DE29905219U1 - Sicherheitsmodul mit Statussignalisierung - Google Patents
Sicherheitsmodul mit StatussignalisierungInfo
- Publication number
- DE29905219U1 DE29905219U1 DE29905219U DE29905219U DE29905219U1 DE 29905219 U1 DE29905219 U1 DE 29905219U1 DE 29905219 U DE29905219 U DE 29905219U DE 29905219 U DE29905219 U DE 29905219U DE 29905219 U1 DE29905219 U1 DE 29905219U1
- Authority
- DE
- Germany
- Prior art keywords
- security module
- module
- signaling
- battery
- circuit board
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000011664 signaling Effects 0.000 title claims description 22
- 238000004382 potting Methods 0.000 claims description 10
- 150000001875 compounds Chemical class 0.000 claims description 8
- 238000005266 casting Methods 0.000 claims description 7
- 239000000463 material Substances 0.000 claims description 7
- 239000004973 liquid crystal related substance Substances 0.000 claims description 2
- 230000003287 optical effect Effects 0.000 claims description 2
- 230000015654 memory Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000007639 printing Methods 0.000 description 3
- KSAVQLQVUXSOCR-UHFFFAOYSA-M sodium lauroyl sarcosinate Chemical compound [Na+].CCCCCCCCCCCC(=O)N(C)CC([O-])=O KSAVQLQVUXSOCR-UHFFFAOYSA-M 0.000 description 3
- 239000004020 conductor Substances 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 239000003054 catalyst Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000003822 epoxy resin Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004033 plastic Substances 0.000 description 1
- 229920003023 plastic Polymers 0.000 description 1
- 229920000647 polyepoxide Polymers 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00233—Housing, e.g. lock or hardened casing
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00241—Modular design
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Battery Mounting, Suspending (AREA)
- Alarm Systems (AREA)
- Charge And Discharge Circuits For Batteries Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Description
Francotyp-Postalia AG & Co. 12. März 1999
Triftweg 21 - 26
16547 Birkenwerder
16547 Birkenwerder
G3150-DE
Sicherheitsmodul mit Statussignalisierung
Die Erfindung betrifft ein Sicherheitsmodul mit Statussignalisierung,
gemäß der im Oberbegriff des Schutzanspruchs 1 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in
einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.
Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren
von Postgut, sind mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Drückens und der
peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, die in nichtflüchtigen
Speichern gehalten werden, und einer Einheit zum kryptografrschen Absichern der Postgebührendaten ausgestattet. Die Abrecheneinheit
und/oder die Einheit zum Absichern des Drückens der Postgebührendaten
kann von einem sogenannten Sicherheitsmodul realisiert werden (EP 789 333 A2).
G3150-DE ·_> 2.r.
Der Prozessor des Sicherheitsmoduls ist beispielsweise ein OTP (One
Time Programmable), welcher sensible Daten, wie kryptografische Schlüssel, auslesesicher speichert. Die Kapselung durch ein
Sicherheitsgehäuse bietet einen weiteren Schutz.
Sicherheitsmodule sind auch von anderen elektronischen Datenverarbeitungsanlagen
bereits bekannt und mit Mitteln zum Schutz vor einem Einbruch in ihre Elektronik ausgestattet (EP 417 447 B1).
Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht
&iacgr;&ogr; vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16
571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung
versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig erschöpft.
Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls.
Sicherheitsmodule für Frankiermaschinen können als Multi-Chip-Module
oder als Ein-Chip-Systeme (z.B. Chipkarten) realisiert werden. Sie sind
konstruktiv entweder fest mit der Frankiermaschine verbunden oder steckbar. Gerade ein steckbares Sicherheitsmodul kann in seinem
Lebenszyklus verschiedene Zustände einnehmen. Dabei muß detektiert werden, ob das Sicherheitsmodul gültige kryptografische Schlüssel
enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Sicherheitsmodul funktioniert oder defekt ist.
Der Erfindung liegt die Aufgabe zugrunde, für ein steckbares Sicherheitsmodul eine hohe Lebensdauer zu erzielen und es zur
Signalisierung des Modulzustandes auszubilden.
Die Aufgabe wird mit den Merkmalen des Schutzanspruchs 1 gelöst.
Die Schaltung mit dem Prozessor des Sicherheitsmoduls, der auslesesicher
sensible Daten enthält, und weiteren Funktionseinheiten werden lediglich durch eine Vergußmasse geschützt. Deshalb wird die Hauptplatine
eines Meters bzw. einer vergleichbaren Steuereinrichtung mit
G3150-DE J '3^
einem Sicherheitsgehäuse umgeben, welches ggf. zusätzlich versiegelt
ist. Das Sicherheitsmodul ist mit einer harten Masse vergossen. Für einen Batteriewechsel bzw. Entsorgung ist die Batterie jedoch außerhalb der
Vergußmasse angeordnet. Bei einem gestecktem Sicherheitsmodul, welches zum Servicezeitpunkt von einer Systemspannung versorgt wird,
kann die Batterie von einem Servicetechniker in vorteilhafter Weise ausgewechselt werden.
Existierende Sicherheitsmodule für Frankiermaschinen besitzen keine
&iacgr;&ogr; eigenen optischen oder akustischen Signalmittel; sie können ihren
Zustand nur indirekt, beispielsweise über Beeper oder die Anzeigeelemente einer Frankiermaschine, ausgeben. Die Zustandsanzeige kann
hierbei automatisch beim Starten des Systems oder interaktiv durch den Benutzter der Frankiermaschine aufgerufen werden. Nachteilig ist, daß
ein geeignetes "Zustandslesegerät" (Frankiermaschine o.a.) vorhanden sein muß. Es ist demgegenüber vorteilhaft, wenn das Sicherheitsmodul
selbständig - bei Anlegen der Betriebsspannung - optisch (oder akustisch)
seinen Zustand signalisiert. Es ist hierbei möglich und auch ausreichend, wenn das Modul nur ein grobe Unterscheidung des aktuellen Zustands
durch eigene Signalmittel zuläßt. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der
Implementierung abhängig.
Das Sicherheitsmodul für eine Frankiermaschine nimmt deren Funktion
einer Abrechnung der Postgebühren und/oder die kryptografische Absicherung der Postgebührendaten war. Es ist erfindungsgemäß durch
eigene Signalmittel oder eine Anzeigeeinheit gekennzeichnet, die bei direkter Ansteuerung vom Sicherheitsmodul eine Aussage über den
aktuellen Zustand des Sicherheitsmoduls gestatten, wobei der Modulzustand
geändert wird, wenn das Sicherheitsmodul in den ungesteckten Zustand überführt wird und/oder wenn die Batteriespannung unter eine
vorbestimmte Schwelle sinkt, die jedoch bei Versorgung des Sicherheitsmoduls mit Systemspannung unterbrochen ist. Die Signalisierung des
Modulzustandes wird nur bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert. Es ist vorgesehen, daß Signalmittel in
demjenigen Bereich einer Leiterplatte des Sicherheitsmoduls durch das
G3150-DE · -&iacgr; 4
Vergußmaterial hindurchragen, wo das umgebende Sicherheitsgehäuse zur Signalisierung des Modulzustandes eine öffnung aufweist. Das
Signalmittel ist vorteilhaft als Anzeigeeinheit realisiert und kann im einfachsten Fall eine Leuchtdiode LED sein. Weiterhin sind mehrere oder
mehrfarbige LED's oder eine Flüssigkristallanzeige LCD o.a. denkbar.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen
gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der
&iacgr;&ogr; Figuren näher dargestellt. Es zeigen:
Figur 1, Perspektivische Ansicht der Frankiermaschine von hinten,
Figur 2, Blockschaltbild des Sicherheitsmoduls,
Figur 2, Blockschaltbild des Sicherheitsmoduls,
Figur 3, Seitenansicht des Sicherheitsmoduls,
Figur 4, Draufsicht auf das Sicherheitsmodul,
Figur 5a, Ansicht des Sicherheitsmoduls von rechts,
Figur 5b, Ansicht des Sicherheitsmoduls von links.
Figur 4, Draufsicht auf das Sicherheitsmodul,
Figur 5a, Ansicht des Sicherheitsmoduls von rechts,
Figur 5b, Ansicht des Sicherheitsmoduls von links.
In der Figur 1 ist eine perspektivische Ansicht der Frankiermaschine von
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70
ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der
Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach
unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der
Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch
eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt.
Das Modul wird auf die Hauptplatine des Meters der Frankiermaschine
oder eines anderen geeigneten Gerätes gesteckt. Es ist vorzugsweise
G3150-DE «f S- 5 S- ·* ' '
innerhalb des Metergehäuses untergebracht, welches als Sicherheitsgehäuse
ausgebildet ist. Das Metergehäuse ist dabei vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls
trotzdem von außen durch eine Öffnung 109 sehen kann, wobei sich die
öffnung 109 zur Bedienoberfläche 88, 89 des Meters 1 erstreckt.
Die Anzeige wird direkt vom modulinternen Prozessor gesteuert und ist so
von außen nicht ohne weiteres manipulierbar. Die Anzeige ist im Betriebszustand ständig aktiv, so daß das Anlegen der Systemspannung
Us+ an den Prozessor des Sicherheitsmoduls ausreicht, die Anzeige zu &iacgr;&ogr; aktivieren, um den Modulzustand ablesen zu können.
Die Figur 2 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
is positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen
Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters
180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher
Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an
einer Spannungsüberwachungseinheit 12 und einer Detektionseinheit 13
an. Die Spannungsüberwachungseinheit 12 und die Detektionseinheit 13
stehen mit den Pinsi, 2, 4 und 5 des Prozessors 120 über die Leitungen
135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des
Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die
vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM 116 einer
ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann über
den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC
150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
G3150-DE ;..·· 6.&Iacgr;..&Igr;,. ',,*'„' ..* ..
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt
Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese
zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch
übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen
internen Adreß- und Datenbus 112, 113 verbunden.
&iacgr;&ogr; Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die
Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik für den ASIC
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert.
Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine des Meters 1 ist
is an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL
160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der
Prozessor 120, FLASH 28, ASIC 12 und PAL 160 sind über einen
modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 für Daten-, Adreß- und Steuersignale enthält.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der
Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit 130 zurückgesetzt.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit
125 auf. Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul-intemen Datenbus 126 mit einem FLASH 128 und mit dem ASIC
150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher
vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen
Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge
des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
G3150-DE &idigr; 5- 7 J-
— ' - · f ft
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces
mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115
der Hauptplatine des Meters 1 in Kommunikationsverbindung.
Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der
Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116
diejenige seiner Eingangsspannungen weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit
&iacgr;&ogr; von der Höhe der Spannungen Us+ und Ub+ automatisch mit der
größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden. Die Echtzeituhr RTC
122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüberwachungseinheit
12 erzeugt.
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb
des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM)
124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von
der Schaltung 12 der Speisepunkt für RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC und am SRAM liegt dann bei
OV. Das führt dazu, daß der SRAM 124, der z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch
die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß
ein möglicher Angreifer durch Manipulation der Batteriespannung die
frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante
Daten verloren gehen. Somit wird verhindert, daß er Sicherheitsmaßnahmen,
wie beispielsweise Long Time Watchdogs umgeht.
Die Schaltung der Spannungsüberwachungseinheit 12 ist beispielsweise
so dimensioniert, daß jegliches Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schwelle von 2,6 V zum Ansprechen
der Schaltung 12 führt. Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die Schaltung 12 in einen Selbsthaltezustand, in
dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Sie liefert außerdem ein Statussignal 164. Beim nächsten Einschalten des Moduls
G3150-DE &iacgr; ·*- 8 t- .'
kann der Prozessor den Zustand der Schaltung abfragen (Statussignal)
und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich
einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung 12 zurücksetzen, d.h. "scharf machen. Letztere
reagiert auf ein Steuersignal auf der Leitung 135.
Die Leitung 136 am Eingang des Batterieobservers 12 versorgt zugleich
eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung. Vom
&iacgr;&ogr; Prozessor 120 wird der Zustand der Detektions-Einheit 13 über die
Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor
120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach dem Setzen wird
eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des
Interfaces des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt
ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls
PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am
Anschluß P4 des Interfaces über die Leitung 192 von der Detektions-Einheit 13 abfragbar.
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen,
welche nur bei einem, beispielsweise an die Hauptplatine des Meters 1,
gesteckten Sicherheitsmodul 100 eine Leiterschleife 18 bilden. Zur dynamischen Prüfung des Angeschlossenseins des postalischen
Sicherheitsmoduls PSM 100 an der Hauptplatine des Meters 1 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen
Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.
Der Prozessor 120 ist mit der Ein/Ausgabe-Einheit 125 ausgestattet,
deren Anschlüsse Pin's 8, 9 zur Ausgabe mindestens eines Signals zur
Signalisierung des Zustandes des Sicherheitsmoduls 100 dienen. An den Pin's 8 und 9 liegen l/0-Ports der Ein/Ausgabe-Einheit 125, an welchen
modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107,108. Diese signalisieren den Modulzustand
bei einem auf die Hauptplatine des Meters 1 gesteckten Sicherheitsmoduls 100 durch eine öffnung 109 im Metergehäuse. Die Sicherheits-
G3150-DE *,/— 9.h.:!. *:..··..·* II* "·
module können in ihrem Lebenszyklus verschiedene Zustände einnehmen.
So muß z.B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu
unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im
Modul und von der Implementierung abhängig.
Die Figur 3 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet,
d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar
angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß das Signalmittel 107, 108 aus dem Vergußmaterial
an einer ersten Stelle herausragt und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die
Leiterplatte 106 hat außerdem Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der
Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die
Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der
Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet
sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer
Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit
der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses
dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit
vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leuchtdioden
107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide
Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse untergebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmesser
der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt.Prinzipiell sind drei unterschiedliche Farben darstellbar
/-■3 1 cr\ r\T->
* '* 1 &eegr; · ·
G3150—DE « » 1U·— ·
(rot, grün, orange), von denen aber nur zwei benutzt werden (rot und
grün). Zur Zustandsunterscheidung werden die LED's auch blinkend gesteuert, so daß fünf verschiedene Zustandsgruppen unterschieden
werden können, die durch folgende LED-Zustände charakterisiert werden: LED aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün.
In der Figur 4 ist eine Draufsicht auf das postalische Sicherheitsmodul
dargestellt. Die Vergußmasse 105 umgibt quaderförmig einen ersten Teil
der Leiterplatte 106, während ein zweiter Teil der Leiterplatte 106 für die
&iacgr;&ogr; auswechselbar angeordnete Batterie 134 von Vergußmasse frei bleibt.
Die Batteriekontaktklemmen 103 und 104 werden hier von der Batterie verdeckt, sind aber wieder in der Seitenansicht nach Fig.5a sichtbar.
Die Figuren 5a bzw. 5b zeigen eine Ansicht des Sicherheitsmoduls jeweils
von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102
unterhalb der Leiterplatte 106 wird aus den Figuren 5a und 5b in Verbindung mit Figur 3 deutlicher sichtbar. Das Signalmittel 107, 108 ist
vorzugsweise im ersten Teil der Leiterplatte 106 angeschlossen, welches durch das Vergußmaterial 105 umgeben ist (Figuren 3, 4 und 5b). Aus
Energiespargründen erfolgt nur bei Versorgung des Sicherheitsmoduls mit Systemspannung die Signalisierung des Modulzustandes.
Das Vergußmaterial 105 ist vorzugsweise ein Zweikomponenten-Epoxitharz
oder Polymer bzw. Kunststoff. Geeignet ist eine Vergußmasse aus STYCAST ©2651-40 FR von der Firma EMERSON & CUMING mit
vorzugsweise CATALYST 9 als zweite Komponente.
Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankiermaschine,
jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf die Hauptplatine
eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt,
da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen
Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.
Claims (8)
1. Sicherheitsmodul mit Statussignalisierung, mit Funktionseinheiten,
welche miteinander verschaltet und von einer Vergußmasse bedeckt sind, gekennzeichnet dadurch,
daß die Vergußmasse (105) mindestens einen Teil der Leiterplatte (106)
mit den verschalteten Funktionseinheiten umgibt, daß zur Signalisierung des Modulzustandes ein optisches oder akustisches Signalmittel (107,
&iacgr;&ogr; 108) an einer Funktionseinheit der Leiterplatte (106) angeschlossen ist,
welche durch das Vergußmaterial (105) umgeben ist.
2. Sicherheitsmodul, nach Anspruch 1, gekennzeichnet da durch,
daß Signalmittel (107, 108) in demjenigen Bereich der Leiterplatte (106) durch das Vergußmaterial (105) hindurchragt, wo das
umgebende Sicherheitsgehäuse zur Signalisierung des Modulzustandes eine öffnung (109) aufweist.
3. Sicherheitsmodul, nach Anspruch 2, gekennzeichnet dadurch,
daß sich die öffnung (109) zur Bedienoberfläche (88, 89) eines Meters (1) erstreckt und daß die Abmaße bzw. der Durchmesser der
öffnung in der Größenordnung des Signalmittels liegt.
4. Sicherheitsmodul, nach einem der Ansprüche 1 bis 3, gekennzeichnet
da durch, daß das Signalmittel als Anzeigeeinheit realisiert ist.
5. Sicherheitsmodul, nach Anspruch 4, gekennzeichnet dadurch,
daß die Anzeigeeinheit eine oder mehrere oder mehrfarbige Leuchtdioden (LED's) einschließt.
G3150-DE :..·- 13:.-.:..
· ti ·
6. Sicherheitsmodul, nach Anspruch 5, gekennzeichnet dadurch,
daß die Leuchtdioden LED's zur Zustandsunterscheidung blinkend gesteuert werden.
7. Sicherheitsmodul, nach Anspruch 4, gekennzeichnet dadurch,
daß die Anzeigeeinheit eine Flüssigkristallanzeige (LCD) ist.
8. Sicherheitsmodul, nach Anspruch 1, gekennzeichnet dadurch,
daß ein weiterer Teil der Leiterplatte (106) für eine auswechselbar angeordnete Batterie (134) ausgebildet ist und von
Vergußmasse frei bleibt, Batteriekontaktklemmen (103 und 104) für den Anschluß der Pole der Batterie (134) aufweist, daß die Leiterplatte (106)
eine zweite Kontaktgruppe (102) zur Versorgung des Sicherheitsmoduls (100) mit der Systemspannung aufweist, wobei der Modulzustandes
geändert wird, wenn die Batteriespannung unter eine vorbestimmte Schwelle sinkt, wobei jedoch die Signalisierung des Modulzustandes nur
bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert wird.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE29905219U DE29905219U1 (de) | 1999-03-12 | 1999-03-12 | Sicherheitsmodul mit Statussignalisierung |
EP00250057A EP1035513B1 (de) | 1999-03-12 | 2000-02-21 | Sicherheitsmodul mit Statussignalisierung |
DE50015228T DE50015228D1 (de) | 1999-03-12 | 2000-02-21 | Sicherheitsmodul mit Statussignalisierung |
CNB001038737A CN1151474C (zh) | 1999-03-12 | 2000-03-10 | 带有状态信号的安全模件 |
US09/524,118 US6771179B1 (en) | 1999-03-12 | 2000-03-13 | Security module with status signaling |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE29905219U DE29905219U1 (de) | 1999-03-12 | 1999-03-12 | Sicherheitsmodul mit Statussignalisierung |
US09/524,118 US6771179B1 (en) | 1999-03-12 | 2000-03-13 | Security module with status signaling |
Publications (1)
Publication Number | Publication Date |
---|---|
DE29905219U1 true DE29905219U1 (de) | 1999-06-17 |
Family
ID=33300877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE29905219U Expired - Lifetime DE29905219U1 (de) | 1999-03-12 | 1999-03-12 | Sicherheitsmodul mit Statussignalisierung |
Country Status (4)
Country | Link |
---|---|
US (1) | US6771179B1 (de) |
EP (1) | EP1035513B1 (de) |
CN (1) | CN1151474C (de) |
DE (1) | DE29905219U1 (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1061479A2 (de) | 1999-06-15 | 2000-12-20 | Francotyp-Postalia AG & Co. | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
EP1063619A1 (de) | 1999-06-15 | 2000-12-27 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation |
DE19928061A1 (de) * | 1999-06-15 | 2000-12-28 | Francotyp Postalia Gmbh | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
EP1120750A1 (de) | 2000-01-27 | 2001-08-01 | Francotyp-Postalia AG & Co. | Frankiermaschine |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10061665A1 (de) | 2000-12-11 | 2002-06-20 | Francotyp Postalia Gmbh | Verfahren zur Ermittlung eines Erfordernis zum Austausch eines Bauteils und Anordnung zur Durchführung des Verfahrens |
DE10116703A1 (de) * | 2001-03-29 | 2002-10-10 | Francotyp Postalia Ag | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
DE10136608B4 (de) * | 2001-07-16 | 2005-12-08 | Francotyp-Postalia Ag & Co. Kg | Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul |
DE102004027517B4 (de) * | 2004-06-03 | 2007-05-10 | Francotyp-Postalia Gmbh | Anordnung und Verfahren zur Ansteuerung eines Thermotransferdruckkopfes |
DE102007011309B4 (de) | 2007-03-06 | 2008-11-20 | Francotyp-Postalia Gmbh | Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine |
CN101453116A (zh) * | 2007-12-06 | 2009-06-10 | 鸿富锦精密工业(深圳)有限公司 | 芯片保护电路及电子装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4575621A (en) * | 1984-03-07 | 1986-03-11 | Corpra Research, Inc. | Portable electronic transaction device and system therefor |
US5097253A (en) * | 1989-01-06 | 1992-03-17 | Battelle Memorial Institute | Electronic security device |
US5027397A (en) | 1989-09-12 | 1991-06-25 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
US5353350A (en) * | 1989-10-03 | 1994-10-04 | University Of Technology | Electro-active cradle circuits for the detection of access or penetration |
US5515540A (en) * | 1990-08-27 | 1996-05-07 | Dallas Semiconducter Corp. | Microprocessor with single pin for memory wipe |
JPH08335876A (ja) * | 1995-06-09 | 1996-12-17 | Fujitsu Ltd | ルビジウム原子発振器 |
GB9514096D0 (en) * | 1995-07-11 | 1995-09-13 | Homewood Clive R | Security device |
DE59710554D1 (de) | 1996-01-31 | 2003-09-18 | Francotyp Postalia Ag | Frankiermaschine |
EP0958674B1 (de) * | 1996-11-07 | 2006-06-28 | Ascom Hasler Mailing Systems, Inc. | Vorrichtung zur gesicherten Kryptographischen Datenverarbeitung und zum Schutz von Speicherermitteln für Frankiermaschinen |
DE19816572A1 (de) | 1998-04-07 | 1999-10-14 | Francotyp Postalia Gmbh | Anordnung für einen Sicherheitsmodul |
DE19816571A1 (de) | 1998-04-07 | 1999-10-14 | Francotyp Postalia Gmbh | Anordnung für den Zugriffsschutz für Sicherheitsmodule |
-
1999
- 1999-03-12 DE DE29905219U patent/DE29905219U1/de not_active Expired - Lifetime
-
2000
- 2000-02-21 EP EP00250057A patent/EP1035513B1/de not_active Expired - Lifetime
- 2000-03-10 CN CNB001038737A patent/CN1151474C/zh not_active Expired - Fee Related
- 2000-03-13 US US09/524,118 patent/US6771179B1/en not_active Expired - Lifetime
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1061479A2 (de) | 1999-06-15 | 2000-12-20 | Francotyp-Postalia AG & Co. | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
EP1063619A1 (de) | 1999-06-15 | 2000-12-27 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation |
DE19928061A1 (de) * | 1999-06-15 | 2000-12-28 | Francotyp Postalia Gmbh | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
EP1069492A2 (de) | 1999-06-15 | 2001-01-17 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
US6351220B1 (en) | 1999-06-15 | 2002-02-26 | Francotyp-Postalia Ag & Co. | Security module for monitoring security in an electronic system and method |
US6362724B1 (en) | 1999-06-15 | 2002-03-26 | Francotyp-Postalia Ag & Co. | Security module and method for securing computerized postal registers against manipulation |
DE19928061C2 (de) * | 1999-06-15 | 2003-08-28 | Francotyp Postalia Ag | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
EP1120750A1 (de) | 2000-01-27 | 2001-08-01 | Francotyp-Postalia AG & Co. | Frankiermaschine |
Also Published As
Publication number | Publication date |
---|---|
US6771179B1 (en) | 2004-08-03 |
CN1267041A (zh) | 2000-09-20 |
EP1035513A2 (de) | 2000-09-13 |
EP1035513A3 (de) | 2000-12-20 |
EP1035513B1 (de) | 2008-07-02 |
CN1151474C (zh) | 2004-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0969422B1 (de) | Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen | |
EP1035516B1 (de) | Anordnung für ein Sicherheitsmodul | |
DE3626580A1 (de) | Fernfrankiermaschinen-inspektionssystem | |
EP1035517B1 (de) | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens | |
DE3729345A1 (de) | Sicherheitsgehaeuse mit elektronischer anzeige fuer ein wertdrucksystem | |
EP0762337A2 (de) | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
EP1035518B1 (de) | Anordnung zum Schutz eines Sicherheitsmoduls | |
EP1035513B1 (de) | Sicherheitsmodul mit Statussignalisierung | |
EP1278164A2 (de) | Anordnung und Verfahren zum Andern der Funktionalität eines Sicherheitsmoduls | |
DE19928057A1 (de) | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation | |
EP1209631B1 (de) | Anordnung zur Stromversorgung für einen Sicherheitsbereich eines Gerätes | |
DE20112350U1 (de) | Anordnung zum Schutz eines Sicherheitsmoduls | |
DE19928061C2 (de) | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren | |
DE68915895T2 (de) | Frankiermaschine. | |
DE3040532C2 (de) | Nachladbare elektronische Frankiermaschine | |
EP1061479A2 (de) | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes | |
EP1213817B1 (de) | Verfahren zur Ermittlung eines Erfordernisses zum Austausch eines Bauteils | |
DE4129302A1 (de) | Frankiermaschine | |
DE19534529C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
DE19534527C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
DE20110822U1 (de) | Auditiersystem für elektronische Spielmaschinen | |
DE102008047308A1 (de) | Sicherheitsmodul eines Benutzergeräts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R207 | Utility model specification |
Effective date: 19990729 |
|
R150 | Utility model maintained after payment of first maintenance fee after three years |
Effective date: 20020709 |
|
R151 | Utility model maintained after payment of second maintenance fee after six years |
Effective date: 20050304 |
|
R152 | Utility model maintained after payment of third maintenance fee after eight years |
Effective date: 20070308 |
|
R081 | Change of applicant/patentee |
Owner name: FRANCOTYP-POSTALIA GMBH, DE Free format text: FORMER OWNER: FRANCOTYP-POSTALIA AG & CO. KG, 16547 BIRKENWERDER, DE Effective date: 20081107 |
|
R071 | Expiry of right |