CN1267040A - 一种安全模块配置 - Google Patents
一种安全模块配置 Download PDFInfo
- Publication number
- CN1267040A CN1267040A CN00103867A CN00103867A CN1267040A CN 1267040 A CN1267040 A CN 1267040A CN 00103867 A CN00103867 A CN 00103867A CN 00103867 A CN00103867 A CN 00103867A CN 1267040 A CN1267040 A CN 1267040A
- Authority
- CN
- China
- Prior art keywords
- security module
- voltage
- lead
- circuit
- battery
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00233—Housing, e.g. lock or hardened casing
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00298—Visual, e.g. screens and their layouts
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00306—Acoustic, e.g. voice control or speech prompting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00346—Power handling, e.g. power-down routine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Abstract
本发明涉及安全模块的一种配置,它经过一个接口(8)插在一个邮政设备,尤其是一个盖邮戳机的主板(9)上。电池(134)可更换地安装在安全模块(100)上,并且电压监测单元(12)具有用于一个可复原的自保电路的电路元件,当电池电压降低到规定门限值之下时自保功能被触发。此状态可经过导线(164)被处理器(120)查询。当电池电压上升到高于规定门限值时,自保电路的复原才经过导线(135)被起动。
Description
本发明涉及安全模块的一种配置,这种邮政安全模块特别适用于盖邮戳机及邮政处理机或具有邮政处理功能的计算机中。
像US4746234公开的热交换盖邮戳机这样的现代盖邮戳机使用一个全电子的数字打印装置。因此原则上可以打印任意的文字和特殊符号在邮戳打印区域中并且打印一个任意的或者一个与邮资等级相应的宣传印记。例如盖邮戳机T1000具有一个微处理器,它被装在一个保安外壳中,外壳具有一个用以送入信件的开口。在信件被送入时一个机械的信件传感器(微动开关)送出一个打印请求信号给微处理器。邮戳打印内容包含信件传递用的预先规定和存储的邮政信息。盖邮戳机的控制单元根据软件进行结算,必要时对数据适用条件进行监测,并且控制邮资余额的支付。
对于上述热变换盖邮戳机,US5606508(DE4213278B1)和US5490077已经建议利用芯片卡输入数据。一张芯片卡装新的数据到盖邮戳机中并且可以通过插入芯片卡用其它芯片上的内容来调整已装入的相应数据。从而数据装载和盖邮戳机的调整能比通过键盘更加方便和快速地进行。对邮件进行盖戳的盖邮戳机装配有一台在邮件上打印邮资图戳的打印机,一台控制打印机和盖邮戳机外设的控制器,一个计算邮资的计算单元,至少一个存储邮资数据用的非易失存储器,至少一个存储有关安全数据用的非易失存储器,以及一个日历/时钟。存储有关安全数据的非易失存储器和/或日历/时钟通常用电池供电。在现有盖邮戳机中有关安全的数据(密钥等)存在非易失存储器中。这些存储器是EEPROM,FRAM或电池保安的SRAM。现有盖邮戳机通常还具有一个内部的实时时钟(Real Time Clock)RTC,它由电池供电。例如存在集成模块,它们含有集成的电路和一个锂电池。这些模块在电池寿命到期后必须整个被更换和停止供电。从科学和经济的观点看仅需更换电池是更有效的。然而这必须打开安全外壳并且重新封闭和焊上,因为抵抗欺诈行为的安全性主要建立在安全外壳上,它包封住整个设备。
EP660269A2(US5671146)提出了一种更好的方式来改善盖邮戳机的安全性,其中在安全外壳的授权开启和非授权开启之间是有区别的。
如果接近元件的通道受阻碍或狭窄,这对于可能需要的对盖邮戳机的修理来说是困难的。在大型邮政处理机或所谓的PC-盖邮戳机中所谓的邮政安全模块上的安全外壳将被压缩,以改善其它元件的可接近性。为了经济地更换安全模块的电池,还希望在相对简单的路径上更换它们。这就要求电池位于盖邮戳机的保安范围之外。如果电池连接端子可以外部接近,则存在操纵电池电压的可能性。现有电池供电的SRAM和RTC对其要求的工作电压有不同的要求。为保持SRAM的数据所需电压低于RTC工作所需之电压。这意味着电压降到一个确定的门限值之下导致不希望出现的元件工作状态:RTC停止工作,存在SRAM单元中的时间和SRAM的存储内容仍被保持。至少有一种保安措施,例如长定时监测狗可能对盖邮戳机是无效的。在长定时监测狗作用下将存在以下情况:远地数据中心规定一个时间借贷或一个时间期限,尤其是一个天数,或一个规定的日期,在此日期之前盖邮戳机应通过通信接续进行响应。在时间借贷耗尽或期限到期之后盖邮戳机被封锁。EP660270A2(US5680463)以《产生和检验安全打印的方法和配置》为题提出了一种方法,它求出直至下一次支付邮资差额的假设时间持续期,在数据中心方面将那些没有按期应答的盖邮戳机视为受怀疑的。受怀疑的盖邮戳机被通知给邮局,它监视受怀疑的盖邮戳机所盖戳的信件的邮政业务。时间借贷或期限的到期也由盖戳设备求出,并且操作者需要完成关于到期的信息传送。
电子数据处理装置导致了安全模块的出现。为了防止电子装置中数据被盗,EP417447B1曾建议一种闭锁装置,它将供电装置,信号收集装置以及屏蔽罩包封在一个外壳中。屏蔽罩由填充材料和连接装置构成,供电装置和信号收集装置连接到连接装置上,连接装置对连接装置的连接电阻的变化有反应。此外安全模块具有一个内部电池,一个由系统电压至电池电压的电压变换器,以及其它的功能单元(如电源开关,短路晶体管,存储器和传感器)。当电压降到规定门限值之下时电源开关动作。当连接电阻,温度或者光线变化时逻辑电路起作用。借助于电源开关或借助于逻辑电路短路晶体管的输出切换到低电平,这样存储在存储器中的密钥被清洗掉。然而此不能更换的电池的寿命太短,因而安全模块的寿命对于在盖邮戳机或邮政处理机中应用而言是太短了。
大型的邮政处理机例如是邮政车。这里邮戳打印借助于一台固定安装的喷墨打印头实现,同时信件是非水平的,接近于垂直地进行传送。DE19605015C1提出了一种实现打印装置的适当方法。邮政处理机有一个表盘和一个基座。表盘应安装在一个外壳上,这样元件容易被接近,然而表盘必需用一个抵抗欺诈行为的邮政安全模块来保护,此模块至少应计算邮资。为了排除编程过程的影响,EP789333A2建议安全模块配有一个专用电路(ASIC),它具有一个硬件计算单元。专用电路(ASIC)还控制去打印头的打印数据传输。
仅当对各个邮件需产生各自不同的打印印记时上述专用电路才可能是不需要的。为了快速产生一个安全打印印记的方法和配置已由例如US5680463,US5712916和US5734723提出。其中一个专用的安全标记以电子方法被产生并被嵌入到打印图形中。
保护安全模块中存储的数据不受袭击的其它措施也被建议在未公开的德国专利申请19816572.2和19816571.4中。由于有多个传感器,耦电量增加,并且非固定地由系统电压供电的安全模块从其内部电池吸取传感器所需电流,导致电池更早地被耗尽。电池的容量和耗电量限制了安全模块的寿命。但是如果为了延长电池的寿命而让电池连接端子可以外部接近,则增加了邮政数据的安全性被欺诈者袭击的可能性。
不由系统电压供电的安全模块可能通过从外部可接近的电池触点而被控制,方法是使电压降到处理器额定门限电压之下。当处理器配有内部时钟-RAM(RTC)时,时钟首先停止运行。当电压升高时内部时钟(RTC)将重新运行。在设计脉宽调制的脉冲电压时必须保证电池电压不能降到额定门限值之下,高于此门限值时存储器内容应能保持。在电压下降到门限值之下时此状态必须可被指示并维持到另一个允许的状态出现。为了用从开支的角度看适当的措施来实现希望的安全水平,原则上要求估计袭击的潜力和袭击的种类。这里用得上格言:“像需要的那样多,像可能的那样少”。用合适的电路,至少控制的可能性肯定受到限制。
本发明的目的在于,当电池被配置成可更换的情况下保证安全模块在面对未经许可的控制时的安全性。
上述目的由权利要求1所述特征实现。
邮政设备,尤其是盖邮戳机,装配有一个可插入的安全模块,它与表盘以及其它控制装置的系统总线相连接。对于已插上的,工作时由系统电压供电的安全模块,安全模块的电池可以由业务技术人员更换。安全模块用固化的物质灌注。然而为了更换电池或停止供电,电池被设计在灌注物质之外。
按照本发明,安全模块具有一个可复原自保电路的电压监测单元,它可由处理器查询和复原。对由电池支持的RAM存储器和内部时钟的运行所需之电池的电压进行监测的目的在于,在电压降到规定电压值之下时起动对与安全有关的数据和实时时间的清除。自保电路允许保持电压降低状态直至一个安全指示可能实现。仅当模块又一次用系统电压供电时此状态才最终被结束。检验员或其它被授权人员通过在盖戳装置键盘上的输入可以还原原来的状态。
除了由更换电池的可能性产生的延长了安全模块的寿命这个优点之外,优点还在于小的电路耗电量,对电压变化的快速反应以及避免了在矩形脉冲作用在电池连接端上时平均值的生成。
本发明的其它优化设计由其它权利要求给出,下面借助于附图,详细说明它们和本发明的优选实施方案。附图中:
图1是安全模块的方框图和接口,
图2是盖邮戳机的方框电路图,
图3是盖邮戳机从后面看的透视图,
图4是安全模块(第二方案)的方框电路图,
图5是电压监测单元的电路图,
图6是安全模块的侧视图,
图7是安全模块的顶视图,
图8a是安全模块的右视图,
图8b是安全模块的左视图。
图1示出安全模块100的方框图,它通过连接件101,102连接到接口8,它还通过电池接口电池连接端子103和104连接于电池134。虽然安全模块100被用固化灌注物质灌注,但安全模块100的电池134被安置在灌注物质之外一个电路板上,从而可被更换。电路板具有用于连接电池134的电极的电池连接端子103和104。借助于连接件101,102,安全模块100被插到主板(母板)9的相应接口8上。第一个连接件101用于与控制装置的系统总线的通信连接,第二个连接件102用于系统电压对安全模块100的供电。地址和数据线117,118以及控制线115经过连接件101的引脚P3,P5-P19。第一个连接件101和/或第二个连接件102被用于静态和动态地监测插入后的安全模块100。通过连接件102的引脚P23和P25实现安全模块100用主板9的系统电压供电,通过引脚P1,P2和P4由安全模块100实现动态和静态的非插入检测。
安全模块100以现有方式具有一个微处理器120,它包含一个图中未示出的,装有专用程序的集成的只读存储器(内部ROM),程序是被邮局及相应邮局长官允许用于盖邮戳机的。此外其它的只读存储器ROM或FLASH存储器也可连接到模块内部数据总线126上。
安全模块100以现有方式具有一个复位电路单元130,一个应用电路ASIC150和一个逻辑PAL160,此PAL作为控制信号发生器用于ASIC。复位电路单元130,应用电路ASIC150和逻辑PAL160以及可能还有其它图中未示出的存储器通过导线191及129由系统电压Us +供电,系统电压在盖戳装置启动时由主板9供给。
在EP78933A2中描述了一个邮政安全模块PSM的主要组成部分,它们实现结算和保安邮资数据的功能。
系统电压Us +还经过一个二极管181和导线136加到电压监测单元12的输入端。在电压监测单元12的输出端给出第二个工作电压Ub +,它经过导线138给出。在盖戳装置关闭时没有系统电压Us +,而仅有电池电压Ub +供使用。负极性电池连接端子104接地。正极性电池连接端子103经过导线193,第二个二极管182和导线136给电压监测单元的输入端供电。一个市售的电压转换器电路块180可用作二个二极管181,182。
电压监测单元12的输出通过导线138连接到处理器120第二个工作电压Ub +的输出端,它至少被加到RAM存储器区122,124并且保证其非易失性存储,只要第二个工作电压Ub +在要求的大小上。处理器120最好包含一个内部RAM124和一个实时时钟(RTC)122。
安全模块100中的电压监测单元12具有一个可复原的自保电路,它由处理器120经导线164查询和经导线135复位。电压监测单元12具有用于自保电路复原的电路,并且当电池电压上升到高于规定门限值时复原才可被触发。后面将借助于图5详细说明可复位的自保电路。
导线135和164每个与处理器120的一个连接端(引脚1和引脚2)相连接。导线164给出状态信号到处理器120,而导线135提供控制信号到电压监测单元12。
电压监测单元12输入端上的导线136同时用工作电压和电池电压给一个检测单元13供电。检测单元13的状态经导线139由处理器120查询,或者检测单元13由处理器120经导线137清零及设置。在设置之后进行一次对连接端的静态检测。为此地电位通过导线192被查询,地电位被提供在邮政安全模块PSM100的接口8的连接端P4上,并且仅当安全模块100被正常插入时才被查询。在安全模块100被插入时邮政安全模块PSM100的电池134的负极性104的地电位接在接口8的连接端P23上,因而它在接口8的连接端P4上经过导线192被检测单元13查询。
在处理器120的引脚6和7上接有短接线,它经过接口8的连接件102的引脚P1和P2返回处理器120而形成回路。为了动态检测邮政安全模块PSM100是否接在母板9上,由处理器120以安全不规则的时间间隔更换的信号电平给在引脚6,7上并经短接线形成回路。
图2示出一个盖邮戳机的方框电路图,它具有一个用来装载芯片卡的变化数据的芯片卡读写单元70和一个由控制单元1控制的打印装置2。控制单元1具有一个装配有相应存储器92,93,94,95和微处理器91的母板9。
程序存储器92含有至少用于打印的工作程序并至少含有与程序的安全相关的组成部分,它用于部分有用数据的规定的格式变化。
工作存储器RAM93用于中间结果的易失性中间存储。非易失存储器NVM94用于数据,例如按照付费口(Kostenstellen)排序的静态数据的非易失性中间存储。日历/时钟组件95也包含可寻址的,但是非易失存储器区,它们用于中间结果或者现有程序段(例如DES算法程序)的非易失性中间存储。控制装置1与芯片卡读写单元70相连接,例如控制装置1的微处理器91被编程来将芯片卡49的存储区来的有用数据N装载到盖邮戳机相应的存储区去供应用。一个插入芯片卡读写单元70的插槽72中的第一张芯片卡49允许装载至少为一种应用使用的数据组到盖邮戳机中。芯片卡49包含例如符合邮局价目表的所有常用邮政业务的邮资和一个邮局标记,以用盖邮戳机产生一个印记图并根据邮局的价目表自动对邮件盖戳。
控制装置1包含其自己的表盘,它由上述主板9的部件91至95构成。控制装置1还包含一个键盘88,一个显示单元89以及一个专用电路ASIC90和用于邮政安全模块PSM100的接口8。安全模块PSM100通过控制总线与上述ASIC90连接,通过并行μC总线至少与主板9的部件91至95并且与显示单元89连接。控制总线在安全模块PSM100和上述ASIC90之间传递信号CE,RD和WR。微处理器91最好具有一个连接安全模块PSM100给出的中断信号i的引脚,其它的连接端用于键盘88,一个串行接口S1-1用于连接芯片卡读写单元70,以及一个串行接口S1-2用于附加连接一个调制解调器。借助于调制解调器例如可以增加存储在邮政安全模块PSM100的非易失存储器存储的内容。
邮政安全模块PSM100被包封在一个保安外壳中。在每次邮戳打印之前在邮政安全模块PSM100中进行硬件的付费计算。此计算与付费口无关。邮政安全模块PSM100内部可以像欧洲专利申请EP789333A3所详细说明的那样设计。
ASIC90有一个串行接口电路98连接一个邮件流前接设备,一个串行接口电路96连接打印装置2的传感器和动作部件,一个串行接口电路97用于打印头4的打印控制电路16,以及一个串行接口电路99用于邮件流后续设备中的打印装置20。外设接口的实施方案可从DE19711997获得,它适合于多个外设(站)。该专利题目为:用于邮政处理机基站和其它站之间通信和紧急切断通信的配置。
与机器基座中的接口电路14相连接的接口电路96至少连接于传感器6,7,17和动作部件,例如连接于辊子11的驱动电机15,喷墨打印头4的净化和浓度站RDS40,以及机器基座中的标记产生器50。DE19726642C2公开了喷墨打印头4和RDS40的主要配置和它们之间的配合关系,其题目为:用于喷墨打印头和净化及浓度装置的定位的配置。
安装在操纵板20上的传感器7,17中传感器17用于信件传递时打印触发的准备,传感器7用于信件传递时打印触发的信件起始识别。传递装置由传送带10和两个辊子11,11′组成。一个辊子是与电机15安装在一起的驱动辊子11,另一个是从动的夹紧辊子11′。最好驱动辊子11设计成齿辊子,相应地传送带10也设计成齿传动带,它保证了明确的力传输。编码器5,6与辊子11,11′中的一个相耦合。最好驱动辊子11与一个增量产生器5一起固定在一个轴上。例如增量产生器5被设计成一个开缝圆盘,它与一个光栅6一起工作,并且经过导线19给出编码信号到母板9上。
打印头的各个打印元件在其盒中连接到一个打印头电路,对于纯的电打印而言打印头是可控的。打印控制是基于路径控制实现的,并且所选择的邮戳配方被考虑,此配方是通过键盘88或根据需要由芯片卡输入并且被非易失地存储在存储器NVM94中的。一个被规划的打印产生于邮戳配方(不打印),邮戳打印图和有时还有其它的对于广告内容,运送信息(选择打印)和附加的可编辑的通知的打印图。非易失存储器NVM94具有多个存储区。其中非易失地存储被装载的邮资表。
芯片卡读写单元70由一个相应的用于微处理器卡的机械载体和接触单元74组成。后者能够机械上可靠地将芯片卡置于读出位置上并且明确地给出芯片卡到达接触单元的信令。微处理器75与微处理器卡一起具有对所有种类的存储器卡或芯片卡编程的读出能力。与盖邮戳机的接口是按照RS232标准的一个串行接口。数据传输率为最小1.2K波特。借助于一个连接到主板上的开关71实现供电的切换。供电后完成自检功能并给出准备好信令。
图3给出从后面看的盖邮戳机透视图。盖邮戳机由表盘1和基座2构成。后者安装有一个芯片卡读写单元70,它安装在操纵板20的后面并且从外壳上棱边22可接近它。在借助于开关71开动盖邮戳机后一个芯片卡49从上向下插入插槽72中。一封被送入的,在其棱边上站立的信,其被打印的正面躺在操纵板上,然后将根据输入数据在其上打印一个邮戳31。信件送入口受可视板21和在侧面受操纵板20限制。插在表盘1的主板9上的安全模块100可从外部通过开孔109看到。
图4示出邮政安全模块PSM100的一种优化方案的方框电路图。电池134的负极接地并接到连接件102的引脚P23。电池134的正极通过导线193接到电压转换器180的输入端并且引入系统电压的导线191连接到电压转换器180的另一个输入端。SL-389/P型和SL-386/P型在PSM100最大耗电情况下分别有3.5年和6年寿命,它们适用于作为电池134。型号ADM8693ARN的商用电路可用作电压转换器180。电压转换器180的输出通过导线136加到电池监测单元12和检测单元13。电池监测单元12和检测单元13通过导线135,164和137,139与处理器120的引脚1,2,4和5建立通信连接。电压转换器180的输出还通过导线136给第一个存储器SRAM,它在存在电池134时将成为第一种工艺的非易失存储器NVRAM。
安全模块通过系统总线115,117,118与盖邮戳机连接。处理器120可通过系统总线和调制解调器83与远地数据中心建立通信联络。结算由ASIC150完成。邮政结算数据被存储在以不同方法存在非易失存储器中。第二个存储器NV-RAM114的供电输入是系统电压。这里涉及第二种工艺的非易失存储器(SHADOW-RAM)。此第二种工艺包括一个RAM和一个EEPROM,并且在系统电压下掉时后者自动记录数据内容。第二种工艺的NVRAM114通过内部地址总线和数据总线112,113与ASIC150的地址和数据输入端相连接。
ASIC150包含至少一个用于计算被存储邮政数据的硬件结算单元。在可编程阵列逻辑(PAL)160中安放ASIC150上的存取逻辑。ASIC150将通过逻辑PAL160控制。主板9的地址总线和数据总线117,115连接到逻辑PAL160的相应引脚上,并且PAL160产生至少一个对ASIC150的控制信号和一个对程序存储器FLASH128的控制信号。处理器120运行存储在FLASH128中的程序。处理器120,FLASH28,ASIC150和PAL160通过模块内部总线相互连接,此总线包含用于数据,地址和控制信号的导线110,111,126,119。
复位单元130通过导线131连接于处理器120的引脚3并与ASIC150的引脚连接。处理器120和ASIC150在供电电压下降时被在复位单元130中产生的复位信号复位。
在处理器120的引脚6和7上连接有导线,用于主板9上插入PSM100时构成回路18。
实时时钟RTC122和存储器RAM124经导线138由工作电压供电。此电压由电压监测单元(电池观察器)12产生。此外作为对控制信号135的响应,它提供一个状态信号164。电压转换器180给出输出电压在导线136上作为电压监测单元12和存储器116各自的输入电压,其中一个高于另一个。
处理器120内部具有一个处理单元CPU121,一个实时时钟RTC122,一个RAM单元124和一个输入/输出单元125。引脚8和9是输入/输出单元125的I/O口,其上连接模块内部的指示器件,例如彩色发光二极管LED107,108,它们指示安全模块的状态。安全模块在其寿命期内可处于不同状态下。因此必须检测例如是否模块含有有效的密钥。此外判决模块是完善的还是有故障也是重要的。模块状态的精确类型和数量与模块中实现的功能和其实现方法有关。
安全模块100的处理器120通过模块内部的数据总线126连接到FLASH128和ASIC150。FLASH128用作程序存储器,它由系统电压Us +供电。例如它是一个128K字节的AM29F010-45EC型FLASH存储器。邮政安全模块100的ASIC150通过模块内部的地址总线110提供地址0至7到FLASH128的相应地址输入端。安全模块100的处理器120通过内部地址总线111提供地址8至15到FLASH128的相应地址输入端。安全模块100的ASIC150通过接口8的连接件101建立与数据总线118,与主板9的地址总线117和控制总线115的通信连接。
由于上述电路可以根据电压Us +和Ub +的大小自动地用其中较大的一个进行供电,因此在正常运行时可以无数据损失地更换电池134。
盖邮戳机的电池在正常运行以外的休息时间中以前面提到的方式给具有日期和/或时钟时间寄存器的实时时钟122和含有安全相关数据的静态RAM(SRAM)供电。在电池工作期内当电池的电压下降到规定的门限值以下时由实施例所描述的电路将对RTC和SRAM的馈电点与地相接。这就是说,RTC和SRAM上的电压变为0V。这导致例如含有重要的密钥的SRAM124非常迅速地被清零。同时RTC122的寄存器也被清零,并且实际的时钟时间和实际的日期被丢失。通过这种方式阻止了可能的操纵电池电压形成的袭击停止盖邮戳机内部时钟122,而不影响安全相关数据的丢失。因而避免了像诸如长时间监测狗那样回避安全措施。
在指示电池的低电压的同时所述电路转换到自保状态,在此后电压升高时电路也保持在此状态。在下次开动模块时处理器查询电路的状态(状态信号),并且/或者通过评估被清零的存储器的内容推断出在其间时间内电池电压低于规定值。处理器可以使监测电路复原,即使其“苏醒”过来。
电压监测单元(电池观察器)12的电路图借助于图5进行说明。电路由导线136上的电池电压供电。在正常状态下晶体管1252截止并且电池电压经电阻1254到导线138上作为对实时时钟RTC122及存储器RAM124的供电。导线138是对RTC122和RAM124的馈电线。
电压监测单元12在导线136和地之间有一个分压器1242,1244,它有一个引出头1246,在此引出头上连接比较器1250的反相输入端,一个用于自保的电路元件1258和一个用于自保电路复原的电路元件1260。比较器1250的输出端经反相器1252,1254一方面连接到导线138,另一方面连接到用于自保的另一电路元件1256。后者是一个二极管,它反馈低电平到分压器引出头。分压器由两个电阻1242和1244及一个电容器1272组成,电容器接在引出头和地之间。两个电阻1242和1246间的连接点上的支路1246连接到比较器1250的的反相输入端上。比较器1250的同相输入端连接到参考电压源1248。比较器1250的输出引到晶体管1252的控制输入端,它还与地连接,并且经电阻1254与导线136连接,即它被接成一个反相器。反相器1252,1254的输出与导线138和二极管1256的负极相连接,二极管1256的正极通过电阻1258与支路1246连接。在导线136和支路1246之间与电阻1242并联第二个晶体管1260,其控制输入端与导线135连接。
导线136上的电池电压被由两个电阻1242和1244及一个电容器1272构成的分压器降低并且由比较器1250将其与参考电压源1248的参考电压进行比较。如果支路1246上的被比较电压小于参考电压,晶体管1252在其控制输入端上有高电平并且导通。这样导线138与地相接并且RTC122和RAM124不再得到电池电压供电。这导致RTC122的寄存器和RAM124中的数据被清零并且RTC122保持工作。
因为现在导线138与地相连,支路1246上的被比较的电压经过二极管1256和电阻1258被拉到接近于0V。这样监测电路12转换到自保状态,在导线136上的电压上升时监测电路仍保持在此状态并且导线138保持为地电位。在电路的这个状态下经过耦合二极管1262给出一个低电平信号到导线164上,它可被处理器120查询。耦合二极管1262用于降低电池工作时的耗电量。处理器120能复原监测电路12。为此一个高电平复位信号通过导线135加到晶体管1260上使其导通,从而支路1246上的电压上升到超过参考电压,比较器1250反转且晶体管1252截止。ICL7665SAIBA适用于作为比较器1250。二极管1268从电池电压耦合出比较器1250的供电电压。电解电容器1270用于使得比较器1250在一个相对长的时间中(大于2s)得到供电电压,虽然导线136上的电池电压断掉了,比较器仍能保证工作。电路12被设计成每次导线136上的电池电压降低到2.6V的规定门限值之下都引起电路12动作。
图6示出安全模块侧视的机械结构。安全模块是被设计成多芯片模块,即在电路板106上有多个功能单元。安全模块100用固化的灌注物质105灌注,而安全模块100的电池134可更换地安装在电路板106上灌注物质105的外面。例如它与灌注物质105如此配置:指示器件107,108在第一个位置处从灌注物质中伸出,而带有插上的电池134的电路板106从侧面第二个位置处伸出。此外电路板106具有电池连接端子103,104,它们用于连接电池134的电极,它们最好在电路板106上的安装面上。为了插邮政安全模块PSM100在表盘1的主板上,连接件101和102安装在安全模块100的主板106下面(线路面)。专用电路ASIC150以图中未示出的方式在第一个连接件101的上面,它与控制装置1的系统总线有通信连接,第二个连接件102用于系统电压对安全模块100的供电。如果安全模块被插在主板上,最好它被安装在表盘外壳之内,使得指示器件107,108接近开孔109或者伸进开孔中。表盘外壳最好如此构造,使得使用者能从外部看到安全模块的状态指示。指示器件的两个发光二极管107和108由处理器120的I/O输出到引脚8,9上的输出信号控制。两个发光二极管安放在同一个元件外壳中(双色发光二极管),所以开孔的偏差及直径可以相对地小并且与指示器件的尺寸相当。原则上可呈现三件不同的颜色(红,绿,橙),但是其中只用两个(红和绿)。为了判定状态,LED也被以闪烁方式使用,这样可区别不同的状态,例如不同的状态由以下LED的状态描述:LED关闭,LED红灯闪,LED红灯亮,LED绿灯闪,LED绿灯亮。在图7中示出了邮政安全模块的顶视图。图8a和8b分别示出安全模块的右视和左视图。由图8a和8b结合图6可清楚地看出连接件101和102的位置在主板106的下面。
按照本发明邮政设备主要是指盖邮戳机,然而安全模块也可以有其它的结构形式,例如它也可以插在一台个人计算机的母板上,它作为PC盖邮戳机控制一台市售打印机。
本发明不限于以上所述的实施方案,本发明所公开的其它配置及实施方案可以开发和使用,它们与本发明有相同的思路并且被本发明列举的权利要求所包容。
Claims (9)
1.一种安全模块配置,它具有至少一个功能单元(120),一个电池(134),用来用系统电压供电的装置以及一个电压转换器(180),它经过导线(136)与一个电压监测单元(12)相连接,此电压监测单元经导线(138)给出工作电压到一个存储器(122,124),其特征在于,电池(134)可更换地安装在安全模块(100)上,电压监测单元(12)具有构成一个可复原的自保电路的电路元件(Schaltungsmittel)(1256,1258,1260),当电池电压下降到规定门限值之下时自保电路被触发。
2.如权利要求1所述的配置,其特征在于,电压监测单元(12)具有一根导线(135)和一个用于自保电路的复原的开关元件(1260)作为电路元件,当电池电压上升到高于规定门限值时复原才被起动。
3.如权利要求1或2所述的安全模块配置,其特征在于,电压监测单元(12)具有一个在导线(136)和地之间的分压器(1242,1244),它具有一个引出头(1246),在引出头上连接有一个比较器(1250)的反相输入端,一个用于自保电路的电路元件(1258)和用于自保电路的复原的开关元件(1260),并且比较器(1250)的输出端经过一个反相器(1252,1254)一方面与导线(138)连接,而另一方面连接到用于自保电路的另一个电路元件(1256)。
4.如权利要求3所述的安全模块配置,其特征在于,自保电路的另一个电路元件(1256)是一个二极管。
5.如权利要求3所述的安全模块配置,其特征在于,比较器(1250)的同相输入端与一个参考电压源(1248)相连接。
6.如权利要求3所述的安全模块配置,其特征在于,自保电路的状态经过导线(164)被安全模块(100)的处理器(120)查询。
7.如权利要求1至6中任一项所述的安全模块配置,其特征在于,处理器(120)具有存储器(122,124),电压监测单元(12)给出的工作电压经导线(138)加到其上,处理器(120)用系统电压供电并具有第一个引脚1,用来经导线(135)复原自保电路的状态,并且具有第二个引脚2,其上连接导线(164),用来查询电压监测单元(12)的状态,查询它是给出工作电压还是处于自保状态。
8.如权利要求7所述的安全模块配置,其特征在于,安全模块(100)具有一个专用电路ASIC(150),并且处理器(120)经模块内部的数据总线(126)与专用电路ASIC(150)连接,同时后者经过第一个连接件(101)与控制装置(1)的系统总线建立通信连接。
9.如权利要求1所述的安全模块配置,其特征在于,安全模块(100)被用固化的灌注物质(105)灌注,安全模块(100)的电池(134)可更换地安装在电路板(106)上灌注材料(105)之外,电路板(106)具有用于连接电池(134)的电极的电池连接端子(103和104)以及用于用系统电压给安全模块(100)供电的第二个连接件(102)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19912780A DE19912780A1 (de) | 1999-03-12 | 1999-03-12 | Anordnung für ein Sicherheitsmodul |
| DE19912780.8 | 1999-03-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1267040A true CN1267040A (zh) | 2000-09-20 |
| CN1148705C CN1148705C (zh) | 2004-05-05 |
Family
ID=7901895
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB001038672A Expired - Fee Related CN1148705C (zh) | 1999-03-12 | 2000-03-10 | 一种安全模块配置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6625741B1 (zh) |
| EP (1) | EP1035516B1 (zh) |
| CN (1) | CN1148705C (zh) |
| AU (1) | AU2080800A (zh) |
| DE (2) | DE19912780A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19928057B4 (de) | 1999-06-15 | 2005-11-10 | Francotyp-Postalia Ag & Co. Kg | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation |
| DE19928061C2 (de) | 1999-06-15 | 2003-08-28 | Francotyp Postalia Ag | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
| DE19928058B4 (de) | 1999-06-15 | 2005-10-20 | Francotyp Postalia Ag | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
| DE10061665A1 (de) | 2000-12-11 | 2002-06-20 | Francotyp Postalia Gmbh | Verfahren zur Ermittlung eines Erfordernis zum Austausch eines Bauteils und Anordnung zur Durchführung des Verfahrens |
| FR2819070B1 (fr) * | 2000-12-28 | 2003-03-21 | St Microelectronics Sa | Procede et dispositif de protection conte le piratage de circuits integres |
| DE10116703A1 (de) * | 2001-03-29 | 2002-10-10 | Francotyp Postalia Ag | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
| DE10136608B4 (de) | 2001-07-16 | 2005-12-08 | Francotyp-Postalia Ag & Co. Kg | Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul |
| JP4247874B2 (ja) * | 2002-08-22 | 2009-04-02 | 日本金銭機械株式会社 | 紙葉類鑑別装置 |
| FR2872947B1 (fr) * | 2004-07-08 | 2007-04-20 | Neopost Ind Sa | Tampon a affranchir electronique |
| DE102005038130B4 (de) * | 2005-08-11 | 2012-03-22 | Siemens Ag | Mikrochip zur Überwachung einer elektrischen Baugruppe |
| US20080126503A1 (en) * | 2006-10-05 | 2008-05-29 | Holt John M | Contention resolution with echo cancellation |
| US8308819B2 (en) * | 2006-12-19 | 2012-11-13 | Pitney Bowes Inc. | Method for detecting the removal of a processing unit from a printed circuit board |
| DE102007011309B4 (de) | 2007-03-06 | 2008-11-20 | Francotyp-Postalia Gmbh | Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine |
| US9541991B2 (en) * | 2012-12-14 | 2017-01-10 | Intel Corporation | Method and apparatus for managing computing system power |
| US10008104B2 (en) * | 2014-04-25 | 2018-06-26 | Tyco Safety Products Canada Ltd. | Security system output interface with overload detection and protection |
| US10630493B2 (en) * | 2017-11-29 | 2020-04-21 | Birad—Research & Development Company Ltd. | Physical unclonable functions related to inverter trip points |
| DE102020110644A1 (de) | 2020-04-20 | 2021-10-21 | Audi Aktiengesellschaft | Vorrichtung umfassend wenigstens eine Komponentenaufnahme, Kraftfahrzeug und Verfahren zum Betreiben einer Vorrichtung umfassend wenigstens eine Komponentenaufnahme |
| US11838045B2 (en) * | 2021-09-27 | 2023-12-05 | Saudi Arabian Oil Company | System and method for controlling an antenna system |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5880755A (ja) * | 1981-11-09 | 1983-05-14 | Sharp Corp | 電子式計算機 |
| GB2144081B (en) | 1983-07-23 | 1987-10-28 | Pa Consulting Services | Postal franking machines |
| US4575621A (en) * | 1984-03-07 | 1986-03-11 | Corpra Research, Inc. | Portable electronic transaction device and system therefor |
| JPS6227843A (ja) | 1985-07-29 | 1987-02-05 | Sharp Corp | 電子装置 |
| US4903232A (en) * | 1987-06-26 | 1990-02-20 | Connell James A O | Electronic programmable stamping marking device |
| US5097253A (en) * | 1989-01-06 | 1992-03-17 | Battelle Memorial Institute | Electronic security device |
| US5027397A (en) | 1989-09-12 | 1991-06-25 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
| CA2067331A1 (en) * | 1989-10-03 | 1991-04-04 | Joseph Unsworth | Electro-active cradle circuits for the detection of access or penetration |
| JPH0685320B2 (ja) * | 1989-10-31 | 1994-10-26 | シャープ株式会社 | 電子機器の電池収納機構 |
| JP2913190B2 (ja) * | 1989-11-25 | 1999-06-28 | 日立マクセル株式会社 | 半導体カードならびにその製造方法 |
| US5229641A (en) | 1989-11-25 | 1993-07-20 | Hitachi Maxell, Ltd. | Semiconductor card and manufacturing method therefor |
| US5515540A (en) * | 1990-08-27 | 1996-05-07 | Dallas Semiconducter Corp. | Microprocessor with single pin for memory wipe |
| DE4213278C2 (de) | 1992-04-16 | 1998-02-19 | Francotyp Postalia Gmbh | Anordnung zum Frankieren von Postgut |
| US5490077A (en) | 1993-01-20 | 1996-02-06 | Francotyp-Postalia Gmbh | Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account |
| DE4333156C2 (de) * | 1993-09-29 | 1995-08-31 | Siemens Ag | Schaltungsanordnung zum Anschließen einer elektronischen Baugruppe an eine Betriebsspannung |
| DE4344476A1 (de) | 1993-12-21 | 1995-06-22 | Francotyp Postalia Gmbh | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen |
| DE4344471A1 (de) | 1993-12-21 | 1995-08-17 | Francotyp Postalia Gmbh | Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes |
| GB9514096D0 (en) * | 1995-07-11 | 1995-09-13 | Homewood Clive R | Security device |
| DE19605015C1 (de) | 1996-01-31 | 1997-03-06 | Francotyp Postalia Gmbh | Vorrichtung zum Bedrucken eines auf einer Kante stehenden Druckträgers |
| DE59710554D1 (de) | 1996-01-31 | 2003-09-18 | Francotyp Postalia Ag | Frankiermaschine |
| WO1998020461A2 (en) * | 1996-11-07 | 1998-05-14 | Ascom Hasler Mailing Systems, Inc. | System for protecting cryptographic processing and memory resources for postal franking machines |
| US5969504A (en) * | 1998-03-06 | 1999-10-19 | The Johns Hopkins University | Automatic battery power switch |
| US6088762A (en) * | 1998-06-19 | 2000-07-11 | Intel Corporation | Power failure mode for a memory controller |
-
1999
- 1999-03-12 DE DE19912780A patent/DE19912780A1/de not_active Withdrawn
-
2000
- 2000-02-21 DE DE50015247T patent/DE50015247D1/de not_active Expired - Lifetime
- 2000-02-21 EP EP00250055A patent/EP1035516B1/de not_active Expired - Lifetime
- 2000-03-10 US US09/522,621 patent/US6625741B1/en not_active Expired - Fee Related
- 2000-03-10 AU AU20808/00A patent/AU2080800A/en not_active Abandoned
- 2000-03-10 CN CNB001038672A patent/CN1148705C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| DE19912780A1 (de) | 2000-09-14 |
| EP1035516A3 (de) | 2000-12-20 |
| EP1035516A2 (de) | 2000-09-13 |
| AU2080800A (en) | 2000-09-14 |
| CN1148705C (zh) | 2004-05-05 |
| EP1035516B1 (de) | 2008-07-09 |
| US6625741B1 (en) | 2003-09-23 |
| DE50015247D1 (de) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1148705C (zh) | 一种安全模块配置 | |
| CN1156801C (zh) | 保护安全模块的方法及安全模块 | |
| EP0969421B1 (de) | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen | |
| CA1292315C (en) | Batch mailing system | |
| CN1156800C (zh) | 保护安全模块的方法及实现此方法的装置 | |
| DE69729409T2 (de) | Elektronisches Frankiermaschinensystem mit internem Abrechnungssystem und entfernbarem externem Abrechnungssystem | |
| US4780835A (en) | System for detecting tampering with a postage value accounting unit | |
| EP0665518B1 (en) | Franking machine including secure and non-secure modules | |
| EP0762337A2 (de) | Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
| CN1182245A (zh) | 打印和计帐分开、邮戳和计帐信息划分的邮资计费系统 | |
| GB2185443A (en) | Transmitting postage value and verification systems | |
| CA1277422C (en) | Batch mailing system | |
| CN1151474C (zh) | 带有状态信号的安全模件 | |
| EP1063619B1 (de) | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation | |
| US7254563B1 (en) | Method and arrangement for automatically ordering supplies which are consumed during usage of a device | |
| EP1209631B1 (de) | Anordnung zur Stromversorgung für einen Sicherheitsbereich eines Gerätes | |
| US5585613A (en) | Postage metering apparatus including means for guarding against printing a postage value without accouting therefor | |
| CN206684790U (zh) | 自主投币式独立停车位管理装置 | |
| CN1236146A (zh) | 具有安全报告打印机差错的邮资打印系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040505 Termination date: 20120310 |