DE19912780A1 - Anordnung für ein Sicherheitsmodul - Google Patents
Anordnung für ein SicherheitsmodulInfo
- Publication number
- DE19912780A1 DE19912780A1 DE19912780A DE19912780A DE19912780A1 DE 19912780 A1 DE19912780 A1 DE 19912780A1 DE 19912780 A DE19912780 A DE 19912780A DE 19912780 A DE19912780 A DE 19912780A DE 19912780 A1 DE19912780 A1 DE 19912780A1
- Authority
- DE
- Germany
- Prior art keywords
- voltage
- battery
- line
- security module
- arrangement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00233—Housing, e.g. lock or hardened casing
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00298—Visual, e.g. screens and their layouts
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00306—Acoustic, e.g. voice control or speech prompting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00346—Power handling, e.g. power-down routine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Abstract
Die Erfindung betrifft eine Anordnung für ein Sicherheitsmodul, welches über ein Interface (8) auf eine Grundplatte (9) eines postalischen Gerätes, insbesondere einer Frankiermaschine, gesteckt wird. Die Batterie (134) ist auswechselbar auf dem Sicherheitsmodul angeordnet und die Spannungsüberwachungseinheit (12) weist Schaltungsmittel für eine rücksetzbare Selbsthaltung auf, wobei die Selbsthaltung ausgelöst wird, wenn die Batteriespannung unter eine vorbestimmte Schwelle sinkt. Der Zustand kann von einem Prozessor (120) über eine Leitung (164) abgefragt werden. Die Rücksetzung der Selbsthaltung ist über die Leitung (135) erst auslösbar, wenn die Batteriespannung über die vorbestimmte Schwelle gestiegen ist.
Description
Die Erfindung betrifft eine Anordnung für ein Sicherheitsmodul, gemäß
der im Oberbegriff des Anspruchs 1 angegebenen Art. Ein solcher
postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer
Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit
Postbearbeitungsfunktion geeignet.
Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte
Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale
Druckvorrichtung ein. Damit ist es prinzipiell möglich, beliebige Texte und
Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder
ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat
zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikro
prozessor, welcher von einem gesicherten Gehäuse umgeben ist, das
eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Brief
zuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein
Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck
beinhaltet eine zuvor eingegebene und gespeicherte postalische Informa
tion zur Beförderung des Briefes. Die Steuereinheit der Frankiermaschine
nimmt eine Abrechnung softwaremäßig vor, übt eine Überwachungs
funktion ggf. bezüglich der Bedingungen für eine Datenaktualisierung aus
und steuert das Nachladen eines Portwertguthabens.
Für die oben genannte Thermotransfer-Frankiermaschine wurde bereits in
US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Daten
eingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der
Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an
weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine
Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das
Datenladen und die Einstellung der Frankiermaschine kann damit
bequemer und schneller als per Tastatureingabe erfolgen. Eine
Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum
Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum
Steuern des Druckens und der peripheren Komponenten der
Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von
Postgebühren, mit mindestens einem nichtflüchtigen Speicher zum
Speichern von Postgebührendaten, mit mindestens einem nichtflüchtigen
Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer
Kalender/Uhr ausgestattet. Der nichtflüchtige Speicher der sicherheits
relevanten Daten und/oder die Kalender/Uhr wird gewöhnlich von einer
Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheits
relevante Daten (kryptografische Schlüssel u. ä.) in nichtflüchtigen
Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder
batteriegesicherte SRAM. Bekannte Frankiermaschinen verfügen oft auch
über eine interne Echtzeituhr (Real Time Clock) RTC, die von einer
Batterie gespeist wird. Bekannt sind z. B. vergossene Module, die
integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module
müssen nach Ablauf der Lebensdauer der Batterie im Ganzen
ausgetauscht und entsorgt werden. Aus wirtschaftlichen und ökologischen
Gesichtspunkten ist es günstiger, wenn nur die Batterie ausgetauscht
werden muß. Dazu muß jedoch das Sicherheitsgehäuse geöffnet und
anschließend wieder verschlossen und gesiegelt werden, denn die
Sicherheit gegenüber Betrugsversuchen beruht im Wesentlichen auf dem
gesicherten Gehäuse, welches die gesamte Maschine umschließt.
Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits
ein geeignetes Verfahren zur Verbesserung der Sicherheit von
Frankiermaschinen vorgeschlagen, in welchem zwischen einem
authorisierten und unauthorisierten Öffnen des Sicherheitsgehäuses
unterschieden wird.
Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann
vor Ort nur schwer möglich, wenn der Zugang zu den Bauteilen erschwert
oder eingeschränkt ist. Bei größeren Postverarbeitungsmaschinen oder
sogenannten PC-Frankierern wird zukünftig das gesicherte Gehäuse auf
das sogenannte postalische Sicherheitsmodul reduziert werden, was die
Zugänglichkeit zu den übrigen Bauteile verbessern kann. Zum wirtschaft
lichen Austauschen der Batterie des Sicherheitsmoduls wäre es außer
dem wünschenswert, daß sich diese auf relativ einfachem Wege aus
wechseln läßt. Dann würde sich die Batterie aber außerhalb des Sicher
heitsbereichs der Frankiermaschine befinden. Wenn die Batterieklemmen
aber von außen zugänglich gemacht werden, ist ein möglicher Angreifer
in der Lage, die Batteriespannung zu manipulieren. Bekannte batterie
gespeiste SRAM's und RTC's haben bzgl. ihrer geforderten Betriebs
spannung unterschiedliche Anforderungen. Die notwendige Spannung
zum Halten von Daten von SRAM's liegt unterhalb der geforderten
Spannung zum Betrieb von RTC's. Daß bedeutet, daß ein Verringern der
Spannung unter einen bestimmten Grenzwert zu einem unerwünschten
Verhalten der Komponenten führt: Die RTC bleibt stehen, die Uhrzeit -
gespeichert in SRAM-Zellen - und die Speicherinhalte des SRAM bleiben
erhalten. Wenigstens eine der Sicherheitsmaßnahmen, beispielsweise
Long Time Watchdogs, wären dann auf der Frankiermaschinenseite
unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die
entfernte Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer,
insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis
zu welchem sich die Frankiereinrichtung per Kommunikationsverbindung
melden soll. Nach Erschöpfung des Zeitkredits oder Fristablauf wird das
Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur
Erzeugung und Überprüfung eines Sicherheitsabdruckes wurde bereits in
der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die
voraussichtliche Zeitdauer bis zur nächsten Guthabennachladung zu
ermitteln, wobei seitens einer Datenzentrale diejenige Frankiermaschine
als suspekt gilt, welche sich nicht fristgemäß meldet. Suspekte Frankier
maschinen werden der Postbehörde mitgeteilt, welche den Poststrom
nach von suspekten Frankiermaschinen frankierten Briefen überwacht.
Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der
Frankiereinrichtung ermittelt und der Benutzer wird aufgefordert die
überfällige Kommunikation durchzuführen.
Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen
her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische
Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche
Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel
im Gehäuse umfaßt. Das Abschirmmittel besteht aus Einkapselungs
material und Leitungsmitteln, an welchen die Stromversorgungs- und Si
gnalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine Ver
änderung des Leitungswiderstandes des Leitungsmittels. Außerdem ent
hält das Sicherheitsmodul eine interne Batterie, einen Spannungsum
schalter von Systemspannung auf Batteriespannung und weitere Funk
tionseinheiten (wie Power Gate, Kurzschlußtransistor, Speicher und Sen
soren). Wenn die Spannung eine bestimmte Grenze unterschreitet, rea
giert das Power Gate. Wenn der Leitungswiderstand, die Temperatur oder
die Strahlung verändert ist, reagiert die Logik. Mittels des Power Gate
oder mittels der Logik wird der Ausgang des Kurzschlußtransistor auf L-
Pegel umgeschaltet, wodurch ein im Speicher gespeicherter kryptographi
scher Schlüssel gelöscht wird. Jedoch ist die Lebensdauer der nicht aus
wechselbaren Batterie und damit des Sicherheitsmoduls für den Einsatz
in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein.
Eine größere Postverarbeitungsmaschine ist beispielsweise die JetMail®.
Ein Frankierdruck wird hier mittels einem stationär angeordneten Tinten
strahldruckkopf bei einem nichtwaagerechten annähernd vertikalen Brief
transport erzeugt. Eine geeignete Ausführung für eine Druckvorrichtung
wurde bereits in der DE 196 05 015 C1 vorgeschlagen. Die Postver
arbeitungsmaschine hat ein Meter und eine Base. Soll das Meter mit
einem Gehäuse ausgestattet werden, so daß Bauteile leichter zugänglich
sind, dann muß es durch ein postalisches Sicherheitsmodul vor Betrugs
versuchen geschützt werden, welches mindestens das Abrechnen der
Postgebühren durchführt. Um Einflüsse auf den Programmverlauf auszu
schließen, wurde bereits in der EP 789 333 A2 vorgeschlagen, ein Sicher
heitsmodul mit einer Anwenderschaltung (ASIC) auszustatten, die eine
Hardware-Abrecheneinheit aufweist. Die Anwenderschaltung (ASIC)
steuert außerdem die Druckdatenübertragung zum Druckkopf.
Letzteres wäre nur dann nicht erforderlich, wenn für jedes Poststück
einzigartige Abdrucke erzeugt werden. Ein Verfahren und Anordnung zur
schnellen Erzeugung eines Sicherheitsabdruckes ist beispielsweise in
den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen
worden. Dabei wird eine spezielle Sicherheitsmarkierung elektronisch
generiert und in das Druckbild eingebettet.
Weitere Maßnahmen zum Schutz eines Sicherheitsmodul vor einem
Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht
vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4
vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der
Stromverbrauch und ein nicht ständig von einer Systemspannung
versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten
Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig er
schöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken
somit die Lebensdauer eines Sicherheitsmoduls. Würden aber die
Batterieanschlußklemmen von außen zugänglich gemacht werden, um die
Lebensdauer der Batterie zu erhöhen, bestünde eine Angriffsmöglichkeit
auf die Sicherheit der postalischen Daten durch einen Betrüger.
Das nicht durch eine Systemspannung versorgte Sicherheitsmodul könnte
dann über die von außen zugänglichen Batteriekontakte manipuliert
werden, indem die Spannung unter die für den Prozessor spezifizierte
Grenzspannung verringert wird. Wenn der Prozessor mit einem internen
Uhren-RAM (RTC) ausgestattet ist, bleibt die Uhr zuerst stehen. Bei
Erhöhung der Spannung würde die interne Uhr (RTC) wieder
weiterlaufen. Beim Anlegen einer Impulsspannung mit Impulsweiten
modulation muß sichergestellt sein, daß die Batteriespannung nicht unter
die spezifizierte Grenze sinken kann, oberhalb derer die Speicherinhalte
erhalten bleiben sollen. Bei einer unter die Grenze herunter gehenden
Spannungsverringerung muß dieser Zustand nachweisbar solange
aufrechterhalten werden bis ein anderer zulässiger Zustand gültig ist.
Grundsätzlich ist eine Abschätzung des Angreiferpotentials bzw. der
Angreiferklassen erforderlich, um mit geeigneten, vom Aufwand her
angemessenen, Maßnahmen den erwünschten Sicherheitslevel zu
erreichen. Dabei gilt das Motto: "So viel wie nötig, so wenig wie möglich".
Mit einer geeigneten Schaltung muß also die Manipulationsmöglichkeit
mindestens eingeschränkt werden.
Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit vor einer
unbefugten Manipulation eines Sicherheitsmoduls zu gewährleisten, wenn
die Batterie austauschbar angeordnet ist.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 gelöst.
Ein postalisches Gerät, insbesondere eine Frankiermaschine, wird mit
einem steckbaren Sicherheitsmodul ausgestattet, welches mit dem
Systembus des Meters bzw. einer anderen geeigneten Steuereinrichtung
verbunden ist. Bei einem gestecktem Sicherheitsmodul, welches zum
Servicezeitpunkt von einer Systemspannung versorgt wird, kann die
Batterie des Sicherheitsmoduls von einem Servicetechniker ausgewech
selt werden. Das Sicherheitsmodul ist mit einer harten Masse vergossen.
Für einen Batteriewechsel bzw. Entsorgung ist die Batterie jedoch
außerhalb der Vergußmasse angeordnet.
Erfindungsgemäß weist das Sicherheitsmodul eine Spannungsüber
wachungseinheit mit rücksetzbarer Selbsthaltung auf, die vom Prozessor
abgefragt und zurückgesetzt werden kann. Die Überwachung der Span
nung einer Batterie, die für die batteriegestützten RAM-Speicher und zur
Funktion einer internen Uhr erforderlich ist, hat das Ziel, beim Unter
schreiten eines bestimmten Spannungspegels Aktionen auszulösen, die
zum Löschen von sicherheitsrelevanten Daten und der aktuellen Uhrzeit
führen. Die Selbsthaltung gestattet den Zustand der Spannungsunter
schreitung solange zu konservieren, bis ein sicherer Nachweis möglich
ist. Letzteres ist erst nachträglich der Fall, wenn das Modul wieder mit
Systemspannung versorgt wird. Ein Inspektor oder eine andere authori
sierte Person, die geeignete Eingaben an der Tastatur der Frankier
einrichtung ausführt, kann den ursprünglichen Zustand wiederherstellen.
Die Vorteile neben der Verlängerung der Lebensdauer des Sicherheits
moduls durch die Möglichkeit des Batteriewechsels, liegen in einem
geringen Stromverbrauch der Schaltung trotz einer schnellen Reaktion
auf Spannungsänderungen und einer Verhinderung einer Mittelwert
bildung bei einer Manipulation mit Rechteckimpulsen an den
Batterieanschlüssen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen
gekennzeichnet bzw. werden nachstehend zusammen mit der
Beschreibung der bevorzugten Ausführung der Erfindung anhand der
Figuren näher dargestellt. Es zeigen:
Fig. 1 Blockbild und Interface des Sicherheitsmoduls,
Fig. 2 Blockschaltbild der Frankiermaschine,
Fig. 3 perspektivische Ansicht der Frankiermaschine von hinten,
Fig. 4 Blockschaltbild des Sicherheitsmoduls (zweite Variante),
Fig. 5 Schaltbild der Spannungsüberwachungseinheit,
Fig. 6 Seitenansicht des Sicherheitsmoduls,
Fig. 7 Draufsicht auf das Sicherheitsmodul,
Fig. 8a Ansicht des Sicherheitsmoduls von rechts,
Fig. 8b Ansicht des Sicherheitsmoduls von links.
In der Fig. 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den
Kontaktgruppen 101, 102 zum Anschluß an ein Interface 8 sowie mit den
Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces für eine
Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer
harten Vergußmasse vergossen ist, ist die Batterie 134 des
Sicherheitsmoduls 100 außerhalb der Vergußmasse auf einer Leiterplatte
auswechselbar angeordnet. Die Leiterplatte trägt die Batteriekontakt
klemmen 103 und 104 für den Anschluß der Pole der Batterie 134. Mittels
der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein
entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt.
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuer
einrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe
102 dient der Versorgung des Sicherheitsmoduls 100 mit der System
spannung. Über die Pins P3, P5-P19 der Kontaktgruppe 101 laufen Adreß-
und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste
und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen
und dynamischen Überwachung des Angestecktseins des Sicherheits
moduls 100 ausgebildet. Über die Pins P23 und P25 der Kontaktgruppe
102 wird die Versorgung des Sicherheitsmoduls 100 mit der System
spannung der Hauptplatine 9 realisiert und über die Pins P1, P2 bzw. P4
wird eine dynamische und statische Ungestecktsein-Detektion durch das
Sicherheitsmodul 100 realisiert.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen
Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten
Festwertspeicher (internal ROM) mit dem speziellen Anwendungs
programm enthält, was für die Frankiermaschine von der Postbehörde
bzw. vom jeweiligen Postbeförderer zugelassen ist. Alternativ kann an
den modulinternen Datenbus 126 ein üblicher Festwertspeicher ROM
oder FLASH-Speicher angeschlossen werden.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset-
Schaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine
Logik PAL 160 auf, die für den ASIC als Steuersignalgenerator dient. Die
Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und
die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher
werden über die Leitungen 191 bzw. 129 mit Systemspannung Us+
versorgt, welche bei eingeschalteter Frankiereinrichtung von der Haupt
platine 9 geliefert wird.
In der EP 789 33 A2 wurden bereits die wesentlichen Teile eines
postalischen Sicherheitsmoduls PSM dargestellt, welche die Funktionen
Abrechnen und Absichern der Postgebührendaten realisieren.
Die Systemspannung Us+ liegt außerdem über eine Diode 181 und die
Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 an. Am
Ausgang der Spannungsüberwachungseinheit 12 wird eine zweite Be
triebsspannung Ub+ geliefert, welche über die Leitung 138 zur Verfügung
steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die System
spannung Us+, sondern nur die Batteriespannung Ub+ zur Verfügung. Die
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse ver
bunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103
wird Batteriespannung über eine Leitung 193, über eine zweite Diode 182
und die Leitung 136 an den Eingang der Spannungsüberwachungseinheit
geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handels
üblicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden.
Der Ausgang der Spannungsüberwachungseinheit 12 ist über eine
Leitung 138 mit einem Eingang für diese zweite Betriebsspannung Ub+
des Prozessors 120 verbunden, welcher mindestens auf einen RAM-
Speicherbereich 122, 124 führt und dort eine nichtflüchtige Speicherung
solange garantiert, wie die zweite Betriebsspannung Ub+ in der
erforderlichen Höhe anliegt. Der Prozessor 120 enthält vorzugsweise
einen internen RAM 124 und eine Echtzeituhr (RTC) 122.
Die Spannungsüberwachungseinheit 12 im Sicherheitsmodul 100 weist
eine rücksetzbare Selbsthaltung auf, die vom Prozessor 120 über eine
Leitung 164 abgefragt und über eine Leitung 135 zurückgesetzt werden
kann. Für eine Rücksetzung der Selbsthaltung weist die Spannungsüber
wachungseinheit 12 Schaltungsmittel auf, wobei die Rücksetzung erst
auslösbar ist, wenn die Batteriespannung über die vorbestimmte Schwelle
angestiegen ist. Die rücksetzbare Selbsthaltung wird später anhand der
Fig. 5 näher erläutert.
Die Leitungen 135 und 164 sind je mit einem Anschluß (Pin1 und 2) des
Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an
den Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die
Spannungsüberwachungseinheit 12.
Die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12
versorgt zugleich eine Detektions-Einheit 13 mit Betriebs- oder Batterie
spannung. Vom Prozessor 120 wird der Zustand der Detektions-Einheit
13 über die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird
vom Prozessor 120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach
dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu
wird über eine Leitung 192 Massepotential abgefragt, welches am
Anschluß P4 des Interfaces 8 des postalischen Sicherheitsmoduls PSM
100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100
ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird
Massepotential des negativen Pols 104 der Batterie 134 des postalischen
Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8
gelegt und ist somit am Anschluß P4 des Interfaces 8 über die Leitung
192 von der Detektions-Einheit 13 abfragbar.
An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife,
welche über die Pins P1 und P2 der Kontaktgruppe 102 des Interfaces 8
zum Prozessor 120 zurückgeschleift wird. Zur dynamischen Prüfung des
Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 am
Motherbord 9 werden vom Prozessor 120 wechselnde Signalpegel in
ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über
die Schleife zurückgeschleift.
Die Fig. 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit
einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungs
daten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer
Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung
1 weist ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92,
93, 94, 95 ausgestattetes Motherboard 9 auf.
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum
Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro
gramms für eine vorbestimmte Format-Änderung eines Teils der
Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung
von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur
nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von
statistischen Daten, die nach Kostenstellen geordnet sind. Der
Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nicht
flüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von
Zwischenergebnissen oder auch bekannten Programmteilen (beispiels
weise für den DES-Algorithmus). Es ist vorgesehen, daß die Steuer
einrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist,
wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu
programmiert ist, die Nutzdaten N aus dem Speicherbereich einer
Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche
der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der
Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49
gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für
mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die
Portogebühren für alle üblichen Postbefördererleistungen entsprechend
des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit
der Frankiermaschine ein Stempelbild zugenerieren und entsprechend
des Tarifs der Postbehörde die Poststücke freizustempeln.
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis
95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88,
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis
ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM
100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den
parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine
9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt
Leitungen für die Signale CE, RD und WR zwischen dem Sicherheits
modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91
weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100
abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88,
eine serielle Schnittstelle SI-1 für den Anschluß der Chipkarten-
Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 für den
optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann
beispielsweise das im nichtflüchtigen Speicher des postalischen
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten
Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen
Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchge
führt. Die Abrechnung erfolgt unabhängig von Kostenstellen. Das postali
sche Sicherheitsmittel PSM 100 kann intern so ausgeführt sein, wie in der
europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde.
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung
98 zu einem im Poststrom vorschalteten Gerät, eine serielle
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur
Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle
Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im
Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine
Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche
für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel:
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum
Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und
Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und
Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der
Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brief
transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck
auslösung beim Brieftransport. Die Transporteinrichtung besteht aus
einem Transportband 10 und zwei Walzen 11, 11'. Eine der Walzen ist die
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als
Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als
Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe
ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über
die Leitung 19 ein Encodersignal an das Motherboard 9 ab.
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes
innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind
und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der
gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88
oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94
nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls
weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahl
drucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter
sind solche, welche die geladenen Portogebührentabellen nichtflüchtig
speichern.
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen
mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte
in Lese-Position und eindeutige Signalisierung des Erreichens der
Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikropro
zessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte
Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das
Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß
RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud.
Das Einschalten der Stromversorgung erfolgt mittels einem an der Haupt
platine angeschlossenen Schalter 71. Nach Einschalten der Stromver
sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.
In der Fig. 3 ist eine perspektivische Ansicht der Frankiermaschine von
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/Leseeinheit 70
ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der
Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankier
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach
unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante
stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der
Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit
einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch
eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten
Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.
Die Fig. 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen
Eingang des Spannungsumschalters 180 und die Systemspannung
führende Leitung 191 ist mit dem anderen Eingang des Spannungs
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL-
389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch
durch das PSM 100. Als Spannungsumschalter 180 kann ein
handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden.
Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136
an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an.
Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen
mit den Pins 1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135,
164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des
Spannungsumschalters 180 liegt über die Leitung 136 außerdem am
Versorgungseingang eines ersten Speichers SRAM an, der durch die
vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer
ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den
Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über
den Systembus und ein Modem 83 in Kommunikationsverbindung mit
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC
150 vollzogen. Die postalischen Abrechnungsdaten werden in
nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt
Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen
Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese
zweite Technologie umfaßt vorzugsweise ein RAM und ein EEPROM,
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch
übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den
entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen
internen Adreß- und Datenbus 112, 113 verbunden.
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die
Berechnung der zu speichernden postalischen Daten. In der
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert.
Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an
entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160
erzeugt mindestens ein Steuersignal für das ASIC 150 und ein
Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen
modulinternen Systembus miteinander verbunden, der Leitungen
110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der
Prozessor 120 und das ASIC 150 werden bei Absinken der
Versorgungsspannung durch eine Resetgenerierung in der RESET-
Einheit 130 zurückgesetzt.
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen,
welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine
Leiterschleife 18 bilden.
Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer
Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird
von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt.
Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangs
spannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12
und Speicher 116 diejenige seiner Eingangsspannungen weiter, die
größer als die andere ist.
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit
125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit
125, an welchen modulinterne Signalmittel angeschlossen sind,
beispielsweise farbige Lichtemitterdioden LEDs 107, 108, welche den
Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule
können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So
muß z. B. detektiert werden, ob das Modul gültige kryptografische
Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das
Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der
Modulzustände ist von den realisierten Funktionen im Modul und von der
Implementierung abhängig.
Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul
internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150
verbunden. Der FLASH 128 dient als Programmspeicher und wird mit
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-
FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des
postalischen Sicherheitsmoduls 100 liefert über einen modulinternen
Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreß
eingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100
liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des
Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8
mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115
der Hauptplatine 9 in Kommunikationsverbindung.
Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von
der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren
von beiden zu speisen, kann während des Normalbetriebs die Batterie
134 ohne Datenverlust gewechselt werden.
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb
des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM)
124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie
während des Batteriebetriebs unter eine bestimmte Grenze, so wird von
der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für
RTC und SRAM mit Masse verbunden. D. h. die Spannung an der RTC
und am SRAM liegt dann bei 0 V. Das führt dazu, daß der SRAM 124, der
z. B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird.
Gleichzeitig werden auch die Register der RTC 122 gelöscht und die
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese
Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation
der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne
daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert,
daß er Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs
umgeht.
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt
die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch
bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung
abfragen (Statussignal) und damit und/oder über die Auswertung der
Inhalte des gelöschten Speichers darauf schließen, daß die
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten
hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d. h.
"scharf" machen.
Anhand der Fig. 5 wird das Schaltbild der Spannungsüberwachungs
einheit (Batterieobserver) 12 erläutert. Die Schaltung wird durch die
Batteriespannung auf der Leitung 136 versorgt. Im Normalzustand ist ein
Transistor 1252 gesperrt und über den Widerstand 1254 wird die
Batteriespannung auf der Leitung 138 als Betriebsspannung für die
Echtzeituhr RTC 122 bzw. Speicher RAM 124 zur Verfügung gestellt. Die
Leitung 138 ist die Speiseleitung für die RTC 122 und den RAM 124.
Es ist vorgesehen, daß die Spannungsüberwachungseinheit 12 einen
Spannungsteiler 1242, 1244 zwischen der Leitung 136 und Masse
enthält, der einen Abgriff 1246 aufweist, daß am Abgriff der invertierende
Eingang eines Komparators 1250, eines der Schaltungsmittel 1258 für
die Selbsthaltung und eines der Schaltungsmittel 1260 für eine
Rücksetzung der Selbsthaltung angeschlossen ist. Der Ausgang des
Komparators 1250 ist über einen Negator 1252, 1254 einerseits mit der
Leitung 138 und andererseits mit dem anderen Schaltungsmittel 1256 für
die Selbsthaltung verbunden. Letzteres ist eine Diode, welche L-Pegel auf
den Abgriff zurückkoppelt. Der Spannungsteiler besteht aus zwei Wider
ständen 1242 und 1244 und einem Kondensator 1272, der zwischen
Abgriff und Masse geschaltet ist. Der Abzweig 1246 am Verknüpfungs
punkt der zwei Widerstände 1242 und 1244 ist auf den invertierenden
Eingang eines Komparators 1250 geschaltet. Der nichtinvertierende
Eingang des Komparators 1250 ist an eine Referenzspannungsquelle 1248
geschaltet. Der Ausgang des Komparators 1250 ist auf den Steuer
eingang eines Transistors 1252 geführt, welcher mit Masse verbunden
und mit einem an der Leitung 136 liegenden Widerstand 1254 verbunden
ist, d. h. als Negator geschaltet ist. Der Ausgang des Negators 1252, 1254
ist mit der Leitung 138 und dem n-Gebiet der Diode 1256 verbunden,
deren p-Gebiet über einen Widerstand 1258 mit dem Abzweig 1246
verbunden ist. Zwischen der Leitung 136 und dem Abzweig 1246 ist parallel
zum Widerstand 1242 ein zweiter Transistor 1260 geschaltet, dessen
Steuereingang mit der Leitung 135 verbunden ist.
Die Batteriespannung auf der Leitung 136 wird von einem
Spannungsteiler, der aus zwei Widerständen 1242 und 1244 und einem
Kondensator 1272 besteht, verringert und von einem Komparator 1250
mit der Referenzspannung der Referenzspannungsquelle 1248
verglichen. Ist die zu vergleichende Spannung auf dem Abzweig 1246
kleiner als die Referenzspannung, so erhält der Transistor 1252 an
seinem Steuereingang H-Pegel und wird durchgeschaltet. Dadurch wird
die Leitung 138 mit Massepotential verbunden und die RTC 122 und der
RAM 124 werden nicht mehr mit der Batteriespannung versorgt. Das führt
dazu, daß die Register der RTC 122 und die Daten im RAM 124 gelöscht
werden und die RTC 122 stehen bleibt.
Da die Leitung 138 jetzt mit Masse verbunden ist, wird gleichzeitig über
die Diode 1256 und den Widerstand 1258 die zu vergleichende Span
nung am Abgriff 1246 auf einen Wert nahe 0 V gezogen. Dadurch wech
selt die Überwachungsschaltung 12 in einen Selbsthaltezustand, in dem
sie auch bei Erhöhung der Spannung auf der Leitung 136 bleibt und die
Leitung 138 auf Massepotential läßt. Durch diesen Zustand der Schaltung
12 wird über eine Entkopplungsdiode 1262 ein L-Signal auf die Leitung
164 gelegt, welches vom Prozessor 120 abgefragt werden kann. Die
Entkopplungsdiode 1262 dient der Verringerung des Stromverbrauchs im
Batteriebetrieb. Der Prozessor 120 kann die Überwachungsschaltung 12
zurücksetzen. Dazu wird über die Leitung 135 ein H-Rücksetzsignal auf
den Transistor 1260 gegeben, welcher durchgeschaltet wird. Somit wird
die Spannung am Abzweig 1246 über die Referenzspannung angehoben,
der Komparator 1250 schaltet zurück und der Transistor 1252 wird
gesperrt. Als Komparator 1250 eignet sich der Typ ICL7665SAIBA. Eine
Diode 1268 entkoppelt die Versorgungsspannung für den Komparator
1250 von der Batteriespannung. Ein Elektrolytkondensator 1270 sorgt
dafür, daß der Komparator 1250 über einen relativ langen Zeitraum (< 2 s)
mit der Versorgungsspannung versorgt wird, bei der dessen Funktion
gewährleistet ist, obwohl die Batteriespannung auf der Leitung 136
abgeschaltet wurde. Die Schaltung 12 ist so dimensioniert, daß jegliches
Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte
Schwelle von 2,6 V zum Ansprechen der Schaltung 12 führt.
Die Fig. 6 zeigt den mechanischen Aufbau des Sicherheitsmoduls
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge
bildet, d. h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106
verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100
außerhalb der Vergußmasse 105 auf einer Leiterplatte 106
auswechselbar angeordnet ist. Beispielsweise ist es so mit einem
Vergußmaterial 105 vergossen, daß Signalmittel 107, 108 aus dem
Vergußmaterial an einer ersten Stelle herausragen und daß die
Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten
Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontakt
klemmen 103 und 104 für den Anschluß der Pole der Batterie 134,
vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es
ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls
PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und
102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheits
moduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht
über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem
Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und
die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheits
moduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die
Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Meter
gehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe
einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist
damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des
Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leucht
dioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale
der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide
Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse unter
gebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmes
ser der Öffnung relativ klein bleiben kann und in der Größenordnung des
Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar
(rot, grün, orange), von denen aber nur zwei benutzt werden (rot und
grün). Zur Zustandsunterscheidung werden die LEDs auch blinkend
benutzt, so daß 5 verschiedene Zustandsgruppen unterschieden werden
können, die durch folgende LED-Zustände charakterisiert werden: LED
aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün.
In der Fig. 7 ist eine Draufsicht auf das postalische Sicherheitsmodul
dargestellt. Die Fig. 8a bzw. 8b zeigen eine Ansicht des
Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der
Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den
Fig. 8a und 8b in Verbindung mit Fig. 6 deutlich.
Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankier
maschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform
aufweisen, die es ermöglicht, daß es beispielsweise auf das Motherbord
eines Personalcomputers gesteckt werden kann, der als PC-Frankierer
einen handelsüblichen Drucker ansteuert.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt,
da offensichtlich weitere andere Anordnungen bzw. Ausführungen der
Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen
Grundgedanken der Erfindung ausgehend - von den anliegenden
Ansprüchen umfaßt werden.
Claims (9)
1. Anordnung für einen Sicherheitsmodul, mit mindestens einer
Funktionseinheit (120), mit einer Batterie (134) und Mitteln zur Ver
sorgung mit einer Systemspannung und mit einem Spannungsumschalter
(180) der über eine Leitung (136) mit einer Spannungsüberwachungs
einheit (12) verbunden ist, welche über eine Leitung (138) eine Betriebs
spannung an einen Speicher (122, 124) abgibt, gekennzeichnet
dadurch, daß die Batterie (134) auswechselbar auf dem Sicher
heitsmodul (100) angeordnet ist, daß die Spannungsüberwachungs
einheit (12) Schaltungsmittel (1256, 1258, 1260) für eine rücksetzbare
Selbsthaltung aufweist, wobei die Selbsthaltung ausgelöst wird, wenn die
Batteriespannung unter eine vorbestimmte Schwelle sinkt.
2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch,
daß die Spannungsüberwachungseinheit (12) als Schaltungsmittel eine
Leitung (135) und ein Schaltmittel (1260) für eine Rücksetzung der
Selbsthaltung aufweist, wobei die Rücksetzung erst auslösbar ist, wenn
die Batteriespannung über die vorbestimmte Schwelle gestiegen ist.
3. Anordnung, nach den Ansprüchen 1 bis 2, gekennzeich
net dadurch, daß die Spannungsüberwachungseinheit (12) einen
Spannungsteiler (1242, 1244) zwischen der Leitung (136) und Masse
enthält, der einen Abgriff (1246) aufweist, daß am Abgriff der
invertierende Eingang eines Komparators (1250), eines der
Schaltungsmittel (1258) für die Selbsthaltung und das Schaltmittel (1260)
für eine Rücksetzung der Selbsthaltung angeschlossen ist und daß der
Ausgang des Komparators (1250) über einen Negator (1252, 1254)
einerseits mit der Leitung (138) und andererseits mit dem anderen
Schaltungsmittel (1256) für die Selbsthaltung verbunden ist.
4. Anordnung, nach Anspruch 3, gekennzeichnet dadurch,
daß das andere Schaltungsmittel (1256) der Selbsthaltung eine Diode ist.
5. Anordnung, nach Anspruch 3, gekennzeichnet dadurch,
daß der nichtinvertierende Eingang des Komparators (1250) mit einer
Referenzspannungsquelle (1248) verbunden ist.
6. Anordnung, nach Anspruch 3, gekennzeichnet dadurch,
daß der Zustand der Selbsthaltung über eine Leitung (164) von einem
Prozessor (120) des Sicherheitsmoduls (100) abfragbar ist.
7. Anordnung, nach den Ansprüchen 1 bis 6, gekennzeich
net dadurch, daß der Prozessor (120) Speicher (122, 124)
aufweist, an welche über die Leitung (138) eine Betriebsspannung von
der Spannungsüberwachungseinheit (12) geführt wird, daß der Prozessor
(120) mit Systemspannung versorgt wird und einen ersten Pin1 aufweist,
um den Zustand der Selbsthaltung über eine Leitung (135) zurückzu
setzen und einen zweiten Pin2 aufweist, an welchem die Leitung (164)
angeschlossen ist, um den Zustand der Spannungsüberwachungseinheit
(12) abzufragen, ob sie auf Betriebsspannungsabgabe oder auf
Selbsthaltung geschaltet ist.
8. Anordnung, nach Anspruch 7, gekennzeichnet dadurch,
daß das Sicherheitsmodul (100) einen Anwenderschaltkreis ASIC (150)
aufweist und daß der Prozessor (120) über einen modulinternen
Datenbus (126) mit dem Anwenderschaltkreis ASIC (150) verbunden ist,
wobei letzterer über eine erste Kontaktgruppe (101) mit dem Systembus
einer Steuereinrichtung (1) in Kommunikationsverbindung steht.
9. Anordnung, nach Anspruch 1, gekennzeichnet dadurch,
daß das Sicherheitsmodul (100) mit einer harten Vergußmasse (105)
vergossen ist, daß die Batterie (134) des Sicherheitsmoduls (100)
außerhalb der Vergußmasse (105) auf einer Leiterplatte (106)
auswechselbar angeordnet ist, daß die Leiterplatte (106) die
Batteriekontaktklemmen (103 und 104) für den Anschluß der Pole der
Batterie (134) und eine zweite Kontaktgruppe (102) zur Versorgung des
Sicherheitsmoduls (100) mit der Systemspannung aufweist.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19912780A DE19912780A1 (de) | 1999-03-12 | 1999-03-12 | Anordnung für ein Sicherheitsmodul |
DE50015247T DE50015247D1 (de) | 1999-03-12 | 2000-02-21 | Anordnung für ein Sicherheitsmodul |
EP00250055A EP1035516B1 (de) | 1999-03-12 | 2000-02-21 | Anordnung für ein Sicherheitsmodul |
AU20808/00A AU2080800A (en) | 1999-03-12 | 2000-03-10 | Arrangement for a security module |
CNB001038672A CN1148705C (zh) | 1999-03-12 | 2000-03-10 | 一种安全模块配置 |
US09/522,621 US6625741B1 (en) | 1999-03-12 | 2000-03-10 | Arrangement for a security module |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19912780A DE19912780A1 (de) | 1999-03-12 | 1999-03-12 | Anordnung für ein Sicherheitsmodul |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19912780A1 true DE19912780A1 (de) | 2000-09-14 |
Family
ID=7901895
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19912780A Withdrawn DE19912780A1 (de) | 1999-03-12 | 1999-03-12 | Anordnung für ein Sicherheitsmodul |
DE50015247T Expired - Lifetime DE50015247D1 (de) | 1999-03-12 | 2000-02-21 | Anordnung für ein Sicherheitsmodul |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE50015247T Expired - Lifetime DE50015247D1 (de) | 1999-03-12 | 2000-02-21 | Anordnung für ein Sicherheitsmodul |
Country Status (5)
Country | Link |
---|---|
US (1) | US6625741B1 (de) |
EP (1) | EP1035516B1 (de) |
CN (1) | CN1148705C (de) |
AU (1) | AU2080800A (de) |
DE (2) | DE19912780A1 (de) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1061479A2 (de) | 1999-06-15 | 2000-12-20 | Francotyp-Postalia AG & Co. | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
EP1063619A1 (de) | 1999-06-15 | 2000-12-27 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation |
EP1069492A2 (de) | 1999-06-15 | 2001-01-17 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
US6512376B2 (en) | 2000-12-11 | 2003-01-28 | Francotyp-Postalia Ag & Co. Kg | Method for determining a requirement to replace a component part and arrangement for the implementation of the method |
DE102020110644A1 (de) | 2020-04-20 | 2021-10-21 | Audi Aktiengesellschaft | Vorrichtung umfassend wenigstens eine Komponentenaufnahme, Kraftfahrzeug und Verfahren zum Betreiben einer Vorrichtung umfassend wenigstens eine Komponentenaufnahme |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2819070B1 (fr) * | 2000-12-28 | 2003-03-21 | St Microelectronics Sa | Procede et dispositif de protection conte le piratage de circuits integres |
DE10116703A1 (de) * | 2001-03-29 | 2002-10-10 | Francotyp Postalia Ag | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
DE10136608B4 (de) * | 2001-07-16 | 2005-12-08 | Francotyp-Postalia Ag & Co. Kg | Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul |
JP4247874B2 (ja) * | 2002-08-22 | 2009-04-02 | 日本金銭機械株式会社 | 紙葉類鑑別装置 |
FR2872947B1 (fr) * | 2004-07-08 | 2007-04-20 | Neopost Ind Sa | Tampon a affranchir electronique |
DE102005038130B4 (de) * | 2005-08-11 | 2012-03-22 | Siemens Ag | Mikrochip zur Überwachung einer elektrischen Baugruppe |
WO2008040076A1 (en) * | 2006-10-05 | 2008-04-10 | Waratek Pty Limited | Contention resolution with echo cancellation |
US8308819B2 (en) * | 2006-12-19 | 2012-11-13 | Pitney Bowes Inc. | Method for detecting the removal of a processing unit from a printed circuit board |
DE102007011309B4 (de) * | 2007-03-06 | 2008-11-20 | Francotyp-Postalia Gmbh | Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine |
US9541991B2 (en) * | 2012-12-14 | 2017-01-10 | Intel Corporation | Method and apparatus for managing computing system power |
US10008104B2 (en) * | 2014-04-25 | 2018-06-26 | Tyco Safety Products Canada Ltd. | Security system output interface with overload detection and protection |
US10630493B2 (en) * | 2017-11-29 | 2020-04-21 | Birad—Research & Development Company Ltd. | Physical unclonable functions related to inverter trip points |
US11838045B2 (en) * | 2021-09-27 | 2023-12-05 | Saudi Arabian Oil Company | System and method for controlling an antenna system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3625179C2 (de) * | 1985-07-29 | 1989-01-19 | Sharp K.K., Osaka, Jp | |
DE4037555A1 (de) * | 1989-11-25 | 1991-05-29 | Hitachi Maxell | Halbleiterkarte und herstellungsverfahren dafuer |
DE4333156C2 (de) * | 1993-09-29 | 1995-08-31 | Siemens Ag | Schaltungsanordnung zum Anschließen einer elektronischen Baugruppe an eine Betriebsspannung |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5880755A (ja) * | 1981-11-09 | 1983-05-14 | Sharp Corp | 電子式計算機 |
GB2144081B (en) | 1983-07-23 | 1987-10-28 | Pa Consulting Services | Postal franking machines |
US4575621A (en) * | 1984-03-07 | 1986-03-11 | Corpra Research, Inc. | Portable electronic transaction device and system therefor |
US4903232A (en) * | 1987-06-26 | 1990-02-20 | Connell James A O | Electronic programmable stamping marking device |
US5097253A (en) * | 1989-01-06 | 1992-03-17 | Battelle Memorial Institute | Electronic security device |
US5027397A (en) | 1989-09-12 | 1991-06-25 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
MY107292A (en) * | 1989-10-03 | 1995-10-31 | Univ Sydney Technology | Electro-active cradle circuits for the detection of access or penetration. |
JPH0685320B2 (ja) * | 1989-10-31 | 1994-10-26 | シャープ株式会社 | 電子機器の電池収納機構 |
US5229641A (en) | 1989-11-25 | 1993-07-20 | Hitachi Maxell, Ltd. | Semiconductor card and manufacturing method therefor |
US5515540A (en) * | 1990-08-27 | 1996-05-07 | Dallas Semiconducter Corp. | Microprocessor with single pin for memory wipe |
DE4213278C2 (de) | 1992-04-16 | 1998-02-19 | Francotyp Postalia Gmbh | Anordnung zum Frankieren von Postgut |
US5490077A (en) | 1993-01-20 | 1996-02-06 | Francotyp-Postalia Gmbh | Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account |
DE4344471A1 (de) | 1993-12-21 | 1995-08-17 | Francotyp Postalia Gmbh | Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes |
DE4344476A1 (de) | 1993-12-21 | 1995-06-22 | Francotyp Postalia Gmbh | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen |
GB9514096D0 (en) * | 1995-07-11 | 1995-09-13 | Homewood Clive R | Security device |
DE59710554D1 (de) | 1996-01-31 | 2003-09-18 | Francotyp Postalia Ag | Frankiermaschine |
DE19605015C1 (de) | 1996-01-31 | 1997-03-06 | Francotyp Postalia Gmbh | Vorrichtung zum Bedrucken eines auf einer Kante stehenden Druckträgers |
EP0958674B1 (de) * | 1996-11-07 | 2006-06-28 | Ascom Hasler Mailing Systems, Inc. | Vorrichtung zur gesicherten Kryptographischen Datenverarbeitung und zum Schutz von Speicherermitteln für Frankiermaschinen |
US5969504A (en) * | 1998-03-06 | 1999-10-19 | The Johns Hopkins University | Automatic battery power switch |
US6088762A (en) * | 1998-06-19 | 2000-07-11 | Intel Corporation | Power failure mode for a memory controller |
-
1999
- 1999-03-12 DE DE19912780A patent/DE19912780A1/de not_active Withdrawn
-
2000
- 2000-02-21 DE DE50015247T patent/DE50015247D1/de not_active Expired - Lifetime
- 2000-02-21 EP EP00250055A patent/EP1035516B1/de not_active Expired - Lifetime
- 2000-03-10 AU AU20808/00A patent/AU2080800A/en not_active Abandoned
- 2000-03-10 CN CNB001038672A patent/CN1148705C/zh not_active Expired - Fee Related
- 2000-03-10 US US09/522,621 patent/US6625741B1/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3625179C2 (de) * | 1985-07-29 | 1989-01-19 | Sharp K.K., Osaka, Jp | |
DE4037555A1 (de) * | 1989-11-25 | 1991-05-29 | Hitachi Maxell | Halbleiterkarte und herstellungsverfahren dafuer |
DE4333156C2 (de) * | 1993-09-29 | 1995-08-31 | Siemens Ag | Schaltungsanordnung zum Anschließen einer elektronischen Baugruppe an eine Betriebsspannung |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1061479A2 (de) | 1999-06-15 | 2000-12-20 | Francotyp-Postalia AG & Co. | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes |
EP1063619A1 (de) | 1999-06-15 | 2000-12-27 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation |
EP1069492A2 (de) | 1999-06-15 | 2001-01-17 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren |
US6512376B2 (en) | 2000-12-11 | 2003-01-28 | Francotyp-Postalia Ag & Co. Kg | Method for determining a requirement to replace a component part and arrangement for the implementation of the method |
DE102020110644A1 (de) | 2020-04-20 | 2021-10-21 | Audi Aktiengesellschaft | Vorrichtung umfassend wenigstens eine Komponentenaufnahme, Kraftfahrzeug und Verfahren zum Betreiben einer Vorrichtung umfassend wenigstens eine Komponentenaufnahme |
Also Published As
Publication number | Publication date |
---|---|
US6625741B1 (en) | 2003-09-23 |
EP1035516A3 (de) | 2000-12-20 |
CN1267040A (zh) | 2000-09-20 |
DE50015247D1 (de) | 2008-08-21 |
EP1035516B1 (de) | 2008-07-09 |
CN1148705C (zh) | 2004-05-05 |
EP1035516A2 (de) | 2000-09-13 |
AU2080800A (en) | 2000-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1035516B1 (de) | Anordnung für ein Sicherheitsmodul | |
EP0969422B1 (de) | Verfahren und Anordnung zur Verbesserung der Sicherheit von Frankiermaschinen | |
EP1035517B1 (de) | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens | |
DE3613007B4 (de) | System zur Ermittlung von nicht-abgerechneten Drucken | |
DE3729342A1 (de) | Sicherheitsdrucker fuer ein wertdrucksystem | |
DE69828331T3 (de) | Elektronische Frankiermaschine mit mehreren Taktsystemen zur verbesserten Sicherheit | |
EP1035518B1 (de) | Anordnung zum Schutz eines Sicherheitsmoduls | |
EP0911767B1 (de) | Verfahren zur Dateneingabe in eine Frankiermaschine und Anordnung zum Frankieren von Postgut | |
EP1103924B1 (de) | Verfahren zum Schutz eines Gerätes vor einem Betreiben mit unzulässigem Verbrauchsmaterial und Anordnung zur Durchführung des Verfahrens | |
DE19757649A1 (de) | Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten | |
EP0866427B1 (de) | Postverarbeitungssystem mit einer über Personalcomputer gesteuerten druckenden Maschinen-Basisstation | |
DE19757653C2 (de) | Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte | |
DE19928057B4 (de) | Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor Manipulation | |
DE19534530A1 (de) | Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine | |
EP1035513B1 (de) | Sicherheitsmodul mit Statussignalisierung | |
EP0927969A2 (de) | Frankiermaschine mit einer Chipkarten-Schreib/Leseeinheit | |
DE19928058A1 (de) | Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes | |
DE19958946A1 (de) | Verfahren zum Piraterieschutz eines Gerätes und Anordnung zur Durchführung des Verfahrens | |
DE19928061C2 (de) | Sicherheitsmodul zur Überwachung der Systemsicherheit und Verfahren | |
DE19534529C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
DE19534527C2 (de) | Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten | |
EP1037169A2 (de) | Verfahren und Anordnung zur Eingabe eines Druckbildes in eine Frankiermaschine | |
DE4312894A1 (de) | Verfahren zur Dateneingabe in eine Frankiermaschine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE |
|
8110 | Request for examination paragraph 44 | ||
8139 | Disposal/non-payment of the annual fee |