EP1035516A2

EP1035516A2 - Arrangement for a security module

Info

Publication number: EP1035516A2
Application number: EP00250055A
Authority: EP
Inventors: Peter Post; Dirk Rosenau; Torsten Schlaaff
Original assignee: Francotyp Postalia GmbH
Current assignee: Francotyp Postalia GmbH
Priority date: 1999-03-12
Filing date: 2000-02-21
Publication date: 2000-09-13
Anticipated expiration: 2020-02-21
Also published as: US6625741B1; CN1267040A; CN1148705C; DE19912780A1; EP1035516A3; AU2080800A; DE50015247D1; EP1035516B1

Abstract

The module has a microprocessor (120) and a battery (134). A power supply includes a voltage switch (180) connected to a voltage monitoring unit (12) that outputs an operating voltage to a memory (122,124). The battery is exchangeable. The voltage monitoring unit includes resettable self-maintaining circuitry. The self-maintenance is triggered if the battery voltage falls below a threshold.

Description

Die Erfindung betrifft eine Anordnung für ein Sicherheitsmodul, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.The invention relates to an arrangement for a security module, according to the specified in the preamble of claim 1. Such postal security module is especially for use in a Franking machine or mail processing machine or computer with Mail processing function suitable.

Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale Druckvorrichtung ein. Damit ist es prinzipiell möglich, beliebige Texte und Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikroprozessor, welcher von einem gesicherten Gehäuse umgeben ist, das eine Öffnung für die Zuführung eines Briefes aufweist. Bei einer Briefzuführung übermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck beinhaltet eine zuvor eingegebene und gespeicherte postalische Information zur Beförderung des Briefes. Die Steuereinheit der Frankiermaschine nimmt eine Abrechnung softwaremäßig vor, übt eine Überwachungsfunktion ggf. bezüglich der Bedingungen für eine Datenaktualisierung aus und steuert das Nachladen eines Portwertguthabens.Modern franking machines, such as that known from US 4,746,234 Thermal transfer franking machine, set a fully electronic digital Printing device. In principle, it is possible to use any text and Special characters in the franking stamp printing area and any or print an advertising slogan assigned to a cost center. So had for example the applicant's franking machine T1000, a microprocessor, which is surrounded by a secured housing that has an opening for feeding a letter. With a letter feed transmits a mechanical letter sensor (microswitch) Pressure request signal to the microprocessor. The franking imprint contains previously entered and stored postal information to carry the letter. The control unit of the franking machine performs software billing, exercises a monitoring function possibly with regard to the conditions for a data update and controls the reloading of a port credit.

Für die oben genannte Thermotransfer-Frankiermaschine wurde bereits in US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Dateneingabemöglichkeit mittels Chipkarten vorgeschlagen. Eine der Chipkarten lädt neue Daten in die Frankiermaschine und ein Satz an weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine kann damit bequemer und schneller als per Tastatureingabe erfolgen. Eine Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, mit mindestens einem nichtflüchtigen Speicher zum Speichern von Postgebührendaten, mit mindestens einem nichtflüchtigen Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer Kalender/Uhr ausgestattet. Der nichtflüchtige Speicher der sicherheitsrelevanten Daten und/oder die Kalender/Uhr wird gewöhnlich von einer Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheitsrelevante Daten (kryptografische Schlüssel u.ä.) in nichtflüchtigen Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder batteriegesicherte SRAM. Bekannte Frankiermaschinen verfügen oft auch über eine interne Echtzeituhr (Real Time Clock) RTC, die von einer Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module müssen nach Ablauf der Lebensdauer der Batterie im Ganzen ausgetauscht und entsorgt werden. Aus wirtschaftlichen und ökologischen Gesichtspunkten ist es günstiger, wenn nur die Batterie ausgetauscht werden muß. Dazu muß jedoch das Sicherheitsgehäuse geöffnet und anschließend wieder verschlossen und gesiegelt werden, denn die Sicherheit gegenüber Betrugsversuchen beruht im Wesentlichen auf dem gesicherten Gehäuse, welches die gesamte Maschine umschließt. For the thermal transfer franking machine mentioned above, was already in US 5,606,508 (DE 42 13 278 B1) and in US 5,490,077 a data input option proposed by means of chip cards. One of the Chip cards load new data into the franking machine and a set additional chip cards are permitted by inserting a chip card Make settings according to stored data. The Data loading and the setting of the franking machine can be done with it more convenient and faster than using the keyboard. A Franking machine for franking mail, is with a printer for Printing the postage stamp on the mail, with a control for Control the printing and peripheral components of the Franking machine, with a billing unit for billing Postage, with at least one non-volatile memory for Storage of postage data, with at least one non-volatile Memory for storing safety-relevant data and with one Calendar / clock equipped. The non-volatile memory of the safety-relevant Dates and / or the calendar / clock is usually from one Battery powered. Known franking machines are security-relevant Data (cryptographic keys, etc.) in non-volatile Save saved. These memories are EEPROM, or FRAM battery-backed SRAM. Known franking machines often also have via an internal real time clock (RTC), which is controlled by a Battery is powered. For example, potted modules that Integrated circuits and a lithium battery included. These modules after the end of the battery life as a whole exchanged and disposed of. From economic and ecological From a point of view, it is cheaper if only the battery is replaced must become. To do this, however, the safety housing must be opened and then be closed and sealed again because the Security against attempted fraud is essentially based on the secured housing that encloses the entire machine.

Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits ein geeignetes Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen, in welchem zwischen einem authorisierten und unauthorisierten Öffnen des Sicherheitsgehäuses unterschieden wird.The applicant has already published EP 660 269 A2 (US 5,671,146) an appropriate method to improve the security of Franking machines proposed, in which between one authorized and unauthorized opening of the security housing is distinguished.

Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann vor Ort nur schwer möglich, wenn der Zugang zu den Bauteilen erschwert oder eingeschränkt ist. Bei größeren Postverarbeitungsmaschinen oder sogenannten PC-Frankierern wird zukünftig das gesicherte Gehäuse auf das sogenannte postalische Sicherheitsmodul reduziert werden, was die Zugänglichkeit zu den übrigen Bauteile verbessern kann. Zum wirtschaftlichen Austauschen der Batterie des Sicherheitsmoduls wäre es außerdem wünschenswert, daß sich diese auf relativ einfachem Wege auswechseln läßt. Dann würde sich die Batterie aber außerhalb des Sicherheitsbereichs der Frankiermaschine befinden. Wenn die Batterieklemmen aber von außen zugänglich gemacht werden, ist ein möglicher Angreifer in der Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste SRAM's und RTC's haben bzgl. ihrer geforderten Betriebsspannung unterschiedliche Anforderungen. Die notwendige Spannung zum Halten von Daten von SRAM's liegt unterhalb der geforderten Spannung zum Betrieb von RTC's. Daß bedeutet, daß ein Verringern der Spannung unter einen bestimmten Grenzwert zu einem unerwünschten Verhalten der Komponenten führt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM-Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens eine der Sicherheitsmaßnahmen, beispielsweise Long Time Watchdogs, wären dann auf der Frankiermaschinenseite unwirksam. Unter Long Time Watchdogs wird folgendes verstanden: Die entfernte Datenzentrale gibt einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankiereinrichtung per Kommunikationsverbindung melden soll. Nach Erschöpfung des Zeitkredits oder Fristablauf wird das Frankieren verhindert. Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Überprüfung eines Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 (US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeitdauer bis zur nächsten Guthabennachladung zu ermitteln, wobei seitens einer Datenzentrale diejenige Frankiermaschine als suspekt gilt, welche sich nicht fristgemäß meldet. Suspekte Frankiermaschinen werden der Postbehörde mitgeteilt, welche den Poststrom nach von suspekten Frankiermaschinen frankierten Briefen überwacht. Ein Ablauf des Zeitkredits oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt und der Benutzer wird aufgefordert die überfällige Kommunikation durchzuführen.A postage meter repair that may be necessary is then difficult on site if access to the components is difficult or is restricted. For larger mail processing machines or So-called PC frankers, the secured housing will be opened in the future the so-called postal security module can be reduced, which the Accessibility to the other components can improve. For economic It would also be replacing the battery of the security module desirable that they exchange in a relatively simple way leaves. Then the battery would be outside the security area the franking machine. If the battery terminals but being made accessible from the outside is a potential attacker in able to manipulate the battery voltage. Known battery powered SRAM's and RTC's have their required operating voltage different requirements. The necessary tension to hold data from SRAM's is below the required Voltage for the operation of RTC's. That means reducing the Voltage below a certain limit to an undesirable Behavior of the components leads: The RTC stops, the time - stored in SRAM cells - and the memory contents of the SRAM remain receive. At least one of the security measures, for example Long Time Watchdogs would be on the franking machine side ineffective. Long time watchdogs mean the following: The remote data center gives a time credit or a period of time, especially a number of days, or a specific day before, until to which the franking device communicates should report. After the time credit has been exhausted or the deadline has expired Franking prevented. Under the title: Procedure and arrangement for Generation and verification of a security imprint has already been done in EP 660 270 A2 (US 5,680,463) proposed a method that Estimated time until the next credit reload determine, on the part of a data center that franking machine A suspect is one that does not report on time. Suspicious franking machines will be communicated to the postal authority, which is responsible for the postal flow monitored for letters franked by suspect franking machines. An expiry of the time credit or the deadline is also already by the Franking device determined and the user is prompted carry out overdue communication.

Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel im Gehäuse umfaßt. Das Abschirmmittel besteht aus Einkapselungsmaterial und Leitungsmitteln, an welchen die Stromversorgungs- und Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine Veränderung des Leitungswiderstandes des Leitungsmittels. Außerdem enthält das Sicherheitsmodul eine interne Batterie, einen Spannungsumschalter von Systemspannung auf Batteriespannung und weitere Funktionseinheiten (wie Power Gate, Kurzschlußtransistor, Speicher und Sensoren). Wenn die Spannung eine bestimmte Grenze unterschreitet, reagiert das Power Gate. Wenn der Leitungswiderstand, die Temperatur oder die Strahlung verändert ist, reagiert die Logik. Mittels des Power Gate oder mittels der Logik wird der Ausgang des Kurzschlußtransistor auf L-Pegel umgeschaltet, wodurch ein im Speicher gespeicherter kryptographischer Schlüssel gelöscht wird. Jedoch ist die Lebensdauer der nicht auswechselbaren Batterie und damit des Sicherheitsmoduls für den Einsatz in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein.Security modules are from electronic data processing systems already known here. To protect against intrusion into an electronic In EP 417 447 B1, a lock is already proposed, which Power supply and signal detection means and shielding means includes in the housing. The shielding agent consists of encapsulation material and line means to which the power supply and signal detection means are connected. The latter reacts to a change the line resistance of the line means. Also contains the safety module an internal battery, a voltage switch from system voltage to battery voltage and other functional units (like power gate, short circuit transistor, memory and sensors). When the voltage drops below a certain limit, it reacts the power gate. If the line resistance, temperature or the radiation is changed, the logic reacts. Using the power gate or by means of the logic, the output of the short-circuit transistor becomes L level switched, whereby a cryptographic stored in memory Key is deleted. However, the lifespan is non-interchangeable Battery and thus the safety module for use in Franking equipment or mail processing machines too small.

Eine größere Postverarbeitungsmaschine ist beispielsweise die JetMail®. Ein Frankierdruck wird hier mittels einem stationär angeordneten Tintenstrahldruckkopf bei einem nichtwaagerechten annähernd vertikalen Brieftransport erzeugt. Eine geeignete Ausführung für eine Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soll das Meter mit einem Gehäuse ausgestattet werden, so daß Bauteile leichter zugänglich sind, dann muß es durch ein postalisches Sicherheitsmodul vor Betrugsversuchen geschützt werden, welches mindestens das Abrechnen der Postgebühren durchführt. Um Einflüsse auf den Programmverlauf auszuschließen, wurde bereits in der EP 789 333 A2 vorgeschlagen, ein Sicherheitsmodul mit einer Anwenderschaltung (ASIC) auszustatten, die eine Hardware-Abrecheneinheit aufweist. Die Anwenderschaltung (ASIC) steuert außerdem die Druckdatenübertragung zum Druckkopf. A larger mail processing machine is, for example, the JetMail®. A franking imprint is made here by means of a stationary ink jet print head in the case of a non-horizontal approximately vertical letter transport generated. A suitable design for a printing device was already proposed in DE 196 05 015 C1. The mail processing machine has a meter and a base. Should the meter with be equipped with a housing so that components are more easily accessible then it must go through a postal security module before attempting fraud are protected, which is at least the accounting of the Carries out postage. To rule out influences on the course of the program, was already proposed in EP 789 333 A2, a security module to be equipped with a user circuit (ASIC) that a Hardware accounting unit has. The user circuit (ASIC) also controls the print data transfer to the print head.

Letzteres wäre nur dann nicht erforderlich, wenn für jedes Poststück einzigartige Abdrucke erzeugt werden. Ein Verfahren und Anordnung zur schnellen Erzeugung eines Sicherheitsabdruckes ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkierung elektronisch generiert und in das Druckbild eingebettet.The latter would not be necessary only if for each item of mail unique prints are created. A method and arrangement for Rapid generation of a security imprint is, for example, in the US 5,680,463, US 5,712,916 and US 5,734,723 have been proposed. A special security marking is generated electronically and embedded in the printed image.

Weitere Maßnahmen zum Schutz eines Sicherheitsmodul vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht vorveröffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der Stromverbrauch und ein nicht ständig von einer Systemspannung versorgter Sicherheitsmodul zieht dann den für die Sensoren benötigten Strom aus seiner internen Batterie, was letztere ebenfalls frühzeitig erschöpft. Die Kapazität der Batterie und der Stromverbrauch beschränken somit die Lebensdauer eines Sicherheitsmoduls. Würden aber die Batterieanschlußklemmen von außen zugänglich gemacht werden, um die Lebensdauer der Batterie zu erhöhen, bestünde eine Angriffsmöglichskeit auf die Sicherheit der postalischen Daten durch einen Betrüger.Further measures to protect a security module from Attack on the data stored in it were also not in the Pre-published German applications 198 16 572.2 and 198 16 571.4 proposed. With a large number of sensors, the Power consumption and one not constantly from a system voltage The supplied security module then pulls the one required for the sensors Power from its internal battery, which also depletes the latter at an early stage. Limit battery capacity and power consumption thus the lifespan of a security module. But they would Battery terminals are accessible from the outside to the Increasing the life of the battery would be an opportunity to attack on the security of postal data by a fraudster.

Das nicht durch eine Systemspannung versorgte Sicherheitsmodul könnte dann über die von außen zugänglichen Batteriekontakte manipuliert werden, indem die Spannung unter die für den Prozessor spezifizierte Grenzspannung verringert wird. Wenn der Prozessor mit einem internen Uhren-RAM (RTC) ausgestattet ist, bleibt die Uhr zuerst stehen. Bei Erhöhung der Spannung würde die interne Uhr (RTC) wieder weiterlaufen. Beim Anlegen einer Impulsspannung mit Impulsweiten-modulation muß sichergestellt sein, daß die Batteriespannung nicht unter die spezifizierte Grenze sinken kann, oberhalb derer die Speicherinhalte erhalten bleiben sollen. Bei einer unter die Grenze herunter gehenden Spannungsverringerung muß dieser Zustand nachweisbar solange aufrechterhalten werden bis ein anderer zulässiger Zustand gültig ist. Grundsätzlich ist eine Abschätzung des Angreiferpotentials bzw. der Angreiferklassen erforderlich, um mit geeigneten, vom Aufwand her angemessenen, Maßnahmen den erwünschten Sicherheitslevel zu erreichen. Dabei gilt das Motto: "So viel wie nötig, so wenig wie möglich". Mit einer geeigneten Schaltung muß also die Manipilationsmöglichkeit mindestens eingeschränkt werden. The safety module not supplied by a system voltage could then manipulated via the externally accessible battery contacts by lowering the voltage below that specified for the processor Limit voltage is reduced. If the processor with an internal Clock RAM (RTC) is equipped, the clock stops first. At Increasing the voltage would keep the internal clock (RTC) running again. When applying a pulse voltage with pulse width modulation be sure that the battery voltage is not below the specified Limit may drop above which the memory contents are retained should. With one going below the border This condition must be demonstrably reduced as long as be maintained until another permissible state is valid. Basically, an estimate of the attacker potential or Attacker classes required to use appropriate, costly appropriate measures to achieve the desired security level to reach. The motto is: "As much as necessary, as little as possible". The manipulation must be possible with a suitable circuit at least be restricted.

Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit vor einer unbefugten Manipulation eines Sicherheitsmoduls zu gewährleisten, wenn die Batterie austauschbar angeordnet ist.The invention has for its object the security of a to ensure unauthorized manipulation of a security module if the battery is arranged interchangeably.

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 gelöst.The object is achieved with the features of claim 1.

Ein postalisches Gerät, insbesondere eine Frankiermaschine, wird mit einem steckbaren Sicherheitsmodul ausgestattet, welches mit dem Systembus des Meters bzw. einer anderen geeigneten Steuereinrichtung verbunden ist. Bei einem gestecktem Sicherheitsmodul, welches zum Servicezeitpunkt von einer Systemspannung versorgt wird, kann die Batterie des Sicherheitsmoduls von einem Servicetechniker ausgewechselt werden. Das Sicherheitsmodul ist mit einer harten Masse vergossen. Für einen Batteriewechsel bzw. Entsorgung ist die Batterie jedoch außerhalb der Vergußmasse angeordnet.A postal device, in particular a franking machine, is included a pluggable security module, which is equipped with the System bus of the meter or another suitable control device connected is. With a plugged-in security module, which for Service time is supplied by a system voltage, the Safety module battery replaced by a service technician become. The safety module is cast with a hard mass. However, the battery is for a battery change or disposal arranged outside the sealing compound.

Erfindungsgemäß weist das Sicherheitsmodul eine Spannungsüberwachungseinheit mit rücksetzbarer Selbsthaltung auf, die vom Prozessor abgefragt und zurückgesetzt werden kann. Die Überwachung der Spannung einer Batterie, die für die batteriegestützten RAM-Speicher und zur Funktion einer internen Uhr erforderlich ist, hat das Ziel, beim Unterschreiten eines bestimmten Spannungspegels Aktionen auszulösen, die zum Löschen von sicherheitsrelevanten Daten und der aktuellen Uhrzeit führen. Die Selbsthaltung gestattet den Zustand der Spannungsunterschreitung solange zu konservieren, bis ein sicherer Nachweis möglich ist. Letzteres ist erst nachträglich der Fall, wenn das Modul wieder mit Systemspannung versorgt wird. Ein Inspektor oder eine andere authorisierte Person, die geeignete Eingaben an der Tastatur der Frankiereinrichtung ausführt, kann den ursprünglichen Zustand wiederherstellen.According to the invention, the security module has a voltage monitoring unit with resettable latching on by the processor can be queried and reset. Monitoring the voltage a battery that is used for battery-backed RAM and Function of an internal clock is required, the goal is when falling below a certain voltage level to trigger actions that for deleting security-relevant data and the current time to lead. The self-holding allows the state to fall below the voltage to preserve until reliable proof is possible. The latter is only the case after the module has been used again System voltage is supplied. An inspector or other authorized Person making appropriate entries on the keyboard of the franking device executes, can restore the original state.

Die Vorteile neben der Verlängerung der Lebensdauer des Sicherheitsmoduls durch die Möglichkeit des Batteriewechsels, liegen in einem geringen Stromverbrauch der Schaltung trotz einer schnellen Reaktion auf Spannungsänderungen und einer Verhinderung einer Mittelwert-bildung bei einer Manipulation mit Rechteckimpulsen an den Batterieanschlüssen.The advantages in addition to extending the lifespan of the safety module due to the possibility of changing the battery, lie in one low power consumption of the circuit despite a quick response to Changes in voltage and the prevention of averaging in the event of manipulation with rectangular pulses at the battery connections.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:

Figur 1, Blockbild und Interface des Sicherheitsmoduls,

Figur 2, Blockschaltbild der Frankiermaschine,

Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten,

Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante),

Figur 5, Schaltbild der Spannungsüberwachungseinheit,

Figur 6, Seitenansicht des Sicherheitsmoduls,

Figur 7, Draufsicht auf das Sicherheitsmodul,

Figur 8a, Ansicht des Sicherheitsmoduls von rechts,

Figur 8b, Ansicht des Sicherheitsmoduls von links.

Advantageous developments of the invention are characterized in the subclaims or are shown in more detail below together with the description of the preferred embodiment of the invention with reference to the figures. Show it:

FIG. 1, block diagram and interface of the security module,

FIG. 2, block diagram of the franking machine,

FIG. 3, perspective view of the franking machine from behind,

FIG. 4, block diagram of the security module (second variant),

FIG. 5, circuit diagram of the voltage monitoring unit,

FIG. 6, side view of the security module,

FIG. 7, top view of the security module,

FIG. 8a, view of the security module from the right,

Figure 8b, view of the security module from the left.

In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den Kontaktgruppen 101, 102 zum Anschluß an ein Interface 8 sowie mit den Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces für eine Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer harten Vergußmasse vergossen ist, ist die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse auf einer Leiterplatte auswechselbar angeordnet. Die Leiterplatte trägt die Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134. Mittels der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt. Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuereinrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Über die Pins P3,P5-P19 der Kontaktgruppe 101 laufen Adreß-und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen und dynamischen Überwachung des Angestecktseins des Sicherheitsmoduls 100 ausgebildet. Über die Pins P23 und P25 der Kontaktgruppe 102 wird die Versorgung des Sicherheitsmodul 100 mit der Systemspannung der Hauptplatine 9 realisiert und über die Pins P1, P2 bzw. P4 wird eine dynamische und statische Ungestecktsein-Detektion durch das Sicherheitsmodul 100 realisiert.1 shows a block diagram of the security module 100 with the Contact groups 101, 102 for connection to an interface 8 and with the Battery contact terminals 103 and 104 of a battery interface for one Battery 134 shown. Although the security module 100 has a hard potting compound is shed, the battery is 134 of the Security module 100 outside the sealing compound on a circuit board arranged interchangeably. The circuit board carries the battery contact terminals 103 and 104 for the connection of the poles of the battery 134. By means of of the contact groups 101, 102, the security module 100 is turned on corresponding interface 8 of the main board (motherboard) 9 inserted. The first contact group 101 is connected to the system bus of a control device in communication link and the second contact group 102 serves to supply the security module 100 with the system voltage. Address and run via the pins P3, P5-P19 of the contact group 101 Data lines 117, 118 and control lines 115. The first and / or second contact group 101 and / or 102 are for static and dynamic monitoring of the connection of the security module 100 trained. Via pins P23 and P25 of the contact group 102 is the supply of the security module 100 with the system voltage the main board 9 realized and via the pins P1, P2 and P4 a dynamic and static unplugged detection by the Security module 100 implemented.

Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten Festwertspeicher (internal ROM) mit dem speziellen Anwendungsprogramm enthält, was für die Frankiermaschine von der Postbehörde bzw. vom jeweiligen Postbeförderer zugelassen ist. Alternativ kann an den modulinternen Datenbus 126 ein üblicher Festwertspeicher ROM oder FLASH-Speicher angeschlossen werden.
Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset-Schaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine Logik PAL 160 auf, die für den ASIC als Steuersignalgenerator dient. Die Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher werden über die Leitungen 191 bzw. 129 mit Systemspannung Us+ versorgt, welche bei eingeschalteter Frankiereinrichtung von der Hauptplatine 9 geliefert wird.
In der EP 789 33 A2 wurden bereits die wesentlichen Teile eines postalischen Sicherheitsmoduls PSM dargestelllt, welche die Funktionen Abrechnen und Absichern der Postgebührendaten realisieren.The security module 100 has, in a manner known per se, a microprocessor 120 which contains an integrated read-only memory (internal ROM) (not shown) with the special application program, which is approved for the franking machine by the postal authority or by the respective mail carrier. Alternatively, a conventional read-only memory ROM or FLASH memory can be connected to the module-internal data bus 126.
In a manner known per se, the security module 100 has a reset circuit unit 130, a user circuit ASIC 150 and a logic PAL 160 which serves as a control signal generator for the ASIC. The reset circuit unit 130 or the user circuit ASIC 150 and the logic PAL 160 and possibly further memories (not shown) are supplied with system voltage Us + via the lines 191 and 129, which is supplied by the main board 9 when the franking device is switched on.
EP 789 33 A2 has already described the essential parts of a postal security module PSM which implement the functions of billing and securing the postage fee data.

Die Systemspannung Us+ liegt außerdem über eine Diode 181 und die Leitung 136 am Eingang der Spannungsüberwachungseinheit 12 an. Am Ausgang der Spannungsüberwachungseinheit 12 wird eine zweite Betriebsspannung U_b+ geliefert, welche über die Leitung 138 zur Verfügung steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die Systemspannung Us+, sondern nur die Batteriespannung Ub+ zur Verfügung. Die am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse verbunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103 wird Batteriespannung über eine Leitung 193, über eine zweite Diode 182 und die Leitung 136 an den Eingang der Spannungsüberwachungseinheit geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handelsüblicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden.The system voltage Us + is also present via a diode 181 and the line 136 at the input of the voltage monitoring unit 12. A second operating voltage U _{b + is} supplied at the output of the voltage monitoring unit 12 and is available via the line 138. When the franking device is switched off, the system voltage Us + is not available, but only the battery voltage Ub +. The battery contact terminal 104 located at the negative pole is connected to ground. From the battery contact terminal 103 located at the positive pole, battery voltage is supplied via a line 193, via a second diode 182 and line 136 to the input of the voltage monitoring unit. As an alternative to the two diodes 181, 182, a commercially available circuit can be used as the voltage switch 180.

Der Ausgang der Spannungsüberwachungseinheit 12 ist über eine Leitung 138 mit einem Eingang für diese zweite Betriebsspannung U_b+ des Prozessors 120 verbunden, welcher mindestens auf einen RAM-Speicherbereich 122, 124 führt und dort eine nichtflüchtige Speicherung solange garantiert, wie die zweite Betriebsspannung U_b+ in der erforderlichen Höhe anliegt. Der Prozessor 120 enthält vorzugsweise einen internen RAM 124 und eine Echtzeituhr (RTC) 122.The output of the voltage monitoring unit 12 is connected via a line 138 to an input for this second operating voltage U _{b + of} the processor 120, which leads to at least one RAM memory area 122, 124 and guarantees non-volatile storage there for as long as the second operating voltage U _{b +} in the required amount. Processor 120 preferably includes internal RAM 124 and real time clock (RTC) 122.

Die Spannungsüberwachungseinheit 12 im Sicherheitsmodul 100 weist eine rücksetzbare Selbsthaltung auf, die vom Prozessor 120 über eine Leitung 164 abgefragt und über eine Leitung 135 zurückgesetzt werden kann. Für eine Rücksetzung der Selbsthaltung weist die Spannungsüberwachungseinheit 12 Schaltungsmittel auf, wobei die Rücksetzung erst auslösbar ist, wenn die Batteriespannung über die vorbestimmte Schwelle angestiegen ist. Die rücksetzbare Selbsthaltung wird später anhand der Figur 5 näher erläutert.The voltage monitoring unit 12 in the security module 100 has a resettable self-hold on, which the processor 120 via a Line 164 queried and reset via a line 135 can. The voltage monitoring unit indicates a reset of the self-holding 12 switching means, with the reset only can be triggered when the battery voltage exceeds the predetermined threshold has risen. The resettable self-retention is later based on the Figure 5 explained in more detail.

Die Leitungen 135 and 164 sind je mit einem Anschluß (Pin1 und 2) des Prozessors 120 verbunden. Die Leitung 164 liefert ein Statussignal an den Prozessor 120 und die Leitung 135 liefert ein Steuersignal an die Spannungsüberwachungseinheit 12.The lines 135 and 164 are each with a connection (Pin1 and 2) of the Processor 120 connected. Line 164 provides a status signal to the Processor 120 and line 135 provide a control signal to the Voltage monitoring unit 12.

Die Leitung 136 am Eingang der Spannungsüberwchungseinheit 12 versorgt zugleich eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung. Vom Prozessor 120 wird der Zustand der Detektions-Einheit 13 über die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor 120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des Interfaces 8 des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am Anschluß P4 des Interfaces 8 über die Leitung 192 von der Detektions-Einheit 13 abfragbar.The line 136 at the input of the voltage monitoring unit 12 also supplies a detection unit 13 with operating or battery voltage. The state of the detection unit is determined by processor 120 13 polled via line 139 or the detection unit 13 is triggered or set by processor 120 via line 137. To After setting, a static check for connection is carried out. To is queried via a line 192 ground potential, which on Connection P4 of the interface 8 of the postal security module PSM 100 is present and can only be queried if the security module 100 is properly inserted. When the safety module 100 is inserted Ground potential of the negative pole 104 of the battery 134 of the postal Safety module PSM 100 on connection P23 of interface 8 placed and is thus at connection P4 of interface 8 via the line 192 can be queried by the detection unit 13.

An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, welche über die Pins P1 und P2 der Kontaktgruppe 102 des Interfaces 8 zum Prozessor 120 zurückgeschleift wird. Zur dynamischen Prüfung des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 am Motherbord 9 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.There is a line loop on pins 6 and 7 of processor 120, which are connected via pins P1 and P2 of contact group 102 of interface 8 is looped back to processor 120. For dynamic testing of the Connected to the PSM 100 postal security module on Motherboard 9 are changed by processor 120 in changing signal levels very irregular intervals on pins 6, 7 and over looped back the loop.

Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Änderungsdaten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit zugehörigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf.FIG. 2 shows a block diagram of a postage meter machine that uses a chip card read / write unit 70 for reloading change data by chip card and with a printing device 2, which by a Control device 1 is controlled, is equipped. The control device 1 has a memory 92 with a microprocessor 91, 93, 94, 95 equipped motherboard 9.

Der Programmspeicher 92 enthält ein Betriebsprogramm mindestens zum Drucken und wenigstens sicherheitsrelevante Bestandteile des Programms für eine vorbestimmte Format-Änderung eines Teils der Nutzdaten.
Der Arbeitsspeicher RAM 93 dient zur flüchtigen Zwischenspeicherung von Zwischenergebnissen. Der nichtflüchtige Speicher NVM 94 dient zur nichtflüchtigen Zwischenspeicherung von Daten, beispielsweise von statistischen Daten, die nach Kostenstellen geordnet sind. Der Kalender/Uhrenbaustein 95 enthält ebenfalls adressierbare aber nichtflüchtige Speicherbereiche zur nichtflüchtigen Zwischenspeicherung von Zwischenergebnissen oder auch bekannten Programmteilen (beispielsweise für den DES-Algorithmus). Es ist vorgesehen, daß die Steuereinrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines Datensatzes in die Frankiermaschine für mindestens eine Anwendung. Die Chipkarte 49 enthält beispielsweise die Portogebühren für alle üblichen Postbefördererleistungen entsprechend des Tarifs der Postbehörde und ein Postbefördererkennzeichen, um mit der Frankiermaschine ein Stempelbild zugenerieren und entsprechend des Tarifs der Postbehörde die Poststücke freizustempeln.The program memory 92 contains an operating program for printing at least and at least security-relevant components of the program for a predetermined change in format of part of the useful data.
The RAM 93 is used for the temporary storage of intermediate results. The non-volatile memory NVM 94 is used for the non-volatile temporary storage of data, for example statistical data, which are arranged according to cost centers. The calendar / clock module 95 likewise contains addressable but non-volatile memory areas for the non-volatile intermediate storage of intermediate results or also known program parts (for example for the DES algorithm). It is provided that the control device 1 is connected to the chip card read / write unit 70, the microprocessor 91 of the control device 1 being programmed, for example, to load the useful data N from the memory area of a chip card 49 for use in corresponding memory areas of the franking machine . A first chip card 49 inserted into an insertion slot 72 of the chip card read / write unit 70 allows a data record to be reloaded into the franking machine for at least one application. The chip card 49 contains, for example, the postage fees for all the usual postal carrier services in accordance with the tariff of the postal authority and a postal carrier identifier in order to generate a stamp image with the franking machine and to stamp the postal items in accordance with the tariff of the postal authority.

Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 95 der vorgenannten Hauptplatine 9 und umfaßt auch eine Tastatur 88, eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis ASIC 90 und das Interface 8 für das postalische Sicherheitsmodul PSM 100. Das Sicherheitsmodul PSM 100 ist über einen Steuerbus mit dem vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie über den parallelen µC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus führt Leitungen für die Signale CE, RD und WR zwischen dem Sicherheits-modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist vorzugsweise einen Pin für ein vom Sicherheitsmodul PSM 100 abgegebenes Interruptsignal i, weitere Anschlüsse für die Tastatur 88, eine serielle Schnittstelle Sl-1 für den Anschluß der Chipkarten-Schreib/Lese-Einheit 70 und eine serielle Schnittstelle Sl-2 für den optionalen Anschluß eines MODEMs auf. Mittels des MODEMs kann beispielsweise das im nichtflüchtigen Speicher des postalischen Sicherheitsmittels PSM 100 gespeicherte Guthaben erhöht werden.The control device 1 forms the actual meter with the means 91 to 95 of the aforementioned main board 9 and also includes a keyboard 88, a display unit 89 and an application-specific circuit ASIC 90 and interface 8 for the postal security module PSM 100. The safety module PSM 100 is connected to the aforementioned ASIC 90 and the microprocessor 91 and via the parallel µC bus with at least the means 91 to 95 of the main board 9 and connected to display unit 89. The control bus carries cables for the signals CE, RD and WR between the safety module PSM 100 and the aforementioned ASIC 90. The microprocessor 91 points preferably a pin for one from the PSM 100 security module issued interrupt signal i, further connections for the keyboard 88, a serial interface S1-1 for the connection of the chip card read / write unit 70 and a serial interface Sl-2 for the optional connection of a MODEM. Using the MODEM can for example in the non-volatile memory of the postal Security funds PSM 100 stored credit can be increased.

Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten Gehäuse umschlossen. Vor jedem Frankierabdruck wird im postalischen Sicherheitsmodul PSM 100 eine hardwaremäßige Abrechnung durchgeführt. Die Abrechnung erfolgt unabhängig von Kostenstellen. Das postalische Sicherheitsmittel PSM 100 kann intern so ausgeführt sein, wie in der europäischen Anmeldung EP 789 333 A3 näher beschrieben wurde.The postal security device PSM 100 is secured by a Enclosed housing. Before each franking imprint is made in the postal Security module PSM 100 performed a hardware accounting. Billing takes place independently of cost centers. The postal Safety equipment PSM 100 can be designed internally as in the European application EP 789 333 A3 has been described in more detail.

Es ist vorgesehen, daß der ASIC 90 eine serielle Schnittstellenschaltung 98 zu einem im Poststrom vorschalteten Gerät, eine serielle Schnittstellenschaltung 96 zu den Sensoren und Aktoren der Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur Drucksteuerelektronik 16 für den Druckkopf 4 und eine serielle Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerät aufweist. Der DE 197 11 997 ist eine Ausführungsvariante für die Peripherieschnittstelle entnehmbar, welche für mehrere Peripheriegeräte (Stationen) geeignet ist. Sie trägt den Titel: Anordnung zur Kommunikation zwischen einer Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung.The ASIC 90 is intended to be a serial interface circuit 98 to a device upstream in the post stream, a serial Interface circuit 96 to the sensors and actuators of the Printing device 2, a serial interface circuit 97 for Print control electronics 16 for the print head 4 and a serial Interface circuit 99 to one of the printing device 20 in the mail stream downstream device. DE 197 11 997 is one Design variant for the peripheral interface can be removed, which is suitable for several peripheral devices (stations). It is entitled: Arrangement for communication between a base station and others Stations of a mail processing machine and for its emergency shutdown.

Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum Antriebsmotor 15 für die Walze 11 und zu einer Reinigungs- und Dichtstation RDS 40 für den Tintenstrahldruckkopf 4, sowie zum Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung.Interface circuit 96 coupled to that in the machine base located interface circuit 14 provides at least one connection to the sensors 6, 7, 17 and to the actuators, for example to Drive motor 15 for the roller 11 and a cleaning and Sealing station RDS 40 for the inkjet print head 4, as well as for Labeler 50 in the machine base. The basic arrangement and the interaction between inkjet printhead 4 and the RDS 40 can be found in DE 197 26 642 C2, with the title: arrangement for Positioning an inkjet printhead and cleaning and Sealing device.

Einer der in der Führungsplatte 20 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druckauslösung beim Brieftransport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druckauslösung beim Brieftransport. Die Transporteinrichtung besteht aus einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 11 als Zahnwalze ausgeführt, entsprechend ist auch das Transportband 10 als Zahnriemen ausgeführt, was die eindeutige Kraftübertragung sichert. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe ausgeführt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt über die Leitung 19 ein Encodersignal an das Motherboard 9 ab.One of the sensors 7, 17 arranged in the guide plate 20 is the Sensor 17 and is used to prepare the print release when transporting letters. The sensor 7 is used to detect the start of a letter for the purpose of triggering pressure when transporting letters. The transport device consists of a conveyor belt 10 and two rollers 11, 11 '. One of the reels is that equipped with a motor 15 drive roller 11, another is idler roller 11 '. Preferably, the drive roller 11 is as Toothed roller executed, the conveyor belt 10 is accordingly as Toothed belt executed, which ensures the clear power transmission. On Encoder 5, 6 is coupled to one of the rollers 11, 11 '. Preferably the drive roller 11 with an incremental encoder 5 sits firmly on one Axis. The incremental encoder 5 is, for example, a slotted disc executed, which interacts with a light barrier 6, and passes line 19 sends an encoder signal to motherboard 9.

Es ist vorgesehen, daß die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehäuses mit einer Druckkopfelektronik verbunden sind und daß der Druckkopf für einen rein elektronischen Druck ansteuerbar ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der gewählte Stempelversatz berücksichtigt wird, welcher per Tastatur 88 oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 nichtflüchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls weiteren Druckbildern für Werbeklischee, Versandinformationen (Wahldrucke) und zusätzlichen editierbaren Mitteilungen. Der nichtflüchtige Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter sind solche, welche die geladenen Portogebührentabellen nichtflüchtig speichern.It is contemplated that the individual print elements of the print head are connected to printhead electronics within its housing and that the print head can be controlled for purely electronic printing is. The pressure control is based on the path control, the selected stamp offset is taken into account, which is via the keyboard 88 or if necessary entered via chip card and in the NVM 94 memory is stored non-volatile. A planned imprint therefore results from Stamp offset (without printing), the franking print image and if necessary additional print images for advertising slogan, shipping information (election prints) and additional editable messages. The non-volatile Memory NVM 94 has a large number of memory areas. Underneath are those that the loaded postage fee tables are non-volatile to save.

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehörigen mechanischen Träger für die Mikroprozessorkarte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und eindeutige Signalisierung des Erreichens der Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte Lesefähigkeit für alle Arten von Speicherkarten bzw. Chipkarten. Das Interface zur Frankiermaschine ist eine serielle Schnittstelle gemäß RS232-Standard. Die Datenübertragungsrate beträgt min. 1,2 K Baud. Das Einschalten der Stromversorgung erfolgt mittels einem an der Hauptplatine angeschlossenen Schalter 71. Nach Einschalten der Stromversorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung.The chip card read / write unit 70 consists of an associated one mechanical support for the microprocessor card and contact unit 74. The latter allows a secure mechanical mounting of the chip card in reading position and clear signaling of reaching the Reading position of the chip card in the contacting unit. The microprocessor card with the microprocessor 75 has a programmed Readability for all types of memory cards or chip cards. The The interface to the franking machine is a serial interface according to RS232 standard. The data transfer rate is min. 1.2 K baud. The power supply is switched on using a on the main circuit board connected switch 71. After switching on the power supply there is a self-test function with readiness message.

In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt. Die Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten Sicherheitsmoduls 100 ist von außen durch eine Öffnung 109 sichtbar.FIG. 3 is a perspective view of the franking machine from FIG shown at the back. The franking machine consists of a meter 1 and a base 2. The latter is with a chip card read / write unit 70 equipped, which is arranged behind the guide plate 20 and from the Upper housing edge 22 is accessible. After switching on the franking machine by means of the switch 71, a chip card 49 is turned upwards inserted into the slot 72 below. A fed on the edge standing letter 3, with its surface to be printed on the The guide plate is in contact with the input data a franking stamp 31 printed. The letter feed opening is through a transparent plate 21 and the guide plate 20 laterally limited. The Status display of the plugged onto the main board 9 of the meter 1 Security module 100 is visible from the outside through an opening 109.

Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungsumschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL-389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handelsüblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an der Batterieüberwachungseinheit 12 und der Detektionseinheit 13 an. Die Batterieüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins1, 2, 4 und 5 des Prozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM einer ersten Technologie wird.
Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.FIG. 4 shows a block diagram of the postal security module PSM 100 in a preferred variant. The negative pole of the battery 134 is grounded and a pin P23 of the contact group 102. The positive pole of the battery 134 is connected via line 193 to one input of voltage changeover switch 180 and line 191 carrying system voltage is connected to the other input of voltage changeover switch 180. The SL-389 / P is suitable as a battery 134 for a lifespan of up to 3.5 years or the SL-386 / P for a lifespan of up to 6 years with a maximum power consumption by the PSM 100 commercially available circuit type ADM 8693ARN can be used. The output of the voltage changeover switch 180 is connected to the battery monitoring unit 12 and the detection unit 13 via the line 136. The battery monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor 120 via the lines 135, 164 and 137, 139. The output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM, which becomes a non-volatile memory NVRAM of a first technology due to the existing battery 134.
The security module is connected to the franking machine via the system bus 115, 117, 118. Processor 120 can communicate with a remote data center through the system bus and modem 83. The ASIC 150 does the billing. The postal accounting data are stored in non-volatile memories of different technologies.
System voltage is present at the supply input of a second memory NV-RAM 114. This is a non-volatile memory NVRAM of a second technology, (SHADOW-RAM). This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure. The NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112, 113.

Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine 9 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110,111,126,119 für Daten-, Adreß- und Steuersignale enthält.The ASIC 150 contains at least one hardware accounting unit for the Calculation of the postal data to be saved. In the Programmable Array Logic (PAL) 160 is access logic to the ASIC 150 housed. The ASIC 150 is controlled by the PAL 160 logic. An address and control bus 117, 115 from the main board 9 is on corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one Control signal 119 for the program memory FLASH 128. The processor 120 executes a program that is stored in the FLASH 128. The Processor 120, FLASH 28, ASIC 150 and PAL 160 are one internal system bus interconnected, the lines 110,111,126,119 for data, address and control signals.

Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET-Einheit 130 zurückgesetzt. The RESET unit 130 is connected via line 131 to pin 3 of the Processor 120 and connected to a pin of the ASIC's 150. The Processor 120 and the ASIC 150 are when the Supply voltage through a reset generation in the RESET unit 130 reset.

An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine Leiterschleife 18 bilden.Lines are connected to pins 6 and 7 of processor 120, which only applies to a PSM 100 plugged into the main board 9 Form conductor loop 18.

Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüberwachungseinheit (Battery Observer) 12 erzeugt. Letzterer liefert außerdem ein Statussignal 164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen weiter, die größer als die andere ist.The real-time clock RTC 122 and the memory RAM 124 are from one Operating voltage supplied via line 138. This tension will generated by the voltage monitoring unit (Battery Observer) 12. The latter also provides a status signal 164 and responds to one Control signal 135. The voltage switch 180 outputs the output voltage on line 136 for voltage monitoring unit 12 and memory 116 further that of its input voltages that is bigger than the other.

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. An den Pins 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule können in ihrem Lebenszyklus verschiedene Zustände einnehmen. So muß z.B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.The processor 120 internally has a processing unit CPU 121, one Real time clock RTC 122, a RAM unit 124 and an input / output unit 125 on. I / O ports of the input / output unit are located at pins 8 and 9 125, to which module-internal signaling means are connected, for example colored light emitting diodes LED's 107, 108, which the Signal the status of the safety module 100. The security modules can assume various states in their life cycle. So e.g. be detected whether the module is valid cryptographic Contains key. It is also important to differentiate whether that Module works or is defective. The exact type and number of Module states depend on the functions implemented in the module and on the Implementation dependent.

Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modulinternen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte-FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreßeingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine 9 in Kommunikationsverbindung. The processor 120 of the security module 100 is via an internal module Data bus 126 with a FLASH 128 and with the ASIC 150 connected. The FLASH 128 serves as program memory and is included System voltage Us + supplied. For example, it is a 128 Kbyte FLASH memory type AM29F010-45EC. The ASIC 150 of the postal security module 100 delivers via an internal module Address bus 110 addresses 0 through 7 to the corresponding address inputs of the FLASH 128. The processor 120 of the security module 100 delivers the addresses 8 to 15 to the via an internal address bus 111 corresponding address inputs of the FLASH 128. The ASIC 150 of the Security module 100 is located above contact group 101 of interface 8 with data bus 118, with address bus 117 and control bus 115 the motherboard 9 in communication connection.

Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden.Due to the possibility of the circuit described depending on the level of voltages Us + and Ub + automatically with the larger The battery can be fed by both during normal operation 134 can be changed without data loss.

Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der im Ausführungsbeispiel beschriebenen Schaltung der Speisepunkt für RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC und am SRAM liegt dann bei 0V. Das führt dazu, daß der SRAM 124, der z.B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhindert, daß ein möglicher Angreifer durch Manipulation der Batteriespannung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daß er Sicherheitsmaßnahmen, wie beispielsweise Long Time Watchdogs umgeht.The battery of the franking machine feeds outside during idle times the normal operation in the aforementioned manner with the real-time clock 122 Date and / or time registers and / or static RAM (SRAM) 124, which holds security-relevant data. The battery voltage drops during battery operation below a certain limit, from the circuit described in the exemplary embodiment of the feed point for RTC and SRAM connected to ground. I.e. the voltage at the RTC and the SRAM is then at 0V. As a result, the SRAM 124, the e.g. important cryptographic key is deleted very quickly. At the same time the registers of the RTC 122 are deleted and the the current time and date are lost. Through this Action prevents a possible attacker from manipulating the Battery voltage stops the postage meter internal clock 122 without security-relevant data is lost. This prevents it Security measures, such as long time watchdogs deals.

Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die beschriebene Schaltung in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung zurücksetzen, d.h. "scharf" machen.Changes simultaneously with the indication of the undervoltage of the battery the circuit described in a self-holding state, in which it also if the voltage is increased afterwards. At the next Turning on the module, the processor can change the state of the circuit query (status signal) and thus and / or via the evaluation of the Contents of the deleted memory indicate that the Battery voltage has fallen below a certain value in the meantime Has. The processor can reset the monitoring circuit, i.e. "make sharp.

Anhand der Figur 5 wird das Schaltbild der Spannungsüberwachungseinheit (Batterieobserver) 12 erläutert. Die Schaltung wird durch die Batteriespannung auf der Leitung 136 versorgt. Im Normalzustand ist ein Transistor 1252 gesperrt und über den Widerstand 1254 wird die Batteriespannung auf der Leitung 138 als Betriebsspannung für die Echtzeituhr RTC 122 bzw. Speicher RAM 124 zur Verfügung gestellt. Die Leitung 138 ist die Speiseleitung für die RTC 122 und den RAM 124.The circuit diagram of the voltage monitoring unit is shown in FIG (Battery Observer) 12 explained. The circuit is through the Battery voltage supplied on line 136. In the normal state is a Transistor 1252 blocked and the resistor 1254 is the Battery voltage on line 138 as the operating voltage for the Real-time clock RTC 122 or memory RAM 124 provided. The Line 138 is the feed line for RTC 122 and RAM 124.

Es ist vorgesehen, daß die Spannungsüberwachungseinheit 12 einen Spannungsteiler 1242, 1244 zwischen der Leitung 136 und Masse enthält, der einen Abgriff 1246 aufweist, daß am Abgriff der invertierende Eingang eines Komparators 1250, eines der Schaltungsmittel 1258 für die Selbsthaltung und eines der Schaltungsmittel 1260 für eine Rücksetzung der Selbsthaltung angeschlossen ist. Der Ausgang des Komparators 1250 ist über einen Negator 1252, 1254 einerseits mit der Leitung 138 und andererseits mit dem anderen Schaltungsmittel 1256 für die Selbsthaltung verbunden. Letzteres ist eine Diode, welche L-Pegel auf den Abgriff zurückkoppelt. Der Spannungsteiler besteht aus zwei Widerständen 1242 und 1244 und einem Kondensator 1272, der zwischen Abgriff und Masse geschaltet ist. Der Abzweig 1246 am Verknüpfungspunkt der zwei Widerstände 1242 und 1244 ist auf den invertierenden Eingang eines Komparators 1250 geschaltet. Der nichtinvertierende Eingang des Komparators 1250 ist an eine Referenzspannungquelle 1248 geschaltet. Der Ausgang des Komparators 1250 ist auf den Steuereingang eines Transistors 1252 geführt, welcher mit Masse verbunden und mit einem an der Leitung 136 liegenden Widerstand 1254 verbunden ist, d.h. als Negator geschaltet ist. Der Ausgang des Negators 1252, 1254 ist mit der Leitung 138 und dem n-Gebiet der Diode 1256 verbunden, deren p-Gebiet über einen Widerstand 1258 mit dem Abzweig 1246 verbunden ist. Zwischen der Leitung 136 und dem Abzeig 1246 ist parallel zum Widerstand 1242 ein zweiter Transistor 1260 geschaltet, dessen Steuereingang mit der Leitung 135 verbunden ist.
Die Batteriespannung auf der Leitung 136 wird von einem Spannungsteiler, der aus zwei Widerständen 1242 und 1244 und einem Kondensator 1272 besteht, verringert und von einem Komparator 1250 mit der Referenzspannung der Referenzspannungsquelle 1248 verglichen. Ist die zu vergleichende Spannung auf dem Abzweig 1246 kleiner als die Referenzspannung, so erhält der Transistor 1252 an seinem Steuereingang H-Pegel und wird durchgeschaltet. Dadurch wird die Leitung 138 mit Massepotential verbunden und die RTC 122 und der RAM 124 werden nicht mehr mit der Batteriespannung versorgt. Das führt dazu, daß die Register der RTC 122 und die Daten im RAM 124 gelöscht werden und die RTC 122 stehen bleibt. It is provided that the voltage monitoring unit 12 contains a voltage divider 1242, 1244 between the line 136 and ground, which has a tap 1246, that at the tap, the inverting input of a comparator 1250, one of the switching means 1258 for latching and one of the switching means 1260 for a reset of self-retention is connected. The output of the comparator 1250 is connected via a negator 1252, 1254 on the one hand to the line 138 and on the other hand to the other circuit means 1256 for the self-holding. The latter is a diode that feeds the L level back to the tap. The voltage divider consists of two resistors 1242 and 1244 and a capacitor 1272 which is connected between the tap and ground. The branch 1246 at the junction of the two resistors 1242 and 1244 is connected to the inverting input of a comparator 1250. The non-inverting input of the comparator 1250 is connected to a reference voltage source 1248. The output of the comparator 1250 is connected to the control input of a transistor 1252, which is connected to ground and to a resistor 1254 on line 136, that is to say is connected as a negator. The output of the negator 1252, 1254 is connected to the line 138 and the n-region of the diode 1256, the p-region of which is connected to the branch 1246 via a resistor 1258. A second transistor 1260, whose control input is connected to line 135, is connected in parallel with resistor 1242 between line 136 and display 1246.
The battery voltage on line 136 is reduced by a voltage divider consisting of two resistors 1242 and 1244 and a capacitor 1272 and compared by a comparator 1250 with the reference voltage of the reference voltage source 1248. If the voltage to be compared on branch 1246 is lower than the reference voltage, transistor 1252 receives H level at its control input and is switched through. As a result, line 138 is connected to ground potential and RTC 122 and RAM 124 are no longer supplied with the battery voltage. As a result, the registers of the RTC 122 and the data in the RAM 124 are cleared and the RTC 122 stops.

Da die Leitung 138 jetzt mit Masse verbunden ist, wird gleichzeitig über die Diode 1256 und den Widerstand 1258 die zu vergleichende Spannung am Abgriff 1246 auf einen Wert nahe 0 V gezogen. Dadurch wechselt die Überwachungsschaltung 12 in einen Selbsthaltezustand, in dem sie auch bei Erhöhung der Spannung auf der Leitung 136 bleibt und die Leitung 138 auf Massepotential läßt. Durch diesen Zustand der Schaltung 12 wird über eine Entkopplungsdiode 1262 ein L-Signal auf die Leitung 164 gelegt, welches vom Prozessor 120 abgefragt werden kann. Die Entkopplungsdiode 1262 dient der Verringerung des Stromverbrauchs im Batteriebetrieb. Der Prozessor 120 kann die Überwachungsschaltung 12 zurücksetzen. Dazu wird über die Leitung 135 ein H-Rücksetzsignal auf den Transistor 1260 gegeben, welcher durchgeschaltet wird, Somit wird die Spannung am Abzweig 1246 über die Referenzspannung angehoben, der Komparator 1250 schaltet zurück und der Transistor 1252 wird gesperrt. Als Komparator 1250 eignet sich der Typ ICL7665SAIBA. Eine Diode 1268 entkoppelt die Versorgungsspannung für den Komparator 1250 von der Batteriespannung. Ein Elektrolytkondensator 1270 sorgt dafür, daß der Komparator 1250 über einen relativ langen Zeitraum (> 2 s) mit der Versorgungsspannung versorgt wird, bei der dessen Funktion gewährleistet ist, obwohl die Batteriespannung auf der Leitung 136 abgeschaltet wurde. Die Schaltung 12 ist so dimensioniert, daß jegliches Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schwelle von 2,6 V zum Ansprechen der Schaltung 12 führt.Since the line 138 is now connected to ground, at the same time diode 1256 and resistor 1258 the voltage to be compared pulled to a value close to 0 V at tap 1246. This changes the monitoring circuit 12 in a self-holding state in which it remains on line 136 even when the voltage is increased and the Leaves line 138 to ground potential. Because of this state of the circuit 12 is an L signal on the line via a decoupling diode 1262 164 placed, which can be queried by processor 120. The Decoupling diode 1262 is used to reduce the power consumption in the Battery operated. Processor 120 may monitor circuit 12 reset to default. For this purpose, an H reset signal is applied via line 135 given transistor 1260, which is turned on, thus the voltage at branch 1246 is raised above the reference voltage, comparator 1250 switches back and transistor 1252 becomes blocked. The ICL7665SAIBA type is suitable as a comparator 1250. A Diode 1268 decouples the supply voltage for the comparator 1250 from battery voltage. An electrolytic capacitor 1270 provides for the comparator 1250 to be used for a relatively long period (> 2 s) is supplied with the supply voltage at which its function is guaranteed even though the battery voltage on line 136 was switched off. The circuit 12 is dimensioned so that everything Battery voltage on line 136 drops below the specified Threshold of 2.6 V leads to circuit 12 responding.

Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß Signalmittel 107, 108 aus dem Vergußmaterial an einer ersten Stelle herausragen und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leuchtdioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse untergebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmesser der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grün, orange), von denen aber nur zwei benutzt werden (rot und grün). Zur Zustandsunterscheidung werden die LED's auch blinkend benutzt, so daß verschiedene Zustandsgruppen unterschieden werden können, die beispielsweise durch folgende LED-Zustände charakterisiert werden: LED aus, LED rot blinkend, LED rot, LED grün blinkend, LED grün. In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt. Die Figuren 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 8a und 8b in Verbindung mit Figur 6 deutlich.FIG. 6 shows the mechanical structure of the security module in side view. The security module is designed as a multi-chip module, i.e. several functional units are on a printed circuit board 106 interconnected. The security module 100 is with a hard potting compound 105 potted, the battery 134 of the security module 100 outside the sealing compound 105 on a printed circuit board 106 is interchangeably arranged. For example, with one Potting material 105 potted that signaling means 107, 108 from the Potting material protrude in a first place and that the Printed circuit board 106 with the inserted battery 134 on the side of a second one Spot protrudes. Circuit board 106 also has battery contact terminals 103 and 104 for connecting the poles of the battery 134, preferably on the component side above the circuit board 106. It it is provided that for plugging in the postal security module PSM 100 on the main board of meter 1, the contact groups 101 and 102 below the printed circuit board 106 (conductor track side) of the security module 100 are arranged. The ASIC 150 user circuit has stopped via the first contact group 101 - in a manner not shown - with the System bus of a control device 1 in communication connection and the second contact group 102 is used to supply the security module 100 with the system voltage. If the security module on the Main board plugged in, then it is preferably inside the meter housing arranged in such a way that the signaling means 107, 108 are close an opening 109 or protrudes into this. The meter case is thus advantageously constructed so that the user can view the status of the Security module can still see from the outside. The two LEDs 107 and 108 of the signaling means are via two output signals of the I / O ports on pins 8, 9 of processor 120 are controlled. Both LEDs are housed in a common component housing (Bicolor LED), which is why the dimensions or diameter the opening can remain relatively small and of the order of magnitude Signal means is. In principle, three different colors can be displayed (red, green, orange), of which only two are used (red and green). The LEDs are also used to flash the status, so that different status groups can be distinguished, which are characterized, for example, by the following LED states: LED off, LED flashing red, LED red, LED flashing green, LED green. FIG. 7 is a top view of the postal security module shown. Figures 8a and 8b show a view of the Security module from the right or from the left. The location of the Contact groups 101 and 102 below the circuit board 106 is made from the Figures 8a and 8b in connection with Figure 6 clearly.

Erfindungsgemäß ist das postalische Gerät, insbesondere eine Frankiermaschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf das Motherbord eines Personalcomputers gesteckt werden kann, der als PC-Frankierer einen handelsüblichen Drucker ansteuert.According to the invention, the postal device, in particular a franking machine, however, the safety module can also have a different design have, which makes it possible, for example, on the motherboard of a personal computer that can be inserted as a PC franking device controls a commercially available printer.

Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Ansprüchen umfaßt werden.The invention is not limited to the present embodiment, since obviously other arrangements or designs of the Invention can be developed or used, the - of the same Basic ideas of the invention starting from the adjacent Claims are included.

Claims

Arrangement for a security module, with at least one functional unit (120), with a battery (134) and means for supplying a system voltage and with a voltage switch (180) which is connected via a line (136) to a voltage monitoring unit (12) which Sends an operating voltage to a memory (122, 124) via a line (138), characterized in that the battery (134) is interchangeably arranged on the safety module (100), that the voltage monitoring unit (12) has switching means (1256, 1258, 1260 ) for a resettable self-holding, the self-holding being triggered when the battery voltage drops below a predetermined threshold.

Arrangement according to claim 1, characterized in that the voltage monitoring unit (12) has as circuit means a line (135) and a switching means (1260) for resetting the self-holding, the reset being able to be triggered only when the battery voltage has risen above the predetermined threshold is.

Arrangement according to claims 1 to 2, characterized in that the voltage monitoring unit (12) contains a voltage divider (1242, 1244) between the line (136) and ground, which has a tap (1246) that the inverting input of a Comparator (1250), one of the switching means (1258) for the self-holding and the switching means (1260) for resetting the self-holding is connected and that the output of the comparator (1250) via a negator (1252, 1254) on the one hand with the line (138 ) and, on the other hand, is connected to the other latching circuit means (1256).

Arrangement according to claim 3, characterized in that the other circuit means (1256) of the latch is a diode.

Arrangement according to claim 3, characterized in that the non-inverting input of the comparator (1250) is connected to a reference voltage source (1248).

Arrangement according to claim 3, characterized in that the state of self-retention can be queried by a processor (120) of the security module (100) via a line (164).

Arrangement according to claims 1 to 6, characterized in that the processor (120) has memories (122, 124) to which an operating voltage is supplied from the voltage monitoring unit (12) via the line (138), that the processor (120 ) is supplied with system voltage and has a first Pin1 to reset the state of self-holding via a line (135) and a second Pin2 to which the line (164) is connected in order to query the state of the voltage monitoring unit (12) whether it is switched to operating voltage delivery or self-holding.

Arrangement according to claim 7, characterized in that the security module (100) has a user circuit ASIC (150) and that the processor (120) is connected to the user circuit ASIC (150) via a module-internal data bus (126), the latter via a first contact group (101) is in communication connection with the system bus of a control device (1).

Arrangement according to claim 1, characterized in that the security module (100) is encapsulated with a hard potting compound (105), that the battery (134) of the security module (100) is interchangeably arranged outside the potting compound (105) on a printed circuit board (106) is that the circuit board (106) has the battery contact terminals (103 and 104) for connecting the poles of the battery (134) and a second contact group (102) for supplying the safety module (100) with the system voltage.