EP1857981A2 - Assembly and method for generating a printed stamp - Google Patents

Assembly and method for generating a printed stamp Download PDF

Info

Publication number
EP1857981A2
EP1857981A2 EP07108049A EP07108049A EP1857981A2 EP 1857981 A2 EP1857981 A2 EP 1857981A2 EP 07108049 A EP07108049 A EP 07108049A EP 07108049 A EP07108049 A EP 07108049A EP 1857981 A2 EP1857981 A2 EP 1857981A2
Authority
EP
European Patent Office
Prior art keywords
processing unit
secure processing
secure
time
billing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07108049A
Other languages
German (de)
French (fr)
Other versions
EP1857981A3 (en
Inventor
Werner Kampert
Dirk Rosenau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP1857981A2 publication Critical patent/EP1857981A2/en
Publication of EP1857981A3 publication Critical patent/EP1857981A3/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00177Communication details outside or between apparatus for sending information from a portable device, e.g. a card or a PCMCIA
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00241Modular design
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency

Definitions

  • the present invention relates to an arrangement for producing a franking imprint, in particular a franking machine, having a secure processing unit for generating accounting data relevant for the settlement of the created franking imprint, and a storage device connectable to the secure processing unit for the secure storage of the accounting data, wherein the secure processing unit comprises a secure environment secured logically and / or physically against unrecognized unauthorized access. It further relates to a corresponding method which can be used in connection with the arrangement according to the invention.
  • Today's franking machines are usually equipped with a security module, which contains the postal registers with the billing data, thus making or documenting the billing for the frankings, and performs part of the more or less complex calculations for creating the respective franking imprint.
  • a security module contains the postal registers with the billing data, thus making or documenting the billing for the frankings, and performs part of the more or less complex calculations for creating the respective franking imprint.
  • a number of postal carriers require the cryptographic protection of some of the printed data, so that the security module is often designed as a more or less elaborate and certified cryptographic module.
  • Certain postal carriers for example, the postal authorities of certain states, require, if at all, a very low degree of protection of the franking imprint and / or the billing data and thus a much smaller scope of the security module. This has the consequence that the security modules usually used for such an application are generally oversized in terms of their scope of performance and thus ultimately too expensive to allow an economical use of a postage meter.
  • the present invention is therefore based on the object to provide an arrangement or a method for creating a franking imprint of the aforementioned type, which or which does not have the disadvantages mentioned above, or at least to a lesser extent and in particular the economical use of Allows franking machines with low postal security requirements.
  • the present invention solves this problem with an arrangement according to claim 1. It further achieves this object with a method according to claim 16.
  • the present invention is based on the technical teaching that makes economical use of franking machines possible with comparatively low postal security requirements if the billing data are not stored in the particularly secure area of the security module but outside the security module in a conventional, as a rule not specifically secured storage area are stored in a form in which they are protected against unrecognized manipulation.
  • the memories required for the storage of the billing data can be standard memory modules or the like, which are correspondingly less expensive than the customary, as compact as possible, memory modules for security modules. In addition, these memories do not need to be physically protected in a complex manner, which significantly reduces the effort required to implement the storage of the billing data.
  • An object of the present invention is therefore an arrangement for creating a franking imprint, in particular a franking machine, with a secure processing unit for creating relevant for the settlement of the created franking imprint Billing data and a connectable to the secure processing unit storage means for secure storage of the billing data provided, wherein the secure processing unit is arranged in a logically and / or physically protected from unrecognized unauthorized access secure environment.
  • the storage device is arranged outside the secure environment.
  • the secure processing unit is designed to provide the billing data in a form secured against undetected manipulation.
  • the secure processing unit or a further processing unit which can be connected to the secure processing unit is designed to write the accounting data provided by the secure processing unit into the memory device in a form protected against undetected manipulation.
  • the billing data can be hedged in any suitable way.
  • the secure processing unit is designed to secure the billing data by cryptographic means against unrecognized manipulation.
  • a secret such as a secret key
  • This backup data may be, for example, a well-known so-called message authentication code (MAC) or an equally well-known digital signature or the like, which are created by any known method.
  • MAC message authentication code
  • digital signatures are used, since these can be verified in a particularly simple manner without knowledge of the secret key (signature key) via the associated public key (verification key), which can be obtained within the framework of a public-key infrastructure.
  • the secure processing unit is designed to provide the billing data with a digital signature.
  • the secure processing unit can basically be designed in any suitable manner. In particular, it may be part of any superordinate structural unit which alone or in combination with other structural units forms a security module.
  • the secure processing unit is a component of a smart card.
  • a particularly favorable configuration can be achieved, since such smartcards are already available as prefabricated units with the corresponding cryptographic functionalities. It is then only necessary to make a corresponding simple configuration of the smart card for the case in question, but without having to influence the hardware of the smart card.
  • a corresponding logical safeguarding of the security-relevant areas of the smartcard can take place, for example by implementing a corresponding check of the access authorization to these security-relevant areas.
  • only an additional physical security of the smart card for example, by an applied to the security-related areas of the smart card or the entire smart card potting compound, take place.
  • a key aspect in securing the billing data is the ability of the secure processing unit to reliably determine real-time.
  • the secure processing unit has a time determination unit for determining the real time.
  • the secure processing unit is designed in such a way that the accounting data relevant for the billing of the created franking imprint only takes place when the time determination unit has successfully determined the real time. As a result, manipulation attempts can be reliably pre-built.
  • the secure processing unit itself may have a real-time clock.
  • Such real-time clocks have to be comparatively complicated in order to have a sufficiently low drift.
  • the time-determining unit is designed to synchronize at predeterminable times with a real-time source make so that a greater inaccuracy in the determination of the real-time can be taken into account, which then a correspondingly simpler design of the time-determining unit is possible.
  • the synchronization with the real-time source preferably takes place via a correspondingly secure communication channel in order to prevent manipulation.
  • the securing of the communication channel can take place in any suitable manner, for example via encryption with a secret session key previously generated according to a defined key generation protocol.
  • Synchronization with the real-time source can be done in any suitable manner, in particular in any suitable ways.
  • the time-determining unit establishes a corresponding communication with the real-time source via a modem or another communication device of the arrangement according to the invention.
  • a corresponding synchronization with the real-time source is initiated by the data center.
  • the time-determining unit can be connected to a clock generator for generating clock pulses.
  • the time determination unit then has a counter for counting the clock pulses of the clock since the last synchronization with the real-time source to determine the current real time.
  • At known clock frequency of the clock can then be determined in a simple manner on the count of the clock pulses, the real time starting from the value obtained in the last synchronization value of the real time, the real time.
  • the clock can be any unit of the arrangement according to the invention, which supplies tactical pulses with a correspondingly stable frequency. It is preferably a clock of the secure processing unit itself, since then the risk of tampering can be kept in a simple manner minimized.
  • the secure processing unit is preferably designed such that the creation of the billing data relevant for the billing of the created franking imprint takes place only if the time determination unit has an uninterrupted count of clock pulses of the clock Clock since the last synchronization with the real-time source.
  • the time-determining unit is designed to monitor the clock frequency of the clock pulses of the clock generator.
  • the secure processing unit is then embodied such that the generation of the billing data relevant for the billing of the franking imprint produced and / or the generation of the data required for the generation of the franking imprint takes place only if the time determination unit has a variation of the clock frequency since the last synchronization with the real-time source has detected that lies within a predefinable tolerance range. In other words, it is possibly prevented that a franking imprint is generated or billing takes place when a variation of the clock frequency is detected which is outside a predetermined tolerance range.
  • the further processing unit is designed to generate the print data of the franking imprint using a date.
  • the date can either be specified by the arrangement itself and possibly only be confirmed by the user of the arrangement. It can also be provided that the user of the arrangement enters the date himself.
  • the generation and / or the use of the print data takes place only if the time determination unit has detected the presence of a predefinable relationship between the date and a successfully determined current real time. As a result, manipulations of the franking imprint are prevented in a simple manner by input or confirmation of a wrong date.
  • the secure processing unit can be connected to a remote data center via a communication connection.
  • the secure processing unit is then also designed to secure communication with the remote data center.
  • This protection can be done as already described above in any suitable manner.
  • it is carried out using cryptographic means, such as a symmetric encryption of the information to be exchanged by means of a previously generated secret session key.
  • cryptographic means such as a symmetric encryption of the information to be exchanged by means of a previously generated secret session key.
  • the further processing unit is a component of a printing station for the production of the franking imprint.
  • the further processing unit is in turn connected to an interface of the printing station, while the secure processing unit is a component of a connectable to the interface security module.
  • the security module is detachably connected to the interface, so that the security module can be connected to the interface at any time, preferably unhindered, or can be detached from it. This results in a particularly variable design, since the same printing station can optionally be easily operated with different security modules.
  • the security module is pluggable, resulting in a particularly simple and variable to handle design.
  • the secure processing unit can be protected from undetected manipulation in any suitable manner. It is preferably provided that the secure processing unit is physically protected against unrecognized unauthorized access by a physical encapsulation, in particular a potting compound. Additionally or alternatively, it is provided that the secure processing unit is logically protected against unrecognized unauthorized access by an algorithm for checking the access rights to the secure processing unit in a well-known manner.
  • the present invention further relates to a method for producing a franking imprint, in particular by means of a franking machine, wherein a secure processing unit for the billing of the created franking imprint creates relevant accounting data and a storage device connectable to the secure processing unit stores the accounting data secured.
  • the secure processing unit is arranged in a secure environment logically and / or physically protected from unrecognized unauthorized access.
  • the storage device is outside the safe environment arranged.
  • the secure processing unit then provides the billing data in a form secured against undetected manipulation.
  • the secure processing unit or a further processing unit that can be connected to the secure processing unit then writes the accounting data made available by the secure processing unit into the memory device in a form protected against undetected manipulation.
  • the franking machine 101 can be connected to a remote data center 103 via a communications network 102 and comprises a base module 104 and a security module 105 connected thereto.
  • the security module 105 of the franking machine 101 comprises a secure processing unit in the form of a first processor 105. 1, which is arranged in a secure environment 106.
  • the secure environment 106 provides a physical and logical protection of the first processor 105.1 from unrecognized unauthorized access.
  • the physical security of the secure environment 106 is provided by a potting compound, in which the first processor 105.1 and the other components within the secure environment 106 are cast.
  • the logical protection of the secure environment 106 is provided by an algorithm for checking the access authorization to the components of the security module 101.
  • Access to the components of the security module 101 may be from outside only via a first interface 105.2 connected to the first processor, which is arranged at the transition from the secure environment 106 to the area outside the secure environment 106.
  • the first processor 105.1 accesses a cryptography module in the form of a memory 105.3 of the security module 101 likewise arranged in the secure environment 106.
  • the cryptography module 105.3 accommodates in a well-known manner corresponding algorithms and data for verification of access authorization to the security module. In the simplest case, this may be, for example, a stored password which the accessing person must enter in order to authorize himself. However, it can also be a corresponding algorithm for checking digital signatures or certificates, which the accessing person uses as part of his authorization.
  • the security module 104 is used in a customary manner to provide the security-relevant postal services required for the franking, such as, for example, the secure accounting of the franking values, but also the cryptographic security of specific postal data.
  • the base module 104 also serves in the usual way firstly to produce the franking imprint.
  • the base module 104 comprises a further processing unit in the form of a second processor 104.1, which is connected to a printing module 104.2.
  • the second processor 104.1 controls the printing module 104.2 in a well-known manner for generating the franking imprint on the respective mailpiece.
  • the second processor 104.1 accesses, inter alia, a postal memory 104.3 of the base module 104, in which a part of the data required for generating the franking imprint (eg, cliché data, etc.) is stored.
  • the second processor 104.1 in the present example receives from the security module 105 another part of the data required to generate the franking imprint.
  • These may be, for example, corresponding checksums, MACs, digital signatures or the like which the first processor 105.1 of the security module 105 has over certain Generates data of the franking imprint. It is understood, however, that in other variants of the invention with lower security requirements for the franking imprint can also be provided that all data required to generate the franking imprint are created exclusively in the base module. As well It is understood that in other variants of the invention with higher security requirements for the franking imprint, if necessary, a large part or even all of the data required to generate the franking imprint can be generated in the security module.
  • the second processor 104.1 first transfers corresponding input data to the first processor 105.1 via a second interface 104.4 of the base module 104, which is connected to the first interface 105.2 of the security module 105. After the first processor has checked the authorization of the second processor 104.1 for the transfer of the input data in the manner already described above, it processes this input data according to a predetermined scheme.
  • the first processor 105.1 checks, as will be explained in more detail below, whether the input data satisfy certain conditions. If this is the case, the first processor 105.1 generates corresponding output data, which it then forwards to the second processor 104.1 via the interfaces 105.2 and 104.4.
  • the first processor Immediately before or after the transfer of the output data to the second processor 104.1, the first processor generates accounting data which are used for billing the franking imprint to be generated. Unlike conventional franking machines, however, the billing data are not stored in a billing memory within the secure environment 106, but also transferred via the interfaces 105.2 and 104.4 to the second processor 104.1 and from this in a billing memory 104.5 of the base module 104, thus outside the secure Environment 106 stored.
  • the first processor 105.1 provides the billing data in a form secured against unrecognized manipulation.
  • the first processor 105.1 provides the billing data with a digital signature, which it generates in a well-known manner at least over part of the billing data while accessing the cryptography module 105.3. It is understood, however, that in other variants of the invention, other well-known mechanisms for securing the billing data from undetected manipulation may be used.
  • the security module 105 only has to provide the cryptographic functionality, but not a correspondingly large and Thus expensive secure storage area for storing the billing data.
  • the security module 105 can be designed significantly cheaper.
  • the billing data can preferably be generated even in a form that prevents manipulation.
  • a simple manipulation by deleting individual records can be pre-built by the individual records of the accounting data are provided with consecutive numbers, which are also included in the secure area of the accounting data.
  • the billing data in the billing memory 104.5 of course also include data representing the currently available credit. These data are introduced into the billing memory 104.5 via the security module 105 in a reloading process in the course of a communication between the franking machine 101 and the remote data center 103.
  • the credit data can already be secured by the remote data center 103 in a corresponding manner.
  • the credit data transmitted by the data center 103 are first processed and secured accordingly in the security module 105 and then stored in the billing memory 104.5.
  • the correct date of franking is essential for the security of the billing process. If a franking imprint is to be generated, then the second processor 104.1 of the basic module 104 with the input data forwards a corresponding datum to the first processor 105.1. This date can either be specified by default from a clock of the base module 104 (not shown in FIG. 1). Optionally, it may be provided that the user of the franking machine 101 must confirm this date. Likewise, however, it may be provided that the user of the franking machine 101 himself can transfer a corresponding date via a user interface 104.6, for example a keyboard, to the second processor 104.1, which is then used.
  • a user interface 104.6 for example a keyboard
  • the security module 105 checks in the present example whether the transferred date is in the past. If this is the case, the security module neither makes the generation of the data required for the production of the franking imprint nor the generation of the corresponding accounting data. In other words, this data is only generated if the transferred date corresponds to the current date in security module 105 or represents a date in the future. In this case, it may be provided that the time span which the transmitted date may be maximum in the future is limited.
  • the security module 105 has a time determination unit in the form of a time determination module 105.4, which determines the real time independently of the base module 104.
  • the time determination module 105.4 is first synchronized upon the occurrence of predetermined events with a real-time source of the remote data center 103.
  • the events that trigger the synchronization with the real-time source can be specified as desired.
  • the synchronization takes place each time the franking machine 101 has successfully established communication with the remote data center 103 by means of a modem 104.7 connected to the second processor 104.1.
  • Such communication with the remote data center 103 is enforced or automatically triggered by the security module 105 after a predetermined period of time has elapsed since the last synchronization of the time determination module 105.4 with the real-time source of the remote data center 103.
  • the time determination module 105.4 starts counting the clock pulses of a clock of the first processor 105.1.
  • the time determination module 105.4 monitors the clock frequency of the clock on the one hand to determine whether deviations of the clock frequency of a desired clock frequency within a certain tolerance range.
  • the time determination module 105.4 monitors the gapless clocking of the clock. In other words, the time determination module 105.4 thus checks whether the clocking of the clock generator is temporarily suspended.
  • the time determination module 105.4 determines the current real-time from the real-time transmitted with the last synchronization, the number of clocks and the clock frequency of the clock. If these conditions are not fulfilled, it is determined that no real-time correctness is to be determined and the execution of further operations in connection with the generation of a franking imprint is denied. In this case, a corresponding error message can be output to the user of the franking machine 101 or, if necessary, a new synchronization with the real-time source can be forced.
  • the security module has a real-time clock, which
  • the time determination module 105.4 If the time determination module 105.4 was able to successfully determine the real time, it compares this with the given date. If the given date corresponds to the specifications described above, the first processor 105.1 generates the data required for the production of the franking imprint as well as the accounting data in the manner described above and transfers them to the second processor 104.1 for further processing. Otherwise, the first processor 105.1 refuses to perform further operations related to the generation and billing of the franking imprint. In particular, neither the data required for the production of the franking imprint nor corresponding accounting data are generated.
  • security module 105 can still be used by the postage meter 101 to a greater extent.
  • security module 105 can not only secure communication during synchronization with the remote data center 103 real-time source. Rather, such a hedge can also for any other communication between the franking machine and an external unit, such as the remote data center 103 when reloading credit or a service computer of a service technician etc., in the manner described.
  • the security module 105 may of course be used in a well-known manner to verify the integrity and authenticity of certain transmitted data or to provide for its own authentication. For example, security module 105 may be used to verify digital signatures or similar data.
  • the security module 105 is, as already mentioned above, executed in the present example as a simple smart card, which is additionally provided with a physical security in the form of a potting compound, in which the components of the security module are embedded. It is understood, however, that in other variants of the invention it can also be provided that only the corresponding safety-relevant parts of such a smartcard to be arranged in a secure environment are provided with a corresponding physical encapsulation, while other areas are more or less freely accessible. In this case, it is then only necessary to ensure that a corresponding logical safeguard is in effect for all possible accesses to the security-relevant components.
  • the security module 105 is its simple plug-in card plugged into the second interface 104.4.
  • the second interface 104.4 can be freely accessible, so that any desired security modules 105 can be plugged in without further ado.
  • the security module 105 includes in a corresponding memory the corresponding regulations (eg algorithms and data etc.) according to which the franking imprint is to be generated for the postal carrier in question.
  • a separate area of the billing memory 104.5 is preferably provided for each security module. Additionally or alternatively, however, it may also be provided that the billing data in this case in their secure area to simplify the assignment to the respective security module include a unique identification of the respective security module, from which they were generated. In the case of a number of security mechanisms, this assignment is already possible anyway, since the secret data used for the security (eg signature key, etc.) are in any case unambiguously assigned to a single security module.
  • the security module is designed as a permanently installed component of the franking machine.
  • the above-described memory of the security module 105 or of the base module 104 may be formed all or partly both as separate memory modules and only as individual memory areas of a single memory module.

Abstract

The assembly has the memory device (104.5) arranged outside the ambit (106). The safe processing unit (105.1) is provided to make the billing data available in form of secured creditor before unidentified manipulation. The safe processing unit or a further processing unit (104.1) is connectable with the safe processing unit, as it is trained to write the billing dates in a secured form, provided by the safe processing unit, before unidentified manipulation into the memory device. An independent claim is also included for a method for providing a franking imprint particularly by a franking machine.

Description

Die vorliegende Erfindung betrifft eine Anordnung zum Erstellen eines Frankierabdrucks, insbesondere eine Frankiermaschine, mit einer sicheren Verarbeitungseinheit zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten, und einer mit der sicheren Verarbeitungseinheit verbindbaren Speichereinrichtung zum abgesicherten Speichern der Abrechnungsdaten, wobei die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet ist. Sie betrifft weiterhin ein entsprechendes Verfahren, welches im Zusammenhang mit der erfindungsgemäßen Anordnung verwendet werden kann.The present invention relates to an arrangement for producing a franking imprint, in particular a franking machine, having a secure processing unit for generating accounting data relevant for the settlement of the created franking imprint, and a storage device connectable to the secure processing unit for the secure storage of the accounting data, wherein the secure processing unit comprises a secure environment secured logically and / or physically against unrecognized unauthorized access. It further relates to a corresponding method which can be used in connection with the arrangement according to the invention.

Heutige Frankiermaschinen werden in der Regel mit einem Sicherheitsmodul ausgestattet, welches die postalischen Register mit den Abrechnungsdaten enthält, mithin also die Abrechnung für die Frankierungen vornimmt bzw. dokumentiert, und einen Teil der mehr oder weniger komplexen Berechnungen zur Erstellung des jeweiligen Frankierabdrucks ausführt. Eine Reihe von Postbeförderern fordert die kryptographische Absicherung eines Teils der abgedruckten Daten, sodass das Sicherheitsmodul häufig als mehr oder weniger aufwändig gestaltetes und zertifiziertes Kryptographiemodul gestaltet ist.Today's franking machines are usually equipped with a security module, which contains the postal registers with the billing data, thus making or documenting the billing for the frankings, and performs part of the more or less complex calculations for creating the respective franking imprint. A number of postal carriers require the cryptographic protection of some of the printed data, so that the security module is often designed as a more or less elaborate and certified cryptographic module.

Der Leistungsumfang der Frankiermaschine spiegelt sich - nicht zuletzt aus Gründen der Herstellungskosten - grundsätzlich im Leistungsumfang des Sicherheitsmoduls wider. So ist in der Regel in einer Frankiermaschine mit geringerem Leistungsumfang auch nur ein Sicherheitsmodul mit geringerem Leistungsumfang erforderlich, während in anspruchsvolleren Frankiermaschinen üblicherweise Sicherheitsmodule mit größerem Leistungsumfang (höhere Rechenleistung, höhere Speicherkapazität etc.) zum Einsatz kommen.The performance of the franking machine is reflected - not least for reasons of manufacturing costs - basically in the scope of the security module. Thus, in a franking machine with a smaller scope of performance, only one security module with a smaller scope of performance is usually required, whereas in more sophisticated franking machines security modules with a larger scope of performance (higher computing power, higher storage capacity, etc.) are usually used.

Bestimmte Postbeförderer, beispielsweise die Postbehörden bestimmter Staaten, verlangen, wenn überhaupt, einen sehr geringen Grad an Absicherung des Frankierabdrucks und/oder der Abrechnungsdaten und damit einen deutlich geringeren Leistungsumfang des Sicherheitsmoduls. Dies hat zur Konsequenz, dass die üblicherweise verwendeten Sicherheitsmodule für eine solche Anwendung in der Regel hinsichtlich ihres Leistungsumfangs überdimensioniert und damit letztlich zu teuer sind, um einen wirtschaftlichen Einsatz einer Frankiermaschine zu ermöglichen.Certain postal carriers, for example, the postal authorities of certain states, require, if at all, a very low degree of protection of the franking imprint and / or the billing data and thus a much smaller scope of the security module. This has the consequence that the security modules usually used for such an application are generally oversized in terms of their scope of performance and thus ultimately too expensive to allow an economical use of a postage meter.

Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, eine Anordnung bzw. ein Verfahren zum Erstellen eines Frankierabdrucks der eingangs genannten Art zur Verfügung zu stellen, welche bzw. welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere den wirtschaftlichen Einsatz von Frankiermaschinen bei geringen postalischen Sicherheitsanforderungen ermöglicht.The present invention is therefore based on the object to provide an arrangement or a method for creating a franking imprint of the aforementioned type, which or which does not have the disadvantages mentioned above, or at least to a lesser extent and in particular the economical use of Allows franking machines with low postal security requirements.

Die vorliegende Erfindung löst diese Aufgabe mit einer Anordnung gemäß Anspruch 1. Sie löst diese Aufgabe weiterhin mit einem Verfahren gemäß Anspruch 16.The present invention solves this problem with an arrangement according to claim 1. It further achieves this object with a method according to claim 16.

Der vorliegenden Erfindung liegt die technische Lehre zu Grunde, dass einen wirtschaftlichen Einsatz von Frankiermaschinen bei vergleichsweise geringen postalischen Sicherheitsanforderungen ermöglicht, wenn die Abrechnungsdaten nicht in dem besonders abgesicherten Bereich des Sicherheitsmoduls gespeichert werden, sondern außerhalb des Sicherheitsmoduls in einem herkömmlichen, in der Regel nicht speziell abgesicherten Speicherbereich in einer Form abgelegt werden, in der sie vor unerkannter Manipulation abgesichert sind.The present invention is based on the technical teaching that makes economical use of franking machines possible with comparatively low postal security requirements if the billing data are not stored in the particularly secure area of the security module but outside the security module in a conventional, as a rule not specifically secured storage area are stored in a form in which they are protected against unrecognized manipulation.

Hierdurch ist es zum einen möglich, besonders einfach aufgebaute Sicherheitsmodule zu verwenden. So müssen diese Sicherheitsmodule lediglich noch die entsprechende kryptographische Funktionalität zur Verfügung stellen, während ausreichend große und entsprechend abgesicherte, teure Speicher für die Abrechnungsdaten, wie sie bei den herkömmlichen Sicherheitsmodulen vorhanden sind, nicht mehr erforderlich sind. Zudem reduziert sich hierdurch der Bauraum für das Sicherheitsmodul, sodass sich zum einen der Aufwand für eine eventuelle physikalische Absicherung dessen Sicherheitsmoduls reduziert und zum anderen das Sicherheitsmodul insgesamt kompakter und damit weniger verwundbar ausgebildet sein kann.This makes it possible, on the one hand, to use security modules of particularly simple design. Thus, these security modules only have to provide the corresponding cryptographic functionality, while sufficiently large and correspondingly secure, expensive storage for the billing data, as they are in the conventional security modules, are no longer required. In addition, this reduces the space for the security module, so on the one hand reduces the cost of a possible physical security whose security module and on the other hand, the security module can be made more compact overall and thus less vulnerable.

Bei den für die Speicherung der Abrechnungsdaten erforderlichen Speichern kann es sich um Standard-Speichermodule oder dergleichen handeln, welche entsprechend kostengünstiger sind als die üblichen möglichst kompakten Speicherbausteine für Sicherheitsmodule. Zudem müssen diese Speicher nicht in aufwändiger Weise physikalisch geschützt werden, wodurch sich der Aufwand für die Implementierung der Speicherung der Abrechnungsdaten deutlich verringert.The memories required for the storage of the billing data can be standard memory modules or the like, which are correspondingly less expensive than the customary, as compact as possible, memory modules for security modules. In addition, these memories do not need to be physically protected in a complex manner, which significantly reduces the effort required to implement the storage of the billing data.

Ein Gegenstand der vorliegenden Erfindung ist daher eine Anordnung zum Erstellen eines Frankierabdrucks, insbesondere eine Frankiermaschine, mit einer sicheren Verarbeitungseinheit zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten und einer mit der sicheren Verarbeitungseinheit verbindbaren Speichereinrichtung zum abgesicherten Speichern der Abrechnungsdaten vorgesehen, wobei die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet ist. Erfindungsgemäß ist hierbei vorgesehen, dass die Speichereinrichtung außerhalb der sicheren Umgebung angeordnet ist. Die sichere Verarbeitungseinheit ist dazu ausgebildet, die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen. Weiterhin ist die sichere Verarbeitungseinheit oder eine mit der sicheren Verarbeitungseinheit verbindbare weitere Verarbeitungseinheit dazu ausgebildet, die von der sicheren Verarbeitungseinheit zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung zu schreiben.An object of the present invention is therefore an arrangement for creating a franking imprint, in particular a franking machine, with a secure processing unit for creating relevant for the settlement of the created franking imprint Billing data and a connectable to the secure processing unit storage means for secure storage of the billing data provided, wherein the secure processing unit is arranged in a logically and / or physically protected from unrecognized unauthorized access secure environment. According to the invention, it is provided here that the storage device is arranged outside the secure environment. The secure processing unit is designed to provide the billing data in a form secured against undetected manipulation. Furthermore, the secure processing unit or a further processing unit which can be connected to the secure processing unit is designed to write the accounting data provided by the secure processing unit into the memory device in a form protected against undetected manipulation.

Dadurch, dass die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung gestellt werden, kann immer noch ein ausreichendes Maß an Sicherheit erzielt werden. So kann zu jedem Zeitpunkt nachvollzogen werden, ob die in Integrität der gespeicherten Abrechnungsdaten nach wie vor vorliegt. Lässt sich anhand der Abrechnungsdaten feststellen, dass eine Manipulation der Abrechnungsdaten erfolgt ist, so können hieraus entsprechende Konsequenzen gezogen werden. Hierbei ist es nicht zwingend erforderlich, dass festgestellt werden kann, wann, von wem und/oder in welchem Umfang eine Manipulation vorgenommen wurde, um eine ausreichende Absicherung des Postbeförderers gegen Betrugsversuche zu erzielen. Dies ist letztlich nur eine Frage der mit der Erfassung der Manipulation verbundenen Sanktionen, sodass mit der vorliegenden Erfindung auf sehr kostengünstige Weise eine für die Bedürfnisse bestimmter Postbeförderer ausreichende Sicherheit der Abrechnungsdaten erzielt werden kann.By providing the billing data in a form secured against undetected manipulation, a sufficient level of security can still be achieved. Thus it can be traced at any time whether the integrity of the stored accounting data is still present. If it can be determined on the basis of the billing data that a manipulation of the billing data has taken place, then from this consequences can be drawn. In this case, it is not absolutely necessary to be able to determine when, by whom and / or to what extent manipulation has been carried out in order to obtain sufficient protection for the mail carrier against attempted fraud. Ultimately, this is only a question of sanctions associated with the detection of the manipulation, so that with the present invention, security of billing data sufficient for the needs of particular mail carriers can be achieved in a very cost effective manner.

Die Absicherung der Abrechnungsdaten kann auf beliebige geeignete Weise erfolgen. Bevorzugt ist vorgesehen, dass die sichere Verarbeitungseinheit dazu ausgebildet ist, die Abrechnungsdaten durch kryptographische Mittel vor unerkannter Manipulation abzusichern. So kann beispielsweise ein Geheimnis, beispielsweise ein geheimer Schlüssel, verwendet werden, um entsprechende Sicherungsdaten zu den Abrechnungsdaten zu erzeugen, anhand derer die Integrität der Abrechnungsdaten nachvollzogen werden kann. Bei diesen Sicherungsdaten kann es sich beispielsweise um einen hinlänglich bekannten, so genannten Message Authentication Code (MAC) oder um eine ebenso hinlänglich bekannte digitale Signatur oder dergleichen handeln, welche nach beliebigen bekannten Verfahren erstellt werden.The billing data can be hedged in any suitable way. Preferably, it is provided that the secure processing unit is designed to secure the billing data by cryptographic means against unrecognized manipulation. For example, a secret, such as a secret key, may be used to generate corresponding backup data to the billing data that can be used to track the integrity of the billing information. This backup data may be, for example, a well-known so-called message authentication code (MAC) or an equally well-known digital signature or the like, which are created by any known method.

Vorzugsweise werden digitale Signaturen verwendet, da diese auf besonders einfache Weise ohne Kenntnis des geheimen Schlüssels (Signaturschlüssel) über den zugehörigen öffentlichen Schlüssel (Verifizierungsschlüssel) verifiziert werden können, der im Rahmen einer Public-Key-Infrastruktur erlangt werden kann. Bevorzugt ist daher die sichere Verarbeitungseinheit dazu ausgebildet, die Abrechnungsdaten mit einer digitalen Signatur zu versehen.Preferably, digital signatures are used, since these can be verified in a particularly simple manner without knowledge of the secret key (signature key) via the associated public key (verification key), which can be obtained within the framework of a public-key infrastructure. Preferably, therefore, the secure processing unit is designed to provide the billing data with a digital signature.

Die sichere Verarbeitungseinheit kann grundsätzlich in beliebiger geeigneter Weise gestaltet sein. Insbesondere kann sie Bestandteil einer beliebigen übergeordneten Baueinheit sein, welche alleine oder in Kombination mit anderen Baueinheiten ein Sicherheitsmodul ausbildet. Bevorzugt ist die sichere Verarbeitungseinheit eine Komponente einer Smartcard. Hiermit lässt sich eine besonders günstige Konfiguration erzielen, da solche Smartcards bereits als vorgefertigte Einheiten mit den entsprechenden kryptographischen Funktionalitäten erhältlich sind. Es ist dann lediglich noch erforderlich, eine entsprechende einfache Konfiguration der Smartcard für den betreffenden Einsatzfall vorzunehmen, ohne hierbei jedoch Einfluss auf die Hardware der Smartcard nehmen zu müssen. So kann beispielsweise, sofern dies nicht bereits der Fall ist, eine entsprechende logische Absicherung der sicherheitsrelevanten Bereiche der Smartcard erfolgen, indem beispielsweise eine entsprechende Überprüfung der Zugriffsberechtigung auf diese sicherheitsrelevanten Bereiche implementiert wird. Gegebenenfalls kann lediglich noch eine zusätzliche physikalische Absicherung der Smartcard, beispielsweise durch eine auf die sicherheitsrelevanten Bereiche der Smartcard oder die gesamte Smartcard aufgebrachte Vergussmasse, erfolgen.The secure processing unit can basically be designed in any suitable manner. In particular, it may be part of any superordinate structural unit which alone or in combination with other structural units forms a security module. Preferably, the secure processing unit is a component of a smart card. Hereby, a particularly favorable configuration can be achieved, since such smartcards are already available as prefabricated units with the corresponding cryptographic functionalities. It is then only necessary to make a corresponding simple configuration of the smart card for the case in question, but without having to influence the hardware of the smart card. Thus, for example, if this is not already the case, a corresponding logical safeguarding of the security-relevant areas of the smartcard can take place, for example by implementing a corresponding check of the access authorization to these security-relevant areas. Optionally, only an additional physical security of the smart card, for example, by an applied to the security-related areas of the smart card or the entire smart card potting compound, take place.

Einen wesentlichen Aspekt bei der Absicherung der Abrechnungsdaten stellt die Fähigkeit sicheren Verarbeitungseinheit dar, zuverlässig die Echtzeit zu bestimmen. Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist daher vorgesehen, dass die sichere Verarbeitungseinheit eine Zeitermittlungseinheit zur Ermittlung der Echtzeit aufweist. Vorzugsweise ist die sichere Verarbeitungseinheit derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit erfolgreich die Echtzeit ermittelt hat. Hierdurch kann Manipulationsversuchen zuverlässig vorgebaut werden.A key aspect in securing the billing data is the ability of the secure processing unit to reliably determine real-time. In preferred variants of the arrangement according to the invention, it is therefore provided that the secure processing unit has a time determination unit for determining the real time. Preferably, the secure processing unit is designed in such a way that the accounting data relevant for the billing of the created franking imprint only takes place when the time determination unit has successfully determined the real time. As a result, manipulation attempts can be reliably pre-built.

Zur Ermittlung der Echtzeit kann die sichere Verarbeitungseinheit selbst eine Echtzeituhr aufweisen. Derartige Echtzeituhren müssen jedoch vergleichsweise aufwändig gestaltet sein, um eine ausreichend geringe Drift aufzuweisen. Bei besonders kostengünstigen Varianten der erfindungsgemäßen Anordnung ist daher vorgesehen, dass die Zeitermittlungseinheit dazu ausgebildet ist, zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine Synchronisation vorzunehmen, sodass auch eine größere Ungenauigkeit bei der Ermittlung der Echtzeit in Kauf genommen werden kann, womit dann eine entsprechend einfachere Gestaltung der Zeitermittlungseinheit möglich ist.To determine the real time, the secure processing unit itself may have a real-time clock. Such real-time clocks, however, have to be comparatively complicated in order to have a sufficiently low drift. In particularly cost-effective variants of the arrangement according to the invention, it is therefore provided that the time-determining unit is designed to synchronize at predeterminable times with a real-time source make so that a greater inaccuracy in the determination of the real-time can be taken into account, which then a correspondingly simpler design of the time-determining unit is possible.

Bevorzugt erfolgt die Synchronisation mit der Echtzeitquelle über einen entsprechend abgesicherten Kommunikationskanal, um hierbei Manipulationen vorzubeugen. Die Absicherung des Kommunikationskanals kann in beliebiger geeigneter Weise, beispielsweise über eine Verschlüsselung mit einem zuvor nach einem festgelegten Schlüsselgenerierungsprotokoll generierten geheimen Sitzungsschlüssel, erfolgen. Es sind jedoch auch beliebige andere, hinlänglich bekannte Varianten zur Absicherung der Kommunikation im Rahmen der Synchronisation der Zeitermittlungseinheit möglich.The synchronization with the real-time source preferably takes place via a correspondingly secure communication channel in order to prevent manipulation. The securing of the communication channel can take place in any suitable manner, for example via encryption with a secret session key previously generated according to a defined key generation protocol. However, there are also any other well-known variants for securing the communication within the synchronization of the time-determining unit possible.

Die Synchronisation mit der Echtzeitquelle kann auf beliebige geeignete Weise, insbesondere auf beliebigen geeigneten Wegen erfolgen. So kann beispielsweise vorgesehen sein, dass die Zeitermittlungseinheit über ein Modem oder eine andere Kommunikationseinrichtung der erfindungsgemäßen Anordnung eine entsprechende Kommunikation mit der Echtzeitquelle aufbaut. Ebenso ist es möglich, dass im Rahmen einer bestehenden Kommunikationsverbindung zwischen der erfindungsgemäßen Anordnung und beispielsweise einer entfernten Datenzentrale von der Datenzentrale eine entsprechende Synchronisation mit der Echtzeitquelle initiiert wird.Synchronization with the real-time source can be done in any suitable manner, in particular in any suitable ways. For example, it may be provided that the time-determining unit establishes a corresponding communication with the real-time source via a modem or another communication device of the arrangement according to the invention. Likewise, it is possible that within the scope of an existing communication connection between the arrangement according to the invention and, for example, a remote data center, a corresponding synchronization with the real-time source is initiated by the data center.

Die Synchronisation mit der Echtzeitquelle kann weiterhin zu beliebigen geeigneten Zeitpunkten erfolgen. Sie kann beispielsweise in regelmäßigen vorgebbaren Abständen erfolgen. Ebenso kann sie beim Eintreten beliebiger vorgebbarer Ereignisse, z. B. beim Einschalten der Anordnung selbst oder bestimmter Komponenten der Anordnung, beim Stecken der Smartcard, bei jeder n-ten Kommunikation (n = 1, 2, 3...) der Anordnung mit einer entfernten Datenzentrale, bei jedem m-ten Nachladevorgang (m = 1, 2, 3...) von Guthaben etc., erfolgen.Synchronization with the real-time source can continue to occur at any suitable time. It can be done, for example, at regular predeterminable intervals. Likewise, when entering any predeterminable events, such. B. when switching on the device itself or certain components of the device, when inserting the smart card, every n-th communication (n = 1, 2, 3 ...) of the arrangement with a remote data center, every mth reloading ( m = 1, 2, 3 ...) of credits, etc., take place.

Bei einer bevorzugten, weil besonders einfach aufgebauten Variante der erfindungsgemäßen Anordnung ist die Zeitermittlungseinheit mit einem Taktgeber zur Erzeugung von Taktimpulsen verbindbar. Die Zeitermittlungseinheit weist dann zur Ermittlung der aktuellen Echtzeit einen Zähler zur Zählung der Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle auf. Bei bekannter Taktfrequenz des Taktgebers kann dann in einfacher Weise über die Zählung der Taktimpulse die Echtzeit ausgehend von dem bei der letzten Synchronisation erhaltenen Wert der Echtzeit die aktuelle Echtzeit ermittelt werden.In a preferred, because of a particularly simple construction variant of the arrangement according to the invention, the time-determining unit can be connected to a clock generator for generating clock pulses. The time determination unit then has a counter for counting the clock pulses of the clock since the last synchronization with the real-time source to determine the current real time. At known clock frequency of the clock can then be determined in a simple manner on the count of the clock pulses, the real time starting from the value obtained in the last synchronization value of the real time, the real time.

Bei dem Taktgeber kann es sich um eine beliebige Einheit der erfindungsgemäßen Anordnung handeln, welche mit entsprechend stabiler Frequenz Taktikimpulse liefert. Bevorzugt handelt es sich um einen Taktgeber der sicheren Verarbeitungseinheit selbst, da hierbei dann das Risiko von Manipulationen in einfacher Weise minimiert gehalten werden kann.The clock can be any unit of the arrangement according to the invention, which supplies tactical pulses with a correspondingly stable frequency. It is preferably a clock of the secure processing unit itself, since then the risk of tampering can be kept in a simple manner minimized.

Um eventuellen Manipulationen der Zeitermittlungseinheit und damit der ermittelten Echtzeit durch zumindest zeitweises Anhalten des Taktgebers vorzubeugen, ist die sichere Verarbeitungseinheit bevorzugt derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.In order to prevent possible manipulations of the time determination unit and thus of the determined real time by at least temporary stopping of the clock, the secure processing unit is preferably designed such that the creation of the billing data relevant for the billing of the created franking imprint takes place only if the time determination unit has an uninterrupted count of clock pulses of the clock Clock since the last synchronization with the real-time source.

Um eventuellen Manipulationen durch zumindest zeitweises Beeinflussen der Taktfrequenz des Taktgebers vorzubeugen, ist weiterhin bevorzugt vorgesehen, dass die Zeitermittlungseinheit zur Überwachung der Taktfrequenz der Taktimpulse des Taktgebers ausgebildet ist. Die sichere Verarbeitungseinheit ist dann derart ausgebildet, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten und/oder das Erstellen der für die Generierung des Frankierabdrucks erforderlichen Daten nur erfolgt, wenn die Zeitermittlungseinheit seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt. Mit anderen Worten wird gegebenenfalls verhindert, dass ein Frankierabdruck generiert bzw. eine Abrechnung erfolgt, wenn eine Variation der Taktfrequenz erfasst wird, die außerhalb eines vorgegebenen Toleranzbereichs liegt.In order to prevent possible manipulation by at least temporarily influencing the clock frequency of the clock, it is furthermore preferably provided that the time-determining unit is designed to monitor the clock frequency of the clock pulses of the clock generator. The secure processing unit is then embodied such that the generation of the billing data relevant for the billing of the franking imprint produced and / or the generation of the data required for the generation of the franking imprint takes place only if the time determination unit has a variation of the clock frequency since the last synchronization with the real-time source has detected that lies within a predefinable tolerance range. In other words, it is possibly prevented that a franking imprint is generated or billing takes place when a variation of the clock frequency is detected which is outside a predetermined tolerance range.

Bei bevorzugten Varianten der erfindungsgemäßen Anordnung mit der eingangs erwähnten weiteren Verarbeitungseinheit ist die weitere Verarbeitungseinheit zur Generierung der Druckdaten des Frankierabdrucks unter Verwendung eines Datums ausgebildet. Das Datum kann dabei entweder von der Anordnung selbst vorgegeben werden und gegebenenfalls von dem Nutzer der Anordnung lediglich bestätigt werden. Ebenso kann vorgesehen sein, dass der Nutzer der Anordnung das Datum selbst eingibt. In jedem Fall erfolgt die Generierung und/oder die Verwendung der Druckdaten nur dann, wenn die Zeitermittlungseinheit das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat. Hierdurch wird in einfacher Weise Manipulationen des Frankierabdrucks durch Eingabe oder Bestätigung eines falschen Datums vorgebeugt.In preferred variants of the arrangement according to the invention with the further processing unit mentioned in the introduction, the further processing unit is designed to generate the print data of the franking imprint using a date. The date can either be specified by the arrangement itself and possibly only be confirmed by the user of the arrangement. It can also be provided that the user of the arrangement enters the date himself. In any case, the generation and / or the use of the print data takes place only if the time determination unit has detected the presence of a predefinable relationship between the date and a successfully determined current real time. As a result, manipulations of the franking imprint are prevented in a simple manner by input or confirmation of a wrong date.

Bei weiteren vorteilhaften Weiterbildungen der erfindungsgemäßen Anordnung ist vorgesehen, dass die sichere Verarbeitungseinheit über eine Kommunikationsverbindung mit einer entfernten Datenzentrale verbindbar ist. Die sichere Verarbeitungseinheit ist dann auch zur Absicherung der Kommunikation mit der entfernten Datenzentrale ausgebildet. Diese Absicherung kann wie oben bereits geschildert auf beliebige geeignete Weise erfolgen. Bevorzugt erfolgt sie unter Verwendung kryptographischer Mittel, wie beispielsweise einer symmetrischen Verschlüsselung der auszutauschenden Informationen mittels eines zuvor generierten geheimen Sitzungsschlüssels. Hierdurch kann der vorhandene Leistungsumfang der sicheren Verarbeitungseinheit in vorteilhafter Weise optimal genutzt werden.In further advantageous developments of the arrangement according to the invention, it is provided that the secure processing unit can be connected to a remote data center via a communication connection. The secure processing unit is then also designed to secure communication with the remote data center. This protection can be done as already described above in any suitable manner. Preferably, it is carried out using cryptographic means, such as a symmetric encryption of the information to be exchanged by means of a previously generated secret session key. As a result, the existing scope of performance of the secure processing unit can be used optimally in an advantageous manner.

Bei weiteren bevorzugten Ausgestaltungen der erfindungsgemäßen Anordnung ist die weitere Verarbeitungseinheit eine Komponente einer Druckstation zur Erstellung des Frankierabdrucks. Die weitere Verarbeitungseinheit ist wiederum mit einer Schnittstelle der Druckstation verbunden, während die sichere Verarbeitungseinheit eine Komponente eines mit der Schnittstelle verbindbaren Sicherheitsmoduls ist. Bevorzugt ist das Sicherheitsmodul lösbar mit der Schnittstelle verbunden, sodass das Sicherheitsmodul jederzeit, bevorzugt ungehindert, mit der Schnittstelle verbunden werden kann bzw. von dieser gelöst werden kann. Hierdurch ergibt sich eine besonders variable Gestaltung, da dieselbe Druckstation gegebenenfalls einfach mit unterschiedlichen Sicherheitsmodulen betrieben werden kann. Vorzugsweise ist das Sicherheitsmodul steckbar ausgebildet, wodurch sich eine besonders einfach und variabel zu handhabende Gestaltung ergibt.In further preferred embodiments of the arrangement according to the invention, the further processing unit is a component of a printing station for the production of the franking imprint. The further processing unit is in turn connected to an interface of the printing station, while the secure processing unit is a component of a connectable to the interface security module. Preferably, the security module is detachably connected to the interface, so that the security module can be connected to the interface at any time, preferably unhindered, or can be detached from it. This results in a particularly variable design, since the same printing station can optionally be easily operated with different security modules. Preferably, the security module is pluggable, resulting in a particularly simple and variable to handle design.

Wie bereits oben erwähnt, kann die Absicherung der sicheren Verarbeitungseinheit vor unerkannter Manipulation in beliebiger geeigneter Weise erfolgen. Bevorzugt ist vorgesehen, dass die sichere Verarbeitungseinheit durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist. Zusätzlich oder alternativ ist vorgesehen, dass die sichere Verarbeitungseinheit durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit in hinlänglich bekannter Weise logisch vor unerkanntem unautorisierten Zugriff abgesichert ist.As already mentioned above, the secure processing unit can be protected from undetected manipulation in any suitable manner. It is preferably provided that the secure processing unit is physically protected against unrecognized unauthorized access by a physical encapsulation, in particular a potting compound. Additionally or alternatively, it is provided that the secure processing unit is logically protected against unrecognized unauthorized access by an algorithm for checking the access rights to the secure processing unit in a well-known manner.

Die vorliegende Erfindung betrifft weiterhin ein Verfahren zum Erstellen eines Frankierabdrucks, insbesondere mittels einer Frankiermaschine, wobei eine sichere Verarbeitungseinheit für die Abrechnung des erstellten Frankierabdrucks relevante Abrechnungsdaten erstellt und eine mit der sicheren Verarbeitungseinheit verbindbare Speichereinrichtung die Abrechnungsdaten abgesichert speichert. Dabei ist die sichere Verarbeitungseinheit in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung angeordnet. Erfindungsgemäß ist die Speichereinrichtung außerhalb der sicheren Umgebung angeordnet. Die sichere Verarbeitungseinheit stellt dann die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung. Die sichere Verarbeitungseinheit oder eine mit der sicheren Verarbeitungseinheit verbindbare weitere Verarbeitungseinheit schreibt dann die von der sicheren Verarbeitungseinheit zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung. Mit diesem erfindungsgemäßen Verfahren lassen sich die oben beschriebenen Varianten und Vorteile in demselben Maße realisieren, sodass hier lediglich auf die obigen Ausführungen Bezug genommen werden soll.The present invention further relates to a method for producing a franking imprint, in particular by means of a franking machine, wherein a secure processing unit for the billing of the created franking imprint creates relevant accounting data and a storage device connectable to the secure processing unit stores the accounting data secured. In this case, the secure processing unit is arranged in a secure environment logically and / or physically protected from unrecognized unauthorized access. According to the invention, the storage device is outside the safe environment arranged. The secure processing unit then provides the billing data in a form secured against undetected manipulation. The secure processing unit or a further processing unit that can be connected to the secure processing unit then writes the accounting data made available by the secure processing unit into the memory device in a form protected against undetected manipulation. With this method according to the invention, the variants and advantages described above can be realized to the same extent, so that reference should be made here only to the above statements.

Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung eines bevorzugten Ausführungsbeispiels, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigt

Figur 1
eine schematische Darstellung einer bevorzugten Ausführungsform der erfindungsgemäßen Anordnung zum Erstellen eines Frankierabdrucks, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zum Erstellen eines Frankierabdrucks durchgeführt werden kann.
Further preferred embodiments of the invention will become apparent from the subclaims or the following description of a preferred embodiment, which refers to the accompanying drawings. It shows
FIG. 1
a schematic representation of a preferred embodiment of the inventive arrangement for creating a franking imprint, with which a preferred variant of the method according to the invention for creating a franking imprint can be performed.

Im Folgenden wird unter Bezugnahme auf die Figur 1 eine bevorzugte Ausführungsform der erfindungsgemäßen Anordnung in Form einer Frankiermaschine 101 zum Erstellen eines Frankierabdrucks beschrieben, mit welcher eine bevorzugte Variante des erfindungsgemäßen Verfahrens zum Erstellen eines Frankierabdrucks durchgeführt wird. Die Frankiermaschine 101 kann über ein Kommunikationsnetz 102 mit einer entfernten Datenzentrale 103 verbunden werden und umfasst ein Basismodul 104 und ein damit verbundenes Sicherheitsmodul 105.In the following, a preferred embodiment of the arrangement according to the invention in the form of a franking machine 101 for producing a franking imprint will be described with reference to FIG. 1, with which a preferred variant of the method according to the invention for producing a franking imprint is carried out. The franking machine 101 can be connected to a remote data center 103 via a communications network 102 and comprises a base module 104 and a security module 105 connected thereto.

Das Sicherheitsmodul 105 der Frankiermaschine 101 umfasst eine sichere Verarbeitungseinheit in Form eines ersten Prozessors 105.1, der in einer sicheren Umgebung 106 angeordnet ist. Die sichere Umgebung 106 stellt dabei eine physikalische und logische Absicherung des ersten Prozessors 105.1 vor unerkanntem unautorisiertem Zugriff zur Verfügung. Die physikalische Absicherung der sicheren Umgebung 106 wird dabei durch eine Vergussmasse zur Verfügung gestellt, in welche der erste Prozessor 105.1 sowie die weiteren Komponenten innerhalb der sicheren Umgebung 106 eingegossen sind.The security module 105 of the franking machine 101 comprises a secure processing unit in the form of a first processor 105. 1, which is arranged in a secure environment 106. The secure environment 106 provides a physical and logical protection of the first processor 105.1 from unrecognized unauthorized access. The physical security of the secure environment 106 is provided by a potting compound, in which the first processor 105.1 and the other components within the secure environment 106 are cast.

Die logische Absicherung der sicheren Umgebung 106 wird durch einen Algorithmus zur Überprüfung der Zugriffsberechtigung auf die Komponenten des Sicherheitsmoduls 101 zur Verfügung gestellt. Der Zugriff auf die Komponenten des Sicherheitsmoduls 101 kann von außen nur über eine mit dem ersten Prozessor verbundene erste Schnittstelle 105.2 erfolgen, die am Übergang von der sicheren Umgebung 106 zu dem Bereich außerhalb der sicheren Umgebung 106 angeordnet ist.The logical protection of the secure environment 106 is provided by an algorithm for checking the access authorization to the components of the security module 101. Access to the components of the security module 101 may be from outside only via a first interface 105.2 connected to the first processor, which is arranged at the transition from the secure environment 106 to the area outside the secure environment 106.

Sobald versucht wird, über die erste Schnittstelle 105.2 auf den ersten Prozessor 105.1 zuzugreifen, überprüft dieser die Zugriffsberechtigung des Zugreifenden. Hierzu greift der erste Prozessor 105.1 auf ein Kryptographiemodul in Form eines ebenfalls in der sicheren Umgebung 106 angeordneten Speichers 105.3 des Sicherheitsmoduls 101 zu. Das Kryptographiemodul 105.3 beherbergt in hinlänglich bekannter Weise entsprechende Algorithmen und Daten zur Verifizierung der Zugriffsberechtigung auf das Sicherheitsmodul. Hierbei kann es sich beispielsweise im einfachsten Fall um ein gespeichertes Passwort handeln, welches der Zugreifende eingeben muss, um sich zu autorisieren. Ebenso kann es sich aber um einen entsprechenden Algorithmus zur Überprüfung digitaler Signaturen oder Zertifikate handeln, welche der Zugreifende im Rahmen seiner Autorisierung verwendet.As soon as an attempt is made to access the first processor 105.1 via the first interface 105.2, the latter checks the access authorization of the accessing person. For this purpose, the first processor 105.1 accesses a cryptography module in the form of a memory 105.3 of the security module 101 likewise arranged in the secure environment 106. The cryptography module 105.3 accommodates in a well-known manner corresponding algorithms and data for verification of access authorization to the security module. In the simplest case, this may be, for example, a stored password which the accessing person must enter in order to authorize himself. However, it can also be a corresponding algorithm for checking digital signatures or certificates, which the accessing person uses as part of his authorization.

Das Sicherheitsmodul 104 dient in üblicher Weise dazu, die für die Frankierung erforderlichen sicherheitsrelevanten postalischen Dienste, wie beispielsweise die sichere Abrechnung der Frankierwerte aber auch die kryptographische Absicherung bestimmter postalischer Daten, zur Verfügung zu stellen.The security module 104 is used in a customary manner to provide the security-relevant postal services required for the franking, such as, for example, the secure accounting of the franking values, but also the cryptographic security of specific postal data.

Das Basismodul 104 dient ebenfalls in üblicher Weise zum einen dazu, den Frankierabdruck zu erzeugen. Hierzu umfasst das Basismodul 104 eine weitere Verarbeitungseinheit in Form eines zweiten Prozessors 104.1, der mit einem Druckmodul 104.2 verbunden ist. Der zweite Prozessor 104.1 steuert das Druckmodul 104.2 in hinlänglich bekannter Weise zur Generierung des Frankierabdrucks auf dem jeweiligen Poststück an. Hierzu greift der zweite Prozessor 104.1 unter anderem auf einen postalischen Speicher 104.3 des Basismoduls 104 zu, in dem ein Teil der zur Generierung des Frankierabdrucks erforderlichen Daten (z. B. Klischeedaten etc.) abgelegt ist.The base module 104 also serves in the usual way firstly to produce the franking imprint. For this purpose, the base module 104 comprises a further processing unit in the form of a second processor 104.1, which is connected to a printing module 104.2. The second processor 104.1 controls the printing module 104.2 in a well-known manner for generating the franking imprint on the respective mailpiece. For this purpose, the second processor 104.1 accesses, inter alia, a postal memory 104.3 of the base module 104, in which a part of the data required for generating the franking imprint (eg, cliché data, etc.) is stored.

Einen weiteren Teil der zur Generierung des Frankierabdrucks erforderlichen Daten erhält der zweite Prozessor 104.1 im vorliegenden Beispiel von dem Sicherheitsmodul 105. Hierbei kann es sich beispielsweise um entsprechende Prüfsummen, MACs, digitale Signaturen oder dergleichen handeln, welche der erste Prozessor 105.1 des Sicherheitsmoduls 105 über bestimmten Daten des Frankierabdrucks erzeugt. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung mit geringeren Sicherheitsanforderungen an den Frankierabdruck auch vorgesehen sein kann, dass sämtliche zur Generierung des Frankierabdrucks erforderlichen Daten ausschließlich in dem am Basismodul erstellt werden. Ebenso versteht es sich, dass bei anderen Varianten der Erfindung mit höheren Sicherheitsanforderungen an den Frankierabdruck gegebenenfalls auch ein Großteil oder sogar sämtliche zur Generierung des Frankierabdrucks erforderlichen Daten in dem Sicherheitsmodul generiert werden können.The second processor 104.1 in the present example receives from the security module 105 another part of the data required to generate the franking imprint. These may be, for example, corresponding checksums, MACs, digital signatures or the like which the first processor 105.1 of the security module 105 has over certain Generates data of the franking imprint. It is understood, however, that in other variants of the invention with lower security requirements for the franking imprint can also be provided that all data required to generate the franking imprint are created exclusively in the base module. As well It is understood that in other variants of the invention with higher security requirements for the franking imprint, if necessary, a large part or even all of the data required to generate the franking imprint can be generated in the security module.

Soll ein Frankierabdruck generiert werden, so übergibt der zweite Prozessor 104.1 zunächst über eine zweite Schnittstelle 104.4 des Basismoduls 104, die mit der erste Schnittstelle 105.2 des Sicherheitsmoduls 105 verbunden ist, entsprechende Eingabedaten an den ersten Prozessor 105.1. Nachdem der erste Prozessor in der oben bereits beschriebenen Weise die Autorisierung des zweiten Prozessors 104.1 zur Übergabe der Eingabedaten überprüft hat, verarbeitet er diese Eingabedaten nach einem vorgegebenen Schema.If a franking imprint is to be generated, the second processor 104.1 first transfers corresponding input data to the first processor 105.1 via a second interface 104.4 of the base module 104, which is connected to the first interface 105.2 of the security module 105. After the first processor has checked the authorization of the second processor 104.1 for the transfer of the input data in the manner already described above, it processes this input data according to a predetermined scheme.

Dabei überprüft der erste Prozessor 105.1 unter anderem, wie im Folgenden noch näher erläutert werden wird, ob die Eingabedaten bestimmte Bedingungen erfüllen. Ist dies der Fall, generiert der erste Prozessor 105.1 entsprechende Ausgabedaten, die er dann wieder an den zweiten Prozessor 104.1 über die Schnittstellen 105.2 und 104.4 übergibt.Among other things, the first processor 105.1 checks, as will be explained in more detail below, whether the input data satisfy certain conditions. If this is the case, the first processor 105.1 generates corresponding output data, which it then forwards to the second processor 104.1 via the interfaces 105.2 and 104.4.

Unmittelbar vor oder nach der Übergabe der Ausgabedaten an den zweiten Prozessor 104.1 generiert der erste Prozessor Abrechnungsdaten, welche zur Abrechnung des zu generieren Frankierabdrucks verwendet werden. Anders als bei herkömmlichen Frankiermaschinen werden jedoch die Abrechnungsdaten nicht in einem Abrechnungsspeicher innerhalb der sicheren Umgebung 106 gespeichert, sondern über die Schnittstellen 105.2 und 104.4 ebenfalls an den zweiten Prozessor 104.1 übergeben und von diesem in einem Abrechnungsspeicher 104.5 des Basismoduls 104, mithin also außerhalb der sicheren Umgebung 106 gespeichert.Immediately before or after the transfer of the output data to the second processor 104.1, the first processor generates accounting data which are used for billing the franking imprint to be generated. Unlike conventional franking machines, however, the billing data are not stored in a billing memory within the secure environment 106, but also transferred via the interfaces 105.2 and 104.4 to the second processor 104.1 and from this in a billing memory 104.5 of the base module 104, thus outside the secure Environment 106 stored.

Um unerkannte Manipulationen der Abrechnungsdaten zu verhindern, ist erfindungsgemäß vorgesehen, dass der erste Prozessor 105.1 die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung stellt. Im vorliegenden Beispiel versieht der erste Prozessor 105.1 die Abrechnungsdaten dabei mit einer digitalen Signatur, die er in hinlänglich bekannter Weise zumindest über einen Teil der Abrechnungsdaten unter Zugriff auf das Kryptographiemodul 105.3 generiert. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch andere hinlänglich bekannte Mechanismen zur Absicherung der Abrechnungsdaten vor unerkannter Manipulation zum Einsatz kommen können.In order to prevent unrecognized manipulations of the billing data, it is provided according to the invention that the first processor 105.1 provides the billing data in a form secured against unrecognized manipulation. In the present example, the first processor 105.1 provides the billing data with a digital signature, which it generates in a well-known manner at least over part of the billing data while accessing the cryptography module 105.3. It is understood, however, that in other variants of the invention, other well-known mechanisms for securing the billing data from undetected manipulation may be used.

Dieses Vorgehen hat den Vorteil, dass das Sicherheitsmodul 105 lediglich die kryptographische Funktionalität zur Verfügung stellen muss, nicht aber einen entsprechend großen und damit teuren abgesicherten Speicherbereich zur Speicherung der Abrechnungsdaten. Hierdurch kann das Sicherheitsmodul 105 deutlich kostengünstiger gestaltet werden. Insbesondere ist es möglich, für das Sicherheitsmodul 105 wie im vorliegenden Beispiel eine einfache Smartcard zu verwenden, welche bereits standardmäßig mit entsprechender kryptographischer Funktionalität ausgestattet ist. Bei einer solchen Smartcard ist es dann gegebenenfalls lediglich erforderlich, eine entsprechende physikalische Absicherung herzustellen, wie sie oben beschrieben wurde.This approach has the advantage that the security module 105 only has to provide the cryptographic functionality, but not a correspondingly large and Thus expensive secure storage area for storing the billing data. As a result, the security module 105 can be designed significantly cheaper. In particular, it is possible to use for the security module 105, as in the present example, a simple smart card, which is already equipped with corresponding cryptographic functionality as standard. In such a smart card, it may then only be necessary to produce a corresponding physical security, as described above.

Es versteht sich, dass die Abrechnungsdaten bevorzugt selbst schon in einer Form generiert werden können, welche Manipulationen vorgebeugt. So kann beispielsweise einer einfachen Manipulation durch Löschen einzelner Datensätze vorgebaut werden, indem die einzelnen Datensätze der Abrechnungsdaten mit fortlaufenden Nummern versehen werden, die ebenfalls in den abgesicherten Bereich der Abrechnungsdaten einbezogen werden.It is understood that the billing data can preferably be generated even in a form that prevents manipulation. Thus, for example, a simple manipulation by deleting individual records can be pre-built by the individual records of the accounting data are provided with consecutive numbers, which are also included in the secure area of the accounting data.

Weiterhin versteht es sich, dass nicht nur im Zuge einer Frankierung in entsprechend abgesicherte Abrechnungsdaten in dem Abrechnungsspeicher 104.5 abgelegt werden. Vielmehr umfassen die Abrechnungsdaten im Abrechnungsspeicher 104.5 natürlich auch Daten, welche das aktuell verfügbare Guthaben repräsentieren. Diese Daten werden in einem Nachladevorgang im Zuge einer Kommunikation zwischen der Frankiermaschine 101 und der entfernten Datenzentrale 103 über das Sicherheitsmodul 105 in den Abrechnungsspeicher 104.5 eingebracht. Dabei können die Guthabendaten schon von der entfernten Datenzentrale 103 in entsprechender Weise abgesichert sein. Bevorzugt ist jedoch vorgesehen, dass die von der Datenzentrale 103 übermittelten Guthabendaten zunächst in dem Sicherheitsmodul 105 entsprechend aufbereitet und abgesichert werden und erst dann in dem Abrechnungsspeicher 104.5 abgelegt werden.Furthermore, it is understood that not only in the course of a franking in accordance with secure accounting data stored in the billing memory 104.5. Rather, the billing data in the billing memory 104.5 of course also include data representing the currently available credit. These data are introduced into the billing memory 104.5 via the security module 105 in a reloading process in the course of a communication between the franking machine 101 and the remote data center 103. In this case, the credit data can already be secured by the remote data center 103 in a corresponding manner. Preferably, however, it is provided that the credit data transmitted by the data center 103 are first processed and secured accordingly in the security module 105 and then stored in the billing memory 104.5.

Im vorliegenden Beispiel ist das korrekte Datum der Frankierung von wesentlicher Bedeutung für die Sicherheit des Abrechnungsvorgangs. Soll ein Frankierabdruck generiert werden, so gibt der zweite Prozessor 104.1 des Basismoduls 104 mit den Eingabedaten ein entsprechendes Datum an den ersten Prozessor 105.1 weiter. Dieses Datum kann entweder standardmäßig von einer - in Figur 1 nicht dargestellten - Uhr des Basismoduls 104 vorgegeben werden. Gegebenenfalls kann vorgesehen sein, dass der Benutzer der Frankiermaschine 101 dieses Datum bestätigen muss. Ebenso kann aber vorgesehen sein, dass der Nutzer der Frankiermaschine 101 selbst ein entsprechendes Datum über eine Benutzerschnittstelle 104.6, beispielsweise eine Tastatur, an den zweiten Prozessor 104.1 übergeben kann, welches dann verwendet wird.In the present example, the correct date of franking is essential for the security of the billing process. If a franking imprint is to be generated, then the second processor 104.1 of the basic module 104 with the input data forwards a corresponding datum to the first processor 105.1. This date can either be specified by default from a clock of the base module 104 (not shown in FIG. 1). Optionally, it may be provided that the user of the franking machine 101 must confirm this date. Likewise, however, it may be provided that the user of the franking machine 101 himself can transfer a corresponding date via a user interface 104.6, for example a keyboard, to the second processor 104.1, which is then used.

Wie bereits oben angedeutet, überprüft das Sicherheitsmodul 105 im vorliegenden Beispiel, ob das übergebene Datum in der Vergangenheit liegt. Ist dies der Fall, nimmt das Sicherheitsmodul weder die Generierung der für die Erstellung des Frankierabdrucks erforderlichen Daten noch die Generierung der entsprechenden Abrechnungsdaten vor. Mit anderen Worten werden diese Daten nur generiert, wenn das übergebene Datum dem aktuellen Datum im Sicherheitsmodul 105 entspricht oder ein Datum in der Zukunft repräsentiert. Hierbei kann vorgesehen sein, dass die Zeitspanne, die das übergebene Datum maximal in der Zukunft liegen darf, begrenzt ist.As already indicated above, the security module 105 checks in the present example whether the transferred date is in the past. If this is the case, the security module neither makes the generation of the data required for the production of the franking imprint nor the generation of the corresponding accounting data. In other words, this data is only generated if the transferred date corresponds to the current date in security module 105 or represents a date in the future. In this case, it may be provided that the time span which the transmitted date may be maximum in the future is limited.

Um diese Überprüfung des von dem zweiten Prozessor 104.1 übergebenen Datums vornehmen zu können, weist das Sicherheitsmodul 105 eine Zeitermittlungseinheit in Form eines Zeitermittlungsmoduls 105.4 auf, welches unabhängig von dem Basismodul 104 die Echtzeit ermittelt.In order to be able to carry out this check of the data transferred by the second processor 104.1, the security module 105 has a time determination unit in the form of a time determination module 105.4, which determines the real time independently of the base module 104.

Hierzu wird das Zeitermittlungsmodul 105.4 zunächst bei Eintreten vorgegebener Ereignisse mit einer Echtzeitquelle der entfernten Datenzentrale 103 synchronisiert. Die Ereignisse, welche die Synchronisation mit der Echtzeitquelle auslösen, können beliebig vorgegeben werden. So kann beispielsweise vorgesehen sein, dass die Synchronisation jedes Mal erfolgt, wenn die Frankiermaschine 101 mittels eines mit dem zweiten Prozessor 104.1 verbunden Modems 104.7 erfolgreich eine Kommunikation mit der entfernten Datenzentrale 103 aufgebaut hat. Ebenso kann vorgesehen sein, dass eine solche Kommunikation mit der entfernten Datenzentrale 103 durch das Sicherheitsmodul 105 nach Ablauf einer vorgegebenen Zeitspanne seit der letzten Synchronisation des Zeitermittlungsmoduls 105.4 mit der Echtzeitquelle der entfernten Datenzentrale 103 erzwungen bzw. automatisch ausgelöst wird.For this purpose, the time determination module 105.4 is first synchronized upon the occurrence of predetermined events with a real-time source of the remote data center 103. The events that trigger the synchronization with the real-time source can be specified as desired. For example, it may be provided that the synchronization takes place each time the franking machine 101 has successfully established communication with the remote data center 103 by means of a modem 104.7 connected to the second processor 104.1. It can also be provided that such communication with the remote data center 103 is enforced or automatically triggered by the security module 105 after a predetermined period of time has elapsed since the last synchronization of the time determination module 105.4 with the real-time source of the remote data center 103.

Um Manipulationen bei der Synchronisation mit der Echtzeitquelle entgegenzuwirken, wird die Kommunikation mit der Datenzentrale 103, innerhalb derer die Synchronisation erfolgt, durch den ersten Prozessor 105.1 unter Zugriff auf das Kryptographiemodul 105.3 entsprechend in hinlänglich bekannter Weise, beispielsweise durch Verwendung einer Verschlüsselung der ausgetauschten Daten mit einem geheimen Sitzungsschlüssel, abgesichert.In order to counteract manipulations in the synchronization with the real-time source, the communication with the data center 103, within which the synchronization takes place, by the first processor 105.1 with access to the cryptography module 105.3 accordingly in a well-known manner, for example by using an encryption of the exchanged data a secret session key, secured.

Sobald das Zeitermittlungsmodul 105.4 im Rahmen der Synchronisation mit der Echtzeitquelle der entfernten Datenzentrale 103 die aktuelle Echtzeit erhalten hat, beginnt das Zeitermittlungsmodul 105.4 mit der Zählung der Taktimpulse eines Taktgebers des ersten Prozessors 105.1. Dabei überwacht das Zeitermittlungsmodul 105.4 unter anderem auch die Taktfrequenz des Taktgebers zum einen daraufhin, ob Abweichungen der Taktfrequenz von einer Soll-Taktfrequenz innerhalb eines bestimmten Toleranzbereichs liegen. Weiterhin überwacht das Zeitermittlungsmodul 105.4 die lückenlose Taktung des Taktgebers. Mit anderen Worten überprüft das Zeitermittlungsmodul 105.4 also, ob die Taktung des Taktgebers zeitweise aussetzt.As soon as the time determination module 105.4 has received the current real time in the context of the synchronization with the real-time source of the remote data center 103, the time determination module 105.4 starts counting the clock pulses of a clock of the first processor 105.1. Among other things, the time determination module 105.4 monitors the clock frequency of the clock on the one hand to determine whether deviations of the clock frequency of a desired clock frequency within a certain tolerance range. Furthermore, the time determination module 105.4 monitors the gapless clocking of the clock. In other words, the time determination module 105.4 thus checks whether the clocking of the clock generator is temporarily suspended.

Liegt die Taktfrequenz des Taktgebers innerhalb des vorgegebenen Toleranzbereichs und liegt eine lückenlose Taktung seit der letzten Synchronisation mit der Echtzeitquelle vor, so ermittelt das Zeitermittlungsmodul 105.4 aus der mit der letzten Synchronisation übergebenen Echtzeit, der Anzahl der Takte und der Taktfrequenz des Taktgebers die aktuelle Echtzeit. Liegen diese Voraussetzungen nicht vor, wird festgestellt, dass keine korrekte Echtzeit zu ermitteln ist und die Durchführung weiterer Operationen im Zusammenhang mit der Generierung eines Frankierabdrucks verweigert. In diesem Fall kann eine entsprechende Fehlermeldung an den Benutzer der Frankiermaschine 101 ausgegeben werden oder gegebenenfalls eine neue Synchronisation mit der Echtzeitquelle erzwungen werden.If the clock frequency of the clock is within the predetermined tolerance range and there is gapless clocking since the last synchronization with the real-time source, the time determination module 105.4 determines the current real-time from the real-time transmitted with the last synchronization, the number of clocks and the clock frequency of the clock. If these conditions are not fulfilled, it is determined that no real-time correctness is to be determined and the execution of further operations in connection with the generation of a franking imprint is denied. In this case, a corresponding error message can be output to the user of the franking machine 101 or, if necessary, a new synchronization with the real-time source can be forced.

Mit den beschriebenen Zeitermittlungsmodul 105.4 kann auf besonders einfache Weise eine ausreichend zuverlässige Ermittlung der Echtzeit erfolgen. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass das Sicherheitsmodul eine Echtzeituhr aufweist, welcheWith the described time determination module 105.4, a sufficiently reliable determination of the real time can be carried out in a particularly simple manner. However, it is understood that in other variants of the invention can also be provided that the security module has a real-time clock, which

Konnte das Zeitermittlungsmodul 105.4 die Echtzeit erfolgreich ermitteln, vergleicht sie diese mit dem übergebenen Datum. Entspricht das übergebene Datum den oben geschilderten Vorgaben, generiert der erste Prozessor 105.1 in der oben beschriebenen Weise die für die Erstellung des Frankierabdrucks erforderlichen Daten sowie die Abrechnungsdaten und übergibt diese an den zweiten Prozessor 104.1 zur weiteren Verarbeitung. Andernfalls verweigert der erste Prozessor 105.1 die Durchführung weiterer Operationen im Zusammenhang mit der Generierung und Abrechnung des Frankierabdrucks. Insbesondere werden weder die für die Erstellung des Frankierabdrucks erforderlichen Daten noch entsprechende Abrechnungsdaten generiert.If the time determination module 105.4 was able to successfully determine the real time, it compares this with the given date. If the given date corresponds to the specifications described above, the first processor 105.1 generates the data required for the production of the franking imprint as well as the accounting data in the manner described above and transfers them to the second processor 104.1 for further processing. Otherwise, the first processor 105.1 refuses to perform further operations related to the generation and billing of the franking imprint. In particular, neither the data required for the production of the franking imprint nor corresponding accounting data are generated.

Es versteht sich, dass die kryptographischen Leistungsmerkmale des Sicherheitsmoduls 105 von der Frankiermaschine 101 noch in weiterem Umfang genutzt werden können. So kann das Sicherheitsmodul 105 natürlich nicht nur die Kommunikation während der Synchronisation mit der Echtzeitquelle der entfernten Datenzentrale 103 absichern. Vielmehr kann eine solche Absicherung auch für jede beliebige andere Kommunikation zwischen der Frankiermaschine und einer externen Einheit, beispielsweise der entfernten Datenzentrale 103 beim Nachladen von Guthaben oder einem Servicerechner eines Servicetechnikers etc., in der beschriebenen Weise erfolgen. Weiterhin kann das Sicherheitsmodul 105 natürlich in hinlänglich bekannter Weise dazu verwendet werden, die Integrität und Authentizität bestimmter übermittelter Daten zu verifizieren oder selbst für eine entsprechende Authentifizierung zu sorgen. So kann das Sicherheitsmodul 105 beispielsweise genutzt werden, um digitale Signaturen oder ähnlich wirkende Daten zu verifizieren bzw. zu erstellen.It is understood that the cryptographic features of the security module 105 can still be used by the postage meter 101 to a greater extent. Of course, security module 105 can not only secure communication during synchronization with the remote data center 103 real-time source. Rather, such a hedge can also for any other communication between the franking machine and an external unit, such as the remote data center 103 when reloading credit or a service computer of a service technician etc., in the manner described. Of course, the security module 105 may of course be used in a well-known manner to verify the integrity and authenticity of certain transmitted data or to provide for its own authentication. For example, security module 105 may be used to verify digital signatures or similar data.

Das Sicherheitsmodul 105 ist, wie oben bereits erwähnt wurde, im vorliegenden Beispiel als einfache Smartcard ausgeführt, die zusätzlich noch mit einer physikalischen Absicherung in Form einer Vergussmasse versehen ist, in welcher die Komponenten des Sicherheitsmoduls eingebettet sind. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass nur die entsprechenden in einer sicheren Umgebung anzuordnenden sicherheitsrelevanten Teile einer solchen Smartcard mit einer entsprechenden physikalischen Kapselung versehen sind, während andere Bereiche mehr oder weniger frei zugänglich sind. In diesem Fall ist dann lediglich darauf zu achten, dass für sämtliche möglichen Zugänge zu den sicherheitsrelevanten Komponenten eine entsprechende logische Absicherung wirksam ist.The security module 105 is, as already mentioned above, executed in the present example as a simple smart card, which is additionally provided with a physical security in the form of a potting compound, in which the components of the security module are embedded. It is understood, however, that in other variants of the invention it can also be provided that only the corresponding safety-relevant parts of such a smartcard to be arranged in a secure environment are provided with a corresponding physical encapsulation, while other areas are more or less freely accessible. In this case, it is then only necessary to ensure that a corresponding logical safeguard is in effect for all possible accesses to the security-relevant components.

Im vorliegenden Beispiel ist das Sicherheitsmodul 105 seine einfache Steckkarte, die in die zweite Schnittstelle 104.4 eingesteckt ist. Dabei kann die zweite Schnittstelle 104.4 frei zugänglich sein, sodass ohne weiteres beliebige Sicherheitsmodule 105 eingesteckt werden können. Dies hat den Vorteil, dass das Basismodul 104 gegebenenfalls frei in Verbindung mit mehreren unterschiedlichen Sicherheitsmodulen betrieben werden kann.In the present example, the security module 105 is its simple plug-in card plugged into the second interface 104.4. In this case, the second interface 104.4 can be freely accessible, so that any desired security modules 105 can be plugged in without further ado. This has the advantage that the base module 104 can optionally be operated freely in conjunction with a plurality of different security modules.

Hierbei ist es insbesondere möglich, die Frankiermaschine 101 mit den Sicherheitsmodulen unterschiedlicher Postbeförderer zu nutzen. Gegebenenfalls kann in diesem Fall dann vorgesehen sein, dass das Sicherheitsmodul 105 in einem entsprechenden Speicher die entsprechenden Vorschriften (z. B. Algorithmen und Daten etc.) umfasst, nach denen der Frankierabdruck für den betreffenden Postbeförderer zu generieren ist.In this case, it is particularly possible to use the franking machine 101 with the security modules of different mail carriers. If appropriate, it may then be provided in this case that the security module 105 includes in a corresponding memory the corresponding regulations (eg algorithms and data etc.) according to which the franking imprint is to be generated for the postal carrier in question.

Ist dies der Fall, versteht es sich aber, dass bevorzugt für jedes Sicherheitsmodul ein gesonderter Bereich des Abrechnungsspeichers 104.5 vorgesehen ist. Zusätzlich oder alternativ kann aber auch vorgesehen sein, dass die Abrechnungsdaten in diesem Fall in ihrem abgesicherten Bereich zur Vereinfachung der Zuordnung zu dem jeweiligen Sicherheitsmodul eine eindeutige Identifikation des jeweiligen Sicherheitsmoduls, von welchem sie generiert wurden, umfassen. Bei einer Reihe von Sicherungsmechanismen ist diese Zuordnung ohnehin schon möglich, da die zur Absicherung verwendeten geheimen Daten (z. B. Signaturschlüssel etc.) ohnehin eindeutig einem einzigen Sicherheitsmodul zugeordnet sind.If this is the case, however, it is understood that a separate area of the billing memory 104.5 is preferably provided for each security module. Additionally or alternatively, however, it may also be provided that the billing data in this case in their secure area to simplify the assignment to the respective security module include a unique identification of the respective security module, from which they were generated. In the case of a number of security mechanisms, this assignment is already possible anyway, since the secret data used for the security (eg signature key, etc.) are in any case unambiguously assigned to a single security module.

Ebenso versteht es sich allerdings, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass das Sicherheitsmodul als fest eingebaute Komponente der Frankiermaschine ausgebildet ist.However, it is also understood that in other variants of the invention it can also be provided that the security module is designed as a permanently installed component of the franking machine.

Es sei and dieser Stelle erwähnt, dass die vorstehend beschriebenen Speicher des Sicherheitsmoduls 105 bzw. des Basismoduls 104 alle oder zum Teil sowohl als separate Speichermodule als auch lediglich als einzelne Speicherbereiche eines einzigen Speichermoduls ausgebildet sein können.It should be mentioned at this point that the above-described memory of the security module 105 or of the base module 104 may be formed all or partly both as separate memory modules and only as individual memory areas of a single memory module.

Claims (30)

Anordnung zum Erstellen eines Frankierabdrucks, insbesondere Frankiermaschine, mit - einer sicheren Verarbeitungseinheit (105.1) zum Erstellen von für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten, und - einer mit der sicheren Verarbeitungseinheit (105.1) verbindbaren Speichereinrichtung (104.5) zum abgesicherten Speichern der Abrechnungsdaten, wobei - die sichere Verarbeitungseinheit (105.1) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (106) angeordnet ist, dadurch gekennzeichnet, dass - die Speichereinrichtung (104.5) außerhalb der sicheren Umgebung (106) angeordnet ist, - die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung zu stellen, und - die sichere Verarbeitungseinheit (105.1) oder eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare weitere Verarbeitungseinheit (104.1) dazu ausgebildet ist, die von der sicheren Verarbeitungseinheit (105.1) zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung (104.5) zu schreiben. Arrangement for creating a franking imprint, in particular franking machine, with a secure processing unit (105.1) for generating billing data relevant for the billing of the created franking imprint, and - One with the secure processing unit (105.1) connectable storage device (104.5) for secure storage of the billing data, wherein the secure processing unit (105.1) is arranged in a secure environment (106) that is logically and / or physically protected from unrecognized unauthorized access, characterized in that the memory device (104.5) is arranged outside the secure environment (106), - The secure processing unit (105.1) is adapted to provide the billing data in a secured from undetected manipulation form, and - the secure processing unit (105.1) or a further processing unit (104.1) connectable to the secure processing unit (105.1) is adapted to load the accounting data provided by the secure processing unit (105.1) into the memory device (104.5 ) to write. Anordnung nach Anspruch 1, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten durch kryptographische Mittel, insbesondere unter Verwendung eines Geheimnisses, vor unerkannter Manipulation abzusichern.Arrangement according to claim 1, characterized in that the secure processing unit (105.1) is adapted to secure the accounting data by cryptographic means, in particular using a secret, against unrecognized manipulation. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) dazu ausgebildet ist, die Abrechnungsdaten mit einer digitalen Signatur zu versehen.Arrangement according to claim 1 or 2, characterized in that the secure processing unit (105.1) is adapted to provide the billing data with a digital signature. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Komponente einer Smartcard (105) ist.Arrangement according to one of the preceding claims, characterized in that the secure processing unit (105.1) is a component of a smart card (105). Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Zeitermittlungseinheit (105.4) zur Ermittlung der Echtzeit aufweist.Arrangement according to one of the preceding claims, characterized in that the secure processing unit (105.1) has a time determination unit (105.4) for determining the real time. Anordnung nach Anspruch 5, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) erfolgreich die Echtzeit ermittelt hat.Arrangement according to claim 5, characterized in that the secure processing unit (105.1) is designed such that the creation of the billing data relevant for the billing of the created franking imprint takes place only if the time determination unit (105.4) has successfully determined the real time. Anordnung nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Zeitermittlungseinheit (105.4) dazu ausgebildet ist, zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine, vorzugsweise durch kryptographische Mittel abgesicherte, Synchronisation vorzunehmen.Arrangement according to claim 5 or 6, characterized in that the time determination unit (105.4) is adapted to perform at predetermined times with a real-time source, preferably secured by cryptographic means, synchronization. Anordnung nach Anspruch 7, dadurch gekennzeichnet, dass - die Zeitermittlungseinheit (105.4) mit einem Taktgeber zur Erzeugung von Taktimpulsen, insbesondere mit einem Taktgeber der sicheren Verarbeitungseinheit (105.1), verbindbar ist und - die Zeitermittlungseinheit (105.4) zur Ermittlung der aktuellen Echtzeit einen Zähler zur Zählung der Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle aufweist. Arrangement according to claim 7, characterized in that - The time-determining unit (105.4) with a clock generator for generating clock pulses, in particular with a clock of the secure processing unit (105.1), connectable and - The time determination unit (105.4) for determining the current real time has a counter for counting the clock pulses of the clock since the last synchronization with the real-time source. Anordnung nach Anspruch 8, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.Arrangement according to Claim 8, characterized in that the secure processing unit (105.1) is designed such that the billing data relevant for the billing of the created franking imprint is created only if the time determination unit (105.4) has an uninterrupted count of clock pulses of the timer since the last Synchronization with the real-time source. Anordnung nach Anspruch 9, dadurch gekennzeichnet, dass - die Zeitermittlungseinheit (105.4) zur Überwachung der Taktfrequenz der Taktimpulse des Taktgebers ausgebildet ist und - die sichere Verarbeitungseinheit (105.1) derart ausgebildet ist, dass das Erstellen der für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erfolgt, wenn die Zeitermittlungseinheit seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt. Arrangement according to claim 9, characterized in that - The time determination unit (105.4) is designed to monitor the clock frequency of the clock pulses of the clock and - The secure processing unit (105.1) is designed such that the creation of the billing data relevant for the billing of the created franking imprint occurs only if the time determination unit has detected a variation of the clock frequency since the last synchronization with the real-time source, which lies within a predefinable tolerance range. Anordnung nach einem der Ansprüche 5 bis 10, dadurch gekennzeichnet, dass die weitere Verarbeitungseinheit (104.1) zur Generierung der Druckdaten des Frankierabdrucks unter Verwendung eines, insbesondere von einem Nutzer eingegebenen, Datums derart ausgebildet ist, dass die Generierung und/oder Verwendung der Druckdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat.Arrangement according to one of claims 5 to 10, characterized in that the further processing unit (104.1) for generating the print data of the franking imprint using a, in particular entered by a user, date is formed such that the generation and / or use of the print data only occurs when the time determination unit (105.4) has detected the presence of a predeterminable relationship between the date and a successfully determined current real time. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - die sichere Verarbeitungseinheit (105.1) über eine Kommunikationsverbindung mit einer entfernten Datenzentrale (103) verbindbar ist und - die sichere Verarbeitungseinheit (105.1) zur Absicherung der Kommunikation mit der entfernten Datenzentrale (103) unter Verwendung kryptographischer Mittel ausgebildet ist. Arrangement according to one of the preceding claims, characterized in that - The secure processing unit (105.1) via a communication link with a remote data center (103) is connectable and - The secure processing unit (105.1) is designed to secure the communication with the remote data center (103) using cryptographic means. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - die weitere Verarbeitungseinheit (104.1) eine Komponente einer Druckstation (104) zur Erstellung des Frankierabdrucks ist, - die weitere Verarbeitungseinheit (104.1) mit einer Schnittstelle (104.4) der Druckstation (104) verbunden ist und - die sichere Verarbeitungseinheit (105.1) eine Komponente eines, insbesondere ungehindert lösbar, mit der Schnittstelle (104.4) verbindbaren Sicherheitsmoduls (105) ist. Arrangement according to one of the preceding claims, characterized in that the further processing unit (104.1) is a component of a printing station (104) for producing the franking imprint, - The further processing unit (104.1) is connected to an interface (104.4) of the printing station (104) and - The secure processing unit (105.1) is a component of a, in particular unhindered detachable, with the interface (104.4) connectable security module (105). Anordnung nach Anspruch 13, dadurch gekennzeichnet, dass das Sicherheitsmodul (105) steckbar ausgebildet ist.Arrangement according to claim 13, characterized in that the security module (105) is designed to be pluggable. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) - durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist und/oder - durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit logisch vor unerkanntem unautorisierten Zugriff abgesichert ist. Arrangement according to one of the preceding claims, characterized in that the secure processing unit (105.1) - Is physically protected from undetected unauthorized access by a physical encapsulation, in particular a potting compound and or - Logically secured against unrecognized unauthorized access by an algorithm for checking the access rights to the secure processing unit. Verfahren zum Erstellen eines Frankierabdrucks, insbesondere mittels einer Frankiermaschine, wobei - eine sichere Verarbeitungseinheit (105.1) für die Abrechnung des erstellten Frankierabdrucks relevante Abrechnungsdaten erstellt, und - eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare Speichereinrichtung (104.5) die Abrechnungsdaten abgesichert speichert, wobei - die sichere Verarbeitungseinheit (105.1) in einer logisch und/oder physikalisch vor unerkanntem unautorisierten Zugriff abgesicherten sicheren Umgebung (106) angeordnet ist, dadurch gekennzeichnet, dass - die Speichereinrichtung (104.5) außerhalb der sicheren Umgebung (106) angeordnet ist, - die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form zur Verfügung stellt, und - die sichere Verarbeitungseinheit (105.1) oder eine mit der sicheren Verarbeitungseinheit (105.1) verbindbare weitere Verarbeitungseinheit (104.1) die von der sicheren Verarbeitungseinheit (105.1) zur Verfügung gestellten Abrechnungsdaten in einer vor unerkannter Manipulation abgesicherten Form in die Speichereinrichtung (104.5) schreibt. Method for producing a franking imprint, in particular by means of a franking machine, wherein - creates a secure processing unit (105.1) for the settlement of the created franking imprint relevant accounting data, and - A storage device (104.5) connectable to the secure processing unit (105.1) stores the billing data in a secure manner, wherein the secure processing unit (105.1) is arranged in a secure environment (106) that is logically and / or physically protected from unrecognized unauthorized access, characterized in that the memory device (104.5) is arranged outside the secure environment (106), the secure processing unit (105.1) provides the accounting data in a form secured against undetected manipulation; and - The secure processing unit (105.1) or a further processing unit (104.1) connectable to the secure processing unit (105.1) writes the accounting data provided by the secure processing unit (105.1) into the memory device (104.5) in a form protected against undetected manipulation. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten durch kryptographische Mittel, insbesondere unter Verwendung eines Geheimnisses, vor unerkannter Manipulation absichert.A method according to claim 16, characterized in that the secure processing unit (105.1) secures the accounting data by cryptographic means, in particular using a secret, against unrecognized manipulation. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die Abrechnungsdaten mit einer digitalen Signatur versieht.A method according to claim 16 or 17, characterized in that the secure processing unit (105.1) provides the billing data with a digital signature. Verfahren nach einem der Ansprüche 16 bis 18, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) eine Komponente einer Smartcard ist.Method according to one of Claims 16 to 18, characterized in that the secure processing unit (105.1) is a component of a smartcard. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) über eine Zeitermittlungseinheit (105.4) die Echtzeit ermittelt.Method according to one of Claims 16 to 19, characterized in that the secure processing unit (105.1) determines the real time via a time determination unit (105.4). Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) erfolgreich die Echtzeit ermittelt hat.A method according to claim 20, characterized in that the secure processing unit (105.1) only generates the billing data relevant for the billing of the created franking imprint if the time determination unit (105.4) has successfully determined the real time. Verfahren nach Anspruch 20 oder 21, dadurch gekennzeichnet, dass die Zeitermittlungseinheit (105.4) zu vorgebbaren Zeitpunkten mit einer Echtzeitquelle eine, vorzugsweise durch kryptographische Mittel abgesicherte, Synchronisation vornimmt.A method according to claim 20 or 21, characterized in that the time-determining unit (105.4) at predeterminable times with a real-time source, preferably by cryptographic means secured synchronization. Verfahren nach Anspruch 22, dadurch gekennzeichnet, dass - die Zeitermittlungseinheit (105.4) mit einem Taktgeber zur Erzeugung von Taktimpulsen, insbesondere mit einem Taktgeber der sicheren Verarbeitungseinheit(105.1), verbindbar ist und - die Zeitermittlungseinheit (105.4) zur Ermittlung der aktuellen Echtzeit die Taktimpulse des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle zählt. A method according to claim 22, characterized in that - The time-determining unit (105.4) with a clock generator for generating clock pulses, in particular with a clock of the secure processing unit (105.1), connectable and - The time determination unit (105.4) for determining the current real time counts the clock pulses of the clock since the last synchronization with the real-time source. Verfahren nach Anspruch 23, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) Die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) eine ununterbrochene Zählung von Taktimpulsen des Taktgebers seit der letzten Synchronisation mit der Echtzeitquelle erfasst hat.A method according to claim 23, characterized in that the secure processing unit (105.1) only generates the billing data relevant to the settlement of the established franking imprint if the time determination unit (105.4) has detected an uninterrupted count of clock pulses of the clock since the last synchronization with the real-time source. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass - die Zeitermittlungseinheit (105.4) die Taktfrequenz der Taktimpulse des Taktgebers überwacht und - die sichere Verarbeitungseinheit (105.1) die für die Abrechnung des erstellten Frankierabdrucks relevanten Abrechnungsdaten nur erstellt, wenn die Zeitermittlungseinheit (105.4) seit der letzten Synchronisation mit der Echtzeitquelle eine Variation der Taktfrequenz erfasst hat, die innerhalb eines vorgebbaren Toleranzbereichs liegt. A method according to claim 24, characterized in that - The time detection unit (105.4) monitors the clock frequency of the clock pulses of the clock and - the secure processing unit (105.1) only generates the billing data relevant for the billing of the created franking imprint if the time determination unit (105.4) has detected a variation of the clock frequency since the last synchronization with the real-time source, which lies within a predefinable tolerance range. Verfahren nach einem der Ansprüche 20 bis 25, dadurch gekennzeichnet, dass die weitere Verarbeitungseinheit (104.1) die Druckdaten des Frankierabdrucks unter Verwendung eines, insbesondere von einem Nutzer eingegebenen, Datums generiert, wobei die Generierung und/oder Verwendung der Druckdaten nur erfolgt, wenn die Zeitermittlungseinheit (105.4) das Vorliegen einer vorgebbaren Beziehung zwischen dem Datum und einer erfolgreich ermittelten aktuellen Echtzeit festgestellt hat.Method according to one of claims 20 to 25, characterized in that the further processing unit (104.1) generates the print data of the franking imprint using a date, in particular entered by a user, wherein the generation and / or use of the print data occurs only if the Time Determination Unit (105.4) has detected the existence of a predeterminable relationship between the date and a successfully determined current real time. Verfahren nach einem der Ansprüche 16 bis 26, dadurch gekennzeichnet, dass - die sichere Verarbeitungseinheit (105.1) über eine Kommunikationsverbindung mit einer entfernten Datenzentrale (103) verbunden wird und - die sichere Verarbeitungseinheit (105.1) die Kommunikation mit der entfernten Datenzentrale (103) unter Verwendung kryptographischer Mittel absichert. Method according to one of claims 16 to 26, characterized in that - The secure processing unit (105.1) is connected via a communication link to a remote data center (103) and - the secure processing unit (105.1) secures communication with the remote data center (103) using cryptographic means. Verfahren nach einem der Ansprüche 16 bis 27, dadurch gekennzeichnet, dass - die weitere Verarbeitungseinheit (104.1) eine Komponente einer Druckstation (104) zur Erstellung des Frankierabdrucks ist, - die weitere Verarbeitungseinheit (104.1) mit einer Schnittstelle (104.4) der Druckstation (104) verbunden wird und - die sichere Verarbeitungseinheit (105.1) eine Komponente eines Sicherheitsmoduls (105) ist, das, insbesondere ungehindert lösbar, mit der Schnittstelle (104.4) verbunden wird. Method according to one of claims 16 to 27, characterized in that the further processing unit (104.1) is a component of a printing station (104) for producing the franking imprint, - The further processing unit (104.1) is connected to an interface (104.4) of the printing station (104) and - The secure processing unit (105.1) is a component of a security module (105) which, in particular unhindered releasably connected to the interface (104.4). Verfahren nach Anspruch 28, dadurch gekennzeichnet, dass das Sicherheitsmodul (105) über eine Steckverbindung mit der Druckstation (104) verbunden wird.A method according to claim 28, characterized in that the security module (105) is connected via a plug connection with the printing station (104). Verfahren nach einem der Ansprüche 16 bis 29, dadurch gekennzeichnet, dass die sichere Verarbeitungseinheit (105.1) - durch eine physikalische Kapselung, insbesondere eine Vergussmasse, physikalisch vor unerkanntem unautorisiertem Zugriff abgesichert ist und/oder - durch einen Algorithmus zur Überprüfung der Zugriffsrechte auf die sichere Verarbeitungseinheit logisch vor unerkanntem unautorisierten Zugriff abgesichert ist. Method according to one of Claims 16 to 29, characterized in that the secure processing unit (105.1) - Is physically protected from undetected unauthorized access by a physical encapsulation, in particular a potting compound and or - Logically secured against unrecognized unauthorized access by an algorithm for checking the access rights to the secure processing unit.
EP07108049A 2006-05-11 2007-05-11 Assembly and method for generating a printed stamp Withdrawn EP1857981A3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006022315A DE102006022315A1 (en) 2006-05-11 2006-05-11 Arrangement and method for creating a franking imprint

Publications (2)

Publication Number Publication Date
EP1857981A2 true EP1857981A2 (en) 2007-11-21
EP1857981A3 EP1857981A3 (en) 2008-02-06

Family

ID=38330123

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07108049A Withdrawn EP1857981A3 (en) 2006-05-11 2007-05-11 Assembly and method for generating a printed stamp

Country Status (3)

Country Link
US (1) US20070265989A1 (en)
EP (1) EP1857981A3 (en)
DE (1) DE102006022315A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100077472A1 (en) * 2008-09-23 2010-03-25 Atmel Corporation Secure Communication Interface for Secure Multi-Processor System
US9170290B1 (en) * 2013-08-23 2015-10-27 Audyssey Laboratories, Inc. Method for asynchronous impulse response measurement between separately clocked systems

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1988001818A1 (en) * 1986-09-02 1988-03-10 Wright Christopher B Automated transaction system using microprocessor cards
US4998203A (en) * 1985-03-12 1991-03-05 Digiulio Peter C Postage meter with a non-volatile memory security circuit
US6078910A (en) * 1996-08-20 2000-06-20 Ascom Hasler Mailing Systems Inc. Printing postage with cryptographic clocking security
EP1022685A2 (en) * 1998-12-24 2000-07-26 Pitney Bowes Inc. Selective security level certificate meter
US6898581B1 (en) * 1995-08-21 2005-05-24 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796841A (en) * 1995-08-21 1998-08-18 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system
US7226494B1 (en) * 1997-04-23 2007-06-05 Neopost Technologies Secure postage payment system and method
US5826246A (en) * 1996-12-31 1998-10-20 Pitney Bowes Inc. Secure postage meter in an ATM application
US5946672A (en) * 1997-06-12 1999-08-31 Pitney Bowes Inc. Electronic postage meter system having enhanced clock security
DE19928057B4 (en) * 1999-06-15 2005-11-10 Francotyp-Postalia Ag & Co. Kg Security module and method for securing the postal registers from manipulation
DE102004014427A1 (en) * 2004-03-19 2005-10-27 Francotyp-Postalia Ag & Co. Kg A method for server-managed security management of deliverable services and arrangement for providing data after a security management for a franking system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4998203A (en) * 1985-03-12 1991-03-05 Digiulio Peter C Postage meter with a non-volatile memory security circuit
WO1988001818A1 (en) * 1986-09-02 1988-03-10 Wright Christopher B Automated transaction system using microprocessor cards
US6898581B1 (en) * 1995-08-21 2005-05-24 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system
US6078910A (en) * 1996-08-20 2000-06-20 Ascom Hasler Mailing Systems Inc. Printing postage with cryptographic clocking security
EP1022685A2 (en) * 1998-12-24 2000-07-26 Pitney Bowes Inc. Selective security level certificate meter

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Information Based Indicia Program (IBIP) Indicium Specification" INFORMATION BASED INDICIA PROGRAM (IBIP) INDICIUM SPECIFICATION, 13. Juni 1996 (1996-06-13), Seite COMPLETE23, XP002137735 *

Also Published As

Publication number Publication date
EP1857981A3 (en) 2008-02-06
DE102006022315A1 (en) 2007-11-15
US20070265989A1 (en) 2007-11-15

Similar Documents

Publication Publication Date Title
DE3303846C2 (en)
DE19532617C2 (en) Method and device for sealing computer data
DE69932396T2 (en) Method and apparatus for secure key transfer between a postage meter and a remote data center
DE69736246T2 (en) Device for secure cryptographic data processing and protection of storage devices for franking machines
EP1615173A2 (en) Method and System for generating a secret session key
EP1872512A1 (en) Method for key administration for cryptography modules
DE10136608B4 (en) Method and system for real-time recording with security module
EP1099197A1 (en) Device for supplying output data in reaction to input data, method for checking authenticity and method for encrypted data transmission
WO2009130022A1 (en) Distributed data memory unit
DE19816344C2 (en) Procedure for secure key distribution
DE10305730B4 (en) Method for verifying the validity of digital indicia
DE4442357A1 (en) Protecting data passing between data processing device and terminal device connected via telecommunications network
EP0762338A2 (en) Method for securing data and progam code of an electronic franking machine
EP1857981A2 (en) Assembly and method for generating a printed stamp
EP1638246B1 (en) Method for substitution of cryptogtaphic data
DE19747603C2 (en) Method for digitally signing a message
EP0969420A2 (en) Method for secure transfer of service data to a terminal and arrangement for carrying out the same
EP1801724B1 (en) Method and apparatus providing security relevant services by a security module of a franking machine
DE102012008519A1 (en) Securing an energy quantity counter against unauthorized access
DE69930202T2 (en) Method for limiting the use of keys in a franking system which produces cryptographically secured stamps
DE102009058516A1 (en) Apparatus and method for granting access rights to a maintenance functionality
EP1817752A2 (en) Method for personalising chip cards
EP0304547A2 (en) Identification control apparatus, method for cryptographic identity control and method for detecting an interruption between a terminal and a communication system
EP1432170B1 (en) Method and apparatus for generating different cryptographic secure procedures concerning messages in a host device
EP1855252B1 (en) Assembly and method for creating a prepaid postage stamp

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

17P Request for examination filed

Effective date: 20080221

17Q First examination report despatched

Effective date: 20080408

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20101106