in verschlüsselter und digital signierter Form an das WertübertragungsZentrum übertragen.
Dritte Antwort vom Wertübertragungszentrum an das Sicherungsmodul Bei der dritten Antwort quittiert das Wertübertragungszentrum den Erfolg der Übertragung ohne Anwendung kryptographischer Verfahren. Deinstallation
Die Möglichkeit einer Deinstallation des Kundensystems muss durch den Kunden möglich sein.
Die detaillierte, technische Beschreibung der Schnittstelle Abrechnungsbetrag erfolgt mit Konzeption des posteigenen Wertübertragungszentrums .
Nutzungsprotokoll und Nutzungsprofil Im Kundensystem ist im Rahmen jeder Erzeugung eines
Freimachungsvermerks ein Protokolleintrag zu erzeugen, der alle Angaben des jeweiligen Freimachungsvermerks - versehen mit einer digitalen Signatur des Sicherungsmoduls - enthalten muss. Weiterhin muss im Protokoll jeder Fehlerstatus des Sicherungsmoduls derart verzeichnet werden, dass die manuelle Löschung dieses Eintrags bei der Überprüfung bemerkt wird.
Das Nutzungspro il enthält eine aufbereitete Zusammenfassung der Nutzungsdaten seit der letzten Kommunikation mit dem Wertübertragungszentrum.
Ist ein Kundensystem in eine beim Kunden befindliche und eine zentral (z.B. im Internet befindliche) Komponente aufgeteilt, so muss das Nutzungsprofil in der zentralen Komponente geführt werden.
Schnittstelle Freimachungsvermerk
Bestandteile und Ausprägungen
Das Kundensystem muss in der Lage sein, PC- Freimachungsvermerke zu erzeugen, die exakt den Vorgaben der
Deutschen Post, beziehungsweise dem Rahmen der gängigen CEN- und UPU-Standards entsprechen. PC-Freimachungsvermerke bestehen vorzugsweise aus folgenden drei Elementen:
• Einem 2-dimensionalen Strichcode, Barcode oder Matrixcode, in dem sendungsspezifische Informationen in maschinenlesbarer Form dargestellt sind. (Zweck: Automatisierung in der Produktion und Entgeltsicherung der Deutschen Post . )
• Text in Klarschrift, der wichtige Teile der Strichcode- Information in lesbarer Form wiedergibt. (Zweck: Kontrollmöglichkeit für den Kunden sowie in der Produktion und EntgeltSicherung der Deutschen Post.)
• Eine den Versendungsdienstleister, beispielsweise die
Deutsche Post, kennzeichnende Marke wie beispielsweise ein Posthorn.
Spezifikation des Dateninhaltes Zweckmäßigerweise enthalten Strichcode und Klartext des PC- Freimachungsvermerks folgende Informationen:
Tabelle: Inhalt des PC-Freimachungsvermerks
Beschrieben wird hier nur der Inhalt des Freimachungsvermerks. Die Vorschriften des
Versendungsdienstleisters für den Inhalt der Adressangaben behalten unverändert ihre Gültigkeit.
Spezifikation der physikalischen Ausprägung auf Papier (Layout)
Der Freimachungsvermerk ist vorteilhafterweise im Anschriftenfeld linksbündig oberhalb der Anschrift auf der Sendung angebracht .
Das Anschriftenfeld wird in der jeweils gültigen Fassung der Normen des Versendungsdienstleisters spezifiziert. So werden insbesondere folgende Freimachungen ermöglicht:
• Aufdruck auf den Briefumschlag,
• Aufdruck auf Klebeetiketten oder
• Verwendung von Fensterbriefumschlägen derart, dass der Aufdruck auf den Brief durch das Fenster vollständig sichtbar ist.
Für die einzelnen Elemente des Freimachungsvermerks gilt vorzugsweise :
• Verwendet wird zunächst der Strichcode vom Type Data Matrix, dessen einzelne Bildpunkte eine Kantenlänge von mindestens 0,5 Millimeter aufweisen sollten.
Im Hinblick auf lesetechnische Voraussetzungen sollte ein 2D-Barcode in Form der Data Matrix mit einer minimalen Pixelgrδße von 0, 5 mm bevorzugt zur Anwendung kommen. Eine ggf. zweckmäßige Option besteht darin, die Pixel-Größe auf 0,3 mm zu reduzieren.
Bei einer Darstellungsgrδße von 0,5 mm pro Pixel ergibt sich eine Kantenlänge des gesamten Barcodes von ca. 18 bis 20 mm, wenn alle Daten wie beschrieben eingehen. Falls es gelingt, Barcodes mit einer Pixelgröße von 0,3 mm in der
ALM zu lesen, lässt sich die Kantenlänge auf ca. 13 mm reduzieren. Eine nachträgliche Erweiterung der Spezifikationen auf die Verwendung eines anderen Barcodes (z.b. Aztec) bei gleichen Dateninhalten ist möglich.
Eine bevorzugte Ausführungsform des Layouts und der Positionierung der einzelnen Elemente des
Freimachungsvermerks ist nachfolgend in Fig. 5 beispielhaft dargestellt.
Die „kritischste" Größe ist die Höhe des dargestellten Fensters eines Fensterbriefumschlags mit einer Größe von 45 mm x 90 mm. Hier dargestellt wird ein DataMatrix-Code mit einer Kantenlänge von ca. 13 mm, der bei Verwendung der vorgeschlagenen Datenfelder nur bei einer Pixelauflösung von 0,3 mm möglich ist. Ein Code mit einer Kantenlänge von 24 mm lässt bezüglich der zur Verfügung stehenden Höhe keinen ausreichenden Raum für Angaben zur Anschrift.
Druckqualität und Lesbarkeit
Verantwortlich für den einwandfreien Aufdruck des Freimachungsvermerks sind der Hersteller des Kundensystems im Rahmen des Zulassungsverfahrens sowie der Kunde im späteren Betrieb. Hierzu ist der Kunde durch geeignete Hinweise in einem Benutzerhandbuch und einem Hilfesystem hinzuweisen.
Dies gilt insbesondere für das saubere Haften von Etiketten und das Verhindern des Verrutschens (von Teilen) des Freimachungsvermerks außerhalb des sichtbaren Bereichs von Fensterbriefumschlägen.
Die maschinelle Lesbarkeit von Freimachungsvermerken steht in Abhängigkeit von der verwendeten Druckauflösung und vom Kontrast. Sollen statt schwarz auch andere Farben zur Anwendung kommen, so ist mit einer geringeren Leserate zu rechnen. Es ist davon auszugehen, dass die geforderte Leserate bei einer im Drucker verwendeten Auflösung von 300 dpi („dots p_er inch") bei hohem Druck-Kontrast gewährleistet werden kann; das entspricht etwa 120 Bildpunkten pro Zentimeter.
Testdrucke
Das Kundensystem muss in der Lage sein, Freimachungsvermerke zu produzieren, die in Ausprägung und Größe gültigen
Freimachungsvermerken entsprechen, jedoch nicht für den Versand bestimmt sind, sondern für Kontrollausdrucke und der Drucker-Feinjustierung dienen.
Vorzugsweise ist das Kundensystem so gestaltet, dass die Testdrucke sich in einer für das Versendungsunternehmen erkennbaren Weise von tatsächlichen Freimachungsvermerken unterscheiden. Dazu wird beispielsweise in der Mitte des Freimachungsvermerks die Aufschrift „MUSTER - nicht versenden" angebracht. Mindestens zwei Drittel des Barcodes, sollen durch die Aufschrift oder anderweitig unkenntlich gemacht werden.
Neben echten (bezahlten) Freimachungsvermerken dürfen außer gesondert gekennzeichneten Testdrucken keine Nulldrucke hergestellt werden.
Anforderungen an das Kundensystem Basis-System Überblick und Funktionalität
Das Basis-System dient als Bindeglied zwischen den anderen Komponenten der PC-Frankierung, namentlich dem Wertübertragungszentrum, des Sicherungsmoduls, dem Drucker und dem Kunden. Es besteht aus einem oder mehreren Computersystemen, zum Beispiel PCs, die ggf. auch durch ein Netzwerk miteinander verbunden sein können.
Die Erfindung ermöglicht es, bei verschiedenen Schritten der Erzeugung von Freimachungsvermerken den weiteren Vorgang der Berechnung eines Gebührenbetrages zu unterbrechen.

Claims

Patentansprüche
1. Verfahren zum Versehen von Postsendungen mit
Frankierungsvermerken, wobei ein Kundensystem ein Drucken von Frankierungsvermerken auf Postsendungen steuert, d a d u r c h g e k e n n z e i c h n e t , dass in einer Datei erfasst wird, für welche durch einen Druckbefehl erzeugte Frankiervermerke keine Versendung einer Postsendung erfolgt.
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t, dass die Informationen der Datei in ein Gebührenerstattungsformular übernommen werden.
3. Verfahren nach einem oder beiden der Ansprüche 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t, dass die Datei und/oder das Gebührenerstattungsformular an eine Erstattungsstelle übermittelt werden.
4. Verfahren nach Anspruch 3, d a d u r c h g e k e n n z e i c h n e t, dass die Übermittlung an einen Server erfolgt und dass das Kundensystem
Identifikationsdaten über die nicht zu versendenden Sendungen an den Server übermittelt, und dass der Server die Identifikationsdaten an wenigstens eine Überprüfungsstelle weiterleitet.
Verfahren nach Anspruch 3, d a d u r c h g e k e n n z e i c h n e t, dass die Übermittlung durch eine e-mail erfolgt. Verfahren nach einem oder beiden der Ansprüche 3 oder 4, d a d u r c h g e k e n n z e i c h n e t , dass die Übermittlung an eine Webseite erfolgt.
PCT/DE2001/004129 2000-11-07 2001-11-06 Verfahren zum versehen von postsendungen mit frankierungsvermerken WO2002039390A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
AU2002220513A AU2002220513B2 (en) 2000-11-07 2001-11-06 Method for providing postal deliveries with franking stamps
AU2051302A AU2051302A (en) 2000-11-07 2001-11-06 Method for providing postal deliveries with franking stamps
US10/416,052 US20050278265A1 (en) 2000-11-07 2001-11-06 Method for providing postal deliveries with franking stamps
JP2002541634A JP4057909B2 (ja) 2000-11-07 2001-11-06 郵便料金前納検印を備える郵便送付物を用意する方法
NZ525504A NZ525504A (en) 2000-11-07 2001-11-06 Method for providing postal deliveries with franking stamps
CA002428298A CA2428298A1 (en) 2000-11-07 2001-11-06 Method for providing postal deliveries with franking stamps
EP01993909.9A EP1340197B1 (de) 2000-11-07 2001-11-06 Verfahren zum versehen von postsendungen mit frankierungsvermerken

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10055145.9 2000-11-07
DE10055145A DE10055145B4 (de) 2000-11-07 2000-11-07 Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken

Publications (1)

Publication Number Publication Date
WO2002039390A1 true WO2002039390A1 (de) 2002-05-16

Family

ID=7662433

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2001/004129 WO2002039390A1 (de) 2000-11-07 2001-11-06 Verfahren zum versehen von postsendungen mit frankierungsvermerken

Country Status (8)

Country Link
US (1) US20050278265A1 (de)
EP (1) EP1340197B1 (de)
JP (1) JP4057909B2 (de)
AU (2) AU2002220513B2 (de)
CA (1) CA2428298A1 (de)
DE (1) DE10055145B4 (de)
NZ (1) NZ525504A (de)
WO (1) WO2002039390A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1513073A2 (de) * 2003-08-18 2005-03-09 Microsoft Corporation System und Verfahren zur Validation hierarchisch organisierter Nachrichten
US8056003B2 (en) * 2004-12-28 2011-11-08 Neopost Technologies Apparatus for designing and a machine for franking a personalized mail template

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10131254A1 (de) * 2001-07-01 2003-01-23 Deutsche Post Ag Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
DE10345056A1 (de) * 2003-09-26 2005-04-28 Deutsche Post Ag Verfahren und Vorrichtung zum Erstellen einer Postsendung
DE102004032323A1 (de) * 2004-07-02 2006-01-26 Francotyp-Postalia Ag & Co. Kg Verfahren und Anordnung zum Erstatten von Porto
DE102015121318B4 (de) * 2015-12-08 2024-06-06 Francotyp-Postalia Gmbh Frankiersystem mit Funktionen für Refund und Reprint
US12039809B2 (en) 2017-12-11 2024-07-16 Hallmark Cards, Incorporated Activatable postage

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5319562A (en) * 1991-08-22 1994-06-07 Whitehouse Harry T System and method for purchase and application of postage using personal computer
EP0741374A2 (de) 1995-05-02 1996-11-06 Pitney Bowes Inc. System zur kontrollierten Annahme der Bezahlung und des Nachweises von Postgebühren
EP1047025A2 (de) * 1999-04-23 2000-10-25 Pitney Bowes Inc. Verfahren und Vorrichtung zum Feststellen des Missbrauchs von Postwertzeichen

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4802218A (en) * 1986-11-26 1989-01-31 Wright Technologies, L.P. Automated transaction system
US5768132A (en) * 1996-06-17 1998-06-16 Pitney Bowes Inc. Controlled acceptance mail system securely enabling reuse of digital token initially generated for a mailpiece on a subsequently prepared different mailpiece to authenticate payment of postage
US6005945A (en) * 1997-03-20 1999-12-21 Psi Systems, Inc. System and method for dispensing postage based on telephonic or web milli-transactions
US5978781A (en) * 1997-05-08 1999-11-02 Pitney Bowes Inc. Digital printing, metering, and recording of other post services on the face of a mail piece
DE19737232A1 (de) * 1997-08-27 1999-03-04 Matthias Oberlaender Elektronisches Verfahren zum Freimachen von Postsendungen
EP1021799A4 (de) * 1997-10-06 2000-11-15 Escher Group Ltd System und verfahren zum verteilen, drucken und beglaubigen von postwertzeichen über ein netzwerk
DE19812903A1 (de) * 1998-03-18 1999-09-23 Francotyp Postalia Gmbh Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
US6941286B1 (en) * 1999-12-29 2005-09-06 Pitney Bowes Inc. Method and apparatus for providing refunds in a postage metering system
US20030024988A1 (en) * 2000-04-24 2003-02-06 David Stanard System for providing evidence of payment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5319562A (en) * 1991-08-22 1994-06-07 Whitehouse Harry T System and method for purchase and application of postage using personal computer
EP0741374A2 (de) 1995-05-02 1996-11-06 Pitney Bowes Inc. System zur kontrollierten Annahme der Bezahlung und des Nachweises von Postgebühren
EP1047025A2 (de) * 1999-04-23 2000-10-25 Pitney Bowes Inc. Verfahren und Vorrichtung zum Feststellen des Missbrauchs von Postwertzeichen

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1513073A2 (de) * 2003-08-18 2005-03-09 Microsoft Corporation System und Verfahren zur Validation hierarchisch organisierter Nachrichten
EP1513073A3 (de) * 2003-08-18 2008-01-09 Microsoft Corporation System und Verfahren zur Validation hierarchisch organisierter Nachrichten
US7464331B2 (en) 2003-08-18 2008-12-09 Microsoft Corporation System and method for validating hierarchically-organized messages
US8056003B2 (en) * 2004-12-28 2011-11-08 Neopost Technologies Apparatus for designing and a machine for franking a personalized mail template

Also Published As

Publication number Publication date
DE10055145A1 (de) 2002-05-16
AU2051302A (en) 2002-05-21
JP4057909B2 (ja) 2008-03-05
EP1340197B1 (de) 2013-07-24
JP2004513465A (ja) 2004-04-30
AU2002220513B2 (en) 2006-12-07
CA2428298A1 (en) 2002-05-16
US20050278265A1 (en) 2005-12-15
DE10055145B4 (de) 2004-09-23
EP1340197A1 (de) 2003-09-03
NZ525504A (en) 2006-01-27

Similar Documents

Publication Publication Date Title
EP1405274B1 (de) Verfahren zum überprüfen der gültigkeit von digitalen freimachungsvermerken
EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE69724345T2 (de) System zur kontrollierten Annahme von Poststücken, das sicher die Wiederverwendung einer ursprünglich für ein Poststück erzeugten digitalen Wertmarke bei einem später vorbereiteten anderen Poststück zum Beglaubigen der Bezahlung der Postgebühren ermöglicht
DE69433466T2 (de) Verfahren und Vorrichtung zum Ändern eines Verschlüsselungsschlüssels in einem Postverarbeitungssystem mit einer Frankiermaschine und einem Überprüfungszentrum
DE69634397T2 (de) Verfahren zum Erzeugen von Wertmarken in einem offenen Zählsystem
DE69434621T2 (de) Postgebührensystem mit nachprüfbarer Unversehrtheit
EP2058769B1 (de) Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
DE69637237T2 (de) Verfahren and Vorrichtung zur Authentifizierung von Postgebührenabrechnungsberichten
WO2009007100A1 (de) Verfahren, vorrichtung und logistiksystem zum befördern einer postsendung
DE69738636T2 (de) Verbessertes Verschlüsselungskontrollsystem für ein Postverarbeitungssystem mit Überprüfung durch das Datenzentrum
DE69822113T2 (de) Registrierung von Dokumenten
DE10056599C2 (de) Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
WO2004061779A1 (de) Verfahren und vorrichtung zur bearbeitung von auf oberflächen von postsendungen befindlichen graphischen informationen
DE10055145B4 (de) Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken
DE10020566C2 (de) Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
DE102004003004B4 (de) Verfahren und Vorrichtung zur Frankierung von Postsendungen
EP2140429A1 (de) Verfahren und vorrichtungen zur frankierung einer postsendung mit speicherung der kennungsinformation der postsendung in einer positivliste
DE102004047221A1 (de) Verfahren und Vorrichtung zum Frankieren von Postsendungen

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2001993909

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 525504

Country of ref document: NZ

WWE Wipo information: entry into national phase

Ref document number: 2002541634

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2428298

Country of ref document: CA

WWE Wipo information: entry into national phase

Ref document number: 2002220513

Country of ref document: AU

WWE Wipo information: entry into national phase

Ref document number: 10416052

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2001993909

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 525504

Country of ref document: NZ