WO2009083102A1 - Device and method for processing measured values, use of a storage medium for saving signed software components - Google Patents

Device and method for processing measured values, use of a storage medium for saving signed software components Download PDF

Info

Publication number
WO2009083102A1
WO2009083102A1 PCT/EP2008/010377 EP2008010377W WO2009083102A1 WO 2009083102 A1 WO2009083102 A1 WO 2009083102A1 EP 2008010377 W EP2008010377 W EP 2008010377W WO 2009083102 A1 WO2009083102 A1 WO 2009083102A1
Authority
WO
WIPO (PCT)
Prior art keywords
storage medium
measured values
signed
measuring
module
Prior art date
Application number
PCT/EP2008/010377
Other languages
German (de)
French (fr)
Inventor
Hans Schneider
Mike Bobinski
Original Assignee
Deutsche Post Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Post Ag filed Critical Deutsche Post Ag
Publication of WO2009083102A1 publication Critical patent/WO2009083102A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C3/00Registering or indicating the condition or the working of machines or other apparatus, other than vehicles
    • G07C3/14Quality control systems

Definitions

  • the invention relates to a device for processing measured values which comprises at least one mechanically sealed measuring device and at least one signed software component for processing the measured values of the measuring device, wherein the mechanically sealed measuring device is connected to a computing unit of the device.
  • the invention further relates to a method for securing signed software components for such a device and the use of a storage medium with a write-protect switch for securing signed software components of such a device.
  • the authority usually checks the registration documents and a sample device according to the regulations of the respective calibration regulations. Essential aspects here are the measuring accuracy and measuring stability. In particular, the applicable requirements and error limits must be adhered to.
  • the admission test includes metrological, technical and administrative examinations.
  • the technical examinations which include software examinations, will be examined whether the operating, display and impression functions meet the requirements and the device is sufficiently protected against operating errors and manipulation. Since post office consignments are usually computer controlled, calibration of software components is thus required.
  • the applicant will receive from the competent authority a registration certificate and a registration mark which must be displayed on all measuring instruments in a visible place.
  • a measuring system may include hardware and software components that are not subject to custody, it is possible to separate custody transferable components from non-custody components. This allows the non-legal components to be freely modified without the need for re-approval or calibration of the entire assembly.
  • German patent application DE 195 27 293 A1 discloses, for example, a method and a device for reliable measurement and processing of measured data in the field of exhaust gas analysis.
  • a computer connected to a measuring module not to have to be calibrated together with the measuring module, which would lead to a restriction of the initially open PC system, the document suggests that measured values should be transmitted via a suitable PC Interface to a PC.
  • the PC does not have to be calibrated, but can also be used freely for other applications.
  • German patent application DE 195 27 293 A1 also mentions the solution that is common in this field of depositing custody transferable measuring programs on the EPROM of a computer, where they are protected against manipulation.
  • the EPROM is permanently installed and can only seal data stored in the EPROM when installed. After that, no changes can be made.
  • this is not possible with a permanently installed EPROM, since its contents can not be changed or supplemented by a calibration official.
  • a mailing-in and franking station usually comprises hardware components such as measuring devices and software in conjunction with a search unit which controls the installation and determines the charge for a mailpiece.
  • Sealable hardware components can be physically sealed with seals, while software components subject to calibration must be otherwise protected against manipulation.
  • Known approaches are not suitable due to the disadvantages mentioned, a custodial and computer-operated device in such a way that a calibration officer on-site check and complement a software requiring custody before it is stored tamper-proof.
  • the object of the invention is therefore to provide a method and an associated device which meets these requirements.
  • the inventive device for processing measured values comprises at least one mechanically sealed measuring device and at least one signed software component for processing the measured values of the measuring device.
  • the mechanically sealed measuring device is connected to a computing unit of the device.
  • the signed software component is stored on a storage medium that has a write-protect switch that is mechanically sealed.
  • the storage medium may be, for example, a USB stick or a hard disk with a write-protect switch.
  • the storage medium is further connected to the computing unit, and the
  • Connection between the storage medium and the arithmetic unit is preferably also mechanically sealed.
  • the software components may for example be signed by an asymmetric encryption method.
  • the device is a delivery station for franking mailpieces which comprise at least one balance for determining the weight of a mailpiece, at least one Dimension measuring device for determining the dimensions of a mail piece, a computing unit for determining the postage fee for a mailpiece and a franking unit for applying a postage indicium on the mail item comprises.
  • the scale and the dimension measuring device are each physically sealed and are connected via physically sealed data cables
  • the scale and the dimension device or a respectively associated interface have means for signing measured values.
  • Measuring tolerances of the scale and the dimension measuring device as well as format categories for postal items are stored in a signed disposable memory, on the data of which a signed measuring module of the arithmetic unit exclusively has read access, wherein the measuring module comprises means for receiving measured values from the balance and the dimension measuring device via the serial interface.
  • a correction module of the measuring module comprises means for adding and subtracting the respective measuring tolerances of the scale and the dimension measuring device to the received measured values, thus corrected
  • the measurement module further comprises a format module comprising means for determining the format category of a mailpiece from the corrected dimension measurements and the format categories in the disposable memory. Furthermore, the measuring module has means for determining the product category of a mail item from the corrected weight reading of the mail piece and the format category of the mail piece determined by the format module, and the measuring module also has access to a file which contains an association between product categories of mailpieces and postage charges that a postage fee determined therefrom for a mail item can be supplied by the measuring module to a franking unit.
  • the measuring module further comprises means for signing data records, comprising at least measurement values of the scale and the dimension measuring device, the associated corrected measured values and the determined product category of a mailpiece, and the measuring module has a memory module for storing a signed data record in the signed disposable memory.
  • the measuring module is stored according to the invention on a storage medium with a write-protect switch.
  • the invention further includes a method for securing signed software components for a device for processing measured values of at least one measuring device, in which software components are signed and a storage medium having a write-protection switch is connected to a computing unit of the device.
  • the signed software components are stored on the storage medium and the write protection switch of the storage medium is activated. This is followed by a mechanical sealing of the write-protect switch of the storage medium and also a mechanical sealing of the connection between the storage medium and the arithmetic unit.
  • the signed software components are transferred from the computing unit of the device to the storage medium, and the computing unit accesses the signed software components on the sealed storage medium during operation of the device.
  • the invention also includes the use of a known storage medium with a write-protect switch, in which the storage medium is connected to the arithmetic unit of a device for processing the measured values of at least one mechanically sealed measuring device. Signed software components are stored on the storage medium, whereby the write protection switch of the storage medium is activated and mechanically sealed.
  • This use of a storage medium for the described delivery station for processing and franking mailpieces is particularly advantageous.
  • the invention has the advantage that software components that are subject to calibration and signed by a calibration official can be stored on a storage medium, with the calibration official being able to sign before the storage medium is connected to the computing unit of a measuring device.
  • the calibration officer can thus carry out on-site tests and signings, what with fixed built-in and sealed storage media such as EPROMS is not possible.
  • By activating a write protection and the mechanical seal of the write-protect switch the memory can be protected in a simple but effective manner against unnoticed manipulations.
  • This new approach has advantages for many measuring systems and represents a type of protection approved by the authorities.
  • Fig. 1 is a schematic representation of the invention
  • FIG. 3 shows the arrangement of custody and non-legal components in the process sequences of FIG. 2.
  • the invention provides a device for determining and processing measured values, which comprises at least one measuring device 10 subject to calibration and at least one software component subject to calibration for processing the measured values.
  • a meter may determine a weight, the amount or dimensions of an item or medium. Scales determine the weight of a commodity, while, for example, a gasoline pump determines the flow of a fuel.
  • Both types of measuring equipment must be approved and signed by calibration officers.
  • an associated measuring device can be calibrated and signed in the usual way, for example, by a physical seal in the form of a seal 12 is attached. The meter can not be manipulated without the Break open the seal, so that a manipulation can be clearly detected.
  • the measuring device 10 is connected to a computing unit 50 for processing measured data.
  • a data cable 70 from the measuring device 10 to the computing unit 50 is preferably also physically sealed, so that manipulations can be detected at this connection.
  • the computing unit 50 may be, for example, a PC having a processor, a memory, a plurality of hard disks and removable media.
  • the PC also has a network connection, for example in the form of Fast Ethernet.
  • non-legal software components for the processing of the measured values.
  • parts of the software for processing the measured values are subject to verification, so that, for example, the calculation of fees to be paid by a customer for a good or service can not be manipulated in favor of or to the detriment of the customer.
  • encryption mechanisms are used for such software, with which measured values and the software itself are signed.
  • the calibration officer usually inserts a private key into the system without which the data can not be changed.
  • the custody and therefore signed software components are located on a storage medium 11 which is connected to the arithmetic unit 50.
  • the storage medium has a mechanical write-protect switch, upon activation of which the read-only mode of the storage medium can be activated.
  • a storage medium for example, a USB memory stick or a hard disk with write-protect switch can be used. If the write-protect switch is activated, only read access to the software components on the storage medium can be made. A writing access, ie a change of the data, is not possible. So that the write-protect switch can not be deactivated unnoticed, it is physically sealed, that is sealed. For example, sealant material may enclose the write-protect switch so that it is not actuated can be without breaking the seal. Also, the connection between the storage medium 11 and the arithmetic unit 50 is physically sealed with a seal.
  • the custody transfer software is signed by a calibration official and then transferred to the storage medium 11.
  • the write protection is activated and the storage medium physically sealed, so that the calibrated software components can no longer be manipulated unnoticed.
  • the security of the custody transfer software components is thus ensured by a software-based signing and a hardware write protection. If software components requiring calibration can be realized on the arithmetic unit 50 without the need for signing by a calibration official, software components that are subject to calibration can also be located on the arithmetic unit 50. This is the case, for example, for measured value memories, which are designed as one-way memories with read-only access. These disposable memories do not have to be swapped out to a storage medium, but instead can be embodied as manipulation-proof storage, for example in a database on the arithmetic unit 50.
  • FIGS. 2 and 3 show how the invention can be used particularly advantageously in a mailing station for the processing and franking of mailpieces.
  • the post office is a self-service machine where customers can deliver mailings such as mail or consignments.
  • the services of the machine is in particular the franking of mail with the required
  • a consignment station has an acceptance means for accepting mailpieces. This is preferably a singler, which feeds a stack of mailpieces individually into the device. After the singulation of the mailings, a mail item 20 passes through the device by means of one or more means of transport.
  • the various measuring devices determine at least the weight and dimensions of the shipment. The determination of the individual measured values can take place simultaneously or successively by different measuring devices.
  • the weight of a shipment is determined by a balance 30, while the
  • Measuring devices for determining the length, width and height of a mail item are hereafter referred to in their entirety as a dimension measuring device 40.
  • a dimension measuring device can thus consist of one or more measuring devices.
  • the various measuring devices are connected to a computing unit 50, which is preferably also located within the machine.
  • the determined measured values are transferred to the arithmetic unit 50 for evaluation.
  • the arithmetic unit 50 generates measured values corrected from the measured values by processing the negative and positive tolerances of the individual measuring devices.
  • these tolerance values are offset with the measured values H for the height, L for the length, G for the weight and B for the width of the mail item.
  • the amount of the negative tolerance is added to the measured value measured in order to obtain adapted measured values H ', L', G 'and B 1 .
  • the amount of the positive tolerance is subtracted from the measured value measured to obtain adjusted measured values H ", L", G "and B".
  • the arithmetic unit 50 compares the adapted measured values with the value ranges of a reference list. If a product or a product class is determined in whose value range all adjusted measured values lie, the assigned postage amount is added to a result list. If this result list contains several postage amounts, the smallest amount is determined and determined as the postage amount to be applied to the mail piece. If the result list contains only one entry, the relevant postage amount is determined as the postage amount to be applied. With the postage amount thus determined, a franking mark is generated in a franking unit 60 and printed on the mailpiece 20. As a franking unit, any known from the prior art franking units are used, for example, imprint a postage indicium in the form of a matrix code on a mailpiece.
  • Fig. 3 shows a schematic representation of custody and non-custody components for operating the consignment station according to the invention.
  • Hardware components such as a scale 30 and the dimension measuring devices 40 are preferably connected via standardized interfaces to the arithmetic unit 50 of the delivery station, so that they can be exchanged.
  • the automatic consignment-taking process within a consignment post determines the format of the consignments and their weight by means of measuring equipment and, on the basis of the results of these measurements, automatically determines the price of the consignment fee
  • the calibration extends not only to the measured values themselves but also to the data processing that determines the transmission format from the measured values.
  • the verification confirms the correctness of the measurement and the fee determination by a calibration official.
  • the primary purpose of the measurement of a consignment is to determine the consignment format and weight, as these form the basis for the product determination and thus the fee determination.
  • the program format is determined by means of a software of the arithmetic unit 50 from the entirety of the measurement results and their tolerance parameters. This part of the software is also subject to the
  • the customer must be able to understand the charge determination so that the measurement results are displayed to him.
  • the display of the measurement results is also subject to the calibration process, as this should not be manipulated. If an output of individual measurements, for example on a receipt or a screen, is not required by the approval authority, it is possible to store the basic data of the format determination in a measured value memory 55 for possible subsequent inspection. This
  • Measured value memory like the measured values themselves, must be protected against manipulation, so that it is preferably a disposable memory that can only be read by reading.
  • the software component which forms the interface to the measured value memory 55, and the disposable memory itself, are protected against manipulation.
  • the measured value memory 55 can be created, for example, in a database of the arithmetic unit 50 and access to the measured value memory is made only via a predetermined interface, which can be done on stored data only a read access.
  • the stored data can be stored as binary database files on a hard disk.
  • a manipulation of the database files can be excluded by security mechanisms of the database itself, if manipulated database files are identified as corrupt by the database and can no longer be activated.
  • a deletion of the database files can be timed within the database schema itself. So there is no deletion function from the outside.
  • the storage duration of data records can be stored, for example, by the calibration official in the measured value memory itself and thus controlled at any time.
  • the overall system of measuring devices 30 and 40, measurement data transmission to the format-determining software of the arithmetic unit 50, the format determination of the arithmetic unit 50, the measured value memory 55 and an indication of the measurement results on a display 80 are usually signed and sealed on site by a calibration officer.
  • a product and price list 93 which shows the postage to be paid for a determined product category, is not subject to custody. This can therefore be changed by the operator of the consignment station, without a renewed calibration must be performed. If this results in new format categories, however, these are to be stored in the measured value memory 55.
  • the software of the arithmetic unit 50 must be protected in particular against deliberate changes by means of common software tools.
  • the interfaces between software subject to legal custody and software that is not subject to custody transfer must be free of feedback, ie the interfaces prevent the entry of impermissible data, parameters and commands. Measuring devices, for example, must not be influenced inappropriately if their feedback-free interfaces are exposed to external voltages. Furthermore, the interface gives the
  • Approval authority attached signature of the calibration-relevant software modules and sealed the whole by signing with its own key.
  • the actual calibration takes place with calibration measures, whereby the correctness of the data measured by the measuring devices and the measured data corrected by the tolerance values takes place.
  • Measuring devices such as the scale 30 and the dimension measuring devices 40 are subject to the calibration process and are usually sealed with a calibration seal 32. Also, the transport path of measurement data from the measuring devices to a measured value software of the computing unit 50 must be sealed. Such seals are an example of a physical seal in the sense of this invention Scale 30 and the dimension measuring instruments 40 are thus calibrated and then physically sealed.
  • the programs are transported, for example, in the automatic feeder occasionally through the measuring chain, and the individual measuring devices automatically take their measured value, sign it and send it via an interface 51 to a measuring module 52 of the arithmetic unit 50.
  • the interface 52 is preferably a serial interface, and each meter has a corresponding hardware driver 53 and 54.
  • the measuring devices are also connected to the arithmetic unit 50 via physically sealed data cables 70 and 71.
  • the measured values themselves can be reported independently by the measuring devices to the measuring module 52 by means of events. An event can either be the reporting of a new measurement result or the reporting of an error that has occurred.
  • the data can be exchanged over the interface in XML format. It should be noted that measurement data can be retrieved but not manipulated.
  • the measuring instruments sign their measurement data records.
  • One possible form of the signature is the formation of a hash value or scatter value over the supplied data record.
  • cryptographic hash functions such as MD5, SHA-1 or RIPEMD-160 can be used.
  • the use of a certificate or an encryption of the data can additionally be carried out.
  • the calibration official must usually be given the opportunity to check the integrity of the signature of each individual measured value in the measured value memory. Depending on the signature used, he must be given access to a public key.
  • RSA may be used in various signatures within the scope of the invention.
  • Asymmetric methods are also referred to as public-key methods. In these methods, the user has two keys, a public key and a secret key. Both keys fulfill certain tasks.
  • the public key is made public. Any other user can use this key to send to the owner a message that has been created by clear text encryption.
  • the secret key is kept secret by the owner. It is used to decrypt encrypted messages sent to it.
  • signing a message or a binary file means that, according to a known method, a message or binary checksum is computed and then encrypted with the private key of an asymmetric key pair. If it should now be determined whether the present message or binary file is unchanged at the time of signing, this can be determined with the public key of the asymmetric key pair. To do this, the checksum algorithm is used, the encrypted checksum is decrypted with the public key, and the values are compared.
  • a public key with the identity of a third person can be created. Certificates can be used.
  • a certificate is a kind of proof of authenticity for a public key, whereby a certificate consists of the public key of the holder of the certificate, an identity characteristic of the holder of the certificate, the name of the issuer of the certificate and a digital key of the issuer of the certificate.
  • the signing of a measured value can take place in the physical measuring device itself, if, for example, a key is stored in the EPROM of the measuring device.
  • the signing can also take place in the interface of the respective measuring device. In this case, the interface is subject to calibration and the software must also be signed.
  • the structure of the measuring module 52 and its interaction with other components is shown in FIG.
  • the software components for measuring data acquisition and evaluation are available, for example, as Java archive files (jar files).
  • the jar files can be provided with a signature, the signature being stored in the jar file itself. This signature is generated using a private key and can be verified using a public key.
  • the required key pair consisting of private and public
  • TPM Trusted Platform Module
  • the TPM is a chip that is permanently installed in the arithmetic unit 50. He is comparable to a smartcard soldered to the motherboard. The chip is passive and can not be directly influenced.
  • a TPM chip is thus able to safely store or execute secret data, certificates, keys and cryptographic operations in a protected hardware environment.
  • the TPM chip contains a hardware number generator and can encrypt, decrypt and sign data.
  • the TPM chip can generate 2048-bit RSA keys directly on the chip.
  • the nonvolatile TPM memory has multiple keys, and the volatile area accommodates multiple temporary RSA keys, 16 or 24 Platform Configuration Registers that capture hashes of hardware and software configurations, and two types of phones. As each TPM chip is unique and can not be exchanged, the software signed with it is bound to the respective consignment station.
  • any manipulation of a signed Jar file results in a non-valid signature, which can be determined at any time by a check. Without the private key a renewed signature is not possible.
  • the private key lies inside the TPM chip and is never visible to the outside. Only functions for using the private key are available. Access to the private key in the TPM chip can be password protected by the calibration officer.
  • the correction module 90 for tolerance correction of the measured values is subject to the calibration process.
  • the valid tolerance values lie within the saved measured value memory 55 and are retrieved from the correction module 90 therefrom.
  • the calibration official previously signed these tolerance values during calibration with his private key.
  • the tolerance values including the signature are stored in the measured value memory 55.
  • the calibration official can use his public key to verify the tolerance values.
  • the recorded measured values are corrected by the correction module 90 by the retrieved tolerance values from the one-way memory 55, as indicated in step 2) in FIG. 2.
  • the tolerance correction algorithm is preferably as follows:
  • Both the original measurement data and the corrected measured values are forwarded to the measured value memory 55 in the data packet for later storage.
  • the complete measurement data set is signed by the measurement module 52 so that stored values can no longer be manipulated at the system level. This can also be done via a hash value over the complete record.
  • the measuring module 52 further comprises a module 91 for format determination, wherein this format module 91 is also subject to the calibration process.
  • the format module accesses format categories that are also stored in the measured value memory 55. Although the valid format categories are part of the non-legal file 93 with the price and product list (PPL), they are also stored in the saved measured value memory 55.
  • the format categories are for example signed in the backend and delivered to the machine 10. There, the format categories after successful verification of the signature by the front-end software in the measured value memory 55 of the arithmetic unit 50 are imported. The format categories are retrieved from the memory module 55 from the format module 91, and the format determination module compares the corrected measurement values of the program with these stored format category limits. The format module 91 determines from this the format category of the program to be used, as indicated in step 3) in FIG. 2.
  • the corresponding product from the valid price and product list 93 is selected with the additional information provided by the customer (including ordered quality of service, additional services, etc.), as indicated in step 2 in FIG. 2 .
  • This price and product determination is not subject to the calibration process, since, apart from the format category, no measured values are used, but information or wishes of the customer.
  • the determined product and its price are preferably recorded to the measured values of the transmission in the measured value memory 55. For this reason, the product identification with the measured values is forwarded to a calibration-relevant memory module 92 of the measuring module 52.
  • This memory module 92 is used to store the complete measurement data record.
  • the module 92 is also subject to the calibration process. After completion of the data set by the information from the product and price determination of the complete data set is signed to exclude subsequent changes, and then stored in the measured value memory 55. This process is indicated in FIG. 2 as step 5).
  • the measuring device itself which one - -
  • Measured value has generated, it is preferably identifiable by a unique identification number. For example, a SHA1 checksum per measured value and ID number can be formed for each dimension for a measurement. After the correction of the measured values by the tolerances, a SHA1 hash value is formed via the aggregated data record, which also contains the determined format category and the product ID. This hash value and the SHA1 hash value for all software modules relevant to eich are linked to one another, for example, via an XOR connection. Both the hash value over the data record and the hash value formed via the XOR connection can be verified.
  • the postage fee determined by the measuring module 52 as a result of said steps is sent as a print job to a franking module 60 in order to frank the mail item 20 accordingly with a postage indicium. This is shown as step 6) in FIG. If the measurement module 52 determines that a shipment 20 is not a valid product or the shipment can not be further processed, the shipment will be ejected and the captured measurements may be discarded. In this case, the measured values do not have to be stored in the measured value memory 55 since the customer will not be charged for any services.
  • the system preferably offers the customer the option of retrospectively reading the measured values of his shipments.
  • a menu item is offered to the customer, for example, on a control unit 13 on a screen, which allows him within a fixed period of time (eg 90 days) the stored measurements after specifying the date, the billing number on the receipt of the customer or the shipment number to view a single shipment.
  • This display of the measured values on a display 80 is likewise subject to the calibration process, since manipulation of the data between measured value memory and display 80 must be precluded.
  • the mask to be displayed is therefore also created and signed by the measuring module 52.
  • a root CA authenticated by the machine can be created, which also uses the storage root key of the Trusted Platform Module (TPM chip).
  • the TPM chip contains a unique identifier such as an endorsement key in the form of a 2048-bit RSA key pair that the manufacturer writes to the chip.
  • the TPM chip can thus serve to identify the processing unit and the software thereon.
  • the arithmetic unit 50 with the associated software is thus protected from being transferred to another consignment station.
  • the software is thus tied to a specific consignment station and hardware.
  • the invention can be used to play it on a USB memory stick 11 connected to the PC, which mechanically follows the signing by the calibration officer a write-protect switch is set to read-only mode and sealed by the calibration official with seals.
  • a hard disk with a mechanical write-protection switch can also be used for this purpose.

Abstract

The invention relates to a device for processing measured values, comprising at least one mechanically sealed measuring device (10; 30; 40) and at least one signed software component (52) for processing the measured values of the measuring device (10; 30; 40), the mechanically sealed measuring device (10; 30; 40) being connected to an arithmetic unit (50). The device is characterized in that the signed software component (52) is saved on a storage medium (11) which has a write protect switch that is mechanically sealed. The storage medium (11) is connected to the arithmetic unit (50).

Description

Vorrichtung und Verfahren zur Verarbeitung von Messwerten; Verwendung eines Speichermediums zur Sicherung von signierten Softwarekomponenten Apparatus and method for processing measured values; Use of a storage medium to secure signed software components
Beschreibung:Description:
Die Erfindung betrifft eine Vorrichtung zur Verarbeitung von Messwerten, die wenigstens ein mechanisch versiegeltes Messgerät und wenigstens eine signierte Softwarekomponente zur Verarbeitung der Messwerte des Messgerätes umfasst, wobei das mechanisch versiegelte Messgerät an eine Recheneinheit der Vorrichtung angeschlossen ist.The invention relates to a device for processing measured values which comprises at least one mechanically sealed measuring device and at least one signed software component for processing the measured values of the measuring device, wherein the mechanically sealed measuring device is connected to a computing unit of the device.
Die Erfindung betrifft ferner ein Verfahren zur Sicherung von signierten Softwarekomponenten für eine solche Vorrichtung und die Verwendung eines Speichermediums mit einem Schreibschutzschalter zur Sicherung von signierten Softwarekomponenten einer solchen Vorrichtung.The invention further relates to a method for securing signed software components for such a device and the use of a storage medium with a write-protect switch for securing signed software components of such a device.
Für Messgeräte wie beispielsweise Waagen, Tankzapfsäulen, etc. besteht die Notwendigkeit, diese gemäß nationaler Eichgesetze eichen zu lassen, um eichpflichtige Messungen damit durchführen zu können. Die Eichung setzt in den meisten Fällen eine Bauartzulassung voraus, das heißt ein typisches Exemplar des betreffenden Messgerätes muss von der zuständigen Behörde zugelassen werden. In der Bundesrepublik Deutschland ist die dafür zuständige Behörde beispielsweise die Physikalisch Technische Bundesanstalt (PTB).For measuring devices such as scales, fuel dispensers, etc., there is a need to have them calibrated according to national calibration laws in order to be able to carry out custody transfer measurements. The verification requires in most cases a type approval, ie a typical copy of the measuring instrument concerned must be approved by the competent authority. In the Federal Republic of Germany, for example, the responsible authority is the Physikalisch Technische Bundesanstalt (PTB).
Die Behörde prüft üblicherweise die Zulassungsunterlagen und ein Mustergerät nach den Vorschriften der jeweiligen Eichordnung. Wesentliche Aspekte sind hierbei die Messrichtigkeit und Messbeständigkeit. Es müssen insbesondere die geltenden Anforderungen und Fehlergrenzen eingehalten werden. Die Zulassungsprüfung beinhaltet messtechnische, technische und administrative Prüfungen. Bei den technischen Prüfungen, zu denen auch Softwareprüfungen gehören, wird untersucht, ob die Bedien-, Anzeige- und Abdruckfunktionen den Anforderungen genügen und das Gerät ausreichend gegen Bedienungsfehler und Manipulationen geschützt ist. Da Einlieferungsstationen für Postsendungen üblicherweise computergesteuert sind, ist somit eine Eichung von Softwarekomponenten erforderlich.The authority usually checks the registration documents and a sample device according to the regulations of the respective calibration regulations. Essential aspects here are the measuring accuracy and measuring stability. In particular, the applicable requirements and error limits must be adhered to. The admission test includes metrological, technical and administrative examinations. The technical examinations, which include software examinations, will be examined whether the operating, display and impression functions meet the requirements and the device is sufficiently protected against operating errors and manipulation. Since post office consignments are usually computer controlled, calibration of software components is thus required.
War die Zulassungsprüfung erfolgreich, erhält der Antragsteller von der zuständigen Behörde einen Zulassungsschein und ein Zulassungszeichen, das auf allen Messgeräten an sichtbarer Stelle aufgebracht werden muss. Es gibt innerstaatliche und europäische Zulassungen, wobei man bei den europäischen Zulassungen herkömmliche EWG-Zulassungen und EG-Bauartzulassungen unterscheidet. Hat die Geräte-Bauart eine Zulassung erhalten, so muss anschließend jedes einzelne Gerät von der zuständigen Eichbehörde geeicht werden, bevor es beispielsweise im geschäftlichen Verkehr eingesetzt werden darf.If the approval test was successful, the applicant will receive from the competent authority a registration certificate and a registration mark which must be displayed on all measuring instruments in a visible place. There are national and European approvals, with European approvals differentiating between conventional EEC and EC type-approvals. If the device type has been approved, then each individual device must then be calibrated by the responsible calibration authority before it may be used, for example, in business transactions.
Es besteht die Möglichkeit, alle Komponenten einer zu eichenden Messanlage und die Software in ihrer Gesamtheit prüfen und eichen zu lassen. Dies hat jedoch den Nachteil, dass Änderungen an der Vorrichtung und/oder der Software mit einer erneuten Prüfung durch eine Zulassungsbehörde verbunden sind. Eine Veränderung des der Software zugrunde liegenden Betriebsystems oder sonstiger nicht eichrelevanter Parameter kann daher in diesem Fall nicht von einem Administrator durchgeführt werden. Da eine Messanlage Komponenten im Hardware- und Softwarebereich umfassen kann, die nicht eichpflichtig sind, besteht jedoch die Möglichkeit, eichpflichtige von nicht-eichpflichtigen Komponenten zu trennen. Dadurch können die nicht-eichpflichtigen Komponenten frei verändert werden, ohne dass eine erneute Zulassung oder Eichung der gesamten Anordnung erforderlich ist.It is possible to check and calibrate all the components of a measuring system to be calibrated and the software as a whole. However, this has the disadvantage that changes to the device and / or the software are associated with a re-examination by an approval authority. A change in the operating system underlying the software or other non-calibration-relevant parameters can therefore not be performed by an administrator in this case. However, as a measuring system may include hardware and software components that are not subject to custody, it is possible to separate custody transferable components from non-custody components. This allows the non-legal components to be freely modified without the need for re-approval or calibration of the entire assembly.
Aus der deutschen Offenlegungsschrift DE 195 27 293 A1 ist dazu beispielsweise ein Verfahren und eine Vorrichtung zur sicheren Messung und Verarbeitung von Messdaten im Bereich der Abgasuntersuchung bekannt. Damit ein Computer, der an ein Messmodul angeschlossen ist, nicht zusammen mit dem Messmodul geeicht werden muss, was zu einer Einschränkung des zunächst offenen PC-Systems führen würde, schlägt die Druckschrift vor, dass Messwerte über eine geeignete Schnittstelle zu einem PC übertragen werden. Der PC muss dabei nicht geeicht werden, sondern kann auch für andere Anwendungen zur freien Verfügung stehen.German patent application DE 195 27 293 A1 discloses, for example, a method and a device for reliable measurement and processing of measured data in the field of exhaust gas analysis. In order for a computer connected to a measuring module not to have to be calibrated together with the measuring module, which would lead to a restriction of the initially open PC system, the document suggests that measured values should be transmitted via a suitable PC Interface to a PC. The PC does not have to be calibrated, but can also be used freely for other applications.
Die genannte deutsche Offenlegungsschrift DE 195 27 293 A1 erwähnt ferner die auf diesem Gebiet gängige Lösung, eichpflichtige Messprogramme auf dem EPROM eines Computers zu hinterlegen, wo sie vor Manipulation geschützt sind. Das EPROM ist jedoch fest eingebaut und in ihm können nur Daten versiegelt werden, die bei Einbau in dem EPROM hinterlegt wurden. Danach können keine Veränderungen mehr vorgenommen werden. Bei einigen Messanlagen ist es jedoch erforderlich, dass ein Eichbeamter die eichpflichtige Software der Anlage vor Ort prüft, zusätzlich eigene Schlüssel, Signaturen und/oder Zertifikate hinterlegt und die gesamte Anlage erst danach gegen nachfolgende Manipulationen geschützt wird. Dies ist jedoch mit einem fest eingebauten EPROM nicht möglich, da sein Inhalt auch von einem Eichbeamten nicht verändert bzw. ergänzt werden kann.The aforementioned German patent application DE 195 27 293 A1 also mentions the solution that is common in this field of depositing custody transferable measuring programs on the EPROM of a computer, where they are protected against manipulation. However, the EPROM is permanently installed and can only seal data stored in the EPROM when installed. After that, no changes can be made. For some measuring systems, however, it is necessary for a calibration official to check the installation's custody transfer software on site, additionally deposit their own keys, signatures and / or certificates and only then protect the entire system against subsequent manipulation. However, this is not possible with a permanently installed EPROM, since its contents can not be changed or supplemented by a calibration official.
Auf dem Gebiet der Freimachung von Postsendungen ist es beispielsweise bekannt, Einlieferungsstationen für Postsendungen zu verwenden, in welche Kunden größere Mengen unfrankierter Postsendungen einliefern können, wobei die Vorrichtung die Sendungen automatisch frankiert. Dabei setzt eine derartige Vorrichtung ein Verfahren zur automatischen Ermittlung eines für eine Sendung erforderlichen Portobetrages voraus. Eine solche Einlieferungsstation für Briefsendungen ist beispielsweise aus der deutschen Offenlegungsschrift DE 10 2005 006 005 A1 bekannt und wird im öffentlichen Raum aufgestellt. Eine solche Vorrichtung muss ebenfalls zugelassen und vor Ort geeicht werden.In the field of postage clearance, it is known, for example, to use post office consignment terminals into which customers can deliver large quantities of unfranked mail, the device automatically franking the mailpieces. In this case, such a device requires a method for the automatic determination of a postage amount required for a shipment. Such a mailing station is known for example from German patent application DE 10 2005 006 005 A1 and is placed in public space. Such a device must also be approved and calibrated on site.
Eine Einlieferungs- und Frankierstation für Postsendungen umfasst üblicherweise Hardwarekomponenten wie Messgeräte und eine Software in Verbindung mit einer Rechercheneinheit, welche die Anlage steuert und das Entgelt für eine Postsendung bestimmt. Eichpflichtige Hardwarekomponenten können physikalisch mit Siegeln verplombt werden, während eichpflichtige Softwarekomponenten anderweitig gegen Manipulation geschützt werden müssen. Bekannte Vorgehensweisen eignen sich jedoch aufgrund der genannten Nachteile nicht dazu, eine eichpflichtige und computerbetriebene Vorrichtung so auszubilden, dass ein Eichbeamter vor Ort eine eichpflichtige Software prüfen und ergänzen kann, bevor sie manipulationssicher hinterlegt wird. Aufgabe der Erfindung ist es daher, ein Verfahren und eine zugehörige Vorrichtung bereitzustellen, welche diese Anforderungen erfüllt.A mailing-in and franking station usually comprises hardware components such as measuring devices and software in conjunction with a search unit which controls the installation and determines the charge for a mailpiece. Sealable hardware components can be physically sealed with seals, while software components subject to calibration must be otherwise protected against manipulation. Known approaches, however, are not suitable due to the disadvantages mentioned, a custodial and computer-operated device in such a way that a calibration officer on-site check and complement a software requiring custody before it is stored tamper-proof. The object of the invention is therefore to provide a method and an associated device which meets these requirements.
Erfindungsgemäß wird diese Aufgabe durch eine Vorrichtung mit den Merkmalen des unabhängigen Anspruches 1 gelöst. Vorteilhafte Weiterbildungen der Vorrichtung ergeben sich aus den Unteransprüchen 2-6. Die Aufgabe wird ferner durch einAccording to the invention, this object is achieved by a device having the features of independent claim 1. Advantageous developments of the device will become apparent from the dependent claims 2-6. The task is further by a
Verfahren nach Anspruch 7 gelöst. Vorteilhafte Ausführungsformen des Verfahrens ergeben sich aus den Unteransprüchen 8 und 9. Ferner wird die Aufgabe durch die Verwendung eines Speichermediums gemäß der Ansprüche 10 und 11 gelöst.A method according to claim 7 solved. Advantageous embodiments of the method will become apparent from the dependent claims 8 and 9. Further, the object is achieved by the use of a storage medium according to the claims 10 and 11.
Die erfindungsgemäße Vorrichtung zur Verarbeitung von Messwerten umfasst wenigstens ein mechanisch versiegeltes Messgerät und wenigstens eine signierte Softwarekomponente zur Verarbeitung der Messwerte des Messgerätes. Dabei ist das mechanisch versiegelte Messgerät an eine Recheneinheit der Vorrichtung angeschlossen. Die signierte Softwarekomponente ist auf einem Speichermedium hinterlegt, das einen Schreibschutzschalter aufweist, der mechanisch versiegelt ist..The inventive device for processing measured values comprises at least one mechanically sealed measuring device and at least one signed software component for processing the measured values of the measuring device. In this case, the mechanically sealed measuring device is connected to a computing unit of the device. The signed software component is stored on a storage medium that has a write-protect switch that is mechanically sealed.
Bei dem Speichermedium kann es sich beispielsweise um einen USB-Stick oder eine Festplatte mit Schreibschutzschalter handeln.The storage medium may be, for example, a USB stick or a hard disk with a write-protect switch.
Das Speichermedium ist ferner an die Recheneinheit angeschlossen, und dieThe storage medium is further connected to the computing unit, and the
Verbindung zwischen dem Speichermedium und der Recheneinheit ist vorzugsweise ebenfalls mechanisch versiegelt. Die Softwarekomponenten können beispielsweise durch ein asymmetrisches Verschlüsselungsverfahren signiert sein.Connection between the storage medium and the arithmetic unit is preferably also mechanically sealed. The software components may for example be signed by an asymmetric encryption method.
In einem bevorzugten Ausführungsbeispiel der Erfindung ist die Vorrichtung eine Einlieferungsstation zum Frankieren von Postsendungen, die wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung, wenigstens ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung, eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung und eine Frankiereinheit zur Aufbringung eines Frankiervermerks auf die Postsendung umfasst. Die Waage und das Dimensionsmessgerät sind jeweils physikalisch versiegelt und stehen über ebenfalls physikalisch versiegelte Datenkabel inIn a preferred exemplary embodiment of the invention, the device is a delivery station for franking mailpieces which comprise at least one balance for determining the weight of a mailpiece, at least one Dimension measuring device for determining the dimensions of a mail piece, a computing unit for determining the postage fee for a mailpiece and a franking unit for applying a postage indicium on the mail item comprises. The scale and the dimension measuring device are each physically sealed and are connected via physically sealed data cables
Verbindung mit einer seriellen Schnittstelle der Recheneinheit. Ferner weisen die Waage und das Dimensionsgerät oder eine jeweils zugehörige Schnittstelle Mittel zum Signieren von Messwerten auf. Messtoleranzen der Waage und des Dimensionsmessgerätes sowie Formatkategorien für Postsendungen sind in einem signierten Einwegspeicher hinterlegt, auf dessen Daten ein signiertes Messmodul der Recheneinheit ausschließlich lesenden Zugriff hat, wobei das Messmodul Mittel zum Empfangen von Messwerten von der Waage und dem Dimensionsmessgerät über die serielle Schnittstelle umfasst. Ein Korrekturmodul des Messmoduls umfasst Mittel zum Addieren und Subtrahieren der jeweiligen Messtoleranzen der Waage und des Dimensionsmessgerätes zu den empfangenen Messwerten, um so korrigierteConnection to a serial interface of the processing unit. Furthermore, the scale and the dimension device or a respectively associated interface have means for signing measured values. Measuring tolerances of the scale and the dimension measuring device as well as format categories for postal items are stored in a signed disposable memory, on the data of which a signed measuring module of the arithmetic unit exclusively has read access, wherein the measuring module comprises means for receiving measured values from the balance and the dimension measuring device via the serial interface. A correction module of the measuring module comprises means for adding and subtracting the respective measuring tolerances of the scale and the dimension measuring device to the received measured values, thus corrected
Messwerte zu erzeugen. Das Messmodul umfasst ferner ein Formatmodul, das Mittel zur Bestimmung der Formatkategorie einer Postsendung aus den korrigierten Dimensionsmesswerten und den Formatkategorien im Einwegspeicher umfasst. Darüber hinaus weist das Messmodul Mittel zur Bestimmung der Produktkategorie einer Postsendung aus dem korrigierten Gewichtsmesswert der Postsendung und der vom Formatmodul ermittelten Formatkategorie der Postsendung auf, und das Messmodul hat ferner Zugriff auf eine Datei, die eine Zuordnung zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, so dass ein daraus ermitteltes Portoentgelt für eine Postsendung von dem Messmodul einer Frankiereinheit zuführbar ist. Das Messmodul umfasst ferner Mittel zum Signieren von Datensätzen, bestehend wenigstens aus Messwerten der Waage und des Dimensionsmessgerätes, den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung, und das Messmodul weist ein Speichermodul zur Speicherung eines signierten Datensatzes im signierten Einwegspeicher auf. Das Messmodul ist dabei erfindungsgemäß auf einem Speichermedium mit einem Schreibschutzschalter hinterlegt. Von der Erfindung umfasst ist ferner ein Verfahren zur Sicherung von signierten Softwarekomponenten für eine Vorrichtung zur Verarbeitung von Messwerten von wenigstens einem Messgerät, bei dem Softwarekomponenten signiert werden und ein Speichermedium, das einen Schreibschutzschalter aufweist, mit einer Recheneinheit der Vorrichtung verbunden wird. Die signierten Softwarekomponenten werden auf dem Speichermedium hinterlegt und der Schreibschutzschalter des Speichermediums aktiviert. Daraufhin erfolgen eine mechanische Versiegelung des Schreibschutzschalters des Speichermediums und eine ebenfalls mechanische Versiegelung der Verbindung zwischen dem Speichermedium und der Recheneinheit.Generate measured values. The measurement module further comprises a format module comprising means for determining the format category of a mailpiece from the corrected dimension measurements and the format categories in the disposable memory. Furthermore, the measuring module has means for determining the product category of a mail item from the corrected weight reading of the mail piece and the format category of the mail piece determined by the format module, and the measuring module also has access to a file which contains an association between product categories of mailpieces and postage charges that a postage fee determined therefrom for a mail item can be supplied by the measuring module to a franking unit. The measuring module further comprises means for signing data records, comprising at least measurement values of the scale and the dimension measuring device, the associated corrected measured values and the determined product category of a mailpiece, and the measuring module has a memory module for storing a signed data record in the signed disposable memory. The measuring module is stored according to the invention on a storage medium with a write-protect switch. The invention further includes a method for securing signed software components for a device for processing measured values of at least one measuring device, in which software components are signed and a storage medium having a write-protection switch is connected to a computing unit of the device. The signed software components are stored on the storage medium and the write protection switch of the storage medium is activated. This is followed by a mechanical sealing of the write-protect switch of the storage medium and also a mechanical sealing of the connection between the storage medium and the arithmetic unit.
Vorzugsweise werden die signierten Softwarekomponenten von der Recheneinheit der Vorrichtung auf das Speichermedium übertragen, und die Recheneinheit greift beim Betrieb der Vorrichtung auf die signierten Softwarekomponenten auf dem versiegelten Speichermedium zu.Preferably, the signed software components are transferred from the computing unit of the device to the storage medium, and the computing unit accesses the signed software components on the sealed storage medium during operation of the device.
Von der Erfindung umfasst ist ferner die Verwendung eines bekannten Speichermediums mit einem Schreibschutzschalter, bei der das Speichermedium an die Recheneinheit einer Vorrichtung zur Verarbeitung der Messwerte von wenigstens einem mechanisch versiegelten Messgerät angeschlossen ist. Auf dem Speichermedium sind signierte Softwarekomponenten hinterlegt, wobei der Schreibschutzschalter des Speichermediums aktiviert und mechanisch versiegelt ist.The invention also includes the use of a known storage medium with a write-protect switch, in which the storage medium is connected to the arithmetic unit of a device for processing the measured values of at least one mechanically sealed measuring device. Signed software components are stored on the storage medium, whereby the write protection switch of the storage medium is activated and mechanically sealed.
Besonders vorteilhaft ist diese Verwendung eines Speichermediums für die beschriebene Einlieferungsstation zur Verarbeitung und Frankierung von Postsendungen.This use of a storage medium for the described delivery station for processing and franking mailpieces is particularly advantageous.
Die Erfindung bringt den Vorteil mit sich, dass eichpflichtige und von einem Eichbeamten signierte Softwarekomponenten auf einem Speichermedium hinterlegt werden können, wobei der Eichbeamte die Signierung vornehmen kann, bevor das Speichermedium mit der Recheneinheit einer Messvorrichtung verbunden wird. Der Eichbeamte kann so vor Ort Prüfungen und Signierungen durchführen, was mit fest eingebauten und versiegelten Speichermedien wie EPROMS nicht möglich ist. Durch die Aktivierung eines Schreibschutzes und die mechanische Versiegelung des Schreibschutzschalters kann der Speicher auf einfache aber wirksame Weise gegen unbemerkte Manipulationen geschützt werden. Diese neue Vorgehensweise bringt für viele Messanlagen Vorteile mit sich und stellt dabei eine von den Behörden zugelassene Art des Schutzes dar.The invention has the advantage that software components that are subject to calibration and signed by a calibration official can be stored on a storage medium, with the calibration official being able to sign before the storage medium is connected to the computing unit of a measuring device. The calibration officer can thus carry out on-site tests and signings, what with fixed built-in and sealed storage media such as EPROMS is not possible. By activating a write protection and the mechanical seal of the write-protect switch, the memory can be protected in a simple but effective manner against unnoticed manipulations. This new approach has advantages for many measuring systems and represents a type of protection approved by the authorities.
Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele anhand der Abbildungen.Further advantages, features and expedient developments of the invention will become apparent from the following description of preferred embodiments with reference to the drawings.
Von den Abbildungen zeigt:From the pictures shows:
Fig. 1 eine schematische Darstellung der Erfindung;Fig. 1 is a schematic representation of the invention;
Fig. 2 die Verfahrensabläufe in einer Einlieferungsstation zur Verarbeitung und Frankierung von Postsendungen; und2 shows the procedures in a consignment station for processing and franking mailpieces; and
Fig. 3 die Anordnung von eichpflichtigen und nicht-eichpflichtigen Komponenten bei den Verfahrensabläufen gemäß Fig. 2.3 shows the arrangement of custody and non-legal components in the process sequences of FIG. 2.
In Fig. 1 ist die Erfindung schematisch dargestellt. Die Erfindung sieht eine Vorrichtung zur Bestimmung und Verarbeitung von Messwerten vor, die wenigstens ein eichpflichtiges Messgerät 10 und wenigstens eine eichpflichtige Softwarekomponente zur Verarbeitung der Messwerte umfasst. Ein Messgerät kann beispielsweise ein Gewicht, die Menge oder die Abmessungen eines Gegenstands oder Mediums ermitteln. Waagen ermitteln das Gewicht einer Ware, während beispielsweise eine Benzinzapfsäule den Durchfluss eines Treibstoffs ermittelt. Beide Arten von Messanlagen müssen zugelassen und von Eichbeamten signiert werden. Dabei kann ein zugehöriges Messgerät auf übliche Weise geeicht und signiert werden, indem beispielsweise ein physikalisches Siegel in Form einer Verplombung 12 angebracht wird. Das Messgerät kann nicht manipuliert werden, ohne die Verplombung aufzubrechen, so dass eine Manipulation eindeutig festgestellt werden kann.In Fig. 1, the invention is shown schematically. The invention provides a device for determining and processing measured values, which comprises at least one measuring device 10 subject to calibration and at least one software component subject to calibration for processing the measured values. For example, a meter may determine a weight, the amount or dimensions of an item or medium. Scales determine the weight of a commodity, while, for example, a gasoline pump determines the flow of a fuel. Both types of measuring equipment must be approved and signed by calibration officers. In this case, an associated measuring device can be calibrated and signed in the usual way, for example, by a physical seal in the form of a seal 12 is attached. The meter can not be manipulated without the Break open the seal, so that a manipulation can be clearly detected.
Das Messgerät 10 ist zur Verarbeitung von Messdaten an eine Recheneinheit 50 angeschlossen. Ein Datenkabel 70 von dem Messgerät 10 zur Recheneinheit 50 ist vorzugsweise ebenfalls physikalisch versiegelt, so dass Manipulationen an dieser Verbindung feststellbar sind. Bei der Recheneinheit 50 kann es sich beispielsweise um einen PC mit einem Prozessor, einem Speicher, mehreren Festplatten und Wechselmedien handeln. Der PC verfügt ferner über einen Netzwerkanschluss beispielsweise in Form von Fast Ethernet.The measuring device 10 is connected to a computing unit 50 for processing measured data. A data cable 70 from the measuring device 10 to the computing unit 50 is preferably also physically sealed, so that manipulations can be detected at this connection. The computing unit 50 may be, for example, a PC having a processor, a memory, a plurality of hard disks and removable media. The PC also has a network connection, for example in the form of Fast Ethernet.
Auf der Recheneinheit 50 befinden sich nicht-eichpflichtige Softwarekomponenten für die Verarbeitung der Messwerte. Teile der Software zur Verarbeitung der Messwerte unterliegen jedoch der Eichung, damit beispielsweise die Berechnung von Entgelten, die von einem Kunden für eine Ware oder Leistung zu zahlen sind, nicht zu Gunsten oder zum Schaden des Kunden manipuliert werden kann. Zweckmäßigerweise werden für eine solche Software Verschlüsselungsmechanismen eingesetzt, mit denen Messwerte und die Software selbst signiert werden. Dazu bringt der Eichbeamte üblicherweise einen privaten Schlüssel in das System ein, ohne den Daten nicht verändert werden können.On the computing unit 50 are non-legal software components for the processing of the measured values. However, parts of the software for processing the measured values are subject to verification, so that, for example, the calculation of fees to be paid by a customer for a good or service can not be manipulated in favor of or to the detriment of the customer. Expediently, encryption mechanisms are used for such software, with which measured values and the software itself are signed. For this purpose, the calibration officer usually inserts a private key into the system without which the data can not be changed.
Die eichpflichtigen und daher signierten Softwarekomponenten befinden sich auf einem Speichermedium 11 , das an die Recheneinheit 50 angeschlossen ist. Das Speichermedium weist einen mechanischen Schreibschutzschalter auf, bei dessen Aktivierung der Nur-Lese-Modus des Speichermediums aktiviert werden kann. Als Speichermedium können beispielsweise ein USB-Speicherstift oder eine Festplatte mit Schreibschutzschalter verwendet werden. Ist der Schreibschutzschalter aktiviert, kann nur lesend Zugriff auf die Softwarekomponenten auf dem Speichermedium genommen werden. Ein schreibender Zugriff, also eine Veränderung der Daten, ist dagegen nicht möglich. Damit der Schreibschutzschalter nicht unbemerkt deaktiviert werden kann, ist er physikalisch versiegelt, das heißt verplombt. Beispielsweise kann Siegelmaterial den Schreibschutzschalter so umschließen, dass er nicht betätigt werden kann, ohne das Siegel zu brechen. Auch die Verbindung zwischen dem Speichermedium 11 und der Recheneinheit 50 ist physikalisch mit einer Plombe versiegelt.The custody and therefore signed software components are located on a storage medium 11 which is connected to the arithmetic unit 50. The storage medium has a mechanical write-protect switch, upon activation of which the read-only mode of the storage medium can be activated. As a storage medium, for example, a USB memory stick or a hard disk with write-protect switch can be used. If the write-protect switch is activated, only read access to the software components on the storage medium can be made. A writing access, ie a change of the data, is not possible. So that the write-protect switch can not be deactivated unnoticed, it is physically sealed, that is sealed. For example, sealant material may enclose the write-protect switch so that it is not actuated can be without breaking the seal. Also, the connection between the storage medium 11 and the arithmetic unit 50 is physically sealed with a seal.
Die eichpflichtige Software wird von einem Eichbeamten signiert und daraufhin auf das Speichermedium 11 überspielt. Der Schreibschutz wird aktiviert und das Speichermedium physikalisch versiegelt, so dass die geeichten Softwarekomponenten nicht mehr unbemerkt manipuliert werden können. Die Sicherung der eichpflichtigen Softwarekomponenten erfolgt somit durch eine softwareseitige Signierung und einen hardwareseitigen Schreibschutz. Können eichpflichtige Softwarekomponenten auf der Recheneinheit 50 realisiert werden, ohne dass eine Signierung durch einen Eichbeamten erforderlich ist, können sich auf der Recheneinheit 50 auch eichpflichtige Softwarekomponenten befinden. Dies ist beispielsweise für Messwertspeicher der Fall, die als Einwegspeicher mit nur lesendem Zugriff ausgebildet sind. Diese Einwegspeicher müssen nicht auf ein Speichermedium ausgelagert werden, sondern können als manipulationssicherer Speicher beispielsweise in einer Datenbank auf der Recheneinheit 50 ausgeführt sein.The custody transfer software is signed by a calibration official and then transferred to the storage medium 11. The write protection is activated and the storage medium physically sealed, so that the calibrated software components can no longer be manipulated unnoticed. The security of the custody transfer software components is thus ensured by a software-based signing and a hardware write protection. If software components requiring calibration can be realized on the arithmetic unit 50 without the need for signing by a calibration official, software components that are subject to calibration can also be located on the arithmetic unit 50. This is the case, for example, for measured value memories, which are designed as one-way memories with read-only access. These disposable memories do not have to be swapped out to a storage medium, but instead can be embodied as manipulation-proof storage, for example in a database on the arithmetic unit 50.
Anhand der Figuren 2 und 3 wird dargestellt, wie die Erfindung besonders vorteilhaft in einer Einlieferungsstation für die Verarbeitung und Frankierung von Postsendungen eingesetzt werden kann. Bei der Einlieferungsstation handelt es sich um einen Selbstbedienungsautomaten, an dem Kunden Postsendungen wie Briefoder Warensendungen anliefern können. Zu den Leistungen des Automaten zählt insbesondere die Frankierung von Postsendungen mit dem erforderlichenFIGS. 2 and 3 show how the invention can be used particularly advantageously in a mailing station for the processing and franking of mailpieces. The post office is a self-service machine where customers can deliver mailings such as mail or consignments. Among the services of the machine is in particular the franking of mail with the required
Portoentgelt. Der Automat ermittelt dabei vollautomatisch das Format einer Sendung, berechnet das korrekte Entgelt und druckt dieses als Frankiervermerk auf die Sendung auf. Dieser Vorgang unterliegt der Zulassung und Eichung durch eine zuständige Behörde, da bei der öffentlichen Aufstellung des Automaten sichergestellt werden muss, dass die Ermittlung von Portoentgelten nicht zu Gunsten oder zum Schaden von Kunden manipuliert wird. Eine Einlieferungsstation weist ein Annahmemittel zur Annahme von Postsendungen auf. Dabei handelt es sich vorzugsweise um einen Vereinzeier, welcher einen Stapel von Postsendungen einzeln in die Vorrichtung einzieht. Nach der Vereinzelung der Sendungen durchläuft eine Postsendung 20 die Vorrichtung mittels eines oder mehrerer Transportmittel. Die verschiedenen Messvorrichtungen ermitteln wenigstens das Gewicht und die Abmessungen der Sendung. Die Ermittlung der einzelnen Messwerte kann dabei nacheinander oder durch verschiedene Messeinrichtungen gleichzeitig erfolgen.Porto fee. The machine automatically determines the format of a consignment, calculates the correct charge and prints it on the consignment as a franking mark. This process is subject to approval and verification by a competent authority, as it must be ensured in the public installation of the machine that the determination of postage fees is not manipulated in favor of or to the detriment of customers. A consignment station has an acceptance means for accepting mailpieces. This is preferably a singler, which feeds a stack of mailpieces individually into the device. After the singulation of the mailings, a mail item 20 passes through the device by means of one or more means of transport. The various measuring devices determine at least the weight and dimensions of the shipment. The determination of the individual measured values can take place simultaneously or successively by different measuring devices.
Das Gewicht einer Sendung wird von einer Waage 30 ermittelt, während dieThe weight of a shipment is determined by a balance 30, while the
Messeinrichtungen zur Bestimmung von Länge, Breite und Höhe einer Postsendung im Folgenden in ihrer Gesamtheit als Dimensionsmessgerät 40 bezeichnet werden. Ein solches Dimensionsmessgerät kann somit aus einem oder mehreren Messgeräten bestehen. Die verschiedenen Messeinrichtungen sind mit einer Recheneinheit 50 verbunden, die sich vorzugsweise ebenfalls innerhalb des Automaten befindet.Measuring devices for determining the length, width and height of a mail item are hereafter referred to in their entirety as a dimension measuring device 40. Such a dimension measuring device can thus consist of one or more measuring devices. The various measuring devices are connected to a computing unit 50, which is preferably also located within the machine.
Durchläuft eine Postsendung 20 die verschiedenen Messeinrichtungen, werden die ermittelten Messwerte zur Auswertung an die Recheneinheit 50 übergeben. Dabei erzeugt die Recheneinheit 50 aus den Messwerten korrigierte Messwerte, indem die Negativ- und Positivtoleranzen der einzelnen Messeinrichtungen verarbeitet werden. In einem ersten Schritt werden diese Toleranzwerte mit den ermittelten Messwerten H für die Höhe, L für die Länge, G für das Gewicht und B für die Breite der Postsendung verrechnet. Dabei wird jeweils der Betrag der Negativtoleranz zum gemessenen Messwert addiert, um angepasste Messwerte H', L', G' und B1 zu erhalten. Ferner wird der Betrag der Positivtoleranz vom gemessenen Messwert subtrahiert, um angepasste Messwerte H", L", G" und B" zu erhalten.If a mail item 20 passes through the various measuring devices, the determined measured values are transferred to the arithmetic unit 50 for evaluation. In this case, the arithmetic unit 50 generates measured values corrected from the measured values by processing the negative and positive tolerances of the individual measuring devices. In a first step, these tolerance values are offset with the measured values H for the height, L for the length, G for the weight and B for the width of the mail item. In each case, the amount of the negative tolerance is added to the measured value measured in order to obtain adapted measured values H ', L', G 'and B 1 . Furthermore, the amount of the positive tolerance is subtracted from the measured value measured to obtain adjusted measured values H ", L", G "and B".
Anhand der ermittelten angepassten Messwerte H', H", L', L", G', G", B' und B" wird von der Recheneinheit 50 ein Vergleich der angepassten Messwerte mit den Wertebereichen einer Referenzliste durchgeführt. Wird ein Produkt bzw. eine Produktklasse ermittelt, in dessen Wertebereich alle angepassten Messwerte liegen, wird der zugeordnete Portobetrag in eine Ergebnisliste aufgenommen. Enthält diese Ergebnisliste mehrere Portobeträge, wird der kleinste Betrag ermittelt und als auf die Postsendung aufzubringender Portobetrag bestimmt. Enthält die Ergebnisliste nur einen Eintrag, wird der betreffende Portobetrag als aufzubringender Portobetrag ermittelt. Mit dem so ermittelten Portobetrag wird in einer Frankiereinheit 60 ein Freimachungsvermerk erzeugt und auf die Postsendung 20 aufgedruckt. Als Frankiereinheit können jegliche aus dem Stand der Technik bekannte Frankiereinheiten zum Einsatz kommen, die beispielsweise einen Frankiervermerk in Form eines Matrixcodes auf eine Postsendung aufdrucken.On the basis of the determined adjusted measured values H ', H ", L', L", G ', G ", B' and B", the arithmetic unit 50 compares the adapted measured values with the value ranges of a reference list. If a product or a product class is determined in whose value range all adjusted measured values lie, the assigned postage amount is added to a result list. If this result list contains several postage amounts, the smallest amount is determined and determined as the postage amount to be applied to the mail piece. If the result list contains only one entry, the relevant postage amount is determined as the postage amount to be applied. With the postage amount thus determined, a franking mark is generated in a franking unit 60 and printed on the mailpiece 20. As a franking unit, any known from the prior art franking units are used, for example, imprint a postage indicium in the form of a matrix code on a mailpiece.
Fig. 3 zeigt eine schematische Darstellung eichpflichtiger und nicht-eichpflichtiger Komponenten zum Betrieb der erfindungsgemäßen Einlieferungsstation. Hardwarekomponenten wie eine Waage 30 und die Dimensionsmessgeräte 40 werden dabei vorzugsweise über standardisierte Schnittstellen an die Recheneinheit 50 der Einlieferungsstation angeschlossen, so dass sie ausgetauscht werden können. Da beim Prozess der automatischen Sendungsannahme innerhalb einer Einlieferungsstation das Format der Sendungen und ihr Gewicht mittels Messeinrichtungen ermittelt wird und aufgrund der Ergebnisse dieser Messungen automatisch der Preis für das Sendungsentgelt bestimmt wird, unterliegt der gesamte Prozess der Zulassung und Eichung durch die zuständige Behörde. Die Eichung erstreckt sich dabei nicht nur auf die Messwerte selbst, sondern auch auf die Datenverarbeitung, die das Sendungsformat aus den Messwerten ermittelt. Durch die Eichung wird die Korrektheit der Messung und der Entgeltbestimmung durch einen Eichbeamten bestätigt.Fig. 3 shows a schematic representation of custody and non-custody components for operating the consignment station according to the invention. Hardware components such as a scale 30 and the dimension measuring devices 40 are preferably connected via standardized interfaces to the arithmetic unit 50 of the delivery station, so that they can be exchanged. Since the automatic consignment-taking process within a consignment post determines the format of the consignments and their weight by means of measuring equipment and, on the basis of the results of these measurements, automatically determines the price of the consignment fee, the whole process is subject to approval and verification by the competent authority. The calibration extends not only to the measured values themselves but also to the data processing that determines the transmission format from the measured values. The verification confirms the correctness of the measurement and the fee determination by a calibration official.
Der primäre Zweck der Vermessung einer Sendung liegt in der Bestimmung des Sendungsformats und -gewichts, da diese die Basis für die Produktbestimmung und damit die Entgeltbestimmung bilden. Das Sendungsformat wird mittels einer Software der Recheneinheit 50 aus der Gesamtheit der Messergebnisse und deren Toleranzparametern ermittelt. Dieser Teil der Software unterliegt ebenfalls derThe primary purpose of the measurement of a consignment is to determine the consignment format and weight, as these form the basis for the product determination and thus the fee determination. The program format is determined by means of a software of the arithmetic unit 50 from the entirety of the measurement results and their tolerance parameters. This part of the software is also subject to the
Eichung. Dies bedeutet, dass diese Softwarekomponente der Recheneinheit 50 von einem Eichbeamten mit einem Siegel versehen werden und eine Manipulation der Softwarekomponenten einwandfrei nachweisbar sein muss.Calibration. This means that this software component of the arithmetic unit 50 of A seal official must be provided with a seal and a manipulation of the software components must be perfectly verifiable.
Ferner muss der Kunde die Entgeltbestimmung nachvollziehen können, so dass ihm die Messergebnisse angezeigt werden. Die Anzeige der Messergebnisse unterliegt ebenfalls dem Eichprozess, da diese nicht manipulierbar sein soll. Falls eine Ausgabe von Einzelmessungen beispielsweise auf einer Quittung oder einem Bildschirm von der Zulassungsbehörde nicht gefordert wird, besteht die Möglichkeit, die grundlegenden Daten der Formatbestimmung in einem Messwertspeicher 55 für eine mögliche nachträgliche Einsichtnahme aufzubewahren. DieserFurthermore, the customer must be able to understand the charge determination so that the measurement results are displayed to him. The display of the measurement results is also subject to the calibration process, as this should not be manipulated. If an output of individual measurements, for example on a receipt or a screen, is not required by the approval authority, it is possible to store the basic data of the format determination in a measured value memory 55 for possible subsequent inspection. This
Messwertspeicher muss, wie die Messwerte selbst, gegen Manipulation geschützt werden, so dass es sich vorzugsweise um einen Einwegspeicher handelt, auf den nur lesend zugegriffen werden kann. Vorzugsweise wird sowohl die Softwarekomponente, welche die Schnittstelle zu dem Messwertspeicher 55 bildet, als auch der Einwegspeicher selbst, gegen Manipulationen geschützt.Measured value memory, like the measured values themselves, must be protected against manipulation, so that it is preferably a disposable memory that can only be read by reading. Preferably, both the software component, which forms the interface to the measured value memory 55, and the disposable memory itself, are protected against manipulation.
Der Messwertspeicher 55 kann beispielsweise in einer Datenbank der Recheneinheit 50 angelegt sein und der Zugriff auf den Messwertspeicher erfolgt nur über eine vorgegebene Schnittstelle, wobei auf hinterlegte Daten ausschließlich ein lesender Zugriff erfolgen kann. Die gespeicherten Daten können als binäre Datenbankfiles auf einer Festplatte liegen. Eine Manipulation der Datenbankfiles kann durch Sicherheitsmechanismen der Datenbank selbst ausgeschlossen werden, wenn manipulierte Datenbankfiles von der Datenbank als korrupt identifiziert werden und nicht mehr aktiviert werden können. Ein Löschen der Datenbankfiles kann zeitgesteuert innerhalb des Datenbankschemas selbst erfolgen. So besteht keine Löschfunktion von außen. Die Aufbewahrungsdauer von Datensätzen kann beispielsweise durch den Eichbeamten in den Messwertspeicher selbst gespeichert und so jederzeit kontrolliert werden.The measured value memory 55 can be created, for example, in a database of the arithmetic unit 50 and access to the measured value memory is made only via a predetermined interface, which can be done on stored data only a read access. The stored data can be stored as binary database files on a hard disk. A manipulation of the database files can be excluded by security mechanisms of the database itself, if manipulated database files are identified as corrupt by the database and can no longer be activated. A deletion of the database files can be timed within the database schema itself. So there is no deletion function from the outside. The storage duration of data records can be stored, for example, by the calibration official in the measured value memory itself and thus controlled at any time.
Das Gesamtsystem aus Messgeräten 30 und 40, Messdatenübertragung an die formatbestimmende Software der Recheneinheit 50, die Formatbestimmung der Recheneinheit 50, der Messwertspeicher 55 und eine Anzeige der Messergebnisse auf einer Anzeige 80 werden üblicherweise vor Ort durch einen Eichbeamten signiert und verplombt. Eine Produkt- und Preisliste 93, der für eine ermittelte Produktkategorie das zu entrichtende Porto zu entnehmen ist, ist dagegen nicht eichpflichtig. Diese kann daher vom Betreiber der Einlieferungsstation geändert werden, ohne dass eine erneute Eichung durchgeführt werden muss. Ergeben sich dadurch neue Formatkategorien, sind diese jedoch im Messwertspeicher 55 zu hinterlegen.The overall system of measuring devices 30 and 40, measurement data transmission to the format-determining software of the arithmetic unit 50, the format determination of the arithmetic unit 50, the measured value memory 55 and an indication of the measurement results on a display 80 are usually signed and sealed on site by a calibration officer. However, a product and price list 93, which shows the postage to be paid for a determined product category, is not subject to custody. This can therefore be changed by the operator of the consignment station, without a renewed calibration must be performed. If this results in new format categories, however, these are to be stored in the measured value memory 55.
Die Software der Recheneinheit 50 muss dabei insbesondere gegen absichtliche Änderungen mittels gängiger Software-Werkzeuge geschützt sein. Die Schnittstellen zwischen eichpflichtiger Software und nicht-eichpflichtiger Software müssen rückwirkungsfrei sein, das heißt die Schnittstellen verhindern die Eingabe von unzulässigen Daten, Parametern und Befehlen. Messgeräte dürfen beispielsweise nicht unzulässig beeinflusst werden, wenn ihre rückwirkungsfreien Schnittstellen mit Fremdspannungen beaufschlagt werden. Ferner gibt die Schnittstelle dieThe software of the arithmetic unit 50 must be protected in particular against deliberate changes by means of common software tools. The interfaces between software subject to legal custody and software that is not subject to custody transfer must be free of feedback, ie the interfaces prevent the entry of impermissible data, parameters and commands. Measuring devices, for example, must not be influenced inappropriately if their feedback-free interfaces are exposed to external voltages. Furthermore, the interface gives the
Hauptanzeigen in eichfähiger Form an eichpflichtige Zusatzeinrichtungen aus.Main displays in legal-for-trade form with additional legal-for-trade devices.
Ferner muss eine Softwareidentifikation vorhanden sein, welche die eichpflichtigen Programmteile und Parameter umfasst und bei der Eichung überprüft werden kann. Der Eichbeamte überprüft vor Ort an einer Einlieferungsstation eine von derFurthermore, there must be a software identification which includes the program parts and parameters subject to calibration and which can be checked during calibration. The calibration officer checks on site at a consignment station one of the
Zulassungsbehörde angebrachte Signatur der eichrelevanten Software-Module und versiegelt die Gesamtheit durch Signierung mit einem eigenen Schlüssel. Die eigentliche Eichung findet mit Eichmaßen statt, wobei die Korrektheit der von den Messgeräten gemessenen Daten und der um die Toleranzwerte korrigierten Messdaten stattfindet.Approval authority attached signature of the calibration-relevant software modules and sealed the whole by signing with its own key. The actual calibration takes place with calibration measures, whereby the correctness of the data measured by the measuring devices and the measured data corrected by the tolerance values takes place.
Messgeräte wie die Waage 30 und die Dimensionsmessgeräte 40 unterliegen dem Eichprozess und werden üblicherweise mit einem Eichsiegel 32 verplombt. Auch die Transportstrecke von Messdaten von den Messgeräten zu einer Messwert-Software der Recheneinheit 50 muss verplombt werden. Solche Verplombungen stellen ein Beispiel für eine physikalische Versiegelung im Sinne dieser Erfindung dar. Die Waage 30 und die Dimensionsmessgeräte 40 werden somit geeicht und danach physikalisch versiegelt.Measuring devices such as the scale 30 and the dimension measuring devices 40 are subject to the calibration process and are usually sealed with a calibration seal 32. Also, the transport path of measurement data from the measuring devices to a measured value software of the computing unit 50 must be sealed. Such seals are an example of a physical seal in the sense of this invention Scale 30 and the dimension measuring instruments 40 are thus calibrated and then physically sealed.
Die Sendungen werden beispielsweise im automatischen Einzug vereinzelt durch die Messkette transportiert, und die einzelnen Messgeräte nehmen automatisch ihren Messwert auf, signieren diesen und senden ihn über eine Schnittstelle 51 an ein Messmodul 52 der Recheneinheit 50. Bei der Schnittstelle 52 handelt es sich vorzugsweise um eine serielle Schnittstelle, und zu jedem Messgerät liegt ein entsprechender Hardwaretreiber 53 und 54 vor. Die Messgeräte sind über ebenfalls physikalisch versiegelte Datenkabel 70 und 71 mit der Recheneinheit 50 verbunden. Die Messwerte selbst können von den Messgeräten eigenständig mittels Ereignissen (Events) an das Messmodul 52 gemeldet werden. Bei einem Ereignis kann es sich entweder um die Meldung eines neuen Messergebnisses oder die Meldung eines aufgetretenen Fehlers handeln. Die Daten können beispielsweise im XML-Format über die Schnittstelle ausgetauscht werden. Dabei ist zu berücksichtigen, dass Messdaten abgerufen, jedoch nicht manipuliert werden können.The programs are transported, for example, in the automatic feeder occasionally through the measuring chain, and the individual measuring devices automatically take their measured value, sign it and send it via an interface 51 to a measuring module 52 of the arithmetic unit 50. The interface 52 is preferably a serial interface, and each meter has a corresponding hardware driver 53 and 54. The measuring devices are also connected to the arithmetic unit 50 via physically sealed data cables 70 and 71. The measured values themselves can be reported independently by the measuring devices to the measuring module 52 by means of events. An event can either be the reporting of a new measurement result or the reporting of an error that has occurred. For example, the data can be exchanged over the interface in XML format. It should be noted that measurement data can be retrieved but not manipulated.
Um eine nachträgliche Manipulation auszuschließen, signieren die Messgeräte ihre Messdatensätze. Eine mögliche Form der Signatur ist die Bildung eines Hash-Wertes bzw. Streuwertes über den gelieferten Datensatz. Dabei können beispielsweise kryptographische Hash-Funktionen wie MD5, SHA-1 oder RIPEMD-160 verwendet werden. Die Verwendung eines Zertifikats oder eine Verschlüsselung der Daten kann zusätzlich durchgeführt werden. Dem Eichbeamten muss üblicherweise die Möglichkeit gegeben werden, die Unversehrtheit der Signatur jedes einzelnen Messwertes im Messwertspeicher zu prüfen. Je nach verwendeter Signatur muss ihm dazu Zugang zu einem öffentlichen Schlüssel gegeben werden.To preclude subsequent manipulation, the measuring instruments sign their measurement data records. One possible form of the signature is the formation of a hash value or scatter value over the supplied data record. For example, cryptographic hash functions such as MD5, SHA-1 or RIPEMD-160 can be used. The use of a certificate or an encryption of the data can additionally be carried out. The calibration official must usually be given the opportunity to check the integrity of the signature of each individual measured value in the measured value memory. Depending on the signature used, he must be given access to a public key.
Als ein asymmetrisches kryptographisches Verfahren mit öffentlichen und privaten Schlüsseln kann bei verschiedenen Signaturen im Bereich der Erfindung beispielsweise RSA verwendet werden. Asymmetrische Verfahren werden auch als Public-Key-Verfahren bezeichnet. Bei diesen Verfahren besitzt der Anwender zwei Schlüssel, einen öffentlichen und einen geheimen Schlüssel. Beide Schlüssel erfüllen bestimmte Aufgaben. Der öffentliche Schlüssel wird öffentlich gemacht. Jeder andere Anwender kann diesen Schlüssel benutzen, um an den Eigentümer eine Nachricht zu versenden, die durch Verschlüsselung eines Klartextes entstanden ist. Der geheime Schlüssel wird vom Besitzer geheim gehalten. Er dient dazu, an ihn gesendete, verschlüsselte Nachrichten zu entschlüsseln.As an asymmetric cryptographic method with public and private keys, for example, RSA may be used in various signatures within the scope of the invention. Asymmetric methods are also referred to as public-key methods. In these methods, the user has two keys, a public key and a secret key. Both keys fulfill certain tasks. The public key is made public. Any other user can use this key to send to the owner a message that has been created by clear text encryption. The secret key is kept secret by the owner. It is used to decrypt encrypted messages sent to it.
Technisch bedeutet das Signieren einer Nachricht oder einer Binärdatei, dass nach einem bekannten Verfahren eine Prüfsumme für die Nachricht oder die Binärdatei berechnet wird und diese dann mit dem privaten Schlüssel eines asymmetrischen Schlüsselpaares verschlüsselt wird. Soll nun festgestellt werden, ob die vorliegende Nachricht oder Binärdatei unverändert zu dem Zeitpunkt der Signierung ist, kann dies mit dem öffentlichen Schlüssel des asymmetrischen Schlüsselpaares festgestellt werden. Dazu werden der Prüfsummenalgorithmus angewendet, die verschlüsselte Prüfsumme mit dem öffentlichen Schlüssel entschlüsselt und die Werte verglichen.Technically, signing a message or a binary file means that, according to a known method, a message or binary checksum is computed and then encrypted with the private key of an asymmetric key pair. If it should now be determined whether the present message or binary file is unchanged at the time of signing, this can be determined with the public key of the asymmetric key pair. To do this, the checksum algorithm is used, the encrypted checksum is decrypted with the public key, and the values are compared.
Um bei einem Public-Key-Kryptosystem die Identität des Inhabers eines öffentlichen Schlüssels sicherzustellen, kann ein öffentlicher Schlüssel mit der Identität einer dritten Person angelegt werden. Dabei können Zertifikate verwendet werden. Ein Zertifikat ist eine Art Echtheitsbeweis für einen öffentlichen Schlüssel, wobei ein Zertifikat aus dem öffentlichen Schlüssel des Inhabers des Zertifikates, einem Identitätsmerkmal des Inhabers des Zertifikates, dem Namen des Ausstellers des Zertifikates und einem digitalen Schlüssel des Ausstellers des Zertifikates besteht.In order to ensure the identity of the holder of a public key in a public-key cryptosystem, a public key with the identity of a third person can be created. Certificates can be used. A certificate is a kind of proof of authenticity for a public key, whereby a certificate consists of the public key of the holder of the certificate, an identity characteristic of the holder of the certificate, the name of the issuer of the certificate and a digital key of the issuer of the certificate.
Die Signierung eines Messwertes kann im physischen Messgerät selbst erfolgen, wenn beispielsweise ein Schlüssel im EPROM des Messgerätes hinterlegt ist. Die Signierung kann ferner in der Schnittstelle des jeweiligen Messgerätes erfolgen. In diesem Fall unterliegt die Schnittstelle der Eichung und die Software muss ebenfalls signiert werden.The signing of a measured value can take place in the physical measuring device itself, if, for example, a key is stored in the EPROM of the measuring device. The signing can also take place in the interface of the respective measuring device. In this case, the interface is subject to calibration and the software must also be signed.
Der Aufbau des Messmoduls 52 und seine Interaktion mit anderen Komponenten ist Fig. 3 zu entnehmen. Die Softwarekomponenten der Messdatenerfassung und - auswertung liegen beispielsweise als Java Archiv-Files (Jar-Files) vor. Die Jar-Files können mit einer Signatur versehen werden, wobei die Signatur im Jar-File selbst gespeichert wird. Diese Signatur wird mit Hilfe eines privaten Schlüssels erzeugt und kann mit Hilfe eines öffentlichen Schlüssels verifiziert werden.The structure of the measuring module 52 and its interaction with other components is shown in FIG. The software components for measuring data acquisition and evaluation are available, for example, as Java archive files (jar files). The jar files can be provided with a signature, the signature being stored in the jar file itself. This signature is generated using a private key and can be verified using a public key.
Das dazu benötigte Schlüsselpaar, bestehend aus privatem und öffentlichemThe required key pair, consisting of private and public
Schlüssel, kann beispielsweise von einem TPM-Chip der Recheneinheit 50 erzeugt und gespeichert werden. Bei dem TPM (Trusted Platform Module) handelt es sich um einen Chip, der fest in die Recheneinheit 50 eingebaut ist. Er ist mit einer auf das Motherboard verlöteten Smartcard zu vergleichen. Der Chip ist passiv und kann nicht direkt beeinflusst werden.Key, for example, can be generated and stored by a TPM chip of the arithmetic unit 50. The TPM (Trusted Platform Module) is a chip that is permanently installed in the arithmetic unit 50. He is comparable to a smartcard soldered to the motherboard. The chip is passive and can not be directly influenced.
Ein TPM-Chip ist somit in der Lage, geheime Daten, Zertifikate, Schlüssel sowie kryptographische Operationen sicher in einer geschützten Hardware-Umgebung zu speichern bzw. auszuführen. Der TPM-Chip enthält einen Hardware-Zahlengenerator und kann Daten verschlüsseln, entschlüsseln und signieren. Der TPM-Chip kann beispielsweise 2048 Bit lange RSA-Schlüssel direkt auf dem Chip erzeugen. Im nicht-flüchtigen TPM-Speicher liegen dabei mehrere Schlüssel und der flüchtige Bereich bietet Platz für mehrere temporäre RSA-Schlüssel, 16 bzw. 24 PCRs (Platform Configuration Register), die Hashwerte von Hard- und Softwarekonfigurationen aufnehmen, und zwei Arten von Handies. Da jeder TPM- Chip ein Unikat ist, das nicht ausgetauscht werden kann, wird die damit signierte Software an die jeweilige Einlieferungsstation gebunden.A TPM chip is thus able to safely store or execute secret data, certificates, keys and cryptographic operations in a protected hardware environment. The TPM chip contains a hardware number generator and can encrypt, decrypt and sign data. For example, the TPM chip can generate 2048-bit RSA keys directly on the chip. The nonvolatile TPM memory has multiple keys, and the volatile area accommodates multiple temporary RSA keys, 16 or 24 Platform Configuration Registers that capture hashes of hardware and software configurations, and two types of phones. As each TPM chip is unique and can not be exchanged, the software signed with it is bound to the respective consignment station.
Jede Manipulation eines signierten Jar-Files führt zu einer nicht-validen Signatur, was jederzeit durch eine Überprüfung festgestellt werden kann. Ohne den privaten Schlüssel ist eine erneute Signatur nicht möglich. Dabei liegt der private Schlüssel nur innerhalb des TPM-Chips und wird nie nach außen sichtbar. Es stehen lediglich Funktionen zur Nutzung des privaten Schlüssels zur Verfügung. Der Zugriff auf den privaten Schlüssel im TPM-Chip kann durch den Eichbeamten mit einem Passwort geschützt werden. Sobald alle Messwerte zu einer Sendung 20 vorliegen, wie dies in Fig. 2 als Schritt 1 ) gekennzeichnet ist, werden diese zu einer Korrekturkomponente 90 innerhalb des Messmoduls 52 weitergeleitet. Das Korrekturmodul 90 zur Toleranzkorrektur der Messwerte unterliegt dem Eichprozess. Die gültigen Toleranzwerte liegen innerhalb des gesicherten Messwertspeichers 55 und werden von dem Korrekturmodul 90 aus diesem abgerufen. Der Eichbeamte hat diese Toleranzwerte zuvor bei der Eichung mit seinem privaten Schlüssel signiert. Die Toleranzwerte werden inklusive der Signatur im Messwertspeicher 55 abgelegt. Über seinen öffentlichen Schlüssel kann der Eichbeamte die Toleranzwerte verifizieren.Any manipulation of a signed Jar file results in a non-valid signature, which can be determined at any time by a check. Without the private key a renewed signature is not possible. The private key lies inside the TPM chip and is never visible to the outside. Only functions for using the private key are available. Access to the private key in the TPM chip can be password protected by the calibration officer. As soon as all measured values for a transmission 20 are present, as indicated in FIG. 2 as step 1), these are forwarded to a correction component 90 within the measurement module 52. The correction module 90 for tolerance correction of the measured values is subject to the calibration process. The valid tolerance values lie within the saved measured value memory 55 and are retrieved from the correction module 90 therefrom. The calibration official previously signed these tolerance values during calibration with his private key. The tolerance values including the signature are stored in the measured value memory 55. The calibration official can use his public key to verify the tolerance values.
Die aufgenommenen Messwerte werden von dem Korrekturmodul 90 um die abgerufenen Toleranzwerte aus dem Einwegspeicher 55 korrigiert, wie es in Fig. 2 mit dem Schritt 2) gekennzeichnet ist. Wie oben beschrieben, lautet der Algorithmus zur Toleranzkorrektur vorzugsweise wie folgt:The recorded measured values are corrected by the correction module 90 by the retrieved tolerance values from the one-way memory 55, as indicated in step 2) in FIG. 2. As described above, the tolerance correction algorithm is preferably as follows:
1. Addiere für jeden Messwert die messungsspezifische Positiv-Toleranz für den Vergleich mit dem minimalen Grenzwert der Formatkategorie.1. Add the measurement-specific positive tolerance for each measurement to the comparison with the minimum limit of the format category.
2. Subtrahiere von jedem Messwert die messungsspezifische Negativ-Toleranz für den Vergleich mit dem maximalen Grenzwert der Formatkategorie. 3. Errechne den Quotienten aus Messwert für Länge plus Positiv-Toleranz der Längenmessung und Messwert für Breite minus Negativ-Toleranz der Breitenmessung für den Vergleich mit dem minimalen Seitenverhältnis (Ratio) der Formatkategorie.2. Subtract from each reading the measurement-specific negative tolerance for comparison with the maximum limit of the format category. 3. Calculate the quotient of the measured value for length plus positive tolerance of the length measurement and the measured value for width minus negative tolerance of the width measurement for comparison with the minimum aspect ratio of the format category.
Hat das Korrekturmodul 90 auf diese Weise korrigierte Messwerte erzeugt, dürfen für die weiteren Prozessschritte ausschließlich diese korrigierten Messwerte verwendet werden. Sowohl die Originalmessdaten als auch die korrigierten Messwerte werden im Datenpaket zur späteren Speicherung an den Messwertspeicher 55 weitergeleitet. Der vollständige Messwert-Datensatz wird von dem Messmodul 52 signiert, damit gespeicherte Werte nicht mehr auf Systemebene manipuliert werden können. Dies kann ebenfalls über einen Hash-Wert über den vollständigen Datensatz erfolgen. Das Messmodul 52 umfasst ferner ein Modul 91 zur Formatbestimmung, wobei dieses Formatmodul 91 ebenfalls dem Eichprozess unterliegt. Das Formatmodul greift dabei auf Formatkategorien zu, die ebenfalls im Messwertspeicher 55 hinterlegt sind. Die gültigen Formatkategorien sind zwar Bestandteil der nicht eichpflichtigen Datei 93 mit der Preis- und Produktliste (PPL), werden aber ebenfalls im gesicherten Messwertspeicher 55 abgelegt. Die Formatkategorien werden beispielsweise im Backend signiert und an den Automaten 10 geliefert. Dort werden die Formatkategorien nach erfolgreicher Verifikation der Signatur durch die Frontend- Software in den Messwertspeicher 55 der Recheneinheit 50 importiert. Die Formatkategorien werden vom Formatmodul 91 aus dem Speicher 55 abgerufen, und das Modul zur Formatbestimmung vergleicht die korrigierten Messwerte der Sendung mit diesen hinterlegten Grenzwerten der Formatkategorien. Das Formatmodul 91 bestimmt daraus die anzuwendende Formatkategorie der Sendung, wie es in Schritt 3) in Fig. 2 gekennzeichnet ist.If the correction module 90 has generated corrected measured values in this manner, only these corrected measured values may be used for the further process steps. Both the original measurement data and the corrected measured values are forwarded to the measured value memory 55 in the data packet for later storage. The complete measurement data set is signed by the measurement module 52 so that stored values can no longer be manipulated at the system level. This can also be done via a hash value over the complete record. The measuring module 52 further comprises a module 91 for format determination, wherein this format module 91 is also subject to the calibration process. The format module accesses format categories that are also stored in the measured value memory 55. Although the valid format categories are part of the non-legal file 93 with the price and product list (PPL), they are also stored in the saved measured value memory 55. The format categories are for example signed in the backend and delivered to the machine 10. There, the format categories after successful verification of the signature by the front-end software in the measured value memory 55 of the arithmetic unit 50 are imported. The format categories are retrieved from the memory module 55 from the format module 91, and the format determination module compares the corrected measurement values of the program with these stored format category limits. The format module 91 determines from this the format category of the program to be used, as indicated in step 3) in FIG. 2.
Nach Feststellung des Sendungsformats wird mit den zusätzlichen Angaben des Kunden (u. a. bestellter Quality of Service, Zusatzleistungen, ...) das entsprechende Produkt aus der gültigen Preis- und Produktliste 93 ausgewählt, wie es in Fig. 2 mit dem Schritt 4) gekennzeichnet ist. Diese Preis- und Produktbestimmung unterliegt nicht dem Eichprozess, da außer der Formatkategorie keine Messwerte zu Grunde liegen, sondern Angaben bzw. Wünsche des Kunden. Das ermittelte Produkt und sein Preis werden aber vorzugsweise zu den Messwerten der Sendung im Messwertspeicher 55 festgehalten. Darum wird die Produktidentifikation mit den Messwerten an ein eichrelevantes Speichermodul 92 des Messmoduls 52 weitergeleitet.After determining the mailing format, the corresponding product from the valid price and product list 93 is selected with the additional information provided by the customer (including ordered quality of service, additional services, etc.), as indicated in step 2 in FIG. 2 , This price and product determination is not subject to the calibration process, since, apart from the format category, no measured values are used, but information or wishes of the customer. However, the determined product and its price are preferably recorded to the measured values of the transmission in the measured value memory 55. For this reason, the product identification with the measured values is forwarded to a calibration-relevant memory module 92 of the measuring module 52.
Dieses Speichermodul 92 dient zur Speicherung des vollständigen Messdatensatzes. Das Modul 92 unterliegt ebenfalls dem Eichprozess. Nach Vervollständigung des Datensatzes durch die Informationen aus der Produkt- und Preisbestimmung wird der vollständige Datensatz signiert, um nachträgliche Veränderungen ausschließen zu können, und anschließend im Messwertspeicher 55 gespeichert. Dieser Vorgang ist in Fig. 2 als Schritt 5) gekennzeichnet. Das Messgerät selbst, welches einen - -This memory module 92 is used to store the complete measurement data record. The module 92 is also subject to the calibration process. After completion of the data set by the information from the product and price determination of the complete data set is signed to exclude subsequent changes, and then stored in the measured value memory 55. This process is indicated in FIG. 2 as step 5). The measuring device itself, which one - -
1919
Messwert erzeugt hat, ist dabei vorzugsweise durch eine eindeutige Ident-Nummer identifizierbar. Zu einer Messung kann beispielsweise je Dimension eine SHA1- Checksumme pro Messwert und Ident-Nummer gebildet werden. Nach der Korrektur der Messwerte um die Toleranzen wird über den aggregierten Datensatz, der auch die ermittelte Formatkategorie und die Produkt-ID enthält, ein SHA1-Hashwert gebildet. Dieser Hashwert und der SHA1-Hashwert über alle eich-relevanten Softwaremodule werden beispielsweise über eine XOR-Verbindung miteinander verknüpft. Sowohl der Hashwert über den Datensatz als auch der über die XOR- Verbindung gebildete Hashwert können verifiziert werden.Measured value has generated, it is preferably identifiable by a unique identification number. For example, a SHA1 checksum per measured value and ID number can be formed for each dimension for a measurement. After the correction of the measured values by the tolerances, a SHA1 hash value is formed via the aggregated data record, which also contains the determined format category and the product ID. This hash value and the SHA1 hash value for all software modules relevant to eich are linked to one another, for example, via an XOR connection. Both the hash value over the data record and the hash value formed via the XOR connection can be verified.
Das durch die genannten Schritte vom Messmodul 52 ermittelte Portoentgelt wird als Druckauftrag an ein Frankiermodul 60 gesendet, um die Postsendung 20 entsprechend mit einem Frankiervermerk zu frankieren. Dies ist als Schritt 6) in Fig. 2 dargestellt. Sollte das Messmodul 52 feststellen, dass es sich bei einer Sendung 20 nicht um ein gültiges Produkt handelt oder die Sendung nicht weiter verarbeitet werden kann, wird die Sendung ausgeworfen und die aufgenommenen Messwerte können verworfen werden. Die Messwerte müssen in diesem Fall nicht im Messwertspeicher 55 gespeichert werden, da dem Kunden keine Leistung in Rechnung gestellt werden wird.The postage fee determined by the measuring module 52 as a result of said steps is sent as a print job to a franking module 60 in order to frank the mail item 20 accordingly with a postage indicium. This is shown as step 6) in FIG. If the measurement module 52 determines that a shipment 20 is not a valid product or the shipment can not be further processed, the shipment will be ejected and the captured measurements may be discarded. In this case, the measured values do not have to be stored in the measured value memory 55 since the customer will not be charged for any services.
Zusätzlich zum Messprozess bietet das System dem Kunden vorzugsweise die Möglichkeit an, die Messwerte seiner Sendungen nachträglich einzusehen. Hierzu wird dem Kunden beispielsweise an einer Bedieneinheit 13 auf einem Bildschirm ein Menüpunkt angeboten, der es ihm erlaubt, sich innerhalb eines fest definierten Zeitraums (z.B. 90 Tage) die gespeicherten Messwerte nach Angabe des Datums, der Abrechnungsnummer auf der Quittung des Kunden oder der Sendungsnummer einer Einzelsendung einzusehen. Diese Anzeige der Messwerte auf einer Anzeige 80 unterliegt ebenfalls dem Eichprozess, da eine Manipulation der Daten zwischen Messwertspeicher und Anzeige 80 ausgeschlossen werden muss. Die anzuzeigende Maske wird daher ebenfalls vom Messmodul 52 erstellt und signiert.In addition to the measurement process, the system preferably offers the customer the option of retrospectively reading the measured values of his shipments. For this purpose, a menu item is offered to the customer, for example, on a control unit 13 on a screen, which allows him within a fixed period of time (eg 90 days) the stored measurements after specifying the date, the billing number on the receipt of the customer or the shipment number to view a single shipment. This display of the measured values on a display 80 is likewise subject to the calibration process, since manipulation of the data between measured value memory and display 80 must be precluded. The mask to be displayed is therefore also created and signed by the measuring module 52.
Um die Software der Recheneinheit 50 an einen speziellen Automaten zu binden und weitestgehend vor dem Kopieren zu sichern, kann ein vom Automat beglaubigtes Root-CA erstellt werden, das ebenfalls den Storage-Root-Key des Trusted Platform Modules (TPM-Chip) nutzt. Der TPM-Chip enthält eine eindeutige Kennung wie einen Endorsement Key in Form eines 2048 Bit langen RSA-Schlüsselpaares, das der Hersteller auf den Chip schreibt. Der TPM-Chip kann somit zur Identifizierung der Recheneinheit und der darauf befindlichen Software dienen. Die Recheneinheit 50 mit der dazu gehörigen Software wird so davor geschützt, auf eine andere Einlieferungsstation übertragen zu werden. Die Software ist somit an eine bestimmte Einlieferungsstation und Hardware gebunden.To bind the software of the arithmetic unit 50 to a special machine and As far as possible before copying, a root CA authenticated by the machine can be created, which also uses the storage root key of the Trusted Platform Module (TPM chip). The TPM chip contains a unique identifier such as an endorsement key in the form of a 2048-bit RSA key pair that the manufacturer writes to the chip. The TPM chip can thus serve to identify the processing unit and the software thereon. The arithmetic unit 50 with the associated software is thus protected from being transferred to another consignment station. The software is thus tied to a specific consignment station and hardware.
Um die Softwarekomponenten des Messmoduls 52 endgültig vor Manipulationen zu schützen und physisch an den Automaten zu binden, kann die Erfindung dazu genutzt werden, diese auf einen an den PC angeschlossenen USB-Speicherstift 11 zu spielen, der nach Abschluss der Signierung durch den Eichbeamten mechanisch mit einem Schreibschutzschalter auf Nur-Lese-Modus gestellt und vom Eichbeamten mit Siegeln verplombt wird. Alternativ zu einem USB-Stick kann hierzu auch eine Festplatte mit mechanischem Schreibschutzschalter eingesetzt werden. In order to finally protect the software components of the measuring module 52 from manipulation and to bind it physically to the machine, the invention can be used to play it on a USB memory stick 11 connected to the PC, which mechanically follows the signing by the calibration officer a write-protect switch is set to read-only mode and sealed by the calibration official with seals. As an alternative to a USB stick, a hard disk with a mechanical write-protection switch can also be used for this purpose.
Bezugszeichenliste:LIST OF REFERENCE NUMBERS
10 Messgerät10 measuring device
11 Speichermedium, USB-Speicherstift, Festplatte11 Storage media, USB storage pen, hard disk
12 Physikalisches Siegel, Plombe12 Physical seal, seal
20 Postsendung, Brief, Ware20 mailing, letter, goods
30 Waage30 Libra
32 Eichsiegel32 seal of approval
40 Dimensionsmessgerät40 Dimensional measuring device
50 Recheneinheit50 arithmetic unit
51 Schnittstelle, seriell51 interface, serial
52 Messmodul, eichpflichtige Softwarekomponente52 Measuring module, software component subject to calibration
53,54 Treiber53.54 driver
55 Messwertspeicher, Einwegspeicher55 measured value memory, disposable memory
60 Frankiereinheit60 franking unit
70,71 Datenkabel70.71 data cable
80 Messwertanzeige80 measured value display
90 Korrekturmodul90 correction module
91 Formatmodul91 format module
92 Speichermodul92 memory module
93 Datei, Produkt-Preisliste 93 file, product price list

Claims

Patentansprüche: claims:
1. Vorrichtung zur Verarbeitung von Messwerten, die wenigstens ein mechanisch versiegeltes Messgerät (10;30;40) und wenigstens eine signierte1. A device for processing measured values, comprising at least one mechanically sealed measuring device (10; 30; 40) and at least one signed one
Softwarekomponente (52) zur Verarbeitung der Messwerte des Messgerätes (10;30;40) umfasst, wobei das mechanisch versiegelte Messgerät (10;30;40) an eine Recheneinheit (50) der Vorrichtung angeschlossen ist, d a d u rc h g e k e n n z e i c h n e t, dass die signierte Softwarekomponente (52) auf einem Speichermedium (11 ) hinterlegt ist, das einen Schreibschutzschalter aufweist, der mechanisch versiegelt ist, und dass das Speichermedium (11) an die Recheneinheit (50) angeschlossen ist.Software component (52) for processing the measured values of the measuring device (10; 30; 40), wherein the mechanically sealed measuring device (10; 30; 40) is connected to a computing unit (50) of the device, characterized in that the signed software component (52) is deposited on a storage medium (11) having a write-protect switch, which is mechanically sealed, and that the storage medium (11) is connected to the computing unit (50).
2. Vorrichtung nach Anspruch 1, d a d u rc h g e k e n n z e i c h n e t, dass das Speichermedium (11) ein USB-Stick mit Schreibschutzschalter ist.2. Device according to claim 1, characterized in that the storage medium (11) is a USB stick with write-protect switch.
3. Vorrichtung nach Anspruch 1 , d a d u rc h g e k e n n z e i c h n e t, dass das Speichermedium (11) eine Festplatte mit Schreibschutzschalter ist.3. Device according to claim 1, characterized in that the storage medium (11) is a hard disk with write-protect switch.
4. Vorrichtung nach einem der Ansprüche 1 bis 3, d a d u rc h g e k e n n z e i c h n e t, dass die Verbindung zwischen dem Speichermedium (11 ) und der4. Device according to one of claims 1 to 3, d a d u r c h e c e n e c e in that the connection between the storage medium (11) and the
Recheneinheit (50) mechanisch versiegelt ist.Computing unit (50) is mechanically sealed.
5. Vorrichtung nach einem der Ansprüche 1 bis 4, d a d u rc h g e k e n n z e i c h n e t, dass die Softwarekomponenten (52) durch ein asymmetrisches5. Device according to one of claims 1 to 4, d a d u r c h e c e n e c e s in that the software components (52) by an asymmetric
Verschlüsselungsverfahren signiert sind. Encryption methods are signed.
6. Vorrichtung nach einem der Ansprüche 1 bis 5, d a d u r c h g e k e n n z e i c h n e t, dass die Vorrichtung eine Einlieferungsstation (10) zum Frankieren von Postsendungen (20) ist, die wenigstens eine Waage (30) zur Bestimmung des6. Device according to one of claims 1 to 5, in that a device is a delivery station (10) for franking mailpieces (20), which has at least one scale (30) for determining the
Gewichts einer Postsendung (20), wenigstens ein Dimensionsmessgerät (40) zur Bestimmung der Abmessungen einer Postsendung (20), eine Recheneinheit (50) zur Bestimmung des Portoentgelts für eine Postsendung (20) und eine Frankiereinheit (60) zur Aufbringung eines Frankiervermerks auf die Postsendung (20) umfasst, und dass die Waage (30) und dasWeight of a mail item (20), at least one dimension measuring device (40) for determining the dimensions of a mail item (20), a computing unit (50) for determining the postage fee for a mail item (20) and a franking unit (60) for applying a postage indicium to the item Includes postal item (20), and that the balance (30) and the
Dimensionsmessgerät (40) jeweils physikalisch versiegelt sind und über ebenfalls physikalisch versiegelte Datenkabel (70;71 ) in Verbindung mit einer seriellen Schnittstelle (51 ) der Recheneinheit (50) stehen, und die Waage (30) und das Dimensionsmessgerät (40) oder eine jeweils zugehörige Schnittstelle Mittel zum Signieren von Messwerten aufweisen, und dass die Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) und Formatkategorien für Postsendungen (20) in einem signierten Einwegspeicher (55) hinterlegt sind, auf dessen Daten ein signiertes Messmodul (52) der Recheneinheit (50) ausschließlich lesenden Zugriff hat, wobei das Messmodul (52) Mittel zum Empfangen von Messwerten von der Waage (30) und demDimensional measuring device (40) are each physically sealed and also via physically sealed data cable (70; 71) in conjunction with a serial interface (51) of the arithmetic unit (50), and the scale (30) and the dimension measuring device (40) or one respectively associated interface have means for signing measured values, and that the measuring tolerances of the scale (30) and the dimension measuring device (40) and format categories for postal items (20) are stored in a signed one-way memory (55), on whose data a signed measuring module (52) the arithmetic unit (50) has exclusively read access, wherein the measuring module (52) has means for receiving measured values from the balance (30) and the
Dimensionsmessgerät (40) über die serielle Schnittstelle (51 ) umfasst, und dass ein Korrekturmodul (90) des Messmoduls (52) Mittel zum Addieren und Subtrahieren der jeweiligen Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) zu den empfangenen Messwerten umfasst, um so korrigierte Messwerte zu erzeugen, und dass das Messmodul (52) ferner einDimension measuring device (40) via the serial interface (51), and that a correction module (90) of the measuring module (52) comprises means for adding and subtracting the respective measuring tolerances of the scale (30) and the dimension measuring device (40) to the received measured values, so as to generate corrected measured values, and that the measuring module (52) also a
Formatmodul (91 ) aufweist, das Mittel zur Bestimmung der Formatkategorie einer Postsendung (20) aus den korrigierten Dimensionsmesswerten und den Formatkategorien im Einwegspeicher (55) umfasst, und dass das Messmodul (52) Mittel zur Bestimmung der Produktkategorie einer Postsendung (20) aus dem korrigierten Gewichtsmesswert der Postsendung (20) und der vomFormat module (91), which comprises means for determining the format category of a mail item (20) from the corrected dimensional measurements and the format categories in the disposable memory (55), and in that the measuring module (52) comprises means for determining the product category of a mail item (20) from the corrected weight reading of the item of mail (20) and of the
Formatmodul (91 ) ermittelten Formatkategorie der Postsendung (20) aufweist, und dass das Messmodul (52) ferner Zugriff auf eine Datei (93) hat, die eine Zuordnung zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, so dass ein daraus ermitteltes Portoentgelt für eine Postsendung (20) von dem Messmodul (52) der Frankiereinheit (60) zuführbar ist, und dass das Messmodul (52) ferner Mittel zum Signieren von Datensätzen, bestehend wenigstens aus Messwerten der Waage (30) und desFormat module (91) determined format category of the mailpiece (20), and that the measuring module (52) further has access to a file (93) having a Assignment between product categories of postal items and postage fees contains, so that a determined postage fee for a mail item (20) from the measuring module (52) of the franking unit (60) can be fed, and that the measuring module (52) further comprises means for signing records, consisting at least from measured values of the balance (30) and the
Dimensionsmessegerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung (20) und ein Speichermodul (92) des Messmoduls (52) zur Speicherung eines signierten Datensatzes im signierten Einwegspeicher (55) aufweist, und dass das Messmodul (52) auf einem Speichermedium (11 ) mit einem Schreibschutzschalter hinterlegt ist.Dimension measuring device (40), the associated corrected measured values and the determined product category of a mailpiece (20) and a memory module (92) of the measuring module (52) for storing a signed record in the signed disposable memory (55), and that the measuring module (52) a storage medium (11) is deposited with a write protection switch.
7. Verfahren zur Sicherung von signierten Softwarekomponenten (52) für eine Vorrichtung zur Verarbeitung von Messwerten von wenigstens einem Messgerät (10;30;40), g e k e n n z e i c h n e t durch wenigstens folgende Schritte7. A method for securing signed software components (52) for a device for processing measured values of at least one measuring device (10; 30; 40), at least one of the following steps
- Signierung der Softwarekomponenten (52);- Signing the software components (52);
- Verbindung eines Speichermediums (11), das einen Schreibschutzschalter aufweist, mit einer Recheneinheit (50) der Vorrichtung; - Hinterlegung der signierten Softwarekomponenten (52) auf dem- Connecting a storage medium (11) having a write-protect switch, with a computing unit (50) of the device; Deposit of the signed software components (52) on the
Speichermedium (11 );Storage medium (11);
- Aktivierung des Schreibschutzschalters des Speichermediums (11 );- Activation of the write-protect switch of the storage medium (11);
- mechanische Versiegelung des Schreibschutzschalters des Speichermediums (11 ); und - mechanische Versiegelung der Verbindung zwischen dem Speichermediummechanical seal of the write-protect switch of the storage medium (11); and mechanical sealing of the connection between the storage medium
(11 ) und der Recheneinheit (50).(11) and the arithmetic unit (50).
8. Verfahren nach Anspruch 7, d a d u r c h g e k e n n z e i c h n e t, dass die signierten Softwarekomponenten von der Recheneinheit (50) der8. The method as claimed in claim 7, characterized in that the signed software components of the arithmetic unit (50) of the
Vorrichtung auf das Speichermedium (11 ) übertragen werden und dass die Recheneinheit (50) beim Betrieb der Vorrichtung auf die signierten Softwarekomponenten auf dem versiegelten Speichermedium (11) zugreift.Device are transferred to the storage medium (11) and that the Computing unit (50) accesses the signed software components on the sealed storage medium (11) during operation of the device.
9. Verfahren nach einem der Ansprüche 7 und 8, d a d u rc h g e k e n n z e i c h n e t, dass die Softwarekomponenten (52) durch ein asymmetrisches Verschlüsselungsverfahren signiert werden.9. Method according to one of claims 7 and 8, characterized in that the software components (52) are signed by an asymmetric encryption method.
10. Verwendung eines Speichermediums (11 ) mit einem Schreibschutzschalter, d a d u rc h g e k e n n z e i c h n e t, dass das Speichermedium (11) an die Recheneinheit (50) einer Vorrichtung zur Verarbeitung der Messwerte von wenigstens einem mechanisch versiegelten Messgerät (10;30;40) angeschlossen ist, und dass auf dem Speichermedium (11 ) signierte Softwarekomponenten hinterlegt sind, wobei der Schreibschutzschalter des Speichermediums (11 ) aktiviert und mechanisch versiegelt ist.10. Use of a storage medium (11) with a write-protect switch, characterized in that the storage medium (11) is connected to the arithmetic unit (50) of a device for processing the measured values of at least one mechanically sealed measuring device (10, 30, 40), and that signed software components are stored on the storage medium (11), wherein the write protection switch of the storage medium (11) is activated and mechanically sealed.
11. Verwendung nach Anspruch 10, d a d u rc h g e ke n n z e i c h n e t, dass das Speichermedium (11 ) an die Recheneinheit (50) einer Vorrichtung gemäß Anspruch 6 angeschlossen ist. 11. Use according to claim 10, characterized in that the storage medium (11) is connected to the arithmetic unit (50) of a device according to claim 6.
PCT/EP2008/010377 2008-01-02 2008-12-08 Device and method for processing measured values, use of a storage medium for saving signed software components WO2009083102A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP08000014.4 2008-01-02
EP08000014A EP2077530A1 (en) 2008-01-02 2008-01-02 Device and method for processing measurement values; use of a storage medium for securing signed software components

Publications (1)

Publication Number Publication Date
WO2009083102A1 true WO2009083102A1 (en) 2009-07-09

Family

ID=39399240

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/010377 WO2009083102A1 (en) 2008-01-02 2008-12-08 Device and method for processing measured values, use of a storage medium for saving signed software components

Country Status (2)

Country Link
EP (1) EP2077530A1 (en)
WO (1) WO2009083102A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009036863A1 (en) * 2009-08-10 2011-02-17 Bizerba Gmbh & Co Kg Method for operating a measuring device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4445526A1 (en) * 1994-02-04 1995-08-10 Sartorius Gmbh Weight measurement installation and display appts.
US20020002080A1 (en) * 1999-06-22 2002-01-03 Jim Stockdale Mass storage data protection system for a gaming machine
US20040221175A1 (en) * 2003-04-29 2004-11-04 Pitney Bowes Incorporated Method for securely loading and executing software in a secure device that cannot retain software after a loss of power
DE102005006005A1 (en) * 2005-02-09 2006-08-10 Deutsche Post Ag Method and device for automated acceptance and franking of mailpieces

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527293A1 (en) 1995-07-26 1997-01-30 Bosch Gmbh Robert Measurement and measurement data processing system esp. for investigating exhaust - has measurement module connected via data link operating according to communication protocol to PC which is in turn connected to host, where PC and host check measured values before submitting to output device e.g. display

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4445526A1 (en) * 1994-02-04 1995-08-10 Sartorius Gmbh Weight measurement installation and display appts.
US20020002080A1 (en) * 1999-06-22 2002-01-03 Jim Stockdale Mass storage data protection system for a gaming machine
US20040221175A1 (en) * 2003-04-29 2004-11-04 Pitney Bowes Incorporated Method for securely loading and executing software in a secure device that cannot retain software after a loss of power
DE102005006005A1 (en) * 2005-02-09 2006-08-10 Deutsche Post Ag Method and device for automated acceptance and franking of mailpieces

Also Published As

Publication number Publication date
EP2077530A1 (en) 2009-07-08

Similar Documents

Publication Publication Date Title
DE69434621T2 (en) Postage due system with verifiable integrity
EP1405274B1 (en) Method for verifying the validity of digital franking notes
DE69724345T2 (en) System for the controlled acceptance of mail pieces, which surely enables the reuse of a digital token originally created for a mail piece with another mail piece prepared later for the certification of the payment of the postage
DE69636375T2 (en) System for the controlled acceptance of payment and proof of postage
DE3613007B4 (en) System for determining unbilled print
DE3841394C2 (en) Procedure for issuing postage
DE3644229B4 (en) Apparatus for batch processing a large quantity of mail pieces
DE69932028T2 (en) A system and method for suppressing transmitted transmissions of a cryptographic device
DE69634397T2 (en) Method for generating tokens in an open counting system
DE69636617T2 (en) Method and system for detecting transactions with subsequent printing and processing of the item
EP2755846A1 (en) Method and device for assigning a measured value recorded by a charging station to a transaction
DE69936013T2 (en) System and method for detecting postage accounting errors in a controlled acceptance environment
DE3644318A1 (en) POSTAGE SYSTEM WITH POSTAGE TRANSFER AND ACCOUNTABILITY
EP1107190B1 (en) Method and machine for franking
EP2077528B1 (en) Delivery station and method for franking post in delivery station
EP1581910A1 (en) Method and device for processing graphical information located on surfaces of postal articles
EP1279147B1 (en) Method for providing postal items with postal prepayment impressions
WO2009083102A1 (en) Device and method for processing measured values, use of a storage medium for saving signed software components
EP1450144A2 (en) Method and device for digital protection of measured values
DE60132775T2 (en) SAFE DATA STORAGE ON OPEN SYSTEMS
DE69636360T2 (en) Transaction-based billing and payment system based on closed-loop transactions with third-party payment of the carrier by release of the mailing information
EP1340197B1 (en) Method for providing postal deliveries with franking stamps
EP1486028B1 (en) Method and device for the generation of checkable forgery-proof documents
DE102007057692A1 (en) Method and device for processing a mail item, in particular a letter
EP2131330A1 (en) Delivery station for postal items and method for delivering postal items

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08868552

Country of ref document: EP

Kind code of ref document: A1

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08868552

Country of ref document: EP

Kind code of ref document: A1