EP1857981A2 - Anordnung und Verfahren zum Erstellen eines Frankierabdrucks - Google Patents

Anordnung und Verfahren zum Erstellen eines Frankierabdrucks Download PDF

Info

Publication number
EP1857981A2
EP1857981A2 EP07108049A EP07108049A EP1857981A2 EP 1857981 A2 EP1857981 A2 EP 1857981A2 EP 07108049 A EP07108049 A EP 07108049A EP 07108049 A EP07108049 A EP 07108049A EP 1857981 A2 EP1857981 A2 EP 1857981A2
Authority
EP
European Patent Office
Prior art keywords
processing unit
secure processing
secure
time
billing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07108049A
Other languages
English (en)
French (fr)
Other versions
EP1857981A3 (de
Inventor
Werner Kampert
Dirk Rosenau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP1857981A2 publication Critical patent/EP1857981A2/de
Publication of EP1857981A3 publication Critical patent/EP1857981A3/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00177Communication details outside or between apparatus for sending information from a portable device, e.g. a card or a PCMCIA
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency

Definitions

  • the present invention relates to an arrangement for producing a franking imprint, in particular a franking machine, having a secure processing unit for generating accounting data relevant for the settlement of the created franking imprint, and a storage device connectable to the secure processing unit for the secure storage of the accounting data, wherein the secure processing unit comprises a secure environment secured logically and / or physically against unrecognized unauthorized access. It further relates to a corresponding method which can be used in connection with the arrangement according to the invention.
  • Today's franking machines are usually equipped with a security module, which contains the postal registers with the billing data, thus making or documenting the billing for the frankings, and performs part of the more or less complex calculations for creating the respective franking imprint.
  • a security module contains the postal registers with the billing data, thus making or documenting the billing for the frankings, and performs part of the more or less complex calculations for creating the respective franking imprint.
  • a number of postal carriers require the cryptographic protection of some of the printed data, so that the security module is often designed as a more or less elaborate and certified cryptographic module.
  • Certain postal carriers for example, the postal authorities of certain states, require, if at all, a very low degree of protection of the franking imprint and / or the billing data and thus a much smaller scope of the security module. This has the consequence that the security modules usually used for such an application are generally oversized in terms of their scope of performance and thus ultimately too expensive to allow an economical use of a postage meter.
  • the present invention is therefore based on the object to provide an arrangement or a method for creating a franking imprint of the aforementioned type, which or which does not have the disadvantages mentioned above, or at least to a lesser extent and in particular the economical use of Allows franking machines with low postal security requirements.
  • the present invention solves this problem with an arrangement according to claim 1. It further achieves this object with a method according to claim 16.
  • the present invention is based on the technical teaching that makes economical use of franking machines possible with comparatively low postal security requirements if the billing data are not stored in the particularly secure area of the security module but outside the security module in a conventional, as a rule not specifically secured storage area are stored in a form in which they are protected against unrecognized manipulation.
  • the memories required for the storage of the billing data can be standard memory modules or the like, which are correspondingly less expensive than the customary, as compact as possible, memory modules for security modules. In addition, these memories do not need to be physically protected in a complex manner, which significantly reduces the effort required to implement the storage of the billing data.
  • An object of the present invention is therefore an arrangement for creating a franking imprint, in particular a franking machine, with a secure processing unit for creating relevant for the settlement of the created franking imprint Billing data and a connectable to the secure processing unit storage means for secure storage of the billing data provided, wherein the secure processing unit is arranged in a logically and / or physically protected from unrecognized unauthorized access secure environment.
  • the storage device is arranged outside the secure environment.
  • the secure processing unit is designed to provide the billing data in a form secured against undetected manipulation.
  • the secure processing unit or a further processing unit which can be connected to the secure processing unit is designed to write the accounting data provided by the secure processing unit into the memory device in a form protected against undetected manipulation.
  • the billing data can be hedged in any suitable way.
  • the secure processing unit is designed to secure the billing data by cryptographic means against unrecognized manipulation.
  • a secret such as a secret key
  • This backup data may be, for example, a well-known so-called message authentication code (MAC) or an equally well-known digital signature or the like, which are created by any known method.
  • MAC message authentication code
  • digital signatures are used, since these can be verified in a particularly simple manner without knowledge of the secret key (signature key) via the associated public key (verification key), which can be obtained within the framework of a public-key infrastructure.
  • the secure processing unit is designed to provide the billing data with a digital signature.
  • the secure processing unit can basically be designed in any suitable manner. In particular, it may be part of any superordinate structural unit which alone or in combination with other structural units forms a security module.
  • the secure processing unit is a component of a smart card.
  • a particularly favorable configuration can be achieved, since such smartcards are already available as prefabricated units with the corresponding cryptographic functionalities. It is then only necessary to make a corresponding simple configuration of the smart card for the case in question, but without having to influence the hardware of the smart card.
  • a corresponding logical safeguarding of the security-relevant areas of the smartcard can take place, for example by implementing a corresponding check of the access authorization to these security-relevant areas.
  • only an additional physical security of the smart card for example, by an applied to the security-related areas of the smart card or the entire smart card potting compound, take place.
  • a key aspect in securing the billing data is the ability of the secure processing unit to reliably determine real-time.
  • the secure processing unit has a time determination unit for determining the real time.
  • the secure processing unit is designed in such a way that the accounting data relevant for the billing of the created franking imprint only takes place when the time determination unit has successfully determined the real time. As a result, manipulation attempts can be reliably pre-built.
  • the secure processing unit itself may have a real-time clock.
  • Such real-time clocks have to be comparatively complicated in order to have a sufficiently low drift.
  • the time-determining unit is designed to synchronize at predeterminable times with a real-time source make so that a greater inaccuracy in the determination of the real-time can be taken into account, which then a correspondingly simpler design of the time-determining unit is possible.
  • the synchronization with the real-time source preferably takes place via a correspondingly secure communication channel in order to prevent manipulation.
  • the securing of the communication channel can take place in any suitable manner, for example via encryption with a secret session key previously generated according to a defined key generation protocol.
  • Synchronization with the real-time source can be done in any suitable manner, in particular in any suitable ways.
  • the time-determining unit establishes a corresponding communication with the real-time source via a modem or another communication device of the arrangement according to the invention.
  • a corresponding synchronization with the real-time source is initiated by the data center.
  • the time-determining unit can be connected to a clock generator for generating clock pulses.
  • the time determination unit then has a counter for counting the clock pulses of the clock since the last synchronization with the real-time source to determine the current real time.
  • At known clock frequency of the clock can then be determined in a simple manner on the count of the clock pulses, the real time starting from the value obtained in the last synchronization value of the real time, the real time.
  • the clock can be any unit of the arrangement according to the invention, which supplies tactical pulses with a correspondingly stable frequency. It is preferably a clock of the secure processing unit itself, since then the risk of tampering can be kept in a simple manner minimized.
  • the secure processing unit is preferably designed such that the creation of the billing data relevant for the billing of the created franking imprint takes place only if the time determination unit has an uninterrupted count of clock pulses of the clock Clock since the last synchronization with the real-time source.
  • the time-determining unit is designed to monitor the clock frequency of the clock pulses of the clock generator.
  • the secure processing unit is then embodied such that the generation of the billing data relevant for the billing of the franking imprint produced and / or the generation of the data required for the generation of the franking imprint takes place only if the time determination unit has a variation of the clock frequency since the last synchronization with the real-time source has detected that lies within a predefinable tolerance range. In other words, it is possibly prevented that a franking imprint is generated or billing takes place when a variation of the clock frequency is detected which is outside a predetermined tolerance range.
  • the further processing unit is designed to generate the print data of the franking imprint using a date.
  • the date can either be specified by the arrangement itself and possibly only be confirmed by the user of the arrangement. It can also be provided that the user of the arrangement enters the date himself.
  • the generation and / or the use of the print data takes place only if the time determination unit has detected the presence of a predefinable relationship between the date and a successfully determined current real time. As a result, manipulations of the franking imprint are prevented in a simple manner by input or confirmation of a wrong date.
  • the secure processing unit can be connected to a remote data center via a communication connection.
  • the secure processing unit is then also designed to secure communication with the remote data center.
  • This protection can be done as already described above in any suitable manner.
  • it is carried out using cryptographic means, such as a symmetric encryption of the information to be exchanged by means of a previously generated secret session key.
  • cryptographic means such as a symmetric encryption of the information to be exchanged by means of a previously generated secret session key.
  • the further processing unit is a component of a printing station for the production of the franking imprint.
  • the further processing unit is in turn connected to an interface of the printing station, while the secure processing unit is a component of a connectable to the interface security module.
  • the security module is detachably connected to the interface, so that the security module can be connected to the interface at any time, preferably unhindered, or can be detached from it. This results in a particularly variable design, since the same printing station can optionally be easily operated with different security modules.
  • the security module is pluggable, resulting in a particularly simple and variable to handle design.
  • the secure processing unit can be protected from undetected manipulation in any suitable manner. It is preferably provided that the secure processing unit is physically protected against unrecognized unauthorized access by a physical encapsulation, in particular a potting compound. Additionally or alternatively, it is provided that the secure processing unit is logically protected against unrecognized unauthorized access by an algorithm for checking the access rights to the secure processing unit in a well-known manner.
  • the present invention further relates to a method for producing a franking imprint, in particular by means of a franking machine, wherein a secure processing unit for the billing of the created franking imprint creates relevant accounting data and a storage device connectable to the secure processing unit stores the accounting data secured.
  • the secure processing unit is arranged in a secure environment logically and / or physically protected from unrecognized unauthorized access.
  • the storage device is outside the safe environment arranged.
  • the secure processing unit then provides the billing data in a form secured against undetected manipulation.
  • the secure processing unit or a further processing unit that can be connected to the secure processing unit then writes the accounting data made available by the secure processing unit into the memory device in a form protected against undetected manipulation.
  • the franking machine 101 can be connected to a remote data center 103 via a communications network 102 and comprises a base module 104 and a security module 105 connected thereto.
  • the security module 105 of the franking machine 101 comprises a secure processing unit in the form of a first processor 105. 1, which is arranged in a secure environment 106.
  • the secure environment 106 provides a physical and logical protection of the first processor 105.1 from unrecognized unauthorized access.
  • the physical security of the secure environment 106 is provided by a potting compound, in which the first processor 105.1 and the other components within the secure environment 106 are cast.
  • the logical protection of the secure environment 106 is provided by an algorithm for checking the access authorization to the components of the security module 101.
  • Access to the components of the security module 101 may be from outside only via a first interface 105.2 connected to the first processor, which is arranged at the transition from the secure environment 106 to the area outside the secure environment 106.
  • the first processor 105.1 accesses a cryptography module in the form of a memory 105.3 of the security module 101 likewise arranged in the secure environment 106.
  • the cryptography module 105.3 accommodates in a well-known manner corresponding algorithms and data for verification of access authorization to the security module. In the simplest case, this may be, for example, a stored password which the accessing person must enter in order to authorize himself. However, it can also be a corresponding algorithm for checking digital signatures or certificates, which the accessing person uses as part of his authorization.
  • the security module 104 is used in a customary manner to provide the security-relevant postal services required for the franking, such as, for example, the secure accounting of the franking values, but also the cryptographic security of specific postal data.
  • the base module 104 also serves in the usual way firstly to produce the franking imprint.
  • the base module 104 comprises a further processing unit in the form of a second processor 104.1, which is connected to a printing module 104.2.
  • the second processor 104.1 controls the printing module 104.2 in a well-known manner for generating the franking imprint on the respective mailpiece.
  • the second processor 104.1 accesses, inter alia, a postal memory 104.3 of the base module 104, in which a part of the data required for generating the franking imprint (eg, cliché data, etc.) is stored.
  • the second processor 104.1 in the present example receives from the security module 105 another part of the data required to generate the franking imprint.
  • These may be, for example, corresponding checksums, MACs, digital signatures or the like which the first processor 105.1 of the security module 105 has over certain Generates data of the franking imprint. It is understood, however, that in other variants of the invention with lower security requirements for the franking imprint can also be provided that all data required to generate the franking imprint are created exclusively in the base module. As well It is understood that in other variants of the invention with higher security requirements for the franking imprint, if necessary, a large part or even all of the data required to generate the franking imprint can be generated in the security module.
  • the second processor 104.1 first transfers corresponding input data to the first processor 105.1 via a second interface 104.4 of the base module 104, which is connected to the first interface 105.2 of the security module 105. After the first processor has checked the authorization of the second processor 104.1 for the transfer of the input data in the manner already described above, it processes this input data according to a predetermined scheme.
  • the first processor 105.1 checks, as will be explained in more detail below, whether the input data satisfy certain conditions. If this is the case, the first processor 105.1 generates corresponding output data, which it then forwards to the second processor 104.1 via the interfaces 105.2 and 104.4.
  • the first processor Immediately before or after the transfer of the output data to the second processor 104.1, the first processor generates accounting data which are used for billing the franking imprint to be generated. Unlike conventional franking machines, however, the billing data are not stored in a billing memory within the secure environment 106, but also transferred via the interfaces 105.2 and 104.4 to the second processor 104.1 and from this in a billing memory 104.5 of the base module 104, thus outside the secure Environment 106 stored.
  • the first processor 105.1 provides the billing data in a form secured against unrecognized manipulation.
  • the first processor 105.1 provides the billing data with a digital signature, which it generates in a well-known manner at least over part of the billing data while accessing the cryptography module 105.3. It is understood, however, that in other variants of the invention, other well-known mechanisms for securing the billing data from undetected manipulation may be used.
  • the security module 105 only has to provide the cryptographic functionality, but not a correspondingly large and Thus expensive secure storage area for storing the billing data.
  • the security module 105 can be designed significantly cheaper.
  • the billing data can preferably be generated even in a form that prevents manipulation.
  • a simple manipulation by deleting individual records can be pre-built by the individual records of the accounting data are provided with consecutive numbers, which are also included in the secure area of the accounting data.
  • the billing data in the billing memory 104.5 of course also include data representing the currently available credit. These data are introduced into the billing memory 104.5 via the security module 105 in a reloading process in the course of a communication between the franking machine 101 and the remote data center 103.
  • the credit data can already be secured by the remote data center 103 in a corresponding manner.
  • the credit data transmitted by the data center 103 are first processed and secured accordingly in the security module 105 and then stored in the billing memory 104.5.
  • the correct date of franking is essential for the security of the billing process. If a franking imprint is to be generated, then the second processor 104.1 of the basic module 104 with the input data forwards a corresponding datum to the first processor 105.1. This date can either be specified by default from a clock of the base module 104 (not shown in FIG. 1). Optionally, it may be provided that the user of the franking machine 101 must confirm this date. Likewise, however, it may be provided that the user of the franking machine 101 himself can transfer a corresponding date via a user interface 104.6, for example a keyboard, to the second processor 104.1, which is then used.
  • a user interface 104.6 for example a keyboard
  • the security module 105 checks in the present example whether the transferred date is in the past. If this is the case, the security module neither makes the generation of the data required for the production of the franking imprint nor the generation of the corresponding accounting data. In other words, this data is only generated if the transferred date corresponds to the current date in security module 105 or represents a date in the future. In this case, it may be provided that the time span which the transmitted date may be maximum in the future is limited.
  • the security module 105 has a time determination unit in the form of a time determination module 105.4, which determines the real time independently of the base module 104.
  • the time determination module 105.4 is first synchronized upon the occurrence of predetermined events with a real-time source of the remote data center 103.
  • the events that trigger the synchronization with the real-time source can be specified as desired.
  • the synchronization takes place each time the franking machine 101 has successfully established communication with the remote data center 103 by means of a modem 104.7 connected to the second processor 104.1.
  • Such communication with the remote data center 103 is enforced or automatically triggered by the security module 105 after a predetermined period of time has elapsed since the last synchronization of the time determination module 105.4 with the real-time source of the remote data center 103.
  • the time determination module 105.4 starts counting the clock pulses of a clock of the first processor 105.1.
  • the time determination module 105.4 monitors the clock frequency of the clock on the one hand to determine whether deviations of the clock frequency of a desired clock frequency within a certain tolerance range.
  • the time determination module 105.4 monitors the gapless clocking of the clock. In other words, the time determination module 105.4 thus checks whether the clocking of the clock generator is temporarily suspended.
  • the time determination module 105.4 determines the current real-time from the real-time transmitted with the last synchronization, the number of clocks and the clock frequency of the clock. If these conditions are not fulfilled, it is determined that no real-time correctness is to be determined and the execution of further operations in connection with the generation of a franking imprint is denied. In this case, a corresponding error message can be output to the user of the franking machine 101 or, if necessary, a new synchronization with the real-time source can be forced.
  • the security module has a real-time clock, which
  • the time determination module 105.4 If the time determination module 105.4 was able to successfully determine the real time, it compares this with the given date. If the given date corresponds to the specifications described above, the first processor 105.1 generates the data required for the production of the franking imprint as well as the accounting data in the manner described above and transfers them to the second processor 104.1 for further processing. Otherwise, the first processor 105.1 refuses to perform further operations related to the generation and billing of the franking imprint. In particular, neither the data required for the production of the franking imprint nor corresponding accounting data are generated.
  • security module 105 can still be used by the postage meter 101 to a greater extent.
  • security module 105 can not only secure communication during synchronization with the remote data center 103 real-time source. Rather, such a hedge can also for any other communication between the franking machine and an external unit, such as the remote data center 103 when reloading credit or a service computer of a service technician etc., in the manner described.
  • the security module 105 may of course be used in a well-known manner to verify the integrity and authenticity of certain transmitted data or to provide for its own authentication. For example, security module 105 may be used to verify digital signatures or similar data.
  • the security module 105 is, as already mentioned above, executed in the present example as a simple smart card, which is additionally provided with a physical security in the form of a potting compound, in which the components of the security module are embedded. It is understood, however, that in other variants of the invention it can also be provided that only the corresponding safety-relevant parts of such a smartcard to be arranged in a secure environment are provided with a corresponding physical encapsulation, while other areas are more or less freely accessible. In this case, it is then only necessary to ensure that a corresponding logical safeguard is in effect for all possible accesses to the security-relevant components.
  • the security module 105 is its simple plug-in card plugged into the second interface 104.4.
  • the second interface 104.4 can be freely accessible, so that any desired security modules 105 can be plugged in without further ado.
  • the security module 105 includes in a corresponding memory the corresponding regulations (eg algorithms and data etc.) according to which the franking imprint is to be generated for the postal carrier in question.
  • a separate area of the billing memory 104.5 is preferably provided for each security module. Additionally or alternatively, however, it may also be provided that the billing data in this case in their secure area to simplify the assignment to the respective security module include a unique identification of the respective security module, from which they were generated. In the case of a number of security mechanisms, this assignment is already possible anyway, since the secret data used for the security (eg signature key, etc.) are in any case unambiguously assigned to a single security module.
  • the security module is designed as a permanently installed component of the franking machine.
  • the above-described memory of the security module 105 or of the base module 104 may be formed all or partly both as separate memory modules and only as individual memory areas of a single memory module.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Anordnung zum Erstellen eines Frankierabdrucks, insbesondere Frankiermaschine, mit einer sicheren Verarbeitungseinheit (105.1) zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten, und einer mit der sicheren Verarbeitungseinheit (105.1) verbindbaren Speichereinrichtung (104.5) zum abgesicherten Speichern der Abrechnungsdaten, wobei die sichere Verarbeitungseinheit (105.1) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (106) angeordnet ist, und wobei die Speichereinrichtung (104.5) außerhalb der sicheren Umgebung (106) angeordnet ist, die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen, und die sichere Verarbeitungseinheit (105.1) oder eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare weitere Verarbeitungseinheit (104.1) dazu ausgebildet ist, die von der sicheren Verarbeitungseinheit (105.1) zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung (104.5) zu schreiben.

Description

  • Die vorliegende Erfindung betrifft eine Anordnung zum Erstellen eines Frankierabdrucks, insbesondere eine Frankiermaschine, mit einer sicheren Verarbeitungseinheit zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten, und einer mit der sicheren Verarbeitungseinheit verbindbaren Speichereinrichtung zum abgesicherten Speichern der Abrechnungsdaten, wobei die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet ist. Sie betrifft weiterhin ein entsprechendes Verfahren, welches im Zusammenhang mit der erfindungsgemäßen Anordnung verwendet werden kann.
  • Heutige Frankiermaschinen werden in der Regel mit einem Sicherheitsmodul ausgestattet, welches die postalischen Register mit den Abrechnungsdaten enthält, mithin also die Abrechnung für die Frankierungen vornimmt bzw. dokumentiert, und einen Teil der mehr oder weniger komplexen Berechnungen zur Erstellung des jeweiligen Frankierabdrucks ausführt. Eine Reihe von Postbeförderern fordert die kryptographische Absicherung eines Teils der abgedruckten Daten, sodass das Sicherheitsmodul häufig als mehr oder weniger aufwändig gestaltetes und zertifiziertes Kryptographiemodul gestaltet ist.
  • Der Leistungsumfang der Frankiermaschine spiegelt sich - nicht zuletzt aus Gründen der Herstellungskosten - grundsätzlich im Leistungsumfang des Sicherheitsmoduls wider. So ist in der Regel in einer Frankiermaschine mit geringerem Leistungsumfang auch nur ein Sicherheitsmodul mit geringerem Leistungsumfang erforderlich, während in anspruchsvolleren Frankiermaschinen üblicherweise Sicherheitsmodule mit größerem Leistungsumfang (höhere Rechenleistung, höhere Speicherkapazität etc.) zum Einsatz kommen.
  • Bestimmte Postbeförderer, beispielsweise die Postbehörden bestimmter Staaten, verlangen, wenn überhaupt, einen sehr geringen Grad an Absicherung des Frankierabdrucks und/oder der Abrechnungsdaten und damit einen deutlich geringeren Leistungsumfang des Sicherheitsmoduls. Dies hat zur Konsequenz, dass die üblicherweise verwendeten Sicherheitsmodule für eine solche Anwendung in der Regel hinsichtlich ihres Leistungsumfangs überdimensioniert und damit letztlich zu teuer sind, um einen wirtschaftlichen Einsatz einer Frankiermaschine zu ermöglichen.
  • Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, eine Anordnung bzw. ein Verfahren zum Erstellen eines Frankierabdrucks der eingangs genannten Art zur Verfügung zu stellen, welche bzw. welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere den wirtschaftlichen Einsatz von Frankiermaschinen bei geringen postalischen Sicherheitsanforderungen ermöglicht.
  • Die vorliegende Erfindung löst diese Aufgabe mit einer Anordnung gemäß Anspruch 1. Sie löst diese Aufgabe weiterhin mit einem Verfahren gemäß Anspruch 16.
  • Der vorliegenden Erfindung liegt die technische Lehre zu Grunde, dass einen wirtschaftlichen Einsatz von Frankiermaschinen bei vergleichsweise geringen postalischen Sicherheitsanforderungen ermöglicht, wenn die Abrechnungsdaten nicht in dem besonders abgesicherten Bereich des Sicherheitsmoduls gespeichert werden, sondern außerhalb des Sicherheitsmoduls in einem herkömmlichen, in der Regel nicht speziell abgesicherten Speicherbereich in einer Form abgelegt werden, in der sie vor unerkannter Manipulation abgesichert sind.
  • Hierdurch ist es zum einen möglich, besonders einfach aufgebaute Sicherheitsmodule zu verwenden. So müssen diese Sicherheitsmodule lediglich noch die entsprechende kryptographische Funktionalität zur Verfügung stellen, während ausreichend große und entsprechend abgesicherte, teure Speicher für die Abrechnungsdaten, wie sie bei den herkömmlichen Sicherheitsmodulen vorhanden sind, nicht mehr erforderlich sind. Zudem reduziert sich hierdurch der Bauraum für das Sicherheitsmodul, sodass sich zum einen der Aufwand für eine eventuelle physikalische Absicherung dessen Sicherheitsmoduls reduziert und zum anderen das Sicherheitsmodul insgesamt kompakter und damit weniger verwundbar ausgebildet sein kann.
  • Bei den für die Speicherung der Abrechnungsdaten erforderlichen Speichern kann es sich um Standard-Speichermodule oder dergleichen handeln, welche entsprechend kostengünstiger sind als die üblichen möglichst kompakten Speicherbausteine für Sicherheitsmodule. Zudem müssen diese Speicher nicht in aufwändiger Weise physikalisch geschützt werden, wodurch sich der Aufwand für die Implementierung der Speicherung der Abrechnungsdaten deutlich verringert.
  • Ein Gegenstand der vorliegenden Erfindung ist daher eine Anordnung zum Erstellen eines Frankierabdrucks, insbesondere eine Frankiermaschine, mit einer sicheren Verarbeitungseinheit zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten und einer mit der sicheren Verarbeitungseinheit verbindbaren Speichereinrichtung zum abgesicherten Speichern der Abrechnungsdaten vorgesehen, wobei die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet ist. Erfindungsgemäß ist hierbei vorgesehen, dass die Speichereinrichtung außerhalb der sicheren Umgebung angeordnet ist. Die sichere Verarbeitungseinheit ist dazu ausgebildet, die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen. Weiterhin ist die sichere Verarbeitungseinheit oder eine mit der sicheren Verarbeitungseinheit verbindbare weitere Verarbeitungseinheit dazu ausgebildet, die von der sicheren Verarbeitungseinheit zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung zu schreiben.
  • Dadurch, dass die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung gestellt werden, kann immer noch ein ausreichendes Maß an Sicherheit erzielt werden. So kann zu jedem Zeitpunkt nachvollzogen werden, ob die in Integrität der gespeicherten Abrechnungsdaten nach wie vor vorliegt. Lässt sich anhand der Abrechnungsdaten feststellen, dass eine Manipulation der Abrechnungsdaten erfolgt ist, so können hieraus entsprechende Konsequenzen gezogen werden. Hierbei ist es nicht zwingend erforderlich, dass festgestellt werden kann, wann, von wem und/oder in welchem Umfang eine Manipulation vorgenommen wurde, um eine ausreichende Absicherung des Postbeförderers gegen Betrugsversuche zu erzielen. Dies ist letztlich nur eine Frage der mit der Erfassung der Manipulation verbundenen Sanktionen, sodass mit der vorliegenden Erfindung auf sehr kostengünstige Weise eine für die Bedürfnisse bestimmter Postbeförderer ausreichende Sicherheit der Abrechnungsdaten erzielt werden kann.
  • Die Absicherung der Abrechnungsdaten kann auf beliebige geeignete Weise erfolgen. Bevorzugt ist vorgesehen, dass die sichere Verarbeitungseinheit dazu ausgebildet ist, die Abrechnungsdaten durch kryptographische Mittel vor unerkannter Manipulation abzusichern. So kann beispielsweise ein Geheimnis, beispielsweise ein geheimer Schlüssel, verwendet werden, um entsprechende Sicherungsdaten zu den Abrechnungsdaten zu erzeugen, anhand derer die Integrität der Abrechnungsdaten nachvollzogen werden kann. Bei diesen Sicherungsdaten kann es sich beispielsweise um einen hinlänglich bekannten, so genannten Message Authentication Code (MAC) oder um eine ebenso hinlänglich bekannte digitale Signatur oder dergleichen handeln, welche nach beliebigen bekannten Verfahren erstellt werden.
  • Vorzugsweise werden digitale Signaturen verwendet, da diese auf besonders einfache Weise ohne Kenntnis des geheimen Schlüssels (Signaturschlüssel) über den zugehörigen öffentlichen Schlüssel (Verifizierungsschlüssel) verifiziert werden können, der im Rahmen einer Public-Key-Infrastruktur erlangt werden kann. Bevorzugt ist daher die sichere Verarbeitungseinheit dazu ausgebildet, die Abrechnungsdaten mit einer digitalen Signatur zu versehen.
  • Die sichere Verarbeitungseinheit kann grundsätzlich in beliebiger geeigneter Weise gestaltet sein. Insbesondere kann sie Bestandteil einer beliebigen übergeordneten Baueinheit sein, welche alleine oder in Kombination mit anderen Baueinheiten ein Sicherheitsmodul ausbildet. Bevorzugt ist die sichere Verarbeitungseinheit eine Komponente einer Smartcard. Hiermit lässt sich eine besonders günstige Konfiguration erzielen, da solche Smartcards bereits als vorgefertigte Einheiten mit den entsprechenden kryptographischen Funktionalitäten erhältlich sind. Es ist dann lediglich noch erforderlich, eine entsprechende einfache Konfiguration der Smartcard für den betreffenden Einsatzfall vorzunehmen, ohne hierbei jedoch Einfluss auf die Hardware der Smartcard nehmen zu müssen. So kann beispielsweise, sofern dies nicht bereits der Fall ist, eine entsprechende logische Absicherung der sicherheitsrelevanten Bereiche der Smartcard erfolgen, indem beispielsweise eine entsprechende Überprüfung der Zugriffsberechtigung auf diese sicherheitsrelevanten Bereiche implementiert wird. Gegebenenfalls kann lediglich noch eine zusätzliche physikalische Absicherung der Smartcard, beispielsweise durch eine auf die sicherheitsrelevanten Bereiche der Smartcard oder die gesamte Smartcard aufgebrachte Vergussmasse, erfolgen.
  • Einen wesentlichen Aspekt bei der Absicherung der Abrechnungsdaten stellt die Fähigkeit sicheren Verarbeitungseinheit dar, zuverlässig die Echtzeit zu bestimmen. Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist daher vorgesehen, dass die sichere Verarbeitungseinheit eine Zeitermittlungseinheit zur Ermittlung der Echtzeit aufweist. Vorzugsweise ist die sichere Verarbeitungseinheit derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit erfolgreich die Echtzeit ermittelt hat. Hierdurch kann Manipulationsversuchen zuverlässig vorgebaut werden.
  • Zur Ermittlung der Echtzeit kann die sichere Verarbeitungseinheit selbst eine Echtzeituhr aufweisen. Derartige Echtzeituhren müssen jedoch vergleichsweise aufwändig gestaltet sein, um eine ausreichend geringe Drift aufzuweisen. Bei besonders kostengünstigen Varianten der erfindungsgemäßen Anordnung ist daher vorgesehen, dass die Zeitermittlungseinheit dazu ausgebildet ist, zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine Synchronisation vorzunehmen, sodass auch eine größere Ungenauigkeit bei der Ermittlung der Echtzeit in Kauf genommen werden kann, womit dann eine entsprechend einfachere Gestaltung der Zeitermittlungseinheit möglich ist.
  • Bevorzugt erfolgt die Synchronisation mit der Echtzeitquelle über einen entsprechend abgesicherten Kommunikationskanal, um hierbei Manipulationen vorzubeugen. Die Absicherung des Kommunikationskanals kann in beliebiger geeigneter Weise, beispielsweise über eine Verschlüsselung mit einem zuvor nach einem festgelegten Schlüsselgenerierungsprotokoll generierten geheimen Sitzungsschlüssel, erfolgen. Es sind jedoch auch beliebige andere, hinlänglich bekannte Varianten zur Absicherung der Kommunikation im Rahmen der Synchronisation der Zeitermittlungseinheit möglich.
  • Die Synchronisation mit der Echtzeitquelle kann auf beliebige geeignete Weise, insbesondere auf beliebigen geeigneten Wegen erfolgen. So kann beispielsweise vorgesehen sein, dass die Zeitermittlungseinheit über ein Modem oder eine andere Kommunikationseinrichtung der erfindungsgemäßen Anordnung eine entsprechende Kommunikation mit der Echtzeitquelle aufbaut. Ebenso ist es möglich, dass im Rahmen einer bestehenden Kommunikationsverbindung zwischen der erfindungsgemäßen Anordnung und beispielsweise einer entfernten Datenzentrale von der Datenzentrale eine entsprechende Synchronisation mit der Echtzeitquelle initiiert wird.
  • Die Synchronisation mit der Echtzeitquelle kann weiterhin zu beliebigen geeigneten Zeitpunkten erfolgen. Sie kann beispielsweise in regelmäßigen vorgebbaren Abständen erfolgen. Ebenso kann sie beim Eintreten beliebiger vorgebbarer Ereignisse, z. B. beim Einschalten der Anordnung selbst oder bestimmter Komponenten der Anordnung, beim Stecken der Smartcard, bei jeder n-ten Kommunikation (n = 1, 2, 3...) der Anordnung mit einer entfernten Datenzentrale, bei jedem m-ten Nachladevorgang (m = 1, 2, 3...) von Guthaben etc., erfolgen.
  • Bei einer bevorzugten, weil besonders einfach aufgebauten Variante der erfindungsgemäßen Anordnung ist die Zeitermittlungseinheit mit einem Taktgeber zur Erzeugung von Taktimpulsen verbindbar. Die Zeitermittlungseinheit weist dann zur Ermittlung der aktuellen Echtzeit einen Zähler zur Zählung der Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle auf. Bei bekannter Taktfrequenz des Taktgebers kann dann in einfacher Weise über die Zählung der Taktimpulse die Echtzeit ausgehend von dem bei der letzten Synchronisation erhaltenen Wert der Echtzeit die aktuelle Echtzeit ermittelt werden.
  • Bei dem Taktgeber kann es sich um eine beliebige Einheit der erfindungsgemäßen Anordnung handeln, welche mit entsprechend stabiler Frequenz Taktikimpulse liefert. Bevorzugt handelt es sich um einen Taktgeber der sicheren Verarbeitungseinheit selbst, da hierbei dann das Risiko von Manipulationen in einfacher Weise minimiert gehalten werden kann.
  • Um eventuellen Manipulationen der Zeitermittlungseinheit und damit der ermittelten Echtzeit durch zumindest zeitweises Anhalten des Taktgebers vorzubeugen, ist die sichere Verarbeitungseinheit bevorzugt derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.
  • Um eventuellen Manipulationen durch zumindest zeitweises Beeinflussen der Taktfrequenz des Taktgebers vorzubeugen, ist weiterhin bevorzugt vorgesehen, dass die Zeitermittlungseinheit zur Überwachung der Taktfrequenz der Taktimpulse des Taktgebers ausgebildet ist. Die sichere Verarbeitungseinheit ist dann derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten und/oder das Erstellen der für die Generierung des Frankierabdrucks erforderlichen Daten nur erfolgt, wenn die Zeitermittlungseinheit seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt. Mit anderen Worten wird gegebenenfalls verhindert, dass ein Frankierabdruck generiert bzw. eine Abrechnung erfolgt, wenn eine Variation der Taktfrequenz erfasst wird, die außerhalb eines vorgegebenen Toleranzbereichs liegt.
  • Bei bevorzugten Varianten der erfindungsgemäßen Anordnung mit der eingangs erwähnten weiteren Verarbeitungseinheit ist die weitere Verarbeitungseinheit zur Generierung der Druckdaten des Frankierabdrucks unter Verwendung eines Datums ausgebildet. Das Datum kann dabei entweder von der Anordnung selbst vorgegeben werden und gegebenenfalls von dem Nutzer der Anordnung lediglich bestätigt werden. Ebenso kann vorgesehen sein, dass der Nutzer der Anordnung das Datum selbst eingibt. In jedem Fall erfolgt die Generierung und/oder die Verwendung der Druckdaten nur dann, wenn die Zeitermittlungseinheit das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat. Hierdurch wird in einfacher Weise Manipulationen des Frankierabdrucks durch Eingabe oder Bestätigung eines falschen Datums vorgebeugt.
  • Bei weiteren vorteilhaften Weiterbildungen der erfindungsgemäßen Anordnung ist vorgesehen, dass die sichere Verarbeitungseinheit über eine Kommunikationsverbindung mit einer entfernten Datenzentrale verbindbar ist. Die sichere Verarbeitungseinheit ist dann auch zur Absicherung der Kommunikation mit der entfernten Datenzentrale ausgebildet. Diese Absicherung kann wie oben bereits geschildert auf beliebige geeignete Weise erfolgen. Bevorzugt erfolgt sie unter Verwendung kryptographischer Mittel, wie beispielsweise einer symmetrischen Verschlüsselung der auszutauschenden Informationen mittels eines zuvor generierten geheimen Sitzungsschlüssels. Hierdurch kann der vorhandene Leistungsumfang der sicheren Verarbeitungseinheit in vorteilhafter Weise optimal genutzt werden.
  • Bei weiteren bevorzugten Ausgestaltungen der erfindungsgemäßen Anordnung ist die weitere Verarbeitungseinheit eine Komponente einer Druckstation zur Erstellung des Frankierabdrucks. Die weitere Verarbeitungseinheit ist wiederum mit einer Schnittstelle der Druckstation verbunden, während die sichere Verarbeitungseinheit eine Komponente eines mit der Schnittstelle verbindbaren Sicherheitsmoduls ist. Bevorzugt ist das Sicherheitsmodul lösbar mit der Schnittstelle verbunden, sodass das Sicherheitsmodul jederzeit, bevorzugt ungehindert, mit der Schnittstelle verbunden werden kann bzw. von dieser gelöst werden kann. Hierdurch ergibt sich eine besonders variable Gestaltung, da dieselbe Druckstation gegebenenfalls einfach mit unterschiedlichen Sicherheitsmodulen betrieben werden kann. Vorzugsweise ist das Sicherheitsmodul steckbar ausgebildet, wodurch sich eine besonders einfach und variabel zu handhabende Gestaltung ergibt.
  • Wie bereits oben erwähnt, kann die Absicherung der sicheren Verarbeitungseinheit vor unerkannter Manipulation in beliebiger geeigneter Weise erfolgen. Bevorzugt ist vorgesehen, dass die sichere Verarbeitungseinheit durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist. Zusätzlich oder alternativ ist vorgesehen, dass die sichere Verarbeitungseinheit durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit in hinlänglich bekannter Weise logisch vor unerkanntem unautorisierten Zugriff abgesichert ist.
  • Die vorliegende Erfindung betrifft weiterhin ein Verfahren zum Erstellen eines Frankierabdrucks, insbesondere mittels einer Frankiermaschine, wobei eine sichere Verarbeitungseinheit für die Abrechnung des erstellten Frankierabdrucks relevante Abrechnungsdaten erstellt und eine mit der sicheren Verarbeitungseinheit verbindbare Speichereinrichtung die Abrechnungsdaten abgesichert speichert. Dabei ist die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet. Erfindungsgemäß ist die Speichereinrichtung außerhalb der sicheren Umgebung angeordnet. Die sichere Verarbeitungseinheit stellt dann die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung. Die sichere Verarbeitungseinheit oder eine mit der sicheren Verarbeitungseinheit verbindbare weitere Verarbeitungseinheit schreibt dann die von der sicheren Verarbeitungseinheit zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung. Mit diesem erfindungsgemäßen Verfahren lassen sich die oben beschriebenen Varianten und Vorteile in demselben Maße realisieren, sodass hier lediglich auf die obigen Ausführungen Bezug genommen werden soll.
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung eines bevorzugten Ausführungsbeispiels, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigt
    • Figur 1
    eine schematische Darstellung einer bevorzugten Ausführungsform der erfindungsgemäßen Anordnung zum Erstellen eines Frankierabdrucks, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zum Erstellen eines Frankierabdrucks durchgeführt werden kann.
  • Im Folgenden wird unter Bezugnahme auf die Figur 1 eine bevorzugte Ausführungsform der erfindungsgemäßen Anordnung in Form einer Frankiermaschine 101 zum Erstellen eines Frankierabdrucks beschrieben, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zum Erstellen eines Frankierabdrucks durchgeführt wird. Die Frankiermaschine 101 kann über ein Kommunikationsnetz 102 mit einer entfernten Datenzentrale 103 verbunden werden und umfasst ein Basismodul 104 und ein damit verbundenes Sicherheitsmodul 105.
  • Das Sicherheitsmodul 105 der Frankiermaschine 101 umfasst eine sichere Verarbeitungseinheit in Form eines ersten Prozessors 105.1, der in einer sicheren Umgebung 106 angeordnet ist. Die sichere Umgebung 106 stellt dabei eine physikalische und logische Absicherung des ersten Prozessors 105.1 vor unerkanntem unautorisiertem Zugriff zur Verfügung. Die physikalische Absicherung der sicheren Umgebung 106 wird dabei durch eine Vergussmasse zur Verfügung gestellt, in welche der erste Prozessor 105.1 sowie die weiteren Komponenten innerhalb der sicheren Umgebung 106 eingegossen sind.
  • Die logische Absicherung der sicheren Umgebung 106 wird durch einen Algorithmus zur Überprüfung der Zugriffsberechtigung auf die Komponenten des Sicherheitsmoduls 101 zur Verfügung gestellt. Der Zugriff auf die Komponenten des Sicherheitsmoduls 101 kann von außen nur über eine mit dem ersten Prozessor verbundene erste Schnittstelle 105.2 erfolgen, die am Übergang von der sicheren Umgebung 106 zu dem Bereich außerhalb der sicheren Umgebung 106 angeordnet ist.
  • Sobald versucht wird, über die erste Schnittstelle 105.2 auf den ersten Prozessor 105.1 zuzugreifen, überprüft dieser die Zugriffsberechtigung des Zugreifenden. Hierzu greift der erste Prozessor 105.1 auf ein Kryptographiemodul in Form eines ebenfalls in der sicheren Umgebung 106 angeordneten Speichers 105.3 des Sicherheitsmoduls 101 zu. Das Kryptographiemodul 105.3 beherbergt in hinlänglich bekannter Weise entsprechende Algorithmen und Daten zur Verifizierung der Zugriffsberechtigung auf das Sicherheitsmodul. Hierbei kann es sich beispielsweise im einfachsten Fall um ein gespeichertes Passwort handeln, welches der Zugreifende eingeben muss, um sich zu autorisieren. Ebenso kann es sich aber um einen entsprechenden Algorithmus zur Überprüfung digitaler Signaturen oder Zertifikate handeln, welche der Zugreifende im Rahmen seiner Autorisierung verwendet.
  • Das Sicherheitsmodul 104 dient in üblicher Weise dazu, die für die Frankierung erforderlichen sicherheitsrelevanten postalischen Dienste, wie beispielsweise die sichere Abrechnung der Frankierwerte aber auch die kryptographische Absicherung bestimmter postalischer Daten, zur Verfügung zu stellen.
  • Das Basismodul 104 dient ebenfalls in üblicher Weise zum einen dazu, den Frankierabdruck zu erzeugen. Hierzu umfasst das Basismodul 104 eine weitere Verarbeitungseinheit in Form eines zweiten Prozessors 104.1, der mit einem Druckmodul 104.2 verbunden ist. Der zweite Prozessor 104.1 steuert das Druckmodul 104.2 in hinlänglich bekannter Weise zur Generierung des Frankierabdrucks auf dem jeweiligen Poststück an. Hierzu greift der zweite Prozessor 104.1 unter anderem auf einen postalischen Speicher 104.3 des Basismoduls 104 zu, in dem ein Teil der zur Generierung des Frankierabdrucks erforderlichen Daten (z. B. Klischeedaten etc.) abgelegt ist.
  • Einen weiteren Teil der zur Generierung des Frankierabdrucks erforderlichen Daten erhält der zweite Prozessor 104.1 im vorliegenden Beispiel von dem Sicherheitsmodul 105. Hierbei kann es sich beispielsweise um entsprechende Prüfsummen, MACs, digitale Signaturen oder dergleichen handeln, welche der erste Prozessor 105.1 des Sicherheitsmoduls 105 über bestimmten Daten des Frankierabdrucks erzeugt. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung mit geringeren Sicherheitsanforderungen an den Frankierabdruck auch vorgesehen sein kann, dass sämtliche zur Generierung des Frankierabdrucks erforderlichen Daten ausschließlich in dem am Basismodul erstellt werden. Ebenso versteht es sich, dass bei anderen Varianten der Erfindung mit höheren Sicherheitsanforderungen an den Frankierabdruck gegebenenfalls auch ein Großteil oder sogar sämtliche zur Generierung des Frankierabdrucks erforderlichen Daten in dem Sicherheitsmodul generiert werden können.
  • Soll ein Frankierabdruck generiert werden, so übergibt der zweite Prozessor 104.1 zunächst über eine zweite Schnittstelle 104.4 des Basismoduls 104, die mit der erste Schnittstelle 105.2 des Sicherheitsmoduls 105 verbunden ist, entsprechende Eingabedaten an den ersten Prozessor 105.1. Nachdem der erste Prozessor in der oben bereits beschriebenen Weise die Autorisierung des zweiten Prozessors 104.1 zur Übergabe der Eingabedaten überprüft hat, verarbeitet er diese Eingabedaten nach einem vorgegebenen Schema.
  • Dabei überprüft der erste Prozessor 105.1 unter anderem, wie im Folgenden noch näher erläutert werden wird, ob die Eingabedaten bestimmte Bedingungen erfüllen. Ist dies der Fall, generiert der erste Prozessor 105.1 entsprechende Ausgabedaten, die er dann wieder an den zweiten Prozessor 104.1 über die Schnittstellen 105.2 und 104.4 übergibt.
  • Unmittelbar vor oder nach der Übergabe der Ausgabedaten an den zweiten Prozessor 104.1 generiert der erste Prozessor Abrechnungsdaten, welche zur Abrechnung des zu generieren Frankierabdrucks verwendet werden. Anders als bei herkömmlichen Frankiermaschinen werden jedoch die Abrechnungsdaten nicht in einem Abrechnungsspeicher innerhalb der sicheren Umgebung 106 gespeichert, sondern über die Schnittstellen 105.2 und 104.4 ebenfalls an den zweiten Prozessor 104.1 übergeben und von diesem in einem Abrechnungsspeicher 104.5 des Basismoduls 104, mithin also außerhalb der sicheren Umgebung 106 gespeichert.
  • Um unerkannte Manipulationen der Abrechnungsdaten zu verhindern, ist erfindungsgemäß vorgesehen, dass der erste Prozessor 105.1 die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung stellt. Im vorliegenden Beispiel versieht der erste Prozessor 105.1 die Abrechnungsdaten dabei mit einer digitalen Signatur, die er in hinlänglich bekannter Weise zumindest über einen Teil der Abrechnungsdaten unter Zugriff auf das Kryptographiemodul 105.3 generiert. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch andere hinlänglich bekannte Mechanismen zur Absicherung der Abrechnungsdaten vor unerkannter Manipulation zum Einsatz kommen können.
  • Dieses Vorgehen hat den Vorteil, dass das Sicherheitsmodul 105 lediglich die kryptographische Funktionalität zur Verfügung stellen muss, nicht aber einen entsprechend großen und damit teuren abgesicherten Speicherbereich zur Speicherung der Abrechnungsdaten. Hierdurch kann das Sicherheitsmodul 105 deutlich kostengünstiger gestaltet werden. Insbesondere ist es möglich, für das Sicherheitsmodul 105 wie im vorliegenden Beispiel eine einfache Smartcard zu verwenden, welche bereits standardmäßig mit entsprechender kryptographischer Funktionalität ausgestattet ist. Bei einer solchen Smartcard ist es dann gegebenenfalls lediglich erforderlich, eine entsprechende physikalische Absicherung herzustellen, wie sie oben beschrieben wurde.
  • Es versteht sich, dass die Abrechnungsdaten bevorzugt selbst schon in einer Form generiert werden können, welche Manipulationen vorgebeugt. So kann beispielsweise einer einfachen Manipulation durch Löschen einzelner Datensätze vorgebaut werden, indem die einzelnen Datensätze der Abrechnungsdaten mit fortlaufenden Nummern versehen werden, die ebenfalls in den abgesicherten Bereich der Abrechnungsdaten einbezogen werden.
  • Weiterhin versteht es sich, dass nicht nur im Zuge einer Frankierung in entsprechend abgesicherte Abrechnungsdaten in dem Abrechnungsspeicher 104.5 abgelegt werden. Vielmehr umfassen die Abrechnungsdaten im Abrechnungsspeicher 104.5 natürlich auch Daten, welche das aktuell verfügbare Guthaben repräsentieren. Diese Daten werden in einem Nachladevorgang im Zuge einer Kommunikation zwischen der Frankiermaschine 101 und der entfernten Datenzentrale 103 über das Sicherheitsmodul 105 in den Abrechnungsspeicher 104.5 eingebracht. Dabei können die Guthabendaten schon von der entfernten Datenzentrale 103 in entsprechender Weise abgesichert sein. Bevorzugt ist jedoch vorgesehen, dass die von der Datenzentrale 103 übermittelten Guthabendaten zunächst in dem Sicherheitsmodul 105 entsprechend aufbereitet und abgesichert werden und erst dann in dem Abrechnungsspeicher 104.5 abgelegt werden.
  • Im vorliegenden Beispiel ist das korrekte Datum der Frankierung von wesentlicher Bedeutung für die Sicherheit des Abrechnungsvorgangs. Soll ein Frankierabdruck generiert werden, so gibt der zweite Prozessor 104.1 des Basismoduls 104 mit den Eingabedaten ein entsprechendes Datum an den ersten Prozessor 105.1 weiter. Dieses Datum kann entweder standardmäßig von einer - in Figur 1 nicht dargestellten - Uhr des Basismoduls 104 vorgegeben werden. Gegebenenfalls kann vorgesehen sein, dass der Benutzer der Frankiermaschine 101 dieses Datum bestätigen muss. Ebenso kann aber vorgesehen sein, dass der Nutzer der Frankiermaschine 101 selbst ein entsprechendes Datum über eine Benutzerschnittstelle 104.6, beispielsweise eine Tastatur, an den zweiten Prozessor 104.1 übergeben kann, welches dann verwendet wird.
  • Wie bereits oben angedeutet, überprüft das Sicherheitsmodul 105 im vorliegenden Beispiel, ob das übergebene Datum in der Vergangenheit liegt. Ist dies der Fall, nimmt das Sicherheitsmodul weder die Generierung der für die Erstellung des Frankierabdrucks erforderlichen Daten noch die Generierung der entsprechenden Abrechnungsdaten vor. Mit anderen Worten werden diese Daten nur generiert, wenn das übergebene Datum dem aktuellen Datum im Sicherheitsmodul 105 entspricht oder ein Datum in der Zukunft repräsentiert. Hierbei kann vorgesehen sein, dass die Zeitspanne, die das übergebene Datum maximal in der Zukunft liegen darf, begrenzt ist.
  • Um diese Überprüfung des von dem zweiten Prozessor 104.1 übergebenen Datums vornehmen zu können, weist das Sicherheitsmodul 105 eine Zeitermittlungseinheit in Form eines Zeitermittlungsmoduls 105.4 auf, welches unabhängig von dem Basismodul 104 die Echtzeit ermittelt.
  • Hierzu wird das Zeitermittlungsmodul 105.4 zunächst bei Eintreten vorgegebener Ereignisse mit einer Echtzeitquelle der entfernten Datenzentrale 103 synchronisiert. Die Ereignisse, welche die Synchronisation mit der Echtzeitquelle auslösen, können beliebig vorgegeben werden. So kann beispielsweise vorgesehen sein, dass die Synchronisation jedes Mal erfolgt, wenn die Frankiermaschine 101 mittels eines mit dem zweiten Prozessor 104.1 verbunden Modems 104.7 erfolgreich eine Kommunikation mit der entfernten Datenzentrale 103 aufgebaut hat. Ebenso kann vorgesehen sein, dass eine solche Kommunikation mit der entfernten Datenzentrale 103 durch das Sicherheitsmodul 105 nach Ablauf einer vorgegebenen Zeitspanne seit der letzten Synchronisation des Zeitermittlungsmoduls 105.4 mit der Echtzeitquelle der entfernten Datenzentrale 103 erzwungen bzw. automatisch ausgelöst wird.
  • Um Manipulationen bei der Synchronisation mit der Echtzeitquelle entgegenzuwirken, wird die Kommunikation mit der Datenzentrale 103, innerhalb derer die Synchronisation erfolgt, durch den ersten Prozessor 105.1 unter Zugriff auf das Kryptographiemodul 105.3 entsprechend in hinlänglich bekannter Weise, beispielsweise durch Verwendung einer Verschlüsselung der ausgetauschten Daten mit einem geheimen Sitzungsschlüssel, abgesichert.
  • Sobald das Zeitermittlungsmodul 105.4 im Rahmen der Synchronisation mit der Echtzeitquelle der entfernten Datenzentrale 103 die aktuelle Echtzeit erhalten hat, beginnt das Zeitermittlungsmodul 105.4 mit der Zählung der Taktimpulse eines Taktgebers des ersten Prozessors 105.1. Dabei überwacht das Zeitermittlungsmodul 105.4 unter anderem auch die Taktfrequenz des Taktgebers zum einen daraufhin, ob Abweichungen der Taktfrequenz von einer Soll-Taktfrequenz innerhalb eines bestimmten Toleranzbereichs liegen. Weiterhin überwacht das Zeitermittlungsmodul 105.4 die lückenlose Taktung des Taktgebers. Mit anderen Worten überprüft das Zeitermittlungsmodul 105.4 also, ob die Taktung des Taktgebers zeitweise aussetzt.
  • Liegt die Taktfrequenz des Taktgebers innerhalb des vorgegebenen Toleranzbereichs und liegt eine lückenlose Taktung seit der letzten Synchronisation mit der Echtzeitquelle vor, so ermittelt das Zeitermittlungsmodul 105.4 aus der mit der letzten Synchronisation übergebenen Echtzeit, der Anzahl der Takte und der Taktfrequenz des Taktgebers die aktuelle Echtzeit. Liegen diese Voraussetzungen nicht vor, wird festgestellt, dass keine korrekte Echtzeit zu ermitteln ist und die Durchführung weiterer Operationen im Zusammenhang mit der Generierung eines Frankierabdrucks verweigert. In diesem Fall kann eine entsprechende Fehlermeldung an den Benutzer der Frankiermaschine 101 ausgegeben werden oder gegebenenfalls eine neue Synchronisation mit der Echtzeitquelle erzwungen werden.
  • Mit den beschriebenen Zeitermittlungsmodul 105.4 kann auf besonders einfache Weise eine ausreichend zuverlässige Ermittlung der Echtzeit erfolgen. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass das Sicherheitsmodul eine Echtzeituhr aufweist, welche
  • Konnte das Zeitermittlungsmodul 105.4 die Echtzeit erfolgreich ermitteln, vergleicht sie diese mit dem übergebenen Datum. Entspricht das übergebene Datum den oben geschilderten Vorgaben, generiert der erste Prozessor 105.1 in der oben beschriebenen Weise die für die Erstellung des Frankierabdrucks erforderlichen Daten sowie die Abrechnungsdaten und übergibt diese an den zweiten Prozessor 104.1 zur weiteren Verarbeitung. Andernfalls verweigert der erste Prozessor 105.1 die Durchführung weiterer Operationen im Zusammenhang mit der Generierung und Abrechnung des Frankierabdrucks. Insbesondere werden weder die für die Erstellung des Frankierabdrucks erforderlichen Daten noch entsprechende Abrechnungsdaten generiert.
  • Es versteht sich, dass die kryptographischen Leistungsmerkmale des Sicherheitsmoduls 105 von der Frankiermaschine 101 noch in weiterem Umfang genutzt werden können. So kann das Sicherheitsmodul 105 natürlich nicht nur die Kommunikation während der Synchronisation mit der Echtzeitquelle der entfernten Datenzentrale 103 absichern. Vielmehr kann eine solche Absicherung auch für jede beliebige andere Kommunikation zwischen der Frankiermaschine und einer externen Einheit, beispielsweise der entfernten Datenzentrale 103 beim Nachladen von Guthaben oder einem Servicerechner eines Servicetechnikers etc., in der beschriebenen Weise erfolgen. Weiterhin kann das Sicherheitsmodul 105 natürlich in hinlänglich bekannter Weise dazu verwendet werden, die Integrität und Authentizität bestimmter übermittelter Daten zu verifizieren oder selbst für eine entsprechende Authentifizierung zu sorgen. So kann das Sicherheitsmodul 105 beispielsweise genutzt werden, um digitale Signaturen oder ähnlich wirkende Daten zu verifizieren bzw. zu erstellen.
  • Das Sicherheitsmodul 105 ist, wie oben bereits erwähnt wurde, im vorliegenden Beispiel als einfache Smartcard ausgeführt, die zusätzlich noch mit einer physikalischen Absicherung in Form einer Vergussmasse versehen ist, in welcher die Komponenten des Sicherheitsmoduls eingebettet sind. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass nur die entsprechenden in einer sicheren Umgebung anzuordnenden sicherheitsrelevanten Teile einer solchen Smartcard mit einer entsprechenden physikalischen Kapselung versehen sind, während andere Bereiche mehr oder weniger frei zugänglich sind. In diesem Fall ist dann lediglich darauf zu achten, dass für sämtliche möglichen Zugänge zu den sicherheitsrelevanten Komponenten eine entsprechende logische Absicherung wirksam ist.
  • Im vorliegenden Beispiel ist das Sicherheitsmodul 105 seine einfache Steckkarte, die in die zweite Schnittstelle 104.4 eingesteckt ist. Dabei kann die zweite Schnittstelle 104.4 frei zugänglich sein, sodass ohne weiteres beliebige Sicherheitsmodule 105 eingesteckt werden können. Dies hat den Vorteil, dass das Basismodul 104 gegebenenfalls frei in Verbindung mit mehreren unterschiedlichen Sicherheitsmodulen betrieben werden kann.
  • Hierbei ist es insbesondere möglich, die Frankiermaschine 101 mit den Sicherheitsmodulen unterschiedlicher Postbeförderer zu nutzen. Gegebenenfalls kann in diesem Fall dann vorgesehen sein, dass das Sicherheitsmodul 105 in einem entsprechenden Speicher die entsprechenden Vorschriften (z. B. Algorithmen und Daten etc.) umfasst, nach denen der Frankierabdruck für den betreffenden Postbeförderer zu generieren ist.
  • Ist dies der Fall, versteht es sich aber, dass bevorzugt für jedes Sicherheitsmodul ein gesonderter Bereich des Abrechnungsspeichers 104.5 vorgesehen ist. Zusätzlich oder alternativ kann aber auch vorgesehen sein, dass die Abrechnungsdaten in diesem Fall in ihrem abgesicherten Bereich zur Vereinfachung der Zuordnung zu dem jeweiligen Sicherheitsmodul eine eindeutige Identifikation des jeweiligen Sicherheitsmoduls, von welchem sie generiert wurden, umfassen. Bei einer Reihe von Sicherungsmechanismen ist diese Zuordnung ohnehin schon möglich, da die zur Absicherung verwendeten geheimen Daten (z. B. Signaturschlüssel etc.) ohnehin eindeutig einem einzigen Sicherheitsmodul zugeordnet sind.
  • Ebenso versteht es sich allerdings, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass das Sicherheitsmodul als fest eingebaute Komponente der Frankiermaschine ausgebildet ist.
  • Es sei and dieser Stelle erwähnt, dass die vorstehend beschriebenen Speicher des Sicherheitsmoduls 105 bzw. des Basismoduls 104 alle oder zum Teil sowohl als separate Speichermodule als auch lediglich als einzelne Speicherbereiche eines einzigen Speichermoduls ausgebildet sein können.

Claims (30)

  1. Anordnung zum Erstellen eines Frankierabdrucks, insbesondere Frankiermaschine, mit
    - einer sicheren Verarbeitungseinheit (105.1) zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten, und
    - einer mit der sicheren Verarbeitungseinheit (105.1) verbindbaren Speichereinrichtung (104.5) zum abgesicherten Speichern der Abrechnungsdaten, wobei
    - die sichere Verarbeitungseinheit (105.1) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (106) angeordnet ist,
    dadurch gekennzeichnet, dass
    - die Speichereinrichtung (104.5) außerhalb der sicheren Umgebung (106) angeordnet ist,
    - die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen, und
    - die sichere Verarbeitungseinheit (105.1) oder eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare weitere Verarbeitungseinheit (104.1) dazu ausgebildet ist, die von der sicheren Verarbeitungseinheit (105.1) zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung (104.5) zu schreiben.
  2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten durch kryptographische Mittel, insbesondere unter Verwendung eines Geheimnisses, vor unerkannter Manipulation abzusichern.
  3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten mit einer digitalen Signatur zu versehen.
  4. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Komponente einer Smartcard (105) ist.
  5. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Zeitermittlungseinheit (105.4) zur Ermittlung der Echtzeit aufweist.
  6. Anordnung nach Anspruch 5, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) erfolgreich die Echtzeit ermittelt hat.
  7. Anordnung nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Zeitermittlungseinheit (105.4) dazu ausgebildet ist, zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine, vorzugsweise durch kryptographische Mittel abgesicherte, Synchronisation vorzunehmen.
  8. Anordnung nach Anspruch 7, dadurch gekennzeichnet, dass
    - die Zeitermittlungseinheit (105.4) mit einem Taktgeber zur Erzeugung von Taktimpulsen, insbesondere mit einem Taktgeber der sicheren Verarbeitungseinheit (105.1), verbindbar ist und
    - die Zeitermittlungseinheit (105.4) zur Ermittlung der aktuellen Echtzeit einen Zähler zur Zählung der Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle aufweist.
  9. Anordnung nach Anspruch 8, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.
  10. Anordnung nach Anspruch 9, dadurch gekennzeichnet, dass
    - die Zeitermittlungseinheit (105.4) zur Überwachung der Taktfrequenz der Taktimpulse des Taktgebers ausgebildet ist und
    - die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt.
  11. Anordnung nach einem der Ansprüche 5 bis 10, dadurch gekennzeichnet, dass die weitere Verarbeitungseinheit (104.1) zur Generierung der Druckdaten des Frankierabdrucks unter Verwendung eines, insbesondere von einem Nutzer eingegebenen, Datums derart ausgebildet ist, dass die Generierung und/oder Verwendung der Druckdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat.
  12. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
    - die sichere Verarbeitungseinheit (105.1) über eine Kommunikationsverbindung mit einer entfernten Datenzentrale (103) verbindbar ist und
    - die sichere Verarbeitungseinheit (105.1) zur Absicherung der Kommunikation mit der entfernten Datenzentrale (103) unter Verwendung kryptographischer Mittel ausgebildet ist.
  13. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
    - die weitere Verarbeitungseinheit (104.1) eine Komponente einer Druckstation (104) zur Erstellung des Frankierabdrucks ist,
    - die weitere Verarbeitungseinheit (104.1) mit einer Schnittstelle (104.4) der Druckstation (104) verbunden ist und
    - die sichere Verarbeitungseinheit (105.1) eine Komponente eines, insbesondere ungehindert lösbar, mit der Schnittstelle (104.4) verbindbaren Sicherheitsmoduls (105) ist.
  14. Anordnung nach Anspruch 13, dadurch gekennzeichnet, dass das Sicherheitsmodul (105) steckbar ausgebildet ist.
  15. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1)
    - durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist
    und/oder
    - durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit logisch vor unerkanntem unautorisierten Zugriff abgesichert ist.
  16. Verfahren zum Erstellen eines Frankierabdrucks, insbesondere mittels einer Frankiermaschine, wobei
    - eine sichere Verarbeitungseinheit (105.1) für die Abrechnung des erstellten Frankierabdrucks relevante Abrechnungsdaten erstellt, und
    - eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare Speichereinrichtung (104.5) die Abrechnungsdaten abgesichert speichert, wobei
    - die sichere Verarbeitungseinheit (105.1) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (106) angeordnet ist,
    dadurch gekennzeichnet, dass
    - die Speichereinrichtung (104.5) außerhalb der sicheren Umgebung (106) angeordnet ist,
    - die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung stellt, und
    - die sichere Verarbeitungseinheit (105.1) oder eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare weitere Verarbeitungseinheit (104.1) die von der sicheren Verarbeitungseinheit (105.1) zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung (104.5) schreibt.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten durch kryptographische Mittel, insbesondere unter Verwendung eines Geheimnisses, vor unerkannter Manipulation absichert.
  18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten mit einer digitalen Signatur versieht.
  19. Verfahren nach einem der Ansprüche 16 bis 18, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Komponente einer Smartcard ist.
  20. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) über eine Zeitermittlungseinheit (105.4) die Echtzeit ermittelt.
  21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) erfolgreich die Echtzeit ermittelt hat.
  22. Verfahren nach Anspruch 20 oder 21, dadurch gekennzeichnet, dass die Zeitermittlungseinheit (105.4) zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine, vorzugsweise durch kryptographische Mittel abgesicherte, Synchronisation vornimmt.
  23. Verfahren nach Anspruch 22, dadurch gekennzeichnet, dass
    - die Zeitermittlungseinheit (105.4) mit einem Taktgeber zur Erzeugung von Taktimpulsen, insbesondere mit einem Taktgeber der sicheren Verarbeitungseinheit(105.1), verbindbar ist und
    - die Zeitermittlungseinheit (105.4) zur Ermittlung der aktuellen Echtzeit die Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle zählt.
  24. Verfahren nach Anspruch 23, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) Die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.
  25. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass
    - die Zeitermittlungseinheit (105.4) die Taktfrequenz der Taktimpulse des Taktgebers überwacht und
    - die sichere Verarbeitungseinheit (105.1) die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt.
  26. Verfahren nach einem der Ansprüche 20 bis 25, dadurch gekennzeichnet, dass die weitere Verarbeitungseinheit (104.1) die Druckdaten des Frankierabdrucks unter Verwendung eines, insbesondere von einem Nutzer eingegebenen, Datums generiert, wobei die Generierung und/oder Verwendung der Druckdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat.
  27. Verfahren nach einem der Ansprüche 16 bis 26, dadurch gekennzeichnet, dass
    - die sichere Verarbeitungseinheit (105.1) über eine Kommunikationsverbindung mit einer entfernten Datenzentrale (103) verbunden wird und
    - die sichere Verarbeitungseinheit (105.1) die Kommunikation mit der entfernten Datenzentrale (103) unter Verwendung kryptographischer Mittel absichert.
  28. Verfahren nach einem der Ansprüche 16 bis 27, dadurch gekennzeichnet, dass
    - die weitere Verarbeitungseinheit (104.1) eine Komponente einer Druckstation (104) zur Erstellung des Frankierabdrucks ist,
    - die weitere Verarbeitungseinheit (104.1) mit einer Schnittstelle (104.4) der Druckstation (104) verbunden wird und
    - die sichere Verarbeitungseinheit (105.1) eine Komponente eines Sicherheitsmoduls (105) ist, das, insbesondere ungehindert lösbar, mit der Schnittstelle (104.4) verbunden wird.
  29. Verfahren nach Anspruch 28, dadurch gekennzeichnet, dass das Sicherheitsmodul (105) über eine Steckverbindung mit der Druckstation (104) verbunden wird.
  30. Verfahren nach einem der Ansprüche 16 bis 29, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1)
    - durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist
    und/oder
    - durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit logisch vor unerkanntem unautorisierten Zugriff abgesichert ist.
EP07108049A 2006-05-11 2007-05-11 Anordnung und Verfahren zum Erstellen eines Frankierabdrucks Withdrawn EP1857981A3 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006022315A DE102006022315A1 (de) 2006-05-11 2006-05-11 Anordnung und Verfahren zum Erstellen eines Frankierabdrucks

Publications (2)

Publication Number Publication Date
EP1857981A2 true EP1857981A2 (de) 2007-11-21
EP1857981A3 EP1857981A3 (de) 2008-02-06

Family

ID=38330123

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07108049A Withdrawn EP1857981A3 (de) 2006-05-11 2007-05-11 Anordnung und Verfahren zum Erstellen eines Frankierabdrucks

Country Status (3)

Country Link
US (1) US20070265989A1 (de)
EP (1) EP1857981A3 (de)
DE (1) DE102006022315A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100077472A1 (en) * 2008-09-23 2010-03-25 Atmel Corporation Secure Communication Interface for Secure Multi-Processor System
US9170290B1 (en) * 2013-08-23 2015-10-27 Audyssey Laboratories, Inc. Method for asynchronous impulse response measurement between separately clocked systems

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1988001818A1 (en) * 1986-09-02 1988-03-10 Wright Christopher B Automated transaction system using microprocessor cards
US4998203A (en) * 1985-03-12 1991-03-05 Digiulio Peter C Postage meter with a non-volatile memory security circuit
US6078910A (en) * 1996-08-20 2000-06-20 Ascom Hasler Mailing Systems Inc. Printing postage with cryptographic clocking security
EP1022685A2 (de) * 1998-12-24 2000-07-26 Pitney Bowes Inc. Zertifikatszähler mit wählbarem Sicherheitsgrad
US6898581B1 (en) * 1995-08-21 2005-05-24 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796841A (en) * 1995-08-21 1998-08-18 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system
US7226494B1 (en) * 1997-04-23 2007-06-05 Neopost Technologies Secure postage payment system and method
US5826246A (en) * 1996-12-31 1998-10-20 Pitney Bowes Inc. Secure postage meter in an ATM application
US5946672A (en) * 1997-06-12 1999-08-31 Pitney Bowes Inc. Electronic postage meter system having enhanced clock security
DE19928057B4 (de) * 1999-06-15 2005-11-10 Francotyp-Postalia Ag & Co. Kg Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation
DE102004014427A1 (de) * 2004-03-19 2005-10-27 Francotyp-Postalia Ag & Co. Kg Verfahren für ein servergesteuertes Sicherheitsmanagement von erbringbaren Dienstleistungen und Anordnung zur Bereitstellung von Daten nach einem Sicherheitsmanagement für ein Frankiersystem

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4998203A (en) * 1985-03-12 1991-03-05 Digiulio Peter C Postage meter with a non-volatile memory security circuit
WO1988001818A1 (en) * 1986-09-02 1988-03-10 Wright Christopher B Automated transaction system using microprocessor cards
US6898581B1 (en) * 1995-08-21 2005-05-24 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system
US6078910A (en) * 1996-08-20 2000-06-20 Ascom Hasler Mailing Systems Inc. Printing postage with cryptographic clocking security
EP1022685A2 (de) * 1998-12-24 2000-07-26 Pitney Bowes Inc. Zertifikatszähler mit wählbarem Sicherheitsgrad

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Information Based Indicia Program (IBIP) Indicium Specification" INFORMATION BASED INDICIA PROGRAM (IBIP) INDICIUM SPECIFICATION, 13. Juni 1996 (1996-06-13), Seite COMPLETE23, XP002137735 *

Also Published As

Publication number Publication date
US20070265989A1 (en) 2007-11-15
EP1857981A3 (de) 2008-02-06
DE102006022315A1 (de) 2007-11-15

Similar Documents

Publication Publication Date Title
DE69605627T2 (de) Anonymes Informationsverwaltungssystem für Statistiken, insbesondere für elektronische Wahlverfahren oder periodische Verbrauchsstücklisten
DE3303846C2 (de)
DE69932396T2 (de) Verfahren und Vorrichtung zur sicheren Schlüsselübertragung zwischen einer Frankiermaschine und einer entfernten Datenzentrale
DE69736246T2 (de) Vorrichtung zur gesicherten Kryptographischen Datenverarbeitung und zum Schutz von Speicherermitteln für Frankiermaschinen
EP1615173A2 (de) Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
WO2006111135A1 (de) Verfahren zur schlüsselverwaltung für kryptographiemodule
DE10136608B4 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
EP1099197A1 (de) Vorrichtung zum liefern von ausgangsdaten als reaktion auf eingangsdaten und verfahren zum überprüfen der authentizität und verfahren zum verschlüsselten übertragen von informationen
EP2272199A1 (de) Verteilte datenspeicherungseinrichtung
DE3884485T2 (de) Frankiermaschinensystem.
DE19816344C2 (de) Verfahren zur sicheren Schlüsselverteilung
DE4442357A1 (de) Verfahren und Anordnung zur Sicherung von Daten
DE10305730B4 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
EP0762338A2 (de) Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
EP1801724B1 (de) Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine
EP1857981A2 (de) Anordnung und Verfahren zum Erstellen eines Frankierabdrucks
EP1638246B1 (de) Verfahren zum Austausch von Kryptographiedaten
EP0969420A2 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
DE102012008519A1 (de) Sicherung eines Energiemengenzählers gegen unbefugten Zugriff
DE69930202T2 (de) Verfahren zur Begrenzung der Schlüsselbenutzung in einem Frankiersystem welches kryptographisch gesicherte Briefmarken produziert
EP1817752A2 (de) Verfahren zur personalisierung von chipkarten
EP1432170B1 (de) Verfahren und Anordnung zur unterschiedlichen Erzeugung kryptographischer Sicherungen von Mitteilungen in einem Hostgerät
EP1855252B1 (de) Anordnung und Verfahren zum Erstellen eines Frankierabdrucks
DE3619566A1 (de) Verfahren und system zur datenuebertragung
DE9421565U1 (de) Gebührenerfassungssystem für die Straßenbenutzung von Fahrzeugen

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

17P Request for examination filed

Effective date: 20080221

17Q First examination report despatched

Effective date: 20080408

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20101106