EP1035516A2 - Arrangement for a security module - Google Patents
Arrangement for a security module Download PDFInfo
- Publication number
- EP1035516A2 EP1035516A2 EP00250055A EP00250055A EP1035516A2 EP 1035516 A2 EP1035516 A2 EP 1035516A2 EP 00250055 A EP00250055 A EP 00250055A EP 00250055 A EP00250055 A EP 00250055A EP 1035516 A2 EP1035516 A2 EP 1035516A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- voltage
- battery
- line
- security module
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00233—Housing, e.g. lock or hardened casing
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00298—Visual, e.g. screens and their layouts
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00266—Man-machine interface on the apparatus
- G07B2017/00306—Acoustic, e.g. voice control or speech prompting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00346—Power handling, e.g. power-down routine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Definitions
- the invention relates to an arrangement for a security module, according to the specified in the preamble of claim 1.
- a security module is especially for use in a Franking machine or mail processing machine or computer with Mail processing function suitable.
- the invention has for its object the security of a to ensure unauthorized manipulation of a security module if the battery is arranged interchangeably.
- the security module has a voltage monitoring unit with resettable latching on by the processor can be queried and reset.
- Monitoring the voltage a battery that is used for battery-backed RAM and Function of an internal clock is required, the goal is when falling below a certain voltage level to trigger actions that for deleting security-relevant data and the current time to lead.
- the self-holding allows the state to fall below the voltage to preserve until reliable proof is possible. The latter is only the case after the module has been used again System voltage is supplied. An inspector or other authorized Person making appropriate entries on the keyboard of the franking device executes, can restore the original state.
- the security module 100 has, in a manner known per se, a microprocessor 120 which contains an integrated read-only memory (internal ROM) (not shown) with the special application program, which is approved for the franking machine by the postal authority or by the respective mail carrier. Alternatively, a conventional read-only memory ROM or FLASH memory can be connected to the module-internal data bus 126.
- the security module 100 has a reset circuit unit 130, a user circuit ASIC 150 and a logic PAL 160 which serves as a control signal generator for the ASIC.
- FIG. 4 shows a block diagram of the postal security module PSM 100 in a preferred variant.
- the negative pole of the battery 134 is grounded and a pin P23 of the contact group 102.
- the positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180.
- the SL-389 / P is suitable as a battery 134 for a lifespan of up to 3.5 years or the SL-386 / P for a lifespan of up to 6 years with a maximum power consumption by the PSM 100 commercially available circuit type ADM 8693ARN can be used.
- the output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136.
Abstract
Description
Die Erfindung betrifft eine Anordnung für ein Sicherheitsmodul, gemäß der
im Oberbegriff des Anspruchs 1 angegebenen Art. Ein solcher
postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer
Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit
Postbearbeitungsfunktion geeignet.The invention relates to an arrangement for a security module, according to the
specified in the preamble of
Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell möglich, beliebige Texte und Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikroprozessor, welcher von einem gesicherten Gehäuse umgeben ist, das eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Briefzuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck beinhaltet eine zuvor eingegebene und gespeicherte postalische Information zur Beförderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwaremäßig vor, übt eine Überwachungsfunktion ggf. bezüglich der Bedingungen für eine Datenaktualisierung aus und steuert das Nachladen eines Portwertguthabens.Modern franking machines, such as that known from US 4,746,234 Thermal transfer franking machine, set a fully electronic digital Printing device. In principle, it is possible to use any text and Special characters in the franking stamp printing area and any or print an advertising slogan assigned to a cost center. So had for example the applicant's franking machine T1000, a microprocessor, which is surrounded by a secured housing that has an opening for feeding a letter. With a letter feed transmits a mechanical letter sensor (microswitch) Pressure request signal to the microprocessor. The franking imprint contains previously entered and stored postal information to carry the letter. The control unit of the franking machine performs software billing, exercises a monitoring function possibly with regard to the conditions for a data update and controls the reloading of a port credit.
Für die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Dateneingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, mit mindestens einem nichtflüchtigen Speicher zum Speichern von Postgebührendaten, mit mindestens einem nichtflüchtigen Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer Kalender/Uhr ausgestattet. Der nichtflüchtige Speicher der sicherheitsrelevanten Daten und/oder die Kalender/Uhr wird gewöhnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheitsrelevante Daten (kryptografische Schlüssel u.ä.) in nichtflüchtigen Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder batteriegesicherte SRAM. Bekannte Frankiermaschinen verfügen oft auch über eine interne Echtzeituhr (Real Time Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module müssen nach Ablauf der Lebensdauer der Batterie im Ganzen ausgetauscht und entsorgt werden. Aus wirtschaftlichen und ökologischen Gesichtspunkten ist es günstiger, wenn nur die Batterie ausgetauscht werden muß. Dazu muß jedoch das Sicherheitsgehäuse geöffnet und anschließend wieder verschlossen und gesiegelt werden, denn die Sicherheit gegenüber Betrugsversuchen beruht im Wesentlichen auf dem gesicherten Gehäuse, welches die gesamte Maschine umschließt. For the thermal transfer franking machine mentioned above, was already in US 5,606,508 (DE 42 13 278 B1) and in US 5,490,077 a data input option proposed by means of chip cards. One of the Chip cards load new data into the franking machine and a set additional chip cards are permitted by inserting a chip card Make settings according to stored data. The Data loading and the setting of the franking machine can be done with it more convenient and faster than using the keyboard. A Franking machine for franking mail, is with a printer for Printing the postage stamp on the mail, with a control for Control the printing and peripheral components of the Franking machine, with a billing unit for billing Postage, with at least one non-volatile memory for Storage of postage data, with at least one non-volatile Memory for storing safety-relevant data and with one Calendar / clock equipped. The non-volatile memory of the safety-relevant Dates and / or the calendar / clock is usually from one Battery powered. Known franking machines are security-relevant Data (cryptographic keys, etc.) in non-volatile Save saved. These memories are EEPROM, or FRAM battery-backed SRAM. Known franking machines often also have via an internal real time clock (RTC), which is controlled by a Battery is powered. For example, potted modules that Integrated circuits and a lithium battery included. These modules after the end of the battery life as a whole exchanged and disposed of. From economic and ecological From a point of view, it is cheaper if only the battery is replaced must become. To do this, however, the safety housing must be opened and then be closed and sealed again because the Security against attempted fraud is essentially based on the secured housing that encloses the entire machine.
Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits ein geeignetes Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in welchem zwischen einem authorisierten und unauthorisierten Öffnen des Sicherheitsgehäuses unterschieden wird.The applicant has already published EP 660 269 A2 (US 5,671,146) an appropriate method to improve the security of Franking machines proposed, in which between one authorized and unauthorized opening of the security housing is distinguished.
Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann vor Ort nur schwer möglich, wenn der Zugang zu den Bauteilen erschwert oder eingeschränkt ist. Bei größeren Postverarbeitungsmaschinen oder sogenannten PC-Frankierern wird zukünftig das gesicherte Gehäuse auf das sogenannte postalische Sicherheitsmodul reduziert werden, was die Zugänglichkeit zu den übrigen Bauteile verbessern kann. Zum wirtschaftlichen Austauschen der Batterie des Sicherheitsmoduls wäre es außerdem wünschenswert, daß sich diese auf relativ einfachem Wege auswechseln läßt. Dann würde sich die Batterie aber außerhalb des Sicherheitsbereichs der Frankiermaschine befinden. Wenn die Batterieklemmen aber von außen zugänglich gemacht werden, ist ein möglicher Angreifer in der Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM's und RTC's haben bzgl. ihrer geforderten Betriebsspannung unterschiedliche Anforderungen. Die notwendige Spannung zum Halten von Daten von SRAM's liegt unterhalb der geforderten Spannung zum Betrieb von RTC's. Daß bedeutet, daß ein Verringern der Spannung unter einen bestimmten Grenzwert zu einem unerwünschten Verhalten der Komponenten führt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM-Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens eine der Sicherheitsmaßnahmen, beispielsweise Long Time Watchdogs, wären dann auf der Frankiermaschinenseite unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die entfernte Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankiereinrichtung per Kommunikationsverbindung melden soll. Nach Erschöpfung des Zeitkredits oder Fristablauf wird das Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeitdauer bis zur nächsten Guthabennachladung zu ermitteln, wobei seitens einer Datenzentrale diejenige Frankiermaschine als suspekt gilt, welche sich nicht fristgemäß meldet. Suspekte Frankiermaschinen werden der Postbehörde mitgeteilt, welche den Poststrom nach von suspekten Frankiermaschinen frankierten Briefen überwacht. Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt und der Benutzer wird aufgefordert die überfällige Kommunikation durchzuführen.A postage meter repair that may be necessary is then difficult on site if access to the components is difficult or is restricted. For larger mail processing machines or So-called PC frankers, the secured housing will be opened in the future the so-called postal security module can be reduced, which the Accessibility to the other components can improve. For economic It would also be replacing the battery of the security module desirable that they exchange in a relatively simple way leaves. Then the battery would be outside the security area the franking machine. If the battery terminals but being made accessible from the outside is a potential attacker in able to manipulate the battery voltage. Known battery powered SRAM's and RTC's have their required operating voltage different requirements. The necessary tension to hold data from SRAM's is below the required Voltage for the operation of RTC's. That means reducing the Voltage below a certain limit to an undesirable Behavior of the components leads: The RTC stops, the time - stored in SRAM cells - and the memory contents of the SRAM remain receive. At least one of the security measures, for example Long Time Watchdogs would be on the franking machine side ineffective. Long time watchdogs mean the following: The remote data center gives a time credit or a period of time, especially a number of days, or a specific day before, until to which the franking device communicates should report. After the time credit has been exhausted or the deadline has expired Franking prevented. Under the title: Procedure and arrangement for Generation and verification of a security imprint has already been done in EP 660 270 A2 (US 5,680,463) proposed a method that Estimated time until the next credit reload determine, on the part of a data center that franking machine A suspect is one that does not report on time. Suspicious franking machines will be communicated to the postal authority, which is responsible for the postal flow monitored for letters franked by suspect franking machines. An expiry of the time credit or the deadline is also already by the Franking device determined and the user is prompted carry out overdue communication.
Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel im Gehäuse umfaßt. Das Abschirmmittel besteht aus Einkapselungsmaterial und Leitungsmitteln, an welchen die Stromversorgungs- und Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine Veränderung des Leitungswiderstandes des Leitungsmittels. Außerdem enthält das Sicherheitsmodul eine interne Batterie, einen Spannungsumschalter von Systemspannung auf Batteriespannung und weitere Funktionseinheiten (wie Power Gate, Kurzschlußtransistor, Speicher und Sensoren). Wenn die Spannung eine bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leitungswiderstand, die Temperatur oder die Strahlung verändert ist, reagiert die Logik. Mittels des Power Gate oder mittels der Logik wird der Ausgang des Kurzschlußtransistor auf L-Pegel umgeschaltet, wodurch ein im Speicher gespeicherter kryptographischer Schlüssel gelöscht wird. Jedoch ist die Lebensdauer der nicht auswechselbaren Batterie und damit des Sicherheitsmoduls für den Einsatz in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein.Security modules are from electronic data processing systems already known here. To protect against intrusion into an electronic In EP 417 447 B1, a lock is already proposed, which Power supply and signal detection means and shielding means includes in the housing. The shielding agent consists of encapsulation material and line means to which the power supply and signal detection means are connected. The latter reacts to a change the line resistance of the line means. Also contains the safety module an internal battery, a voltage switch from system voltage to battery voltage and other functional units (like power gate, short circuit transistor, memory and sensors). When the voltage drops below a certain limit, it reacts the power gate. If the line resistance, temperature or the radiation is changed, the logic reacts. Using the power gate or by means of the logic, the output of the short-circuit transistor becomes L level switched, whereby a cryptographic stored in memory Key is deleted. However, the lifespan is non-interchangeable Battery and thus the safety module for use in Franking equipment or mail processing machines too small.
Eine größere Postverarbeitungsmaschine ist beispielsweise die JetMail®. Ein Frankierdruck wird hier mittels einem stationär angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten annähernd vertikalen Brieftransport erzeugt. Eine geeignete Ausführung für eine Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soll das Meter mit einem Gehäuse ausgestattet werden, so daß Bauteile leichter zugänglich sind, dann muß es durch ein postalisches Sicherheitsmodul vor Betrugsversuchen geschützt werden, welches mindestens das Abrechnen der Postgebühren durchführt. Um Einflüsse auf den Programmverlauf auszuschließen, wurde bereits in der EP 789 333 A2 vorgeschlagen, ein Sicherheitsmodul mit einer Anwenderschaltung (ASIC) auszustatten, die eine Hardware-Abrecheneinheit aufweist. Die Anwenderschaltung (ASIC) steuert außerdem die Druckdatenübertragung zum Druckkopf. A larger mail processing machine is, for example, the JetMail®. A franking imprint is made here by means of a stationary ink jet print head in the case of a non-horizontal approximately vertical letter transport generated. A suitable design for a printing device was already proposed in DE 196 05 015 C1. The mail processing machine has a meter and a base. Should the meter with be equipped with a housing so that components are more easily accessible then it must go through a postal security module before attempting fraud are protected, which is at least the accounting of the Carries out postage. To rule out influences on the course of the program, was already proposed in EP 789 333 A2, a security module to be equipped with a user circuit (ASIC) that a Hardware accounting unit has. The user circuit (ASIC) also controls the print data transfer to the print head.
Letzteres wäre nur dann nicht erforderlich, wenn für jedes Poststück einzigartige Abdrucke erzeugt werden. Ein Verfahren und Anordnung zur schnellen Erzeugung eines Sicherheitsabdruckes ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet.The latter would not be necessary only if for each item of mail unique prints are created. A method and arrangement for Rapid generation of a security imprint is, for example, in the US 5,680,463, US 5,712,916 and US 5,734,723 have been proposed. A special security marking is generated electronically and embedded in the printed image.
Weitere Maßnahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig erschöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls. Würden aber die Batterieanschlußklemmen von außen zugänglich gemacht werden, um die Lebensdauer der Batterie zu erhöhen, bestünde eine Angriffsmöglichskeit auf die Sicherheit der postalischen Daten durch einen Betrüger.Further measures to protect a security module from Attack on the data stored in it were also not in the Pre-published German applications 198 16 572.2 and 198 16 571.4 proposed. With a large number of sensors, the Power consumption and one not constantly from a system voltage The supplied security module then pulls the one required for the sensors Power from its internal battery, which also depletes the latter at an early stage. Limit battery capacity and power consumption thus the lifespan of a security module. But they would Battery terminals are accessible from the outside to the Increasing the life of the battery would be an opportunity to attack on the security of postal data by a fraudster.
Das nicht durch eine Systemspannung versorgte Sicherheitsmodul könnte dann über die von außen zugänglichen Batteriekontakte manipuliert werden, indem die Spannung unter die für den Prozessor spezifizierte Grenzspannung verringert wird. Wenn der Prozessor mit einem internen Uhren-RAM (RTC) ausgestattet ist, bleibt die Uhr zuerst stehen. Bei Erhöhung der Spannung würde die interne Uhr (RTC) wieder weiterlaufen. Beim Anlegen einer Impulsspannung mit Impulsweiten-modulation muß sichergestellt sein, daß die Batteriespannung nicht unter die spezifizierte Grenze sinken kann, oberhalb derer die Speicherinhalte erhalten bleiben sollen. Bei einer unter die Grenze herunter gehenden Spannungsverringerung muß dieser Zustand nachweisbar solange aufrechterhalten werden bis ein anderer zulässiger Zustand gültig ist. Grundsätzlich ist eine Abschätzung des Angreiferpotentials bzw. der Angreiferklassen erforderlich, um mit geeigneten, vom Aufwand her angemessenen, Maßnahmen den erwünschten Sicherheitslevel zu erreichen. Dabei gilt das Motto: "So viel wie nötig, so wenig wie möglich". Mit einer geeigneten Schaltung muß also die Manipilationsmöglichkeit mindestens eingeschränkt werden. The safety module not supplied by a system voltage could then manipulated via the externally accessible battery contacts by lowering the voltage below that specified for the processor Limit voltage is reduced. If the processor with an internal Clock RAM (RTC) is equipped, the clock stops first. At Increasing the voltage would keep the internal clock (RTC) running again. When applying a pulse voltage with pulse width modulation be sure that the battery voltage is not below the specified Limit may drop above which the memory contents are retained should. With one going below the border This condition must be demonstrably reduced as long as be maintained until another permissible state is valid. Basically, an estimate of the attacker potential or Attacker classes required to use appropriate, costly appropriate measures to achieve the desired security level to reach. The motto is: "As much as necessary, as little as possible". The manipulation must be possible with a suitable circuit at least be restricted.
Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit vor einer unbefugten Manipulation eines Sicherheitsmoduls zu gewährleisten, wenn die Batterie austauschbar angeordnet ist.The invention has for its object the security of a to ensure unauthorized manipulation of a security module if the battery is arranged interchangeably.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 gelöst.The object is achieved with the features of
Ein postalisches Gerät, insbesondere eine Frankiermaschine, wird mit einem steckbaren Sicherheitsmodul ausgestattet, welches mit dem Systembus des Meters bzw. einer anderen geeigneten Steuereinrichtung verbunden ist. Bei einem gestecktem Sicherheitsmodul, welches zum Servicezeitpunkt von einer Systemspannung versorgt wird, kann die Batterie des Sicherheitsmoduls von einem Servicetechniker ausgewechselt werden. Das Sicherheitsmodul ist mit einer harten Masse vergossen. Für einen Batteriewechsel bzw. Entsorgung ist die Batterie jedoch außerhalb der Vergußmasse angeordnet.A postal device, in particular a franking machine, is included a pluggable security module, which is equipped with the System bus of the meter or another suitable control device connected is. With a plugged-in security module, which for Service time is supplied by a system voltage, the Safety module battery replaced by a service technician become. The safety module is cast with a hard mass. However, the battery is for a battery change or disposal arranged outside the sealing compound.
Erfindungsgemäß weist das Sicherheitsmodul eine Spannungsüberwachungseinheit mit rücksetzbarer Selbsthaltung auf, die vom Prozessor abgefragt und zurückgesetzt werden kann. Die Überwachung der Spannung einer Batterie, die für die batteriegestützten RAM-Speicher und zur Funktion einer internen Uhr erforderlich ist, hat das Ziel, beim Unterschreiten eines bestimmten Spannungspegels Aktionen auszulösen, die zum Löschen von sicherheitsrelevanten Daten und der aktuellen Uhrzeit führen. Die Selbsthaltung gestattet den Zustand der Spannungsunterschreitung solange zu konservieren, bis ein sicherer Nachweis möglich ist. Letzteres ist erst nachträglich der Fall, wenn das Modul wieder mit Systemspannung versorgt wird. Ein Inspektor oder eine andere authorisierte Person, die geeignete Eingaben an der Tastatur der Frankiereinrichtung ausführt, kann den ursprünglichen Zustand wiederherstellen.According to the invention, the security module has a voltage monitoring unit with resettable latching on by the processor can be queried and reset. Monitoring the voltage a battery that is used for battery-backed RAM and Function of an internal clock is required, the goal is when falling below a certain voltage level to trigger actions that for deleting security-relevant data and the current time to lead. The self-holding allows the state to fall below the voltage to preserve until reliable proof is possible. The latter is only the case after the module has been used again System voltage is supplied. An inspector or other authorized Person making appropriate entries on the keyboard of the franking device executes, can restore the original state.
Die Vorteile neben der Verlängerung der Lebensdauer des Sicherheitsmoduls durch die Möglichkeit des Batteriewechsels, liegen in einem geringen Stromverbrauch der Schaltung trotz einer schnellen Reaktion auf Spannungsänderungen und einer Verhinderung einer Mittelwert-bildung bei einer Manipulation mit Rechteckimpulsen an den Batterieanschlüssen.The advantages in addition to extending the lifespan of the safety module due to the possibility of changing the battery, lie in one low power consumption of the circuit despite a quick response to Changes in voltage and the prevention of averaging in the event of manipulation with rectangular pulses at the battery connections.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen
gekennzeichnet bzw. werden nachstehend zusammen mit der
Beschreibung der bevorzugten Ausführung der Erfindung anhand der
Figuren näher dargestellt. Es zeigen:
In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den
Kontaktgruppen 101, 102 zum Anschluß an ein Interface 8 sowie mit den
Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces für eine
Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer
harten Vergußmasse vergossen ist, ist die Batterie 134 des
Sicherheitsmoduls 100 außerhalb der Vergußmasse auf einer Leiterplatte
auswechselbar angeordnet. Die Leiterplatte trägt die Batteriekontaktklemmen
103 und 104 für den Anschluß der Pole der Batterie 134. Mittels
der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein
entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt.
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuereinrichtung
in Kommunikationsverbindung und die zweite Kontaktgruppe
102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung.
Über die Pins P3,P5-P19 der Kontaktgruppe 101 laufen Adreß-und
Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste
und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen
und dynamischen Überwachung des Angestecktseins des Sicherheitsmoduls
100 ausgebildet. Über die Pins P23 und P25 der Kontaktgruppe
102 wird die Versorgung des Sicherheitsmodul 100 mit der Systemspannung
der Hauptplatine 9 realisiert und über die Pins P1, P2 bzw. P4
wird eine dynamische und statische Ungestecktsein-Detektion durch das
Sicherheitsmodul 100 realisiert.1 shows a block diagram of the
Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen
Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten
Festwertspeicher (internal ROM) mit dem speziellen Anwendungsprogramm
enthält, was für die Frankiermaschine von der Postbehörde
bzw. vom jeweiligen Postbeförderer zugelassen ist. Alternativ kann an den
modulinternen Datenbus 126 ein üblicher Festwertspeicher ROM oder
FLASH-Speicher angeschlossen werden.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset-Schaltungseinheit
130, einen Anwenderschaltkreis ASIC 150 und eine
Logik PAL 160 auf, die für den ASIC als Steuersignalgenerator dient. Die
Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und
die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher
werden über die Leitungen 191 bzw. 129 mit Systemspannung Us+
versorgt, welche bei eingeschalteter Frankiereinrichtung von der Hauptplatine
9 geliefert wird.
In der EP 789 33 A2 wurden bereits die wesentlichen Teile eines
postalischen Sicherheitsmoduls PSM dargestelllt, welche die Funktionen
Abrechnen und Absichern der Postgebührendaten realisieren.The
In a manner known per se, the
EP 789 33 A2 has already described the essential parts of a postal security module PSM which implement the functions of billing and securing the postage fee data.
Die Systemspannung Us+ liegt außerdem über eine Diode 181 und die
Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 an. Am
Ausgang der Spannungsüberwachungseinheit 12 wird eine zweite Betriebsspannung
Ub+ geliefert, welche über die Leitung 138 zur Verfügung
steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die Systemspannung
Us+, sondern nur die Batteriespannung Ub+ zur Verfügung. Die
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse verbunden.
Von der am positiven Pol liegenden Batteriekontaktklemme 103
wird Batteriespannung über eine Leitung 193, über eine zweite Diode 182
und die Leitung 136 an den Eingang der Spannungsüberwachungseinheit
geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handelsüblicher
Schaltkreis als Spannungsumschalter 180 eingesetzt werden.The system voltage Us + is also present via a
Der Ausgang der Spannungsüberwachungseinheit 12 ist über eine
Leitung 138 mit einem Eingang für diese zweite Betriebsspannung Ub+
des Prozessors 120 verbunden, welcher mindestens auf einen RAM-Speicherbereich
122, 124 führt und dort eine nichtflüchtige Speicherung
solange garantiert, wie die zweite Betriebsspannung Ub+ in der
erforderlichen Höhe anliegt. Der Prozessor 120 enthält vorzugsweise
einen internen RAM 124 und eine Echtzeituhr (RTC) 122.The output of the
Die Spannungsüberwachungseinheit 12 im Sicherheitsmodul 100 weist
eine rücksetzbare Selbsthaltung auf, die vom Prozessor 120 über eine
Leitung 164 abgefragt und über eine Leitung 135 zurückgesetzt werden
kann. Für eine Rücksetzung der Selbsthaltung weist die Spannungsüberwachungseinheit
12 Schaltungsmittel auf, wobei die Rücksetzung erst
auslösbar ist, wenn die Batteriespannung über die vorbestimmte Schwelle
angestiegen ist. Die rücksetzbare Selbsthaltung wird später anhand der
Figur 5 näher erläutert.The
Die Leitungen 135 and 164 sind je mit einem Anschluß (Pin1 und 2) des
Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an den
Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die
Spannungsüberwachungseinheit 12.The
Die Leitung 136 am Eingang der Spannungsüberwchungseinheit 12
versorgt zugleich eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung.
Vom Prozessor 120 wird der Zustand der Detektions-Einheit
13 über die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird
vom Prozessor 120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach
dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu
wird über eine Leitung 192 Massepotential abgefragt, welches am
Anschluß P4 des Interfaces 8 des postalischen Sicherheitsmoduls PSM
100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100
ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird
Massepotential des negativen Pols 104 der Batterie 134 des postalischen
Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8
gelegt und ist somit am Anschluß P4 des Interfaces 8 über die Leitung
192 von der Detektions-Einheit 13 abfragbar.The
An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife,
welche über die Pins P1 und P2 der Kontaktgruppe 102 des Interfaces 8
zum Prozessor 120 zurückgeschleift wird. Zur dynamischen Prüfung des
Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 am
Motherbord 9 werden vom Prozessor 120 wechselnde Signalpegel in
ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über
die Schleife zurückgeschleift.There is a line loop on
Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit
einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungsdaten
per Chipkarte und mit einer Druckeinrichtung 2, welche von einer
Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung
1 weist ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92,
93, 94, 95 ausgestattetes Motherboard 9 auf.FIG. 2 shows a block diagram of a postage meter machine that uses
a chip card read /
Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum
Drucken und wenigstens sicherheitsrelevante Bestandteile des Programms
für eine vorbestimmte Format-Änderung eines Teils der
Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung
von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur
nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von
statistischen Daten, die nach Kostenstellen geordnet sind. Der
Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nichtflüchtige
Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von
Zwischenergebnissen oder auch bekannten Programmteilen (beispielsweise
für den DES-Algorithmus). Es ist vorgesehen, daß die Steuereinrichtung
1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist,
wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu
programmiert ist, die Nutzdaten N aus dem Speicherbereich einer
Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche
der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der
Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49
gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für
mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die
Portogebühren für alle üblichen Postbefördererleistungen entsprechend
des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit
der Frankiermaschine ein Stempelbild zugenerieren und entsprechend
des Tarifs der Postbehörde die Poststücke freizustempeln.The
The
Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis
95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88,
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis
ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM
100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den
parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9
und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen
für die Signale CE, RD und WR zwischen dem Sicherheits-modul PSM
100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist
vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100
abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88,
eine serielle Schnittstelle Sl-1 für den Anschluß der Chipkarten-Schreib/Lese-Einheit
70 und eine serielle Schnittstelle Sl-2 für den
optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann
beispielsweise das im nichtflüchtigen Speicher des postalischen
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.The
Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten
Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen
Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchgeführt.
Die Abrechnung erfolgt unabhängig von Kostenstellen. Das postalische
Sicherheitsmittel PSM 100 kann intern so ausgeführt sein, wie in der
europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde.The postal
Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung
98 zu einem im Poststrom vorschalteten Gerät, eine serielle
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur
Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle
Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom
nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine
Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche
für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel:
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.The ASIC 90 is intended to be a
Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum
Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und
Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und
Dichtvorrichtung.
Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der
Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brieftransport.
Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslösung
beim Brieftransport. Die Transporteinrichtung besteht aus
einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als
Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als
Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe
ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über
die Leitung 19 ein Encodersignal an das Motherboard 9 ab.One of the
Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes
innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind
und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der
gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88
oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94
nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls
weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahldrucke)
und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter
sind solche, welche die geladenen Portogebührentabellen nichtflüchtig
speichern.It is contemplated that the individual print elements of the print head
are connected to printhead electronics within its housing
and that the print head can be controlled for purely electronic printing
is. The pressure control is based on the path control, the
selected stamp offset is taken into account, which is via the
Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen
mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte
in Lese-Position und eindeutige Signalisierung des Erreichens der
Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikroprozessorkarte
mit dem Mikroprozessor 75 besitzt eine einprogrammierte
Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das
Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß
RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud.
Das Einschalten der Stromversorgung erfolgt mittels einem an der Hauptplatine
angeschlossenen Schalter 71. Nach Einschalten der Stromversorgung
erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.The chip card read /
In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70
ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der
Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine
mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach
unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante
stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der
Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit
einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch
eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten
Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.FIG. 3 is a perspective view of the franking machine from FIG
shown at the back. The franking machine consists of a
Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der
positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen
Eingang des Spannungsumschalters 180 und die Systemspannung
führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters
180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P
für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch
durch das PSM 100. Als Spannungsumschalter 180 kann ein
handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden.
Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136
an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an.
Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen
mit den Pins1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164
und 137, 139 in Kommunikationsverbindung. Der Ausgang des
Spannungsumschalters 180 liegt über die Leitung 136 außerdem am
Versorgungseingang eines ersten Speichers SRAM an, der durch die
vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer
ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den
Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über
den Systembus und ein Modem 83 in Kommunikationsverbindung mit
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC
150 vollzogen. Die postalischen Abrechnungsdaten werden in
nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt
Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen
Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese
zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM,
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch
übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den
entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen
internen Adreß- und Datenbus 112, 113 verbunden.FIG. 4 shows a block diagram of the postal
The security module is connected to the franking machine via the
System voltage is present at the supply input of a second memory NV-
Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die
Berechnung der zu speichernden postalischen Daten. In der
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert.
Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an
entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160
erzeugt mindestens ein Steuersignal für das ASIC 150 und ein
Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen
modulinternen Systembus miteinander verbunden, der Leitungen
110,111,126,119 für Daten-, Adreß- und Steuersignale enthält.The
Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der
Prozessor 120 und das ASIC 150 werden bei Absinken der
Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit
130 zurückgesetzt. The
An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen,
welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine
Leiterschleife 18 bilden.Lines are connected to
Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer
Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird
von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt.
Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung
auf der Leitung 136 für die Spannungsüberwachungseinheit 12
und Speicher 116 diejenige seiner Eingangsspannungen weiter, die
größer als die andere ist.The real-
Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit
125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit
125, an welchen modulinterne Signalmittel angeschlossen sind,
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den
Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule
können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So
muß z.B. detektiert werden, ob das Modul gültige kryptografische
Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das
Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der
Modulzustände ist von den realisierten Funktionen im Modul und von der
Implementierung abhängig.The
Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modulinternen
Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150
verbunden. Der FLASH 128 dient als Programmspeicher und wird mit
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher
vom Typ AM29F010-45EC. Der ASIC 150 des
postalischen Sicherheitsmoduls 100 liefert über einen modulinternen
Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge
des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100
liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die
entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des
Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8
mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115
der Hauptplatine 9 in Kommunikationsverbindung. The
Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von
der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren
von beiden zu speisen, kann während des Normalbetriebs die Batterie
134 ohne Datenverlust gewechselt werden.Due to the possibility of the circuit described depending on
the level of voltages Us + and Ub + automatically with the larger
The battery can be fed by both during
Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb
des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM)
124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie
während des Batteriebetriebs unter eine bestimmte Grenze, so wird von
der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für
RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC
und am SRAM liegt dann bei 0V. Das führt dazu, daß der SRAM 124, der
z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird.
Gleichzeitig werden auch die Register der RTC 122 gelöscht und die
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese
Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der
Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß
sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er
Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs
umgeht.The battery of the franking machine feeds outside during idle times
the normal operation in the aforementioned manner with the real-
Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d.h. "scharf" machen.Changes simultaneously with the indication of the undervoltage of the battery the circuit described in a self-holding state, in which it also if the voltage is increased afterwards. At the next Turning on the module, the processor can change the state of the circuit query (status signal) and thus and / or via the evaluation of the Contents of the deleted memory indicate that the Battery voltage has fallen below a certain value in the meantime Has. The processor can reset the monitoring circuit, i.e. "make sharp.
Anhand der Figur 5 wird das Schaltbild der Spannungsüberwachungseinheit
(Batterieobserver) 12 erläutert. Die Schaltung wird durch die
Batteriespannung auf der Leitung 136 versorgt. Im Normalzustand ist ein
Transistor 1252 gesperrt und über den Widerstand 1254 wird die
Batteriespannung auf der Leitung 138 als Betriebsspannung für die
Echtzeituhr RTC 122 bzw. Speicher RAM 124 zur Verfügung gestellt. Die
Leitung 138 ist die Speiseleitung für die RTC 122 und den RAM 124.The circuit diagram of the voltage monitoring unit is shown in FIG
(Battery Observer) 12 explained. The circuit is through the
Battery voltage supplied on
Es ist vorgesehen, daß die Spannungsüberwachungseinheit 12 einen
Spannungsteiler 1242, 1244 zwischen der Leitung 136 und Masse enthält,
der einen Abgriff 1246 aufweist, daß am Abgriff der invertierende Eingang
eines Komparators 1250, eines der Schaltungsmittel 1258 für die
Selbsthaltung und eines der Schaltungsmittel 1260 für eine Rücksetzung
der Selbsthaltung angeschlossen ist. Der Ausgang des Komparators 1250
ist über einen Negator 1252, 1254 einerseits mit der Leitung 138 und
andererseits mit dem anderen Schaltungsmittel 1256 für die
Selbsthaltung verbunden. Letzteres ist eine Diode, welche L-Pegel auf
den Abgriff zurückkoppelt. Der Spannungsteiler besteht aus zwei Widerständen
1242 und 1244 und einem Kondensator 1272, der zwischen
Abgriff und Masse geschaltet ist. Der Abzweig 1246 am Verknüpfungspunkt
der zwei Widerstände 1242 und 1244 ist auf den invertierenden
Eingang eines Komparators 1250 geschaltet. Der nichtinvertierende
Eingang des Komparators 1250 ist an eine Referenzspannungquelle 1248
geschaltet. Der Ausgang des Komparators 1250 ist auf den Steuereingang
eines Transistors 1252 geführt, welcher mit Masse verbunden
und mit einem an der Leitung 136 liegenden Widerstand 1254 verbunden
ist, d.h. als Negator geschaltet ist. Der Ausgang des Negators 1252, 1254
ist mit der Leitung 138 und dem n-Gebiet der Diode 1256 verbunden,
deren p-Gebiet über einen Widerstand 1258 mit dem Abzweig 1246
verbunden ist. Zwischen der Leitung 136 und dem Abzeig 1246 ist parallel
zum Widerstand 1242 ein zweiter Transistor 1260 geschaltet, dessen
Steuereingang mit der Leitung 135 verbunden ist.
Die Batteriespannung auf der Leitung 136 wird von einem
Spannungsteiler, der aus zwei Widerständen 1242 und 1244 und einem
Kondensator 1272 besteht, verringert und von einem Komparator 1250
mit der Referenzspannung der Referenzspannungsquelle 1248
verglichen. Ist die zu vergleichende Spannung auf dem Abzweig 1246
kleiner als die Referenzspannung, so erhält der Transistor 1252 an
seinem Steuereingang H-Pegel und wird durchgeschaltet. Dadurch wird
die Leitung 138 mit Massepotential verbunden und die RTC 122 und der
RAM 124 werden nicht mehr mit der Batteriespannung versorgt. Das führt
dazu, daß die Register der RTC 122 und die Daten im RAM 124 gelöscht
werden und die RTC 122 stehen bleibt. It is provided that the
The battery voltage on
Da die Leitung 138 jetzt mit Masse verbunden ist, wird gleichzeitig über
die Diode 1256 und den Widerstand 1258 die zu vergleichende Spannung
am Abgriff 1246 auf einen Wert nahe 0 V gezogen. Dadurch wechselt
die Überwachungsschaltung 12 in einen Selbsthaltezustand, in dem
sie auch bei Erhöhung der Spannung auf der Leitung 136 bleibt und die
Leitung 138 auf Massepotential läßt. Durch diesen Zustand der Schaltung
12 wird über eine Entkopplungsdiode 1262 ein L-Signal auf die Leitung
164 gelegt, welches vom Prozessor 120 abgefragt werden kann. Die
Entkopplungsdiode 1262 dient der Verringerung des Stromverbrauchs im
Batteriebetrieb. Der Prozessor 120 kann die Überwachungsschaltung 12
zurücksetzen. Dazu wird über die Leitung 135 ein H-Rücksetzsignal auf
den Transistor 1260 gegeben, welcher durchgeschaltet wird, Somit wird
die Spannung am Abzweig 1246 über die Referenzspannung angehoben,
der Komparator 1250 schaltet zurück und der Transistor 1252 wird
gesperrt. Als Komparator 1250 eignet sich der Typ ICL7665SAIBA. Eine
Diode 1268 entkoppelt die Versorgungsspannung für den Komparator
1250 von der Batteriespannung. Ein Elektrolytkondensator 1270 sorgt
dafür, daß der Komparator 1250 über einen relativ langen Zeitraum (> 2 s)
mit der Versorgungsspannung versorgt wird, bei der dessen Funktion
gewährleistet ist, obwohl die Batteriespannung auf der Leitung 136
abgeschaltet wurde. Die Schaltung 12 ist so dimensioniert, daß jegliches
Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte
Schwelle von 2,6 V zum Ansprechen der Schaltung 12 führt.Since the
Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet,
d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106
verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100
außerhalb der Vergußmasse 105 auf einer Leiterplatte 106
auswechselbar angeordnet ist. Beispielsweise ist es so mit einem
Vergußmaterial 105 vergossen, daß Signalmittel 107, 108 aus dem
Vergußmaterial an einer ersten Stelle herausragen und daß die
Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten
Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontaktklemmen
103 und 104 für den Anschluß der Pole der Batterie 134,
vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es
ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls
PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und
102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls
100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht
über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem
Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und
die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls
100 mit der Systemspannung. Wird das Sicherheitsmodul auf die
Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses
dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe
einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist
damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des
Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leuchtdioden
107 und 108 des Signalmittels werden über zwei Ausgangssignale
der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide
Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse untergebracht
(Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmesser
der Öffnung relativ klein bleiben kann und in der Größenordnung des
Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar
(rot, grün, orange), von denen aber nur zwei benutzt werden (rot und
grün). Zur Zustandsunterscheidung werden die LED's auch blinkend benutzt,
so daß verschiedene Zustandsgruppen unterschieden werden können,
die beispielsweise durch folgende LED-Zustände charakterisiert werden:
LED aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün.
In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul
dargestellt. Die Figuren 8a bzw. 8b zeigen eine Ansicht des
Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der
Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den
Figuren 8a und 8b in Verbindung mit Figur 6 deutlich.FIG. 6 shows the mechanical structure of the security module
in side view. The security module is designed as a multi-chip module,
i.e. several functional units are on a printed
Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankiermaschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf das Motherbord eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.According to the invention, the postal device, in particular a franking machine, however, the safety module can also have a different design have, which makes it possible, for example, on the motherboard of a personal computer that can be inserted as a PC franking device controls a commercially available printer.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.The invention is not limited to the present embodiment, since obviously other arrangements or designs of the Invention can be developed or used, the - of the same Basic ideas of the invention starting from the adjacent Claims are included.
Claims (9)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19912780A DE19912780A1 (en) | 1999-03-12 | 1999-03-12 | Arrangement for a security module |
DE19912780 | 1999-03-12 |
Publications (3)
Publication Number | Publication Date |
---|---|
EP1035516A2 true EP1035516A2 (en) | 2000-09-13 |
EP1035516A3 EP1035516A3 (en) | 2000-12-20 |
EP1035516B1 EP1035516B1 (en) | 2008-07-09 |
Family
ID=7901895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP00250055A Expired - Lifetime EP1035516B1 (en) | 1999-03-12 | 2000-02-21 | Arrangement for a security module |
Country Status (5)
Country | Link |
---|---|
US (1) | US6625741B1 (en) |
EP (1) | EP1035516B1 (en) |
CN (1) | CN1148705C (en) |
AU (1) | AU2080800A (en) |
DE (2) | DE19912780A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10116703A1 (en) * | 2001-03-29 | 2002-10-10 | Francotyp Postalia Ag | Method for recording a consumption value and consumption counter with a sensor |
US6512376B2 (en) | 2000-12-11 | 2003-01-28 | Francotyp-Postalia Ag & Co. Kg | Method for determining a requirement to replace a component part and arrangement for the implementation of the method |
DE10136608B4 (en) * | 2001-07-16 | 2005-12-08 | Francotyp-Postalia Ag & Co. Kg | Method and system for real-time recording with security module |
EP1967976A2 (en) | 2007-03-06 | 2008-09-10 | Francotyp-Postalia GmbH | Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19928057B4 (en) | 1999-06-15 | 2005-11-10 | Francotyp-Postalia Ag & Co. Kg | Security module and method for securing the postal registers from manipulation |
DE19928061C2 (en) | 1999-06-15 | 2003-08-28 | Francotyp Postalia Ag | Security module to monitor system security and procedures |
DE19928058B4 (en) | 1999-06-15 | 2005-10-20 | Francotyp Postalia Ag | Arrangement and method for generating a security impression |
FR2819070B1 (en) * | 2000-12-28 | 2003-03-21 | St Microelectronics Sa | PROTECTION METHOD AND DEVICE AGAINST HACKING INTEGRATED CIRCUITS |
JP4247874B2 (en) * | 2002-08-22 | 2009-04-02 | 日本金銭機械株式会社 | Paper sheet identification device |
FR2872947B1 (en) * | 2004-07-08 | 2007-04-20 | Neopost Ind Sa | BUFFER WITH ELECTRONIC AFFRANCHIR |
DE102005038130B4 (en) * | 2005-08-11 | 2012-03-22 | Siemens Ag | Microchip for monitoring an electrical module |
WO2008040076A1 (en) * | 2006-10-05 | 2008-04-10 | Waratek Pty Limited | Contention resolution with echo cancellation |
US8308819B2 (en) * | 2006-12-19 | 2012-11-13 | Pitney Bowes Inc. | Method for detecting the removal of a processing unit from a printed circuit board |
US9541991B2 (en) * | 2012-12-14 | 2017-01-10 | Intel Corporation | Method and apparatus for managing computing system power |
US10008104B2 (en) * | 2014-04-25 | 2018-06-26 | Tyco Safety Products Canada Ltd. | Security system output interface with overload detection and protection |
US10630493B2 (en) * | 2017-11-29 | 2020-04-21 | Birad—Research & Development Company Ltd. | Physical unclonable functions related to inverter trip points |
DE102020110644A1 (en) | 2020-04-20 | 2021-10-21 | Audi Aktiengesellschaft | Device comprising at least one component holder, motor vehicle and method for operating a device comprising at least one component holder |
US11838045B2 (en) * | 2021-09-27 | 2023-12-05 | Saudi Arabian Oil Company | System and method for controlling an antenna system |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4746234A (en) | 1983-07-23 | 1988-05-24 | Francotyp-Postalia Gmbh | Relating to postal franking machines |
EP0660270A2 (en) | 1993-12-21 | 1995-06-28 | Francotyp-Postalia GmbH | Method and device for generating and checking security imprints |
EP0660269A2 (en) | 1993-12-21 | 1995-06-28 | Francotyp-Postalia GmbH | Method for enhancing franking machines security |
US5490077A (en) | 1993-01-20 | 1996-02-06 | Francotyp-Postalia Gmbh | Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account |
US5606508A (en) | 1992-04-16 | 1997-02-25 | Francotyp Postalia Gmbh | Assembly for franking postal matter |
DE19605015C1 (en) | 1996-01-31 | 1997-03-06 | Francotyp Postalia Gmbh | Device for printing on print carrier standing on edge e.g. letter in franking or addressing machine |
EP0789333A2 (en) | 1996-01-31 | 1997-08-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Franking machine |
EP0417447B1 (en) | 1989-09-12 | 1997-10-29 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5880755A (en) * | 1981-11-09 | 1983-05-14 | Sharp Corp | Electronic computer |
US4575621A (en) * | 1984-03-07 | 1986-03-11 | Corpra Research, Inc. | Portable electronic transaction device and system therefor |
JPS6227843A (en) | 1985-07-29 | 1987-02-05 | Sharp Corp | Electronic equipment |
US4903232A (en) * | 1987-06-26 | 1990-02-20 | Connell James A O | Electronic programmable stamping marking device |
US5097253A (en) * | 1989-01-06 | 1992-03-17 | Battelle Memorial Institute | Electronic security device |
EP0494913A4 (en) * | 1989-10-03 | 1993-01-20 | University Of Technology, Sydney | Electro-active cradle circuits for the detection of access or penetration |
JPH0685320B2 (en) * | 1989-10-31 | 1994-10-26 | シャープ株式会社 | Battery storage mechanism for electronic devices |
US5229641A (en) | 1989-11-25 | 1993-07-20 | Hitachi Maxell, Ltd. | Semiconductor card and manufacturing method therefor |
JP2913190B2 (en) * | 1989-11-25 | 1999-06-28 | 日立マクセル株式会社 | Semiconductor card and method of manufacturing the same |
US5515540A (en) * | 1990-08-27 | 1996-05-07 | Dallas Semiconducter Corp. | Microprocessor with single pin for memory wipe |
DE4333156C2 (en) * | 1993-09-29 | 1995-08-31 | Siemens Ag | Circuit arrangement for connecting an electronic assembly to an operating voltage |
GB9514096D0 (en) * | 1995-07-11 | 1995-09-13 | Homewood Clive R | Security device |
CA2271097A1 (en) * | 1996-11-07 | 1998-05-14 | Edward Naclerio | System for protecting cryptographic processing and memory resources for postal franking machines |
US5969504A (en) * | 1998-03-06 | 1999-10-19 | The Johns Hopkins University | Automatic battery power switch |
US6088762A (en) * | 1998-06-19 | 2000-07-11 | Intel Corporation | Power failure mode for a memory controller |
-
1999
- 1999-03-12 DE DE19912780A patent/DE19912780A1/en not_active Withdrawn
-
2000
- 2000-02-21 EP EP00250055A patent/EP1035516B1/en not_active Expired - Lifetime
- 2000-02-21 DE DE50015247T patent/DE50015247D1/en not_active Expired - Lifetime
- 2000-03-10 US US09/522,621 patent/US6625741B1/en not_active Expired - Fee Related
- 2000-03-10 CN CNB001038672A patent/CN1148705C/en not_active Expired - Fee Related
- 2000-03-10 AU AU20808/00A patent/AU2080800A/en not_active Abandoned
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4746234A (en) | 1983-07-23 | 1988-05-24 | Francotyp-Postalia Gmbh | Relating to postal franking machines |
EP0417447B1 (en) | 1989-09-12 | 1997-10-29 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
US5606508A (en) | 1992-04-16 | 1997-02-25 | Francotyp Postalia Gmbh | Assembly for franking postal matter |
US5490077A (en) | 1993-01-20 | 1996-02-06 | Francotyp-Postalia Gmbh | Method for data input into a postage meter machine, arrangement for franking postal matter and for producing an advert mark respectively allocated to a cost allocation account |
EP0660270A2 (en) | 1993-12-21 | 1995-06-28 | Francotyp-Postalia GmbH | Method and device for generating and checking security imprints |
EP0660269A2 (en) | 1993-12-21 | 1995-06-28 | Francotyp-Postalia GmbH | Method for enhancing franking machines security |
DE19605015C1 (en) | 1996-01-31 | 1997-03-06 | Francotyp Postalia Gmbh | Device for printing on print carrier standing on edge e.g. letter in franking or addressing machine |
EP0789333A2 (en) | 1996-01-31 | 1997-08-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Franking machine |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6512376B2 (en) | 2000-12-11 | 2003-01-28 | Francotyp-Postalia Ag & Co. Kg | Method for determining a requirement to replace a component part and arrangement for the implementation of the method |
DE10116703A1 (en) * | 2001-03-29 | 2002-10-10 | Francotyp Postalia Ag | Method for recording a consumption value and consumption counter with a sensor |
DE10136608B4 (en) * | 2001-07-16 | 2005-12-08 | Francotyp-Postalia Ag & Co. Kg | Method and system for real-time recording with security module |
US7222238B2 (en) | 2001-07-16 | 2007-05-22 | Francotyp Postalia Ag & Co, Kg | Method and system for real-time registration of transactions with a security module |
EP1967976A2 (en) | 2007-03-06 | 2008-09-10 | Francotyp-Postalia GmbH | Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine |
DE102007011309A1 (en) | 2007-03-06 | 2008-09-11 | Francotyp-Postalia Gmbh | Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine |
Also Published As
Publication number | Publication date |
---|---|
US6625741B1 (en) | 2003-09-23 |
CN1267040A (en) | 2000-09-20 |
CN1148705C (en) | 2004-05-05 |
DE19912780A1 (en) | 2000-09-14 |
EP1035516A3 (en) | 2000-12-20 |
AU2080800A (en) | 2000-09-14 |
DE50015247D1 (en) | 2008-08-21 |
EP1035516B1 (en) | 2008-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1035516B1 (en) | Arrangement for a security module | |
EP1035517B1 (en) | Method for the protection of a security module and arrangement for implementing said method | |
EP0969422B1 (en) | Method for improving the security of franking machines | |
EP0762337A2 (en) | Method and device for enhancing manipulation-proof of critical data | |
EP1035518B1 (en) | Arrangement for the protection of a security module | |
DE3729342A1 (en) | SECURITY PRINTER FOR A VALUE PRINTING SYSTEM | |
EP1103924B1 (en) | Method for protecting a device against operating with unauthorised articles of consumption and apparatus for carrying out the method | |
EP0911767B1 (en) | Method for data entry in a franking machine and apparatus for for franking mail | |
EP0866427B1 (en) | Mail processing system with a machine base system controlled by a personal computer | |
DE19928057B4 (en) | Security module and method for securing the postal registers from manipulation | |
DE19757653C2 (en) | Method and postal device with a chip card read / write unit for reloading change data by chip card | |
EP1035513B1 (en) | Security module with status signalization | |
EP0762338A2 (en) | Method for securing data and progam code of an electronic franking machine | |
EP0927969A2 (en) | Franking machine with chipcard read/write unit | |
EP1103923A2 (en) | Method for the automatic ordering of articles of consumption and apparatus for carrying out the method | |
DE19928058A1 (en) | Arrangement and method for generating a security imprint | |
DE19928061C2 (en) | Security module to monitor system security and procedures | |
DE19534529C2 (en) | Process for increasing the security against manipulation of critical data | |
EP1213817A2 (en) | Method for the determination of a need to exchange a component and device for carrying out the method | |
DE19534527C2 (en) | Process for increasing the security against manipulation of critical data | |
EP1037169A2 (en) | Method and device for inputting an indicia to a franking machine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): CH DE FR GB IT LI |
|
AX | Request for extension of the european patent |
Free format text: AL;LT;LV;MK;RO;SI |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE |
|
AX | Request for extension of the european patent |
Free format text: AL;LT;LV;MK;RO;SI |
|
RIC1 | Information provided on ipc code assigned before grant |
Free format text: 7G 07B 17/00 A, 7G 07B 17/04 B |
|
17P | Request for examination filed |
Effective date: 20010417 |
|
AKX | Designation fees paid |
Free format text: CH DE FR GB IT LI |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA AG & CO. KG |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA GMBH |
|
17Q | First examination report despatched |
Effective date: 20061012 |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
GRAS | Grant fee paid |
Free format text: ORIGINAL CODE: EPIDOSNIGR3 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): CH DE FR GB IT LI |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: FG4D Free format text: NOT ENGLISH |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: EP |
|
REF | Corresponds to: |
Ref document number: 50015247 Country of ref document: DE Date of ref document: 20080821 Kind code of ref document: P |
|
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
26N | No opposition filed |
Effective date: 20090414 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: CH Payment date: 20110222 Year of fee payment: 12 Ref country code: FR Payment date: 20110302 Year of fee payment: 12 Ref country code: DE Payment date: 20101214 Year of fee payment: 12 Ref country code: IT Payment date: 20110221 Year of fee payment: 12 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: GB Payment date: 20110217 Year of fee payment: 12 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PL |
|
GBPC | Gb: european patent ceased through non-payment of renewal fee |
Effective date: 20120221 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: LI Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 Ref country code: CH Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 |
|
REG | Reference to a national code |
Ref country code: FR Ref legal event code: ST Effective date: 20121031 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: IT Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120221 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R119 Ref document number: 50015247 Country of ref document: DE Effective date: 20120901 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: FR Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 Ref country code: GB Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120221 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DE Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120901 |