DE29905219U1 - Sicherheitsmodul mit Statussignalisierung - Google Patents

Sicherheitsmodul mit Statussignalisierung

Info

Publication number
DE29905219U1
DE29905219U1 DE29905219U DE29905219U DE29905219U1 DE 29905219 U1 DE29905219 U1 DE 29905219U1 DE 29905219 U DE29905219 U DE 29905219U DE 29905219 U DE29905219 U DE 29905219U DE 29905219 U1 DE29905219 U1 DE 29905219U1
Authority
DE
Germany
Prior art keywords
security module
module
signaling
battery
circuit board
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE29905219U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE29905219U priority Critical patent/DE29905219U1/de
Publication of DE29905219U1 publication Critical patent/DE29905219U1/de
Priority to EP00250057A priority patent/EP1035513B1/de
Priority to DE50015228T priority patent/DE50015228D1/de
Priority to CNB001038737A priority patent/CN1151474C/zh
Priority to US09/524,118 priority patent/US6771179B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00233Housing, e.g. lock or hardened casing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Battery Mounting, Suspending (AREA)
  • Alarm Systems (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Description

Francotyp-Postalia AG & Co. 12. März 1999
Triftweg 21 - 26
16547 Birkenwerder
G3150-DE
Sicherheitsmodul mit Statussignalisierung
Beschreibung
Die Erfindung betrifft ein Sicherheitsmodul mit Statussignalisierung, gemäß der im Oberbegriff des Schutzanspruchs 1 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.
Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren von Postgut, sind mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Drückens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, die in nichtflüchtigen Speichern gehalten werden, und einer Einheit zum kryptografrschen Absichern der Postgebührendaten ausgestattet. Die Abrecheneinheit und/oder die Einheit zum Absichern des Drückens der Postgebührendaten kann von einem sogenannten Sicherheitsmodul realisiert werden (EP 789 333 A2).
G3150-DE ·_> 2.r.
Der Prozessor des Sicherheitsmoduls ist beispielsweise ein OTP (One Time Programmable), welcher sensible Daten, wie kryptografische Schlüssel, auslesesicher speichert. Die Kapselung durch ein Sicherheitsgehäuse bietet einen weiteren Schutz.
Sicherheitsmodule sind auch von anderen elektronischen Datenverarbeitungsanlagen bereits bekannt und mit Mitteln zum Schutz vor einem Einbruch in ihre Elektronik ausgestattet (EP 417 447 B1).
Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht
&iacgr;&ogr; vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig erschöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls.
Sicherheitsmodule für Frankiermaschinen können als Multi-Chip-Module oder als Ein-Chip-Systeme (z.B. Chipkarten) realisiert werden. Sie sind konstruktiv entweder fest mit der Frankiermaschine verbunden oder steckbar. Gerade ein steckbares Sicherheitsmodul kann in seinem Lebenszyklus verschiedene Zustände einnehmen. Dabei muß detektiert werden, ob das Sicherheitsmodul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Sicherheitsmodul funktioniert oder defekt ist.
Der Erfindung liegt die Aufgabe zugrunde, für ein steckbares Sicherheitsmodul eine hohe Lebensdauer zu erzielen und es zur Signalisierung des Modulzustandes auszubilden.
Die Aufgabe wird mit den Merkmalen des Schutzanspruchs 1 gelöst.
Die Schaltung mit dem Prozessor des Sicherheitsmoduls, der auslesesicher sensible Daten enthält, und weiteren Funktionseinheiten werden lediglich durch eine Vergußmasse geschützt. Deshalb wird die Hauptplatine eines Meters bzw. einer vergleichbaren Steuereinrichtung mit
G3150-DE J '3^
einem Sicherheitsgehäuse umgeben, welches ggf. zusätzlich versiegelt ist. Das Sicherheitsmodul ist mit einer harten Masse vergossen. Für einen Batteriewechsel bzw. Entsorgung ist die Batterie jedoch außerhalb der Vergußmasse angeordnet. Bei einem gestecktem Sicherheitsmodul, welches zum Servicezeitpunkt von einer Systemspannung versorgt wird, kann die Batterie von einem Servicetechniker in vorteilhafter Weise ausgewechselt werden.
Existierende Sicherheitsmodule für Frankiermaschinen besitzen keine &iacgr;&ogr; eigenen optischen oder akustischen Signalmittel; sie können ihren Zustand nur indirekt, beispielsweise über Beeper oder die Anzeigeelemente einer Frankiermaschine, ausgeben. Die Zustandsanzeige kann hierbei automatisch beim Starten des Systems oder interaktiv durch den Benutzter der Frankiermaschine aufgerufen werden. Nachteilig ist, daß ein geeignetes "Zustandslesegerät" (Frankiermaschine o.a.) vorhanden sein muß. Es ist demgegenüber vorteilhaft, wenn das Sicherheitsmodul selbständig - bei Anlegen der Betriebsspannung - optisch (oder akustisch) seinen Zustand signalisiert. Es ist hierbei möglich und auch ausreichend, wenn das Modul nur ein grobe Unterscheidung des aktuellen Zustands durch eigene Signalmittel zuläßt. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.
Das Sicherheitsmodul für eine Frankiermaschine nimmt deren Funktion einer Abrechnung der Postgebühren und/oder die kryptografische Absicherung der Postgebührendaten war. Es ist erfindungsgemäß durch eigene Signalmittel oder eine Anzeigeeinheit gekennzeichnet, die bei direkter Ansteuerung vom Sicherheitsmodul eine Aussage über den aktuellen Zustand des Sicherheitsmoduls gestatten, wobei der Modulzustand geändert wird, wenn das Sicherheitsmodul in den ungesteckten Zustand überführt wird und/oder wenn die Batteriespannung unter eine vorbestimmte Schwelle sinkt, die jedoch bei Versorgung des Sicherheitsmoduls mit Systemspannung unterbrochen ist. Die Signalisierung des Modulzustandes wird nur bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert. Es ist vorgesehen, daß Signalmittel in demjenigen Bereich einer Leiterplatte des Sicherheitsmoduls durch das
G3150-DE · -&iacgr; 4
Vergußmaterial hindurchragen, wo das umgebende Sicherheitsgehäuse zur Signalisierung des Modulzustandes eine öffnung aufweist. Das Signalmittel ist vorteilhaft als Anzeigeeinheit realisiert und kann im einfachsten Fall eine Leuchtdiode LED sein. Weiterhin sind mehrere oder mehrfarbige LED's oder eine Flüssigkristallanzeige LCD o.a. denkbar.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der &iacgr;&ogr; Figuren näher dargestellt. Es zeigen:
Figur 1, Perspektivische Ansicht der Frankiermaschine von hinten,
Figur 2, Blockschaltbild des Sicherheitsmoduls,
Figur 3, Seitenansicht des Sicherheitsmoduls,
Figur 4, Draufsicht auf das Sicherheitsmodul,
Figur 5a, Ansicht des Sicherheitsmoduls von rechts,
Figur 5b, Ansicht des Sicherheitsmoduls von links.
In der Figur 1 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt.
Das Modul wird auf die Hauptplatine des Meters der Frankiermaschine oder eines anderen geeigneten Gerätes gesteckt. Es ist vorzugsweise
G3150-DE «f S- 5 S- ·* ' '
innerhalb des Metergehäuses untergebracht, welches als Sicherheitsgehäuse ausgebildet ist. Das Metergehäuse ist dabei vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen durch eine Öffnung 109 sehen kann, wobei sich die öffnung 109 zur Bedienoberfläche 88, 89 des Meters 1 erstreckt.
Die Anzeige wird direkt vom modulinternen Prozessor gesteuert und ist so von außen nicht ohne weiteres manipulierbar. Die Anzeige ist im Betriebszustand ständig aktiv, so daß das Anlegen der Systemspannung Us+ an den Prozessor des Sicherheitsmoduls ausreicht, die Anzeige zu &iacgr;&ogr; aktivieren, um den Modulzustand ablesen zu können.
Die Figur 2 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
is positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an einer Spannungsüberwachungseinheit 12 und einer Detektionseinheit 13 an. Die Spannungsüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pinsi, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM 116 einer ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
G3150-DE ;..·· 6.&Iacgr;..&Igr;,. ',,*'„' ..* ..
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.
&iacgr;&ogr; Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik für den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine des Meters 1 ist
is an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 12 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 für Daten-, Adreß- und Steuersignale enthält.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit 130 zurückgesetzt.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul-intemen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
G3150-DE &idigr; 5- 7 J-
— ' - · f ft
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine des Meters 1 in Kommunikationsverbindung.
Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit
&iacgr;&ogr; von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden. Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüberwachungseinheit 12 erzeugt.
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der Schaltung 12 der Speisepunkt für RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC und am SRAM liegt dann bei OV. Das führt dazu, daß der SRAM 124, der z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs umgeht.
Die Schaltung der Spannungsüberwachungseinheit 12 ist beispielsweise so dimensioniert, daß jegliches Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schwelle von 2,6 V zum Ansprechen der Schaltung 12 führt. Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die Schaltung 12 in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Sie liefert außerdem ein Statussignal 164. Beim nächsten Einschalten des Moduls
G3150-DE &iacgr; ·*- 8 t- .'
kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung 12 zurücksetzen, d.h. "scharf machen. Letztere reagiert auf ein Steuersignal auf der Leitung 135.
Die Leitung 136 am Eingang des Batterieobservers 12 versorgt zugleich eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung. Vom
&iacgr;&ogr; Prozessor 120 wird der Zustand der Detektions-Einheit 13 über die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor 120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des Interfaces des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am Anschluß P4 des Interfaces über die Leitung 192 von der Detektions-Einheit 13 abfragbar.
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nur bei einem, beispielsweise an die Hauptplatine des Meters 1, gesteckten Sicherheitsmodul 100 eine Leiterschleife 18 bilden. Zur dynamischen Prüfung des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine des Meters 1 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.
Der Prozessor 120 ist mit der Ein/Ausgabe-Einheit 125 ausgestattet, deren Anschlüsse Pin's 8, 9 zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 100 dienen. An den Pin's 8 und 9 liegen l/0-Ports der Ein/Ausgabe-Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107,108. Diese signalisieren den Modulzustand bei einem auf die Hauptplatine des Meters 1 gesteckten Sicherheitsmoduls 100 durch eine öffnung 109 im Metergehäuse. Die Sicherheits-
G3150-DE *,/— 9.h.:!. *:..··..·* II* "·
module können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z.B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.
Die Figur 3 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß das Signalmittel 107, 108 aus dem Vergußmaterial an einer ersten Stelle herausragt und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leuchtdioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse untergebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmesser der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt.Prinzipiell sind drei unterschiedliche Farben darstellbar
/-■3 1 cr\ r\T-> * '* 1 &eegr; · ·
G3150—DE « » 1U·— ·
(rot, grün, orange), von denen aber nur zwei benutzt werden (rot und grün). Zur Zustandsunterscheidung werden die LED's auch blinkend gesteuert, so daß fünf verschiedene Zustandsgruppen unterschieden werden können, die durch folgende LED-Zustände charakterisiert werden: LED aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün.
In der Figur 4 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt. Die Vergußmasse 105 umgibt quaderförmig einen ersten Teil der Leiterplatte 106, während ein zweiter Teil der Leiterplatte 106 für die &iacgr;&ogr; auswechselbar angeordnete Batterie 134 von Vergußmasse frei bleibt. Die Batteriekontaktklemmen 103 und 104 werden hier von der Batterie verdeckt, sind aber wieder in der Seitenansicht nach Fig.5a sichtbar.
Die Figuren 5a bzw. 5b zeigen eine Ansicht des Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 5a und 5b in Verbindung mit Figur 3 deutlicher sichtbar. Das Signalmittel 107, 108 ist vorzugsweise im ersten Teil der Leiterplatte 106 angeschlossen, welches durch das Vergußmaterial 105 umgeben ist (Figuren 3, 4 und 5b). Aus Energiespargründen erfolgt nur bei Versorgung des Sicherheitsmoduls mit Systemspannung die Signalisierung des Modulzustandes.
Das Vergußmaterial 105 ist vorzugsweise ein Zweikomponenten-Epoxitharz oder Polymer bzw. Kunststoff. Geeignet ist eine Vergußmasse aus STYCAST ©2651-40 FR von der Firma EMERSON & CUMING mit vorzugsweise CATALYST 9 als zweite Komponente.
Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankiermaschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf die Hauptplatine eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.

Claims (8)

G3150-DE · ·- 12·-. .... . . Schutzansprüche
1. Sicherheitsmodul mit Statussignalisierung, mit Funktionseinheiten, welche miteinander verschaltet und von einer Vergußmasse bedeckt sind, gekennzeichnet dadurch,
daß die Vergußmasse (105) mindestens einen Teil der Leiterplatte (106) mit den verschalteten Funktionseinheiten umgibt, daß zur Signalisierung des Modulzustandes ein optisches oder akustisches Signalmittel (107, &iacgr;&ogr; 108) an einer Funktionseinheit der Leiterplatte (106) angeschlossen ist, welche durch das Vergußmaterial (105) umgeben ist.
2. Sicherheitsmodul, nach Anspruch 1, gekennzeichnet da durch, daß Signalmittel (107, 108) in demjenigen Bereich der Leiterplatte (106) durch das Vergußmaterial (105) hindurchragt, wo das umgebende Sicherheitsgehäuse zur Signalisierung des Modulzustandes eine öffnung (109) aufweist.
3. Sicherheitsmodul, nach Anspruch 2, gekennzeichnet dadurch, daß sich die öffnung (109) zur Bedienoberfläche (88, 89) eines Meters (1) erstreckt und daß die Abmaße bzw. der Durchmesser der öffnung in der Größenordnung des Signalmittels liegt.
4. Sicherheitsmodul, nach einem der Ansprüche 1 bis 3, gekennzeichnet da durch, daß das Signalmittel als Anzeigeeinheit realisiert ist.
5. Sicherheitsmodul, nach Anspruch 4, gekennzeichnet dadurch, daß die Anzeigeeinheit eine oder mehrere oder mehrfarbige Leuchtdioden (LED's) einschließt.
G3150-DE :..·- 13:.-.:..
· ti ·
6. Sicherheitsmodul, nach Anspruch 5, gekennzeichnet dadurch, daß die Leuchtdioden LED's zur Zustandsunterscheidung blinkend gesteuert werden.
7. Sicherheitsmodul, nach Anspruch 4, gekennzeichnet dadurch, daß die Anzeigeeinheit eine Flüssigkristallanzeige (LCD) ist.
8. Sicherheitsmodul, nach Anspruch 1, gekennzeichnet dadurch, daß ein weiterer Teil der Leiterplatte (106) für eine auswechselbar angeordnete Batterie (134) ausgebildet ist und von Vergußmasse frei bleibt, Batteriekontaktklemmen (103 und 104) für den Anschluß der Pole der Batterie (134) aufweist, daß die Leiterplatte (106) eine zweite Kontaktgruppe (102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist, wobei der Modulzustandes geändert wird, wenn die Batteriespannung unter eine vorbestimmte Schwelle sinkt, wobei jedoch die Signalisierung des Modulzustandes nur bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert wird.
DE29905219U 1999-03-12 1999-03-12 Sicherheitsmodul mit Statussignalisierung Expired - Lifetime DE29905219U1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE29905219U DE29905219U1 (de) 1999-03-12 1999-03-12 Sicherheitsmodul mit Statussignalisierung
EP00250057A EP1035513B1 (de) 1999-03-12 2000-02-21 Sicherheitsmodul mit Statussignalisierung
DE50015228T DE50015228D1 (de) 1999-03-12 2000-02-21 Sicherheitsmodul mit Statussignalisierung
CNB001038737A CN1151474C (zh) 1999-03-12 2000-03-10 带有状态信号的安全模件
US09/524,118 US6771179B1 (en) 1999-03-12 2000-03-13 Security module with status signaling

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE29905219U DE29905219U1 (de) 1999-03-12 1999-03-12 Sicherheitsmodul mit Statussignalisierung
US09/524,118 US6771179B1 (en) 1999-03-12 2000-03-13 Security module with status signaling

Publications (1)

Publication Number Publication Date
DE29905219U1 true DE29905219U1 (de) 1999-06-17

Family

ID=33300877

Family Applications (1)

Application Number Title Priority Date Filing Date
DE29905219U Expired - Lifetime DE29905219U1 (de) 1999-03-12 1999-03-12 Sicherheitsmodul mit Statussignalisierung

Country Status (4)

Country Link
US (1) US6771179B1 (de)
EP (1) EP1035513B1 (de)
CN (1) CN1151474C (de)
DE (1) DE29905219U1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1061479A2 (de) 1999-06-15 2000-12-20 Francotyp-Postalia AG & Co. Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP1063619A1 (de) 1999-06-15 2000-12-27 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE19928061A1 (de) * 1999-06-15 2000-12-28 Francotyp Postalia Gmbh Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
EP1120750A1 (de) 2000-01-27 2001-08-01 Francotyp-Postalia AG & Co. Frankiermaschine

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10061665A1 (de) 2000-12-11 2002-06-20 Francotyp Postalia Gmbh Verfahren zur Ermittlung eines Erfordernis zum Austausch eines Bauteils und Anordnung zur Durchführung des Verfahrens
DE10116703A1 (de) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
DE10136608B4 (de) * 2001-07-16 2005-12-08 Francotyp-Postalia Ag & Co. Kg Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
DE102004027517B4 (de) * 2004-06-03 2007-05-10 Francotyp-Postalia Gmbh Anordnung und Verfahren zur Ansteuerung eines Thermotransferdruckkopfes
DE102007011309B4 (de) 2007-03-06 2008-11-20 Francotyp-Postalia Gmbh Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine
CN101453116A (zh) * 2007-12-06 2009-06-10 鸿富锦精密工业(深圳)有限公司 芯片保护电路及电子装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4575621A (en) * 1984-03-07 1986-03-11 Corpra Research, Inc. Portable electronic transaction device and system therefor
US5097253A (en) * 1989-01-06 1992-03-17 Battelle Memorial Institute Electronic security device
US5027397A (en) 1989-09-12 1991-06-25 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
US5353350A (en) * 1989-10-03 1994-10-04 University Of Technology Electro-active cradle circuits for the detection of access or penetration
US5515540A (en) * 1990-08-27 1996-05-07 Dallas Semiconducter Corp. Microprocessor with single pin for memory wipe
JPH08335876A (ja) * 1995-06-09 1996-12-17 Fujitsu Ltd ルビジウム原子発振器
GB9514096D0 (en) * 1995-07-11 1995-09-13 Homewood Clive R Security device
DE59710554D1 (de) 1996-01-31 2003-09-18 Francotyp Postalia Ag Frankiermaschine
EP0958674B1 (de) * 1996-11-07 2006-06-28 Ascom Hasler Mailing Systems, Inc. Vorrichtung zur gesicherten Kryptographischen Datenverarbeitung und zum Schutz von Speicherermitteln für Frankiermaschinen
DE19816572A1 (de) 1998-04-07 1999-10-14 Francotyp Postalia Gmbh Anordnung für einen Sicherheitsmodul
DE19816571A1 (de) 1998-04-07 1999-10-14 Francotyp Postalia Gmbh Anordnung für den Zugriffsschutz für Sicherheitsmodule

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1061479A2 (de) 1999-06-15 2000-12-20 Francotyp-Postalia AG & Co. Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP1063619A1 (de) 1999-06-15 2000-12-27 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE19928061A1 (de) * 1999-06-15 2000-12-28 Francotyp Postalia Gmbh Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
EP1069492A2 (de) 1999-06-15 2001-01-17 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
US6351220B1 (en) 1999-06-15 2002-02-26 Francotyp-Postalia Ag & Co. Security module for monitoring security in an electronic system and method
US6362724B1 (en) 1999-06-15 2002-03-26 Francotyp-Postalia Ag & Co. Security module and method for securing computerized postal registers against manipulation
DE19928061C2 (de) * 1999-06-15 2003-08-28 Francotyp Postalia Ag Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
EP1120750A1 (de) 2000-01-27 2001-08-01 Francotyp-Postalia AG & Co. Frankiermaschine

Also Published As

Publication number Publication date
US6771179B1 (en) 2004-08-03
CN1267041A (zh) 2000-09-20
EP1035513A2 (de) 2000-09-13
EP1035513A3 (de) 2000-12-20
EP1035513B1 (de) 2008-07-02
CN1151474C (zh) 2004-05-26

Similar Documents

Publication Publication Date Title
EP0969422B1 (de) Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen
EP1035516B1 (de) Anordnung für ein Sicherheitsmodul
DE3626580A1 (de) Fernfrankiermaschinen-inspektionssystem
EP1035517B1 (de) Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
DE3729345A1 (de) Sicherheitsgehaeuse mit elektronischer anzeige fuer ein wertdrucksystem
EP0762337A2 (de) Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
EP1035518B1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
EP1035513B1 (de) Sicherheitsmodul mit Statussignalisierung
EP1278164A2 (de) Anordnung und Verfahren zum Andern der Funktionalität eines Sicherheitsmoduls
DE19928057A1 (de) Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
EP1209631B1 (de) Anordnung zur Stromversorgung für einen Sicherheitsbereich eines Gerätes
DE20112350U1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
DE19928061C2 (de) Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren
DE68915895T2 (de) Frankiermaschine.
DE3040532C2 (de) Nachladbare elektronische Frankiermaschine
EP1061479A2 (de) Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes
EP1213817B1 (de) Verfahren zur Ermittlung eines Erfordernisses zum Austausch eines Bauteils
DE4129302A1 (de) Frankiermaschine
DE19534529C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE19534527C2 (de) Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten
DE20110822U1 (de) Auditiersystem für elektronische Spielmaschinen
DE102008047308A1 (de) Sicherheitsmodul eines Benutzergeräts

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 19990729

R150 Utility model maintained after payment of first maintenance fee after three years

Effective date: 20020709

R151 Utility model maintained after payment of second maintenance fee after six years

Effective date: 20050304

R152 Utility model maintained after payment of third maintenance fee after eight years

Effective date: 20070308

R081 Change of applicant/patentee

Owner name: FRANCOTYP-POSTALIA GMBH, DE

Free format text: FORMER OWNER: FRANCOTYP-POSTALIA AG & CO. KG, 16547 BIRKENWERDER, DE

Effective date: 20081107

R071 Expiry of right